顺水外汇EA交易网MT4
标题:
证券行业信息系统备份能力现状浅析 - 金融行业 - ITPUB论坛-专业的IT技术社区
[打印本页]
作者:
wangjia
时间:
2022-9-11 07:48
标题:
证券行业信息系统备份能力现状浅析 - 金融行业 - ITPUB论坛-专业的IT技术社区
灾难备份技术是一个相对不太受关注的课题,笔者近年来一直研究这个领域,希望能与大家共同探讨。
1. 引言
近年来,雪灾、地震、洪涝等自然灾害,对证券行业信息系统灾难备份建设思想产生了巨大影响,给灾难备份建设提出了新的要求,证券行业经营机构的业务是基于大型、集中的信息系统平台运作,信息系统灾难的发生将带来致命性的伤害和社会影响;鉴于此特点,加强信息系统备份能力建设,将成为证券经营机构业务持续、稳定、健康发展的长远目标之一。为规范证券行业信息系统备份能力工作,增强应对技术故障、灾难灾害的能力,确保重要数据安全和重要信息系统连续稳定运行,维护资本市场稳定,证券期货行业信息化工作领导小组,在全行业开展信息系统备份能力建设工作[3],将备份能力建设提升到公司管理层面。为了更好的配合信息系统备份能力在全行业的开展,将备份能力建设落到实处,本文以《证券期货经营机构信息系统备份能力标准》(以下简称《标准》)为依据,从证券行业信息系统备份能力建设现状出发,结合备份能力建设实践,探讨备份能力建设的重要性和落实过程中可能存在的问题,提出备份能力建设的建议。
2.1 行业备份能力现状
证券行业特点是对于信息技术高度依赖,影响信息系统安全稳定运行的因素非常复杂,并难以控制,信息系统一旦出现故障中断,影响交易进行,带来的损失和影响是很难承受的。《标准》对一级~六级信息系统从数据备份能力、故障应对能力、灾难应对能力、重大灾难应对能力四个层次制定备份能力设计标准。从证券行业备份能力当前建设情况来看,目前已经具备的备份能力(措施)体现在:
(1) 建立了一套信息系统故障应急处理流程
近年来,国内外局势风云变幻,为确保资本市场信息系统安全稳定运行,维护市场稳定和健康发展,维护国家金融安全和社会稳定,保护投资者合法权益,证券经营机构自身信息化建设发展要求,以及行业主管部门的推进,证券公司普遍建立信息系统故障和灾难应急处理流程,从故障报备、故障应对策略、处理流程和管理制度上进行规范化和制度化,强化考核机制,落实应急处理联络人,保证故障及时的上传下达,以应对各种复杂局面。
(2) 网络、通讯、电力等基础设施备份手段充分
证券公司与银行、证券交易所、中国登记结算公司、通信公司,以及总部与营业部等机构之间的网络互联互通,一般都做到多路互备;电力设施采用多路供电和UPS(不间断电源)冗余备份,并配备或租赁发电机;重要通讯线路,如行情收发系统、网上交易系统、银证、银期数据交换系统等有冗余备份;空调等有备用设备,定期检查可用性。
(3) 灾备机房和灾备系统建设得到较快发展
证券业面临业务转型,服务升级,提高客户满意度,业务连续性建设得到行业监管部门和证券公司高管的高度重视,近年来行业逐步加强灾备系统建设,灾备机房和灾备系统得到较快发展;根据证券行业灾备建设情况统计数据,全部证券公司的交易结算系统均具有热备或冷备系统,59%的公司建立了同城备份系统,51%的公司建立了异地备份系统,为业务连续性运行提供基础保障。
(4) 有较完整的数据备份、存放和管理策略
数据是交易业务的根本,是系统运行的基础,也是证券业赖以生存的重要信息资产,数据安全是信息系统的生命,做好数据备份、管理和保护,是证券公司信息技术部门应该重点关注的问题。据行业统计数据,所有证券公司均对重要业务数据等每天进行了备份,81%的公司存放在同城,85%的公司存放在异地保管,定期对数据进行恢复验证,基本保证了数据的安全。
