金融行业云计算技术应用规范-容灾架构

JR中华人民共和国金融行业金融行业云计算技术应用容灾架构Financialapplicationspecificationofcloudcomputingtechnology——Disasterrecovery     目  录前言 II引言 III1范围 12规范性引用文件 13术语和定义 14符号和缩略语 35概述 36云计算平台容灾能力分级 37预案与演练 78组织管理 89监控管理 810监督管理 8引  言随着互联网、移动终端、虚拟化等信息技术的发展演进，云计算技术在金融领域应用逐渐深入，促进了金融产品、经营模式、业务流程的改进和变革。为落实《国务院关于促进云计算创新发展培育信息产业新业态的意见》（国发〔2015〕5号）等，规范云计算技术在金融领域应用，强化云计算对金融服务的技术支撑，提升云计算技术对业务连续性和信息安全的保障能力，特编制本标准。7金融行业云计算技术应用规范　容灾范围本标准规定了金融领域云计算平台的灾难恢复要求，包括云计算平台容灾能力分级、灾难恢复预案与演练、组织管理、监控管理、监督管理等。本标准适用于金融领域的云服务提供者、云服务使用者、云服务合作者、云服务审计者等。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T　20988—2007　信息安全技术　信息系统灾难恢复规范GB/T　22240—2008　信息安全技术　信息系统安全等级保护定级指南GB/T　30146—2013　公共安全　业务连续性管理体系　要求GB　50174—2017　数据中心规范JR/T　0044—2008　银行业信息系统灾难恢复管理规范JR/T　0059—2010　证券期货经营机构信息系统备份能力标准JR/T　XXXXX　云计算技术金融应用技术规范技术架构术语和定义JR/TXXXX《云计算技术金融应用规范技术架构》（同期发布）界定的以及下列的术语和定义适用于本文件。　　灾难　disaster由于人为或自然的原因，造成信息系统严重故障、瘫痪或其数据严重受损，使信息系统支持的业务功能停顿或服务水平达到不可接受的程度，并持续特定时间的突发性事件。[JR/T0044—2008]　　灾难恢复　disasterrecovery为了将信息系统从灾难造成的不可运行状态或不可接受状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受的状态而设计的活动和流程。[JR/T0044—2008]　　风险分析　riskanalysis确定影响信息系统正常运行的风险，评估对单位业务运营至关重要的功能，定义降低潜在危险控制手段的流程。风险分析经常会涉及到对特殊事件发生可能性的评估。[JR/T0044—2008]　　业务影响分析　businessimpactanalysis分析业务功能及其相关信息系统资源，评估特定灾难对各业务功能的影响。[JR/T0044—2008]　　业务连续性　businesscontinuity在中断事件发生后，组织在预先确定的可接受的水平上连续交付产品或提供服务的能力。[GB/T30146-2013]　　恢复时间目标　recoverytimeobjective灾难发生后，信息系统从停顿到必须恢复的时间要求。[JR/T0044—2008]　　恢复点目标　recoverypointobjective　灾难发生后，数据必须恢复到的时间点要求。[JR/T0044—2008]　　系统可用性　systemavailability指在要求的外部资源得到保证的前提下，云服务在规定的条件下和规定的时刻或时间区间内（不包括计划内服务中断时间）处于可执行规定功能状态的能力，一般按允许计划外年服务中断时间、可用程度至少达到“n个九”来衡量。　　可用区　availabilityzone在云计算平台中，综合考虑电力、网络、供水等基础设施的容灾因素划分出来的物理区域，区域内包含空调、电力设施、主机、网络、存储等物理资源。　　同城可用区　availabilityzoneinthesameregion能够抵御因供电供水中断、水淹、火灾、网络故障、硬件损毁、交通中断等灾难同时影响的两个可用区互为同城可用区。一般情况下两同城可用区之间地理距离为数十公里。　　异地可用区　availabilityzoneinthedifferentregion能够抵御因战争、洪水、海啸、台风、地震等大范围区域性灾害同时影响的两个可用区互为异地可用区。