生存拷贝
---据美国的一项研究报告显示,在灾害之后,如果无法在14天内恢复业务数据,有75%的公司业务会完全停顿,43%的公司再也无法重新开业, 20%的企业在两年之内宣告破产。美国Minnesota大学的研究表明,遭遇灾难而又没有灾难恢复计划的企业,60%以上将在两到三年后退出市场。随着企业对数据处理依赖程度的递增,此比例还有上升的趋势。
---国内外的很多公司在2000年1月1日后,就放缓了一切关于灾难恢复的工作,他们以为“千年虫”没有发作,就一切太平了。但就是这样的一念之差,却造成了结果的天壤之别。
---9月11日纽约世贸中心惨剧发生之后,许多公司的商务资料瞬间被毁,但同样罹难的摩根银行却在第二天就正常运转了。摩根斯坦利之所以可以迅速恢复运转,得益于公司的数据远程灾难备份系统。在世贸大厦坍塌前,摩根就通过高速通信线路实时地从世贸中心的服务器和主机源源不断地向位于新泽西州的公司电脑传输数据。灾难一旦发生,主要服务器被损毁,备份服务器里记录的就是最新最完整的备份数据。
---对于一个金融企业来说,这应该是不幸之中的万幸。仰仗这些灾难备份手段,美国三大投资银行之一的摩根斯坦利得以继续生存。
---而早些年曾看到新华社的报道,中国银行利川支行营业部主任邹曦在对银行电脑信息系统进行毁灭性破坏后,携带部分账目及重要资料等潜逃,使全行数据全部丢失,业务陷入瘫痪。
---两相对照,令人很难想象的是,摩根斯坦利可以在废墟中迅速恢复业务,而我们的金融机构却能被一人之力所彻底破坏。所以,对金融行业来说,必要的灾难恢复手段与其说是灾难的备份,不如说是生存的备份。
---不同程度的备份
---灾难不是普通意义上的故障。灾难有人为造成的、外界环境的因素。前者包括误操作,误删除文件;还有操作系统升级出错,造成的系统瘫痪。后者有火灾、水灾、地震、大停电等等。对灾难的数据备份也不同于普通的故障恢复。一般,非异地的数据备份和系统恢复都不算作灾难备份。
---虽然金融行业的灾难备份进行的程度,还没有像银行的注册资本那样受金融法规的约束,不过目前国内金融行业基本上已经具备了灾难备份的意识。随着银行数据大集中的深入,他们越来越意识到,集中到一起的不仅仅是数据,还有风险。原来集中在各个省、市级分行处理的业务,现在都要集中到全国的数据中心,一旦这个数据中心发生灾难事件,那么全国范围内的分支机构和开户企业、个人都将失去自己的存款记录、贷款记录,不能开展业务,这样的影响不是在一个市、一个省,而是在全国的范围,后果难以想象。现在各个银行、证券公司、保险公司纷纷根据自己的业务量、大集中的情况进行着不同程度、不同进度的数据灾难备份系统建设。目前金融机构多数可以做到同城的异地备份,通过通信手段或交通工具把数据存放到异地,以备不测。
---光大银行是大集中做得最早的银行,在北京、上海、广州等24个省、自治区、直辖市的37个经济中心城市拥有近300家分支机构。作为年轻的股份制商业银行,光大有着非常鲜明的特色,比起工、农、中、建等大银行,光大的业务量和分支机构的数量都要小很多,组织机构也单纯得多。在并购了投资银行之后,光大就开始着手数据的大集中,在今年的7月6日,光大银行计算机业务由各分行并到了总行数据中心的主机来统一处理。
---不论是从金融业务品种的推广上,还是信息系统建设和管理上,集中都给光大将来的发展打下了比较好的基础。但是随之而来的还有风险的集中。这也就意味着,光大最早把风险集中到了一个点上,所以光大最早面临了灾难备份的课题。
---从2000年起,光大开始着手灾难备份工程。现在光大银行在距离北京的复兴门外的总行10多公里外的陶然亭,运行着一个灾备中心。光大银行电脑中心运营处副处长徐辉说:“灾备的核心在于数据,本地设备或者环境,如果出了大的问题,就要到另外地方的灾备中心去做数据处理,所以灾备中心的设备是要随时准备就绪的。数据在本地做业务的时候,把数据往存储器上写,同时也备份到灾备中心去。这样本地的存储器和备份中心的存储器都有一份数据。万一出现灾难性事故,备份中心的存储器、计算机系统应用程序都起来以后,就可以直接在灾备中心的主机上继续运行业务了。”
---现在光大的综合柜台业务系统(主要是对公和储蓄)、阳光卡系统,都已经在灾备中心有数据和应用系统的备份。目前网络银行也正在并过来,下一步紧接着还有清算系统,在网络银行的灾备完成之后马上就要实施。