2.2 建设中存在的差距根据多家证券公司备份能力落实的情况分析可知,证券行业的信息系统一般在二级和四级系统之间,核心系统要满足五级,甚至六级要求,其中二级到五级系统,基本可以满足《标准》的备份能力要求,部分不满足项也可以通过整改措施得到落实,定位为六级系统,则存在不符合项,主要体现在异地灾备中心建设不满足要求;这和公司的对信息化建设的投入有关,也和实际存在的困难相关。根据行业灾备建设情况统计数据,证券行业信息系统备份能力现状与《标准》要求还存在一些差距,具体表现在: (一)、对数据备份能力内涵认识、应对能力和执行质量存在差距重要信息系统是证券期货业信息系统安全等级保护工作中定为二级以上信息系统[9],必须至少满足第一级数据备份能力要求。实际调查显示,所有证券公司均及时对重要业务数据做了备份,81%的公司存放在同城,85%的公司存放在异地,但尚未全部满足本地、同城和异地存放目标。其次数据备份的完备性不足,备份的数据范围不同,如部分公司核心系统日志并未作备份;第三数据的有效性和完整性校验缺乏有效手段,手段单一,无法全面校验数据恢复后的系统可用性,数据质量无法保证,与《标准》规定的数据备份能力存在差距。数据备份是一个长期的工程,随着时间推移,海量数据的存储、管理、校验,将是一项复杂的系统工程,手工作业方式带来的是繁重复杂的简单劳动,容易发生人为失误,影响数据质量;同时自动化程度不高、标准化管理手段匮乏是当前存在的普遍现象,迫切需要建立一套行之有效的数据备份管理体系来保证数据备份质量和数据生命周期管理。(二)、异地灾备中心建设和管理能力不足,应对重大灾难能力存在差距首先,实际调查显示,只有少量证券公司建设相对完善的异地灾备中心,多数证券公司仍以建设同城灾备中心为主,发生地震等重大灾害时,业务系统将面临瘫痪状态,没有满足应对重大灾难能力要求;其次,异地灾备中心运行管理能力有待提高,相当部分机构缺乏配套的业务和技术人力资源保障,也存在管理制度和流程还不够细致完整,应急方案的可操作性不强等问题;再次,备而不用是普遍现象,灾备中心当前多用来做定期的应急演练,极少在生产中实际运行,在需要启用灾备中心时能否达到期望的效果值得怀疑。总的来说,多数证券公司的重大灾难应对能力与行业公布的标准存在差距。(三)信息系统备份能力建设存在短板,有待进一步改进近几年的行业安全事故通报发现,存在一些故障原因不明,导致未能及时响应备份切换,业务连续性中断,如某公司发生硬件故障时,各项指标均正常,原因不明;二是主备都采用同样的应用系统(或数据库),由于应用系统程序代码缺陷导致技术故障;三人力资源备份尚存在短板。 (四) 以结果为导向的管理模式导致备份能力建设意识上存在差距证券行业习惯以信息系统对业务支撑的实际价值来作为导向,而备份能力是作为应对故障和灾难而做的预防性措施,灾备系统启用的概率从个体公司来看,非常小,投入和产出从表面上来看,很难体现出应有的价值,导致对灾备系统建设及管理意识上存在薄弱点。
4备份能力建设的建议
证券行业信息化建设的特点是发展时间短,起点高,对外部环境高度依赖,业务连续性要求高,核心系统要求不允许出现故障停机现象;信息系统的高可用性、业务的连续性是关注重点,因此,备份能力必然将成为证券行业下一步IT建设的重点内容。《标准》的颁布,是证券行业信息系统备份能力建设的一个重大利好,起到引导和规范的作用,也对证券公司信息化建设提出了更高的要求。本文结合行业备份能力的建设实践,在充分调研的基础上,提出以下建议:
