7月29日，中國人民銀行發布金融行業標準《金融數據中心容災建設指引》（JR/T 0264—2024）（以下簡稱“《指引》”），當日實施。

該標準提供了金融數據中心容災建設中組織保障、需求分析、體系規劃、建設要求、運維管理5個方面的指引。

其中，在組織保障方面，金融機構應根據自身的發展戰略、業務特點及信息系統運行平臺特點，明確金融數據中心容災組織機構的職能定位。組織機構可劃分為決策層、管理層及執行層。

需求分析：分析生產系統風險、基礎設施風險、業務影響等，確定容災建設需求

金融機構應根據長期可持續發展的戰略目標，對金融數據中心多方面進行綜合分析，確定容災建設需求。需求分析包括但不限于以下內容：

一是生產系統風險分析。識別生產系統的資產價值、潛在的威脅和脆弱性并進行等級評估，確立生產系統風險級別。根據不同的風險級別制定可行的風險管控措施，并分析實施風險管控措施后的殘余風險，提出災難備份系統建設的必要性。

二是基礎設施風險分析。識別生產中心基礎設施資產的威脅和脆弱性，按照脆弱性被威脅利用時對生產中心所造成的影響范圍和影響程度劃分風險級別，并針對不同級別的風險制定相應的風險管控措施，以及分析實施風險管控措施后的殘余風險?；A設施風險分析的范圍應至少涵蓋生產中心可能面臨的供電中斷、地質災害、氣象災害、交通和通信中斷以及生產中心基礎設施本身的缺陷和弱點。

三是業務影響分析。分析各業務系統中斷后所造成的直接和間接影響，確立業務系統的災難恢復指標。通過對各項業務功能之間的關聯關系分析、業務系統和信息系統關聯關系分析，確定支持各業務功能相應的信息系統資源及其他資源需求。

《指引》對此提出了相關方法：

在資產識別上，應對具有價值的信息或資源進行識別。資產是金融機構風險分析所要保護的對象，可分為有形資產和無形資產，主要包括基礎設施、硬件、軟件、數據、文檔、服務、聲譽等。金融機構應根據資產的重要程度對資產進行分類，確定重要資產的范圍，并且應根據資產對業務正常運行的影響程度對資產進行標識，確定資產的等級。

在威脅識別上，應對資產構成潛在破壞的可能性因素進行識別。對威脅的分類方法主要包括：環境因素和人為因素、在控制能力之內和在控制能力之外、可先期預警和不可先期預警。

在脆弱性識別上，對可能被威脅利用的資產的弱點進行識別，脆弱性識別可依據國際或國家的安全標準，或者行業規范、應用流程的安全要求。對應用在不同環境中的相同弱點，其脆弱性嚴重程度是不同的。脆弱性識別所采用的方法主要有問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。脆弱性識別主要從技術和管理2個方面進行，技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題；管理脆弱性可分為技術管理脆弱性和組織管理脆弱性，技術管理脆弱性與具體技術活動相關，組織管理脆弱性與管理環境相關。

在風險計算上，應采用適當的方法與工具，確定威脅利用脆弱性導致災難發生的可能性，內容主要包括：根據威脅出現的頻率及脆弱性狀況，計算威脅利用脆弱性導致災難發生的可能性；根據資產重要程度及脆弱性，計算災難發生后的損失；根據計算出的災難發生的可能性以及災難的損失，計算風險值，并進行風險等級劃分。

體系規劃：依據成本風險平衡原則和業務需求，選擇容災體系

容災體系分為同城容災、異地容災和極端容災3個層次。金融機構可依據成本風險平衡原則選擇建設滿足業務需求的容災體系，為不同業務連續性需求提供差異化容災保障能力。容災體系的選擇策略主要包括：

一是滿足條件“在遭遇城市小規模災難時具備對外提供接續服務、恢復時間較短、數據丟失量接近零的能力；業務開展范圍主要集中在單個城市”，宜選擇同城容災體系。

二是滿足條件“在遭遇大規模區域性災難時具備對外提供接續服務的能力；業務開展范圍覆蓋全國或較大區域范圍”，宜選擇異地容災體系。

三是滿足條件“在遭遇城市小規模災難時具備對外提供接續服務、恢復時間較短、數據丟失量接近零的能力；在遭遇大規模區域性災難時具備對外提供接續服務的能力；業務開展范圍覆蓋全國或較大區域范圍”，宜同時選擇同城容災體系和異地容災體系。

