云計算技術(shù)金融應(yīng)用規(guī)范 容災(zāi)

1JR/T0168—2018云計算技術(shù)金融應(yīng)用規(guī)范容災(zāi)本標(biāo)準(zhǔn)規(guī)定了金融領(lǐng)域云計算平臺的容災(zāi)要求，包括云計算平臺容災(zāi)能力分級、災(zāi)難恢復(fù)預(yù)案與演練、組織管理、監(jiān)控管理、監(jiān)督管理等內(nèi)容。本標(biāo)準(zhǔn)適用于金融領(lǐng)域的云服務(wù)提供者、云服務(wù)使用者、云服務(wù)合作者等。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20988—2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T22240—2008信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南GB/T30146—2013公共安全業(yè)務(wù)連續(xù)性管理體系要求JR/T0044—2008銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范JR/T0166—2018云計算技術(shù)金融應(yīng)用規(guī)范技術(shù)架構(gòu)3術(shù)語和定義JR/T0166—2018界定的以及下列術(shù)語和定義適用于本文件。3.1災(zāi)難disaster由于人為或自然的原因，造成信息系統(tǒng)嚴(yán)重故障、癱瘓或其數(shù)據(jù)嚴(yán)重受損，使信息系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平達(dá)到不可接受的程度，并持續(xù)特定時間的突發(fā)性事件。[JR/T0044—2008，定義3.2]3.2容災(zāi)disasterrecovery災(zāi)難恢復(fù)為了將信息系統(tǒng)從災(zāi)難造成的不可運行狀態(tài)或不可接受狀態(tài)恢復(fù)到可正常運行狀態(tài)，并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受的狀態(tài)而設(shè)計的活動和流程。[JR/T0044—2008，定義3.3]3.3風(fēng)險分析riskanalysis確定影響信息系統(tǒng)正常運行的風(fēng)險，評估對單位業(yè)務(wù)運營至關(guān)重要的功能，定義降低潛在危險控制手段的流程。風(fēng)險分析經(jīng)常會涉及到對特殊事件發(fā)生可能性的評估。2JR/T0168—2018[JR/T0044—2008，定義3.6]3.4業(yè)務(wù)影響分析businessimpactanalysis分析業(yè)務(wù)功能及其相關(guān)信息系統(tǒng)資源，評估特定災(zāi)難對各業(yè)務(wù)功能的影響。[JR/T0044—2008，定義3.7]3.5業(yè)務(wù)連續(xù)性businesscontinuity在中斷事件發(fā)生后，組織在預(yù)先確定的可接受的水平上連續(xù)交付產(chǎn)品或提供服務(wù)的能力。[GB/T30146—2013，定義3.3]3.6恢復(fù)時間目標(biāo)recoverytimeobjective災(zāi)難發(fā)生后，信息系統(tǒng)從停頓到必須恢復(fù)的時間要求。[JR/T0044—2008，定義3.17]3.7恢復(fù)點目標(biāo)recoverypointobjective災(zāi)難發(fā)生后，數(shù)據(jù)必須恢復(fù)到的時間點要求。[JR/T0044—2008，定義3.18]3.8系統(tǒng)可用性systemavailability指在要求的外部資源得到保證的前提下，云服務(wù)在規(guī)定的條件下和規(guī)定的時刻或時間區(qū)間內(nèi)（不包括計劃內(nèi)服務(wù)中斷時間）處于可執(zhí)行規(guī)定功能狀態(tài)的能力，一般按允許計劃外年服務(wù)中斷時間、可用程度至少達(dá)到“n個9”來衡量。3.9可用區(qū)availabilityzone在云計算平臺中，綜合考慮電力、網(wǎng)絡(luò)、供水等基礎(chǔ)設(shè)施的容災(zāi)因素劃分出來的物理區(qū)域，區(qū)域內(nèi)包含空調(diào)、電力設(shè)施、主機、網(wǎng)絡(luò)、存儲等物理資源。