众所周知,金融行业作为国家的重要产业支柱,对IT业务的连续性有着非常高的要求,随着金融行业IT建设的迅速发展,企业为了更好地保障业务连续性,在容灾建设方面投入了巨大的成本。容灾系统作为信息系统的重要防线,对保护数据、提升可用性起着重要作用。如何科学有效地建设一套容灾系统,并设置合理RTO/RPO,是一个非常值得深入思考和实践的问题。
如何保障金融机构信息系统安全高效运行,需要根据机构自身生产环境的架构特点,并考虑应用系统现状来采取不同的灾备方案,以便达到合理的TCO。
从信息安全方面的监管要求来看,对银行、证券等金融机构提出过具体的建设要求。比如银监会对商业银行的RTO和RPO的量化指标中,重要业务恢复时间目标不得大于4小时,重要业务恢复目标不得大于半小时。同时,商业银行应当至少每3年开展一次全面的业务影响分析,识别重要业务,以及重要业务的相互依赖关系,评估分析重要业务在中断时可能造成的经济和非经济损失等。
除了监管方面的要求外,等保2.0四级要求中关于数据备份和灾难恢复也提出过明确要求。关键点如下:
应提供重要数据的本地数据备份与恢复功能;应提供异地实时备份功能;应提供重要数据处理系统的热冗余,保证系统的高可用性;应建立异地灾难备份中心,提供业务应用的实时切换。需要识别出重要的业务信息、系统数据、软件系统,根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略;应制定演练和灾难恢复计划等等。
总而言之,业务恢复的时间是灾备建设的关注要点。目前金融行业不同系统对于RTO和RPO的实际要求都不尽相同,但是对于业务连续性和