---光大的灾难备份中心使用的是EMC的存储设备,及其相关的灾难备份软件。电源也是双路供电,并配有发电机。去年刚开始做灾备的时候,光大总行发现和灾备中心的数据传输带宽显得不够,于是在2000年年底的时候,他们把原来使用的4条E1线路,改成4路光纤。由于中心的主机在平常不作业务的处理,只做一些辅助的工作,所以为了保证灾难备份中心的系统可靠,光大银行会定期做一些灾备的演习。
---为了保证备份机系统能够正常运转,多数企业采用了类似光大的做法,定期来做灾备的演习。还有一些企业则采用两套系统交替作为生产系统的做法,比如两套系统分别运行,每三个月切换一次,以保证一旦发生灾难性事故的时候,每套系统都可以顺利接管。当然这种做法要在两台主机配置相同、数据处理速度一致的情况下才可以采用,不致因为备份机的处理速度比较慢影响正常业务的处理速度,因此成本也较高。
---光大现在做了同城异地的灾备,但更远的目标已经在计划之中,那就是不同城市之间的灾难备份。光大银行电脑中心总经理李坚说,这个题目在今年6月份正式提出来了,现在已经是光大银行确定的目标。为了这个目标,李坚还专门去了上海和重庆考察。这个未来的不同城市的灾难备份中心所能实现的功能,将是现在光大同城灾备中心所实现的功能的全部,但是时间要求可能会稍微宽松一点。比如现在光大要求在灾难发生之后两个小时之内必须把同城的灾难备份运行起来,而在做异地灾备的时候,这个时间将被允许延长到半天或者是4个小时。由于时间要求越短,投入需要越大,光大要找到一个最佳的比例关系。同时,李坚认为,备份机的配置也没有必要和生产机完全一致,其数据处理的速度,允许比生产机慢一些,因为只是做短时间的过渡,没必要浪费很多投资。
---在做计算机系统的备份的同时,光大还意识到非常重要的另外一点,异地灾备绝不只是计算机系统的灾备,而是要包括了银行的业务在内,应该做成一个叫做业务的灾备中心。
---就目前国内的情况来看,光大的计划应该是比较前沿,也是比较全面的,不只考虑到了数据、计算机设备的备份,还考虑到了人员和业务的备份。光大的优势很明显:数据集中让灾备可以一步到位,总行统一的部署容易制定;设备品牌的单一,让人员很容易掌握有关这个品牌设备的技术,使人员对整个系统可以有比较深的了解,包括灾备系统在内,系统扩充、升级、维护相对容易。
---相比光大、中信这样的小型商业银行,老银行在大集中上可以说没有优势可言,多年传承下来的不同省份不同的机型、不同的应用系统,再加上庞大的业务量,让大集中困难重重。但是大集中已经成为既定目标,于是在大集中之前一段时间的灾难备份就面临了两难的处境。如果完善的各省市的灾备,投资和人力在大集中之后都是一种浪费;但如果不做,就不得不直接面对风险。
---目前建设银行的数据大集中刚刚进行到省级分行,各个分行之间的灾备是各自进行的。北京总行运行的资金清算系统、龙卡等系统,在总部羊桥和军事博物馆之间做同城异地的备份。
---建行远期的目标和光大类似,要做不同城市之间的备份。但是具体的方案要到大集中之后再来决定。由于老银行与年轻的银行相比,数据量要大得多,所以一些老银行的灾备计划,比如远程数据的时间都会比光大银行要高,或者只在远程保留完整的数据,系统之间的切换只在同城的不同地点来做。
---在大集中还没有完成之前,老银行的灾备,基本上还停留在规划和制定方案阶段。建设银行科技部运行管理处副处长郭玉章表示,建行的目标是在三年内完成大集中。这就是说,在大集中之前,建行必然要通过一种过渡方式来度过这3年左右的时间。
---现在建行异地的灾难备份,各个省行都在计划之中,但是一个省级的中心投资往往是几千万元,如果各个省行都建异地灾备中心的话,不知要花掉多少个亿。所以建行总行现在对各分行的有关请求都暂时压着,要求分行先把所有的数据集中。目前,建行采用了一些临时的方案——各分行每天结账之后,把数据存在磁带或光盘里,放到异地去保存,存储介质的运输可以通过汽车等交通工具来完成。万一生产机坏了,可以把数据移植到新的主机或者其他主机上去恢复业务。虽然采取这种离站式的存储(Off-site Storage),数据恢复的时间要长过摩根和光大采取的实时备份的方式,但是投资很少,也可以保证最基本的数据。郭玉章说:“这样做是有一定的风险,但是从灾难以前发生的概率来看,建行还从未发生过类似火灾等灾难导致停顿的情况。现在为了节省这笔投资,只能冒一点险。这不是说建行没有这个实力,而是要看投入和产出如何。”