四是服務的中斷或數據的丟失會對國家金融穩定、金融秩序產生嚴重影響，宜選擇極端容災體系。

五是同城容災體系中，滿足條件“分布式架構；業務恢復時間要求很高；有同時對外提供服務需求”，宜采用同城雙活模式，通過數據復制、負載均衡等技術同時對外提供服務，保證更可靠的持續服務能力和更低的數據丟失率。

六是異地容災體系或同時具有同城和異地的容災體系中，滿足條件“分布式架構；業務恢復時間要求較高；邏輯簡單且一致性要求不高或可分模塊獨立處理業務；有同時對外提供服務需求”，宜采用異地多活模式，通過數據復制、負載均衡等技術同時對外提供服務，滿足并發量高、業務邏輯簡單、一致性要求不高的應用系統的高性能和高可靠性的服務需求。

建設要求：選址布局、場地基礎環境、網絡建設均需滿足多項要求

容災中心建設要求包括選址布局、場地基礎環境、網絡建設3部分。

其中，選址布局應符合JR/T 0265的要求，同時滿足：

一是金融機構應根據成本風險平衡原則選擇布局模式。

二是同城容災中心與生產中心應在不同園區、動力應來自不同變電站，避免同一城市內的小范圍停電、建筑物火災、基礎設施設備故障、通信線路設備故障、軟硬件故障以及其他突發事件可能造成的局部交通封鎖或中斷等小范圍災難的同類風險，且直線距離宜大于10公里，同時還應符合JR/T 0071.2對應安全等級保護級別的相關安全要求。

三是異地容災中心與生產中心不在同一江河流域、地震帶、臺風等自然災害隱患區，避免大范圍停電、地震、洪水、海嘯、滑坡、泥石流、較大范圍的公共衛生事件等較大規模的區域性災難的同類風險，且直線距離宜大于300公里，同時還應符合JR/T 0071.2對應安全等級保護級別的相關安全要求。

四是在選擇或建設容災中心時，應對備選場址進行相關的場地風險評估，充分考慮場址周邊環境、地質地理條件、市政配套條件、電力供應條件以及通信服務商所能提供的服務能力等諸多因素，全面判斷是否符合容災中心的建設要求。

場地基礎環境的規劃、設計、建設和驗收，應符合JR/T 0265、GB/T 22239、JR/T 0071.2等相應的要求，同時滿足：

一是容災中心設計時宜與生產中心等級相同。

二是在容災中心場地基礎環境建設中，應組織成立建設管理團隊，并根據國家政策制度和行業標準的相關要求選擇具有項目對應工程能力證明和數據中心建設經驗的相關單位完成建設。

三是應組織專家或第三方機構對容災中心建設和驗收的過程及重要節點給予專業監督，確保容災中心的建設滿足設計和運行要求。

四是在建設的各個階段，應嚴格按照施工安全標準和項目管理標準組織實施，并且在實施過程中對質量、安全和進度進行持續的監控和審查，確保施工內容與設計目標的一致性。

五是容災中心的場地基礎環境建設應盡可能規避施工的風險，堅持成本風險平衡原則，最大限度地提高資源利用率，并綜合考慮技術可行性、技術先進性、可擴展性、可管理性、可持續性，以及環保、節能和社會效益等多個方面。

六是柴油發電機、變配電設施、冷源設施等機電設施不宜布置在地下室的最底層，當布置在地下室的最底層時，應采取措施，防范洪水、管道泄漏、消防排水等水患風險，并應符合防火、防震等相關要求。

七是應進行綜合分析和經濟比較，有條件時與當地電力部門或其他機構簽署含有優先供電的供電協議或災難情況下的應急供電協議。

網絡建設應符合JR/T 0265和JR/T 0071.2相應的要求，同時滿足：

一是容災中心網絡應根據容災中心需求和技術發展狀況進行規劃、設計和建設。

二是容災中心與生產中心間互聯網絡宜提供充足的備份數據傳輸帶寬，滿足業務連續性要求高的業務數據備份峰值所需的帶寬需求。

三是主備架構模式中，容災中心的出口網絡帶寬應至少滿足重要業務系統基本對外服務能力的帶寬需求，宜滿足重要業務系統全部對外服務能力的帶寬需求；同城雙活或異地多活模式中，容災中心的出口網絡帶寬宜與生產中心相同。

四是容災中心網絡建設應考慮金融數據中心之間互聯的時延需求。

五是容災中心網絡應處于就緒狀態，宜處于運行狀態。

六是容災中心網絡應至少支持自動或集中切換，宜支持實時無縫切換。

七是容災中心網絡宜支持生產中心和容災中心的負載均衡。

最后，《指引》提出了運維管理方面的多項原則、工作內容等，并在附錄部分展示了兩地三中心和多地多中心架構實例。

責任編輯：陳愛