玉树地震、南方雪灾、汶川地震等突发灾难以及银行、证券系统瘫痪事件将促使中国银行、证券、基金、保险等金融企业在完善IT系统的同时,投入更多财力、物力、人力进行灾备系统和应急管理体系建设;同时,人民银行、银监会、证监会、保监会等主管部门对灾难恢复建设的要求也越来越严格,已经相继出台多项灾备中心管理规范,应急管理指引和应急演练要求。在金融企业自身灾备意识提升和监管要求越来越严格等因素共同作用下,未来几年,中国金融企业的灾备建设及需求将进一步爆发式增长,而且将呈现由大型企业到中小企业,由核心到边缘、由自建到外包,由模拟演练到真实切换演练、由灾备到高可用管理等新趋势。
趋势1:由大型企业转向中小企业
对于高度依赖信息系统的金融企业而言,IT系统的持续、稳定运行对于提升金融企业的抗风险能力以及业务持续运营能力,提升客户满意度,秉承"以客户为中心"的经营理念将起到重要的推动作用,同时,对于社会的稳定和国民经济的正常运转将发挥重要的保障作用。因此,各金融企业对IT系统的安全、持续、稳定运行工作格外重视,从2000年开始,越来越多的金融企业开始进行灾备建设,目前,包括工商银行、建设银行、国家开发银行、深圳发展银行、广东发展银行、华夏银行、光大银行、中国人寿、中国平安、中国太保、中心证券、广发证券、融通基金等金融企业都已经进行灾备体系建设(见表1)。
表1:已进行灾备建设的部分金融企业
银行机构 |
保险公司 |
证券公司 |
基金公司 |
工商银行 |
中国人寿 |
中信证券 |
海富通基金 |
建设银行 |
平安人寿 |
银河证券 |
招商基金 |
交通银行 |
中国太保 |
国泰君安 |
融通基金 |
国家开发银行 |
天安保险 |
广发证券 |
国投瑞银 |
招商银行 |
太平人寿 |
招商证券 |
华夏基金 |
民生银行 |
合众人寿 |
申银万国 |
富国基金 |
广东发展银行 |
中英人寿 |
华泰证券 |
泰达荷银 |
浦东发展银行 |
信诚人寿 |
国元证券 |
长信基金 |
深圳发展银行 |
中意人寿 |
中投证券 |
博时基金 |
总体而言,中国的金融行业,尤其是银行业在灾备建设和业务连续性体系建立方面远远领先于其它行业,并且灾备建设趋势正在由大型银行逐步向中小银行,即城市商业银行、区域性银行扩展,如大连银行、成都银行等。这些银行在新一轮做强、做大,向全国性银行扩张过程中,面临的运营风险、操作风险进一步加剧,因此,他们深刻意识到灾备建设对于业务持续运营,抗风险能力提升,再造竞争优势的推动作用。在保险、证券等行业也具有同样趋势,越来越多的中小保险公司、证券公司、基金公司开始进行灾备体系建设。
趋势2:灾备由核心到边缘
虽然我们看到越来越多的金融企业已经进行灾备预案体系建设,并进行了部分系统的备份工作,但是预案数量和备份系统范围非常有限(大多只是核心系统),其最终的灾难恢复能力也将是非常有限的,一旦发生突发灾难,预案很有可能无法满足灾备需要,该迅速恢复的业务也有可能无法快速恢复。
这种情况在一定程度上说明,中国金融企业的灾难恢复意识还不够强,投入的财力、物力、人力还不够多,这需要行业主管机构的更多指导和规范,更需要企业高层管理者进一步提高灾备管理意识和危机管理意识,进一步扩大备份/恢复范围,把核心系统之外的重要系统也逐步纳入备份范围,并进一步完善灾难恢复预案。在这里,不妨参考下美国银行的经验,美国银行有超过7000份应急预案,其针对不同的事故情况或潜在风险都有相应的应急预案,几乎覆盖了所有突发情况、IT系统、处置流程及人员。
趋势3:由自建到外包
现在,越来越多的金融企业开始采用外包方式提升灾难恢复能力和应急管理水平。相对于自建灾备中心,灾备外包可以帮助金融企业:
- ² 减少初期投入,灾难恢复和业务连续性体系的建设要求金融企业必须具备在灾难发生时能够使用的备用资源,包括备用的人力资源、场地设施资源、数据处理能力和设备、通信网络线路等。通过租用的方式获得这些资源可以大大减轻企业一次性投入的资金压力,并且能够在税收、财务报表核算指标方面获得有利的地位。
- ² 缩短建设时间,与自建方式相比,利用社会化资源可以通过一次商务谈判来解决,节省了土建、装修、采购、安装、测试等一系列过程,大大缩短了资源建设和准备的时间。
- ² 获得高标准服务,社会化资源在长期对外服务过程中形成了标准、规范的服务流程和服务质量管理体系。相对而言,自建设施从建设完成到形成稳定服务能力不论是在时间开销上还是规范性上都有较大差距。
- ² 更低的总体拥有成本和更高的使用效率,通过共享不但可以提高资源使用效率,同时还能分摊使用成本,使金融企业以更低的总体拥有成本获得更专业的服务。
趋势4:由模拟演练到真实演练
灾难恢复演练可以帮助金融企业检验灾难恢复预案的可行性和有效性,按功能分类,灾难恢复演练主要分为四种:桌面演练、测试演练、模拟切换演练和实际切换演练等。其中,实际切换演练能够最大程度地对灾难恢复及业务连续体系进行全面的检验;锻炼技术支持团队和各部门的协同处理能力;进一步完善灾难恢复体系;提升业务连续管理能力和应急管理能力。
原来,金融行业进行的灾备演练多是桌面演练或模拟切换演练,真正进行实际切换演练的企业非常少。现在,大连银行、北京银行等一些灾备领先企业都已开始进行实际切换演练,并且,有实际切换演练需求的企业也在迅速增加,实际切换演练正在成为一股流行趋势,被众多金融企业所接纳。
趋势5:由灾备到高可用性管理
事实上,并不是每个安全问题都可以通过灾难备份/恢复来解决,当生产中心出现问题,再好的灾备手段也无济于事。因此,为提升金融企业的IT可用性和业务持续性,不仅需要完善灾难恢复体系,还需提升基础设施、应用系统、中间件、数据库、操作系统、存储、服务器、网络等技术层面的整体可用性,并且,应在基础设施管理、IT服务管理流程、关联组织、人员、治理结构等管理层面确保IT服务的可用性、安全性和持续性,即提升高可用性IT管理能力。
高可用性IT管理可以帮助政府、企业提升IT系统的可用性水平,降低总体拥有成本,保障业务持续、高效、安全运行,提升IT服务质量和客户满意度。