一般情况下两异地可用区之间地理距离为数百公里以上。　　演练　exercise为提高灾难恢复能力，基于灾难恢复预案进行的演习，形式包括桌面演练、模拟演练、实战演练等。符号和缩略语下列符号和缩略语适用于本文件。 RPO 　Recovery　Point　Objective 　恢复点目标 RTO 　Recovery　Time　Objective 　恢复时间目标概述随着云计算技术在金融领域应用的逐渐深入，云计算技术深刻影响和变革了金融服务的服务模式、获取渠道、覆盖范围，而因灾难发生导致服务中断所产生的影响也越来越大。由于云计算环境具有多租户、虚拟化、资源池等特殊技术，当灾难性事件发生时，其风险场景、对业务和用户的影响也与传统架构表现出多方面差异，应重点关注并妥善应对。云计算平台容灾能力分级风险与业务影响分析金融机构应根据业务连续性目标和业务发展规划，对云计算平台进行详细的风险分析。在风险分析过程中，云服务提供者、云服务使用者和云服务合作者应根据当前的业务场景，重点界定风险分析的目标和范围，使用恰当的分析，对所面临的威胁和当前体系的脆弱性进行深入剖析，评估各类风险发生的概率和可能导致的损失。在金融领域云计算环境下，风险分析应特别关注使用云计算技术可能引发的新风险、威胁、脆弱性和损害，包括但不限于以下方面：云计算环境下多租户的资源竞争可能导致的系统服务能力下降或不可用；云计算环境下隔离措施不当可能导致的信息泄露；云计算环境下单点设备或性能瓶颈可能导致的系统中断；云计算环境下自服务管控不足可能导致的资源和信息滥用；云计算环境下系统故障、升级等可能导致的问题群发。经过严谨的风险分析之后，需要对风险可能造成的业务影响进行研判。在对业务影响进行分析时，首先需要根据监管要求、业务性质、业务服务范围、数据集中程度、业务时间敏感性、功能关联性等要素进行业务功能分析，并在此基础上评估业务中断可能造成的影响，确定灾难恢复目标及恢复优先级。在金融领域云计算环境下，业务影响分析应关注的内容包括但不限于以下方面：对于可能造成多个金融应用同时遭受灾难的，要综合评估云计算平台的影响；由于应用和数据部署的实际物理设备的不确定性，导致的同一故障影响的不确定性。容灾能力级别划分参照GB/T20988-2007、JR/T0044-2008、GB/T22240-2008的相关要求，按照所承载的业务系统发生故障或瘫痪的影响范围、危害程度等对云计算平台容灾能力要求进行划分。结合金融领域特性，将云计算平台的影响范围分为4个层级：内部管理，包括：·未对金融机构经济效益、社会声誉产生直接影响的内部工作秩序；·其他影响金融机构内部管理的事项。运营管理，包括：·金融机构用于支撑业务活动，并对经济效益、社会声誉产生直接影响的内部运营支撑管理；·其他影响金融机构运营管理的事项。公民、法人和其他组织的金融权益，包括：·公民、法人和其他组织的财产安全权、知情权、公平交易权、依法求偿权、信息安全权；·其他影响公民、法人和其他组织的金融权益的事项。国家金融稳定、金融秩序，包括：·国家政权稳固和金融稳定；·国家对外活动中的经济金融利益；·国家金融政策的制定与执行；·国家金融风险的防范；·国家金融管理活动，破坏金融秩序；·多数关键金融机构、金融市场及其基础设施的稳定运行；·其他影响国家金融稳定、金融秩序的事项。将云计算平台的危害程度划分为3类：较小影响，指的是工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害；一般影响，指的是工作职能受到一般影响，业务能力显著下降且影响主要功能执行，引发一般的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成一般损害；严重影响，指的是工作职能受到严重影响或丧失行使能力，业务能力严重下降或功能无法执行，出现严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成严重损害。根据应用于金融领域的云计算平台的影响范围、危害程度，将其容灾能力等级划分为6级，具体如表1所示。考虑应用于金融领域云计算平台的重要性和故障影响程度，应用于金融领域云计算平台至少应达到容灾能力3级要求。