3.10同城可用區(qū)availabilityzoneinthesameregion能夠抵御因供電供水中斷、水淹、火災(zāi)、網(wǎng)絡(luò)故障、硬件損毀、交通中斷等災(zāi)難同時影響的兩個可用區(qū)互為同城可用區(qū)。一般情況下兩同城可用區(qū)之間地理距離為數(shù)十公里。3.11異地可用區(qū)availabilityzoneinthedifferentregion能夠抵御因戰(zhàn)爭、洪水、海嘯、臺風(fēng)、地震等大范圍區(qū)域性災(zāi)害同時影響的兩個可用區(qū)互為異地可用區(qū)。一般情況下兩異地可用區(qū)之間地理距離為數(shù)百公里以上。3JR/T0168—20183.12演練exercise為提高災(zāi)難恢復(fù)能力，基于災(zāi)難恢復(fù)預(yù)案進行的演習(xí)，形式包括桌面演練、模擬演練、實戰(zhàn)演練等。4縮略語下列縮略語適用于本文件。RPO恢復(fù)點目標(biāo)（RecoveryPointObjective）RTO恢復(fù)時間目標(biāo)（RecoveryTimeObjective）5概述近年來，云計算技術(shù)在金融領(lǐng)域應(yīng)用逐漸深入，深刻影響和變革了金融機構(gòu)的技術(shù)架構(gòu)、服務(wù)模式和業(yè)務(wù)流程，但也給災(zāi)難恢復(fù)帶來了新的挑戰(zhàn)。由于多租戶、虛擬化、資源池等技術(shù)特性，云計算平臺在災(zāi)難恢復(fù)的影響評估、關(guān)鍵指標(biāo)、技術(shù)要求、組織管理等方面與傳統(tǒng)架構(gòu)存在諸多差異，應(yīng)重點關(guān)注并妥善應(yīng)對。云計算平臺本質(zhì)上仍是一種信息系統(tǒng)，應(yīng)滿足國家和金融行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)相關(guān)要求，本標(biāo)準(zhǔn)重點提出了體現(xiàn)云計算特性的差異化容災(zāi)要求。6云計算平臺容災(zāi)能力分級6.1風(fēng)險與業(yè)務(wù)影響分析金融機構(gòu)應(yīng)根據(jù)業(yè)務(wù)連續(xù)性目標(biāo)和業(yè)務(wù)發(fā)展規(guī)劃，對云計算平臺進行詳細(xì)的風(fēng)險分析。在風(fēng)險分析過程中，云服務(wù)提供者、云服務(wù)使用者和云服務(wù)合作者應(yīng)根據(jù)當(dāng)前的業(yè)務(wù)場景，重點界定風(fēng)險分析的目標(biāo)和范圍，使用恰當(dāng)?shù)姆治龇椒?，對所面臨的威脅和當(dāng)前體系的脆弱性進行深入剖析，評估各類風(fēng)險發(fā)生的概率和可能導(dǎo)致的損失。在金融領(lǐng)域云計算環(huán)境下，風(fēng)險分析應(yīng)重點關(guān)注使用云計算技術(shù)可能引發(fā)的新風(fēng)險、威脅、脆弱性和損害，包括但不限于以下方面：——云計算環(huán)境下多租戶的資源競爭可能導(dǎo)致的系統(tǒng)服務(wù)能力下降或不可用?！朴嬎悱h(huán)境下隔離措施不當(dāng)可能導(dǎo)致的信息泄露?！朴嬎悱h(huán)境下單點設(shè)備或性能瓶頸可能導(dǎo)致的系統(tǒng)中斷。——云計算環(huán)境下自服務(wù)管控不足可能導(dǎo)致的資源和信息濫用。——云計算環(huán)境下系統(tǒng)故障、升級等可能導(dǎo)致的問題群發(fā)。經(jīng)過嚴(yán)謹(jǐn)?shù)娘L(fēng)險分析之后，需要對風(fēng)險可能造成的業(yè)務(wù)影響進行研判。在對業(yè)務(wù)影響進行分析時，首先需要根據(jù)監(jiān)管要求、業(yè)務(wù)性質(zhì)、業(yè)務(wù)服務(wù)范圍、數(shù)據(jù)集中程度、業(yè)務(wù)時間敏感性、功能關(guān)聯(lián)性等要素進行業(yè)務(wù)功能分析，并在此基礎(chǔ)上評估業(yè)務(wù)中斷可能造成的影響，確定災(zāi)難恢復(fù)目標(biāo)及恢復(fù)優(yōu)先級。在金融領(lǐng)域云計算環(huán)境下，業(yè)務(wù)影響分析應(yīng)關(guān)注的內(nèi)容包括但不限于以下方面：——對于可能造成多個金融應(yīng)用同時遭受災(zāi)難的，要綜合評估云計算平臺的影響?！