1. 加强信息系统备份能力整体规划,完善备份体系
建立健全证券公司信息系统备份能力体系,把信息系统备份能力建设作为IT治理一部分,同时公司信息系统规划中必须纳入备份能力建设方案,适当的时候设立专门岗位,明确岗位职责,负责公司信息备份能力整体规划,确立信息系统备份能力等级,改进并提升生产信息系统备份能力;从设计规划、建设和运行维护等方面对灾备中心和灾备系统建设进行深入研究,科学选址灾备机房,加强人力资源备份,提升运行管理能力;进一步完善信息系统故障应急处理流程和恢复预案,细化和固化操作流程。
2. 自建自管同城灾备,外包托管异地灾备
灾备中心建设专业性高,技术性强,需要极强的技术支持能力和运行管理能力,同城灾备选址位于同一城市,便于人力资源和社会化资源协调,便于运行管理和技术支持,可以自建自管。但建设高度对等、可用的异地灾备中心,需要建立相应的组织机构,配备一支技术支持队伍或一定数量的专业人才和管理人才,且社会化资源很难掌控,从经济、管理和风险等因素考虑,多数中型证券公司可利用证券行业公共基础设施和社会化服务外包托管机构,走专业化、集约化的建设道路。
3. 集中行业技术力量,深入探讨备份能力短板
集中行业技术力量,共同探讨分析信息系统备份能力建设中存在的短板,必要时可以联合硬件供应商和软件服务提供商,搭建共同测试平台,以解决行业备份能力建设面临的短板。例如:某证券公司发生系统故障,但所有监控指标正常,故障原因不明,未能及时响应备份切换,造成交易事故;同源应用系统、操作系统、数据库等发生系统级、大面积故障时,备份能力建设问题。
4. 充分利用灾备中心资源,开发多种用途
灾备中心应用于恢复,是小概率事件,平时多处于闲置状态,根据“有效利用”,“平
战结合”的原则,充分利用灾备中心综合资源,可考虑适当部署异构系统,搭建多种平台,如:软件测试平台,应用系统培训平台,软件开发平台和业务交流平台等[8]。
5小结
证券业是信息技术应用最广、最复杂、要求最高的行业之一,故障灾害导致的信息系统中断运行,带来的经济损失和社会影响非常之大;近年来,随着国家和行业主管部门颁布了一系列法规制度和行业标准,把备份能力建设提升到公司管理层面,进一步加强和引导信息系统备份能力建设,也对证券行业各公司信息化建设提出了更高的要求。
备份能力建设是业务连续性的基础,是前提和保障,没有前者,业务连续性就是空中楼阁;备份能力不仅是技术上的准备和设备上的投入,更重要的是体制上的准备,是人员和运行管理能力的投入;信息系统备份能力是技术和管理相结合的复杂动态过程,不可能一蹴而就,没有一套行之有效的、操作性强的制度和流程保证,很难起到备份能力建设应有的效果,从前文的分析来看,信息系统备份能力建设的有效落地,还面临一些亟待解决的难题,任重而道远,需要集中行业力量共同探讨,深入研究,制定规范和有效的措施方法来加强备份能力建设。
参考文献 [1] 张野,戴文华,罗凯等.《证券期货经营机构信息系统备份能力标准》.中华人民共和国金融行业标准(JR/T 0059—2010). [2] 郭晓晖等.证券行业信息安全等级保护实践分析.浙江证券业,2010(78):36,39[3] 《证券期货业信息系统安全检查贯彻落实指引》.中华人民共和国证券监督管理委员会 2008年7月.[4] 汪琪,熊四皓,张利等《信息安全技术.信息系统灾难恢复规范》(GB20988-2007-T)[5] 范红,吴亚非,李京春等《信息安全技术_信息安全风险评估规范》(GBT_20984-2007)陈莹,王宝艾 《信息技术 词汇 第8部分:安全》(GB/T 5271.8-2001)[6] 范红,吴亚非,李京春等《信息安全技术.