表1　应用于金融领域的云计算平台容灾能力等级划分 影响范围 危害程度 较小影响 一般影响 严重影响 内部管理 第1级 第2级 第3级 企业运营 第2级 第3级 第4级 公民、法人和其他组织的合法权益 第3级 第4级 第5级 国家金融稳定、金融秩序 第4级 第5级 第6级关键指标应用于金融领域的云计算平台应至少达到容灾能力3级要求，对应的RTO、RPO、可用性等关键指标要求如表2所示。表2　应用于金融领域的云计算平台容灾能力等级关键指标要求 容灾等级 RTO RPO 可用性 3级 <=24小时 <=24小时 每年非计划服务中断时间不超过4天，系统可用性至少达到99%。 4级 <=4小时 <=1小时 每年非计划服务中断时间不超过10小时，系统可用性至少达到99.9%。 5级 <=30分钟 ≈0 每年非计划服务中断时间不超过1小时，系统可用性至少达到99.99%。 6级 <=2分钟 ≈0 每年非计划服务中断时间不超过5分钟，系统可用性至少达到99.999%。技术要求本标准按照GB/T20988-2007有关内容，从数据备份、数据处理、网络能力和运维能力4个要素给出云计算平台容灾能力等级相关技术要求。金融领域云计算平台至少应达到容灾能力3级要求，相应等级的具体技术要求详见表3至表6。表3　第6级技术要求 要素 云计算相关要求 数据备份 a）数据应在同城和异地可用区至少各有一个数据副本；b）数据副本应同步复制，保障数据一致性；c）完全数据备份至少每天一次，并场外存放。 数据处理 a）备用数据处理系统的主机、虚拟化平台、操作系统、中间件、应用软件等资源与生产数据处理系统完全兼容；b）在异地和同城可用区均具备与生产数据处理系统相一致的备用数据处理能力，并处于运行状态，可实现无缝切换；c）应确保备用数据处理系统具备与生产数据处理系统相同的高可用特性。 网络能力 a）提供充足的网络带宽，保证备份数据传输带宽大于业务峰值所需的带宽需求；b）异地和同城可用区的虚拟网络、物理网络、出口网络带宽及链路配置与生产系统的网络能力相同，并处于运行状态；c）支持跨异地和同城可用区的负载均衡。 运维能力 a）云计算平台应能够对灾备能力进行集成管理，支持通过可定制的标准化流程完成流量自动或集中切换，支持跨同城和异地可用区的流量均衡配置；b）灾难事件发生后，备份数据中心的云计算资源管理和调度平台仍可完成对备份数据中心的资源管理和调度；c）对生产系统关键运行状态进行实时监控和告警；d）云计算平台需要为关键的用户运营数据，如审计日志等，提供数据备份。表4　第5级技术要求 要素 云计算相关要求 数据备份 a）数据应在同城和异地可用区至少各有一个数据副本；b）至少存在一个数据副本应同步复制，保障数据一致性；c）完全数据备份至少每天一次，并场外存放。 数据处理 a）备用处理系统的主机、虚拟化平台、操作系统、中间件、应用软件等资源与生产数据处理系统完全兼容；b）在异地和同城可用区均具备与生产数据处理系统相一致的数据处理能力，至少有一个处于运行状态，并可实现无缝切换；c）应确保备用数据处理系统具备与生产数据处理系统相同的高可用特性。 网络能力 a）提供充足的网络带宽，保证备份数据传输带宽满足业务峰值所需的带宽需求；b）异地和同城可用区的虚拟网络、物理网络、出口网络带宽及链路配置与生产系统的网络能力相同，并至少有一个处于运行状态；c）支持跨异地或同城可用区的负载均衡。对于处于就绪状态的可用区，应支持跨可用区的自动或集中切换。 运维能力 a）云计算平台应能够对灾备能力进行集成管理，支持通过可定制的标准化流程完成流量自动或集中切换；b）灾难事件发生后，备份数据中心的云计算资源管理和调度平台仍可完成对备份数据中心的资源管理和调度；c）对生产系统关键运行状态进行实时监控和告警；云计算平台需要为关键的用户运营数据，如审计日志等，提供数据备份。表5　第4级技术要求 要素 云计算相关要求 数据备份 a）至少有一个数据副本处于异地可用区；b）完全数据备份至少每天一次，且场外存放。 数据处理 a）在异地可用区具备灾难恢复所需的全部备用数据处理能力，并处于就绪状态或运行状态，并且可自动或集中切换；b）应确保备用数据处理系统具备与生产数据处理系统相同的高可用特性。 网络能力 a）异地可用区的虚拟网络、物理网络、出口网络带宽及链路配置与生产系统的网络能力相同，并处于就绪状态；b）应支持跨可用区的自动或集中切换。 运维能力 a）云计算平台应能够对灾备能力进行集成管理，支持通过可定制的标准化流程完成流量集中切换；b）灾难事件发生后，备份数据中心的云计算资源管理和调度平台仍可完成对备份数据中心的资源管理和调度；c）对生产系统关键运行状态进行实时监控和告警；d）云计算平台需要为关键的用户运营数据，如审计日志等，提供数据备份。