---建行曾经考虑要用一个灾备中心来解决全行灾备的问题。后来之所以没有做有几个原因,一是要加快全行数据集中的步伐,另外还有建行目前的各行的机型不一致,数据库也不一致,这是传统的原因造成的,要把它们统一起来,就要把原来的设备废掉,要投资的数额是可以想象的,所以就没有做。
---不同城市之间的备份对各商业银行来说还都是未来的打算,但是央行运行的各商业银行之间资金汇划的清算系统,最先走出了这一步。央行的清算系统是全国商业银行之间、企业之间资金流通的中枢,份量之重不是某一家商业银行的清算系统可以相比的,一个小时的停顿造成的损失都将是灾难性的。现在人民银行清算总中心除了在本地有两套机器作为本地备份之外,还在北京和无锡之间互相备份。无锡的备份中心投资非常之大,设备相当于是北京数据中心设备的拷贝,再加上网络通信上的投资,投资要占整个系统投资的一半还多。
---国内两家证券交易所的灾备做得比较类似。上交所在做了同城异地备份之后,还把数据通过通信网络传送到1000公里以外进行单纯数据的备份。而深交所采取的是数据异地备份,设备在同城异地备份,一旦出现故障再把数据在同城的备份设备上来恢复。深交所把数据备份在上海,成交记录直接通过卫星传送,实时记录在光盘上。而结算数据,包括交易数据,都会记录到磁带上,通过每天航班的特快专递递送。深交所总经理助理万南洋说,这样的数据灾难备份完全是按照国际惯例来做的。
---而国内券商的灾难备份情况,做得不如证券交易所,很多还只是借助交通工具把存储下来的数据存放到异地。但是券商的数据量相对证券交易所要少很多,做灾难备份相对证券交易所要容易,所以一些券商灾备的长远目标比证券交易所要高,确定在不同城市之间的系统切换。中信证券电脑部总经理谢权说,他们的目标是不同城市之间用10分钟就可以切换过来。
---保险行业的信息化建设比银行和证券都晚,大集中也难于很快建立起来,一些保险公司是否要做大集中还在探讨之中,所以灾备只能从地市来做。保险行业目前能够做到的数据异地灾难备份是从两个方面进行的,首先是地市级营业厅自身所作的数据异地备份,其次就是各个省的总部进行异地备份。这样一来,即便由于特殊原因,当地保险营业部门的数据受到损坏,也不会造成所有数据的丢失。虽然避免了关键数据不会丢失,但是保险行业的整个处理系统仍然要受到灾难的影响,在系统恢复正常之后,才能够为用户提供保险服务。
---通常来说,需求、投资大小和数据量决定了灾难备份的不同程度。对灾难恢复的需求一般可以用灾难恢复的时间来衡量,要求数据恢复时间越短,或者企业的数据量越大,灾难备份的投资就越多。一个数据实时传递,机房、办公家具、电话接口甚至值班人员都就绪的备份中心,固然可以进行灾难备份,但一台磁带机、一辆汽车也能完成同样的工作,这就需要企业认真分析需求和实际情况,根据投资额度,衡量企业能够忍受的停顿时间,找到最适合自身情况的灾难备份方式。
---对数据量比较小的企业来说,租用也是一种可供选择的方式。和新加坡的灾备中心类似,IBM去年年初在上海外高桥做了一个数据备份中心,提供设备给用户。IBM存储事业部市场推广部经理陈理宗说:“用户只管自己做生产,由IBM提供灾难备份服务。在外高桥的中心,有人员、有设备,提供机房等完全适合备份的环境。如果客户的生产机有故障,整个业务就可以在这个中心恢复出来。”这个中心由IBM的服务人员进行管理,客户的好处是投资少,又比较省心,目前已经有很多制造业的客户落户。在香港,因为同时有两个部门出现问题的几率非常小,就没必要每一个部门做一个备份中心,因此一些政府部门也通过一个灾备中心来备份不同部门的数据,比如说移民局、税务局等。在新加坡,也是由国家为企业提供公共的灾难备份中心。
---恢复只是第一步
---随着电子商务的发展,很多企业的运转已经是7×24×365小时,所以灾难对企业的影响已经不仅仅是数据的丢失、业务的停顿,更意味着订单的丢失,对客户服务质量的下降,供应链的中断以及失去投资者的信心。而恐怖的“911”事件,更给企业的灾难恢复提出了更多的问题。那就是,当企业面临的灾难已经不仅仅是数据的丢失,而是大量员工的伤亡、办公地点的彻底损坏,公司内部、企业之间的业务活动陷入混乱停滞这样的局面,仅仅依靠数据和系统的灾难恢复就远远不够了。