信息安全风险评估规范》(GBT_20984-2007)[7] 汪祖蕾.当前中国证券行业信息化建设存在的问题.安徽大学学报(2005年5第29卷第三期).[8] 温永清.破解灾备建设难题——多方共建灾难恢复中心的探讨.金融电子化. 2009-9-7[9] 《关于证券公司实施 证券期货经营机构信息系统备份能力标准 的指导意见》. 中华人民共和国证券监督管理委员会.2011年10月
证券公司重要信息系统备份能力最低要求表 重要信息系统名称2011年目标2012年目标2013年目标2015年目标集中交易系统(含银证转账)数据备份能力第三级第四级第五级融资融券系统数据备份能力第三级第四级第五级网上交易系统数据备份能力第三级第四级第五级电话委托系统数据备份能力第三级第四级第四级手机交易系统数据备份能力第三级第四级第四级法人清算系统数据备份能力第二级第三级第三级门户网站系统数据备份能力第二级第二级第三级
证券期货经营机构信息系统备份能力表 等级数据备份能力故障应对能力灾难应对能力重大灾难应对能力第一级1.至少每天备份数据一次;2.备份介质应当在本地机房、同城及异地安全可靠存放;3.每季度至少对数据备份进行一次有效性验证。———第二级1.至少每天备份数据一次;2.备份介质应当在本地机房、同城及异地安全可靠存放;3.每季度至少对数据备份进行一次有效性验证。1.信息系统恢复时间目标RTO小于1小时;2.信息系统恢复点目标RPO 小于5分钟;3.备份系统具有满足业务需求的处理能力。——第三级1.至少每天备份数据一次;2.备份介质应当在本地机房、同城及异地安全可靠存放;3.每季度至少对数据备份进行一次有效性验证。1.信息系统恢复时间目标RTO小于30分钟;2.信息系统恢复点目标RPO小于1分钟;3.备份系统具有满足业务需求的处理能力。——第四级1.至少每天备份数据一次;2.备份介质应当在本地机房、同城及异地安全可靠存放;3.每季度至少对数据备份进行一次有效性验证。1.信息系统恢复时间目标RTO小于5分钟;2.信息系统恢复点目标RPO小于30秒;3.备份系统具有满足业务需求的处理能力。——第五级1.至少每天备份数据一次;2.备份介质应当在本地机房、同城及异地安全可靠存放;3.每季度至少对数据备份进行一次有效性验证。1.实时信息系统恢复时间目标RTO小于5分钟;非实时信息系统恢复时间目标RTO小于1小时;2.信息系统恢复点目标RPO小于30秒;3.备份系统具有满足业务需求的处理能力。1.信息系统恢复时间目标RTO小于12小时;2.信息系统恢复点目标RPO小于5分钟;3.备份系统具有满足业务需求的处理能力。—第六级1.至少每天备份数据一次;2.备份介质应当在本地机房、同城及异地安全可靠存放;3.每季度至少对数据备份进行一次有效性验证。1.实时信息系统恢复时间目标RTO小于5分钟;非实时信息系统恢复时间目标RTO小于1小时;2.信息系统恢复点目标RPO小于30秒;3.备份系统具有满足业务需求的处理能力。1.信息系统恢复时间目标RTO小于12小时;2.信息系统恢复点目标RPO小于5分钟;3.备份系统具有满足业务需求的处理能力。1.信息系统恢复时间目标RTO小于7天;2.信息系统恢复点目标RPO小于12小时;3.备份系统具有满足业务需求的处理能力。
欢迎光临 顺水外汇EA交易网MT4 (http://waterforex.com/)
Powered by Discuz! X3.2