表6　第3级技术要求 要素 云计算相关要求 数据备份 a）关键数据至少有一个数据副本处于异地或同城可用区；b)　完全数据备份至少每天一次，且场外存放。 数据处理 a）在异地或同城可用区具备灾难恢复所需的部分备用数据处理能力；b)　应确保云计算资源调度能力满足在数小时内配备灾难恢复所需的全部备用数据处理能力。 网络能力 a）应确保异地或同城可用区的虚拟网络、物理网络、出口网络带宽及链路配置在数小时内达到与生产系统的网络能力相同，关键资源处于就绪状态；b)　应支持可用区的自动或集中切换。 运维能力 a）云计算平台应能够对灾备能力进行集成管理，具备流量集中切换能力；b)　灾难事件发生后，备份数据中心的云计算资源管理和调度平台仍可完成对备份数据中心的资源管理和调度；c)　云计算平台需要为关键的用户运营数据，如审计日志等，提供数据备份。预案与演练灾难恢复预案的制定灾难恢复预案应包括应急和系统灾难恢复两部分。其中，应急部分包括但不限于以下内容：灾难场景和范围定义；应急的管理机构和决策机制；应急响应的流程、工具和工作。灾难恢复部分包括但不限于以下内容：灾难恢复的范围和目标；灾难恢复的总体规程；各系统恢复的切换步骤、操作手册和业务功能恢复验证测试方法。灾难恢复演练和预案管理在云计算环境下，灾难恢复演练主要是为了验证灾难恢复预案的完整性和有效性，提高预案的执行能力，确保云服务各参与方在灾难发生时的快速恢复和有效协同。具体的灾难恢复演练和预案管理要求应遵循GB/T20988-2007，并满足以下要求：云服务提供者、云服务合作者应根据云服务使用者的要求，及时提供技术和管理支持，配合执行相关演练；云服务提供者应至少每年进行一次相关预案的更新和演练。组织管理在灾难发生后，云计算服务各参与方应密切配合、有序开展灾难恢复工作，并依据灾难实际影响，按照预先制定的灾难恢复预案开展灾难恢复工作：应确保灾难影响、应对措施、恢复进度等信息在各参与方及时、有效、准确的沟通和传递，重大或特别重大的事件应及时向相关主管部门和监管机构报告；灾难恢复完成后应及时总结经验教训，并及时告知受影响的用户；应定期进行灾难恢复的培训并保存培训记录。监控管理监控能力云计算环境的灾难恢复应具备的监控能力，包括但不限于：应实时监控生产中心和灾备中心的业务应用可用性和性能状态；应能够有效监控灾备切换过程；应能够监控灾备同步状态；应具备告警功能。监控职责云计算平台应对灾难恢复系统的日常生产维护工作进行监控，包括但不限于：应监控云计算平台资源的运行状态并主动进行优化；应执行云计算平台资源的日常操作、维护工作和升级工作；应解决云计算平台资源的基础架构的故障和问题。监督管理审计审计包括内部审计和外部审计，内部审计由云服务提供者或云服务使用者的内部人员或部门承担，外部审计由具有国家相应监管部门认定资质的中介机构组织实施。在金融领域云计算环境下，除了GB/T　20988-2007所要求的相关内容，还应重点加强对如下问题的审计：灾难恢复过程中云服务提供者、云服务使用者、云服务合作者之间协同是否顺畅，是否能满足不同灾难恢复需求；是否具备系统全流程和全环境的监控预警体系；是否在机制和技术架构上存在数据同步的缺陷；组织和流程上是否充分保证了云服务使用者的知情权和参与权；灾难恢复流程是否存在数据泄露的风险。审计要求如下：云服务提供者应根据灾难恢复工作的情况，确定灾难恢复审计的频率，且应至少一年进行一次内部审计；云服务提供者应至少每年提供一次更新的预案、演练记录和报告给相关金融机构进行备案或审计；云服务提供者应至少每年组织一次内部审计或委托第三方进行的审计，并将审计意见、改进计划和改进结果在审计报告完成后及时交付给云服务使用者；云服务使用者应至少每三年组织一次对服务提供者的审计，审计可以由云服务使用者组织也可以由云服务使用者委托给第三方独立审计机构；云服务提供者在审计报告出具后应及时对审计报告提出的改进意见给出书面答复，答复的内容至少应包括改进计划、改进措施和历次改进计划的执行情况。通知通报应通知各云服务参与方的情况，包括但不限于：需要共同协作的演练；发生重大事件或面临重大风险；需要相关方共同调整方法、流程和协作渠道。应报告监管机构的情况，包括但不限于：可能影响多个金融机构的重大风险；涉及多个金融机构的重大事故处置情况；灾难性事件的处置情况报告。