---所以,现在灾难恢复的概念已经被延伸到“业务连续性计划”(Business Continuity Planning,BCP)。要保证灾难发生时业务的连续性,不仅是IT部门恢复数据和关键应用的问题,而是需要整个企业,尤其是高级管理层高度重视,制定一个有效的详细的计划,并且长期地执行下去。举一个简单的例子,在灾难发生的时候,资金必须及时到位,如果负责的人找不到,在BCP中就必须指定一个接任者或另外一个方法来保证资金的及时发放。
---光大对灾难备份的考虑,就有了一些BCP的味道。李坚说:“假如光大大厦突然出现重大事故,只把上海的计算机运行起来,可以做业务了,但是还有非常多的问题。比如业务人员在哪儿?业务资料在哪儿?业务档案都不见了,单是计算机运行起来又有什么用呢?所以灾难备份不是计算机的灾备,而是银行的灾备。光大在进行异地灾难备份时候就是要朝这个方向努力。银行的业务和技术人员,在备份中心要有一定的冗余。业务原始的文档、原始的凭证,也要有相应准备。要把银行的文档票据,都做成电子形式,这样有了通信线路就可以把电子形式的文档存储在异地,去做业务的灾备。一期是做计算机灾备,二期是做整个全行的业务灾备。”
---Gartner Research的一份报告指出,对BCP而言,最大的挑战不是技术,而是来自于内部的一些习惯性思维和侥幸心理。因为BCP是一个长期的项目,中间需要不断进行调整,出于维护的考虑,在必要的时候还要进行测试。因此对于BCP的最重要的支持,就是企业从上至下的有效的配合。
---灾难备份的误区
---国内的金融机构灾难备份基本上都在投入和计划投入阶段。一个合理的规划对系统建设的成功、周期,以及资金的利用率都是非常重要的。绕过以往的误区应该对后来者规划的制定有一定的帮助。
---误区之一:设备准备好了就可以高枕无忧
---做灾难备份其实有很多设备之外的因素,往往提供专业灾难备份服务的机构会有比较全面的考虑,比如人员、机房、环境(温度、湿度的控制)、电源等等。但很多企业没有考虑这些,计算成本的时候也没有考虑进去,因而造成灾备系统建设的失败,很长时间建不起来;或者即使系统起来了,业务还是做不起来。还有最麻烦的是,假如灾难发生了,灾备中心也把生产系统接过来了,一个月以后,主业务系统重新安装好,可以倒回去了,但是怎么把系统倒回去却没有考虑。很多企业在很多方面思考得不够成熟,就比较盲目地买了一些设备,这样的效果往往不会好。
---误区二:最新、最好的技术就是最适合的
---数据容灾有各种手段和技术来完成。选择不同的容灾体系必须根据数据的重要程度来决定。中国金融行业历来有一个喜好,那就是喜欢新的技术和设备,可是应用往往跟不上去。在国外恰恰相反,国外有些银行还在用10年以前的主机,但是他们的应用开发做得很好,真正把IT作为工具,来服务于金融业务。在技术上他们不追求最新的,而是追求最稳定的,这样既能保证系统的可靠性,也能避免过度投资和重复投资。这个经验在灾备系统建设上也有共通之处。建立相应的数据容灾体系,必须首先对数据重要性进行评估。灾备的程度,包括业务备份的程度可以从一定程度上依靠评估来做决定。评估应包括灾难直接造成的花费(如损失生产力)和间接影响(如与客户,供应商,商业伙伴的关系),从而决定为此支出的大小。并非每一个行业都需要远程的快速的数据恢复。一些数据量非常大的机构要做远程的系统切换,无疑是一个天文数字的投入。还是那句老话:一个盈利的银行才是好银行,而不是一个IT系统建设最先进的银行。
---误区三:意志决定一切
---现在国内各个商业银行的灾难备份比较随意,完全凭领导层的意志来决定投资多少、投入多少人力、要把这件事做到什么程度。国内在银行灾备方面没有一个行政的法规,这是一个欠缺。
---国外银行做灾难备份的程度远远高于国内银行,和监管有很大的关系,因为对此事的重视程度不取决于自己的认识程度,而取决于金融机构监管部门和法律对于他的要求。美联储就要求商业银行如果有一个系统要投入使用,就必须在异地投入一个同样的系统作为备份。如果这家银行没有做,美联储每年的检查会把该银行这个方面的评分降低,评分降低到一定程度,这个银行就有可能被关门。