捎趹?yīng)用和數(shù)據(jù)部署的實際物理設(shè)備的不確定性，導(dǎo)致的同一故障影響的不確定性。6.2容災(zāi)能力級別劃分根據(jù)GB/T20988—2007、JR/T0044—2008、GB/T22240—2008的相關(guān)要求，按照所承載的業(yè)務(wù)系統(tǒng)發(fā)生故障或癱瘓的影響范圍、危害程度等對云計算平臺容災(zāi)能力要求進行劃分。4JR/T0168—2018結(jié)合金融領(lǐng)域特性，將云計算平臺發(fā)生故障或癱瘓的影響范圍分為4個層級：——內(nèi)部輔助管理：未對金融機構(gòu)經(jīng)濟效益、社會聲譽產(chǎn)生直接影響的內(nèi)部管理事項。——內(nèi)部運營管理：對金融機構(gòu)經(jīng)濟效益、社會聲譽產(chǎn)生直接影響的內(nèi)部管理事項?！?、法人和其他組織的金融權(quán)益，包括：.公民、法人和其他組織的財產(chǎn)安全權(quán)、知情權(quán)、公平交易權(quán)、依法求償權(quán)、信息安全權(quán)；.其他影響公民、法人和其他組織的金融權(quán)益的事項。——國家金融穩(wěn)定、金融秩序，包括：.多數(shù)關(guān)鍵金融機構(gòu)、金融市場及其基礎(chǔ)設(shè)施的穩(wěn)定運行；將云計算平臺發(fā)生故障或癱瘓的危害程度劃分為3類：——較小影響，指的是工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失等?！话阌绊?，指的是工作職能受到一般影響，業(yè)務(wù)能力顯著下降且影響主要功能執(zhí)行，引發(fā)一般的法律問題，較高的財產(chǎn)損失等?！獓?yán)重影響，指的是工作職能受到嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降或功能無法執(zhí)行，出現(xiàn)嚴(yán)重的法律問題等。根據(jù)應(yīng)用于金融領(lǐng)域的云計算平臺發(fā)生故障或癱瘓的影響范圍、危害程度，將其容災(zāi)能力等級劃分為6級，具體如表1所示?？紤]應(yīng)用于金融領(lǐng)域云計算平臺的重要性和發(fā)生故障或癱瘓的影響程度，應(yīng)用于金融領(lǐng)域云計算平臺至少應(yīng)達(dá)到容災(zāi)能力3級要求。表1應(yīng)用于金融領(lǐng)域的云計算平臺容災(zāi)能力等級要求劃分6.3關(guān)鍵指標(biāo)應(yīng)用于金融領(lǐng)域的云計算平臺應(yīng)至少達(dá)到容災(zāi)能力3級要求，對應(yīng)的RTO、RPO、可用性等關(guān)鍵指標(biāo)要求如表2所示。表2應(yīng)用于金融領(lǐng)域的云計算平臺容災(zāi)能力等級關(guān)鍵指標(biāo)要求5JR/T0168—201806.4技術(shù)要求本標(biāo)準(zhǔn)按照GB/T20988—2007有關(guān)內(nèi)容，從數(shù)據(jù)備份、數(shù)據(jù)處理、網(wǎng)絡(luò)能力和運維能力4個要素給出云計算平臺容災(zāi)能力等級相關(guān)技術(shù)要求。金融領(lǐng)域云計算平臺至少應(yīng)達(dá)到容災(zāi)能力3級要求，相應(yīng)等級的具體技術(shù)要求詳見表3至表6。表3第6級技術(shù)要求b）數(shù)據(jù)副本實時備份且至少一個數(shù)據(jù)副本應(yīng)同步復(fù)制，保a）備用數(shù)據(jù)處理系統(tǒng)的主機、虛擬化平臺、操作b）在異地和同城可用區(qū)均具備與生產(chǎn)數(shù)據(jù)處理系統(tǒng)相一致c）應(yīng)確保備用數(shù)據(jù)處理系統(tǒng)具備與生產(chǎn)數(shù)a）提供充足的網(wǎng)絡(luò)帶寬，保證備份數(shù)據(jù)傳輸帶寬b）異地和同城可用區(qū)的虛擬網(wǎng)絡(luò)、物理網(wǎng)絡(luò)、出口網(wǎng)絡(luò)帶a）云計算平臺應(yīng)能夠?qū)?zāi)備能力進行集成管理，b）災(zāi)難事件發(fā)生后，備份數(shù)據(jù)中心的云計算資源管理和調(diào)d）云計算平臺需要為關(guān)鍵的用戶運營數(shù)據(jù)表4第5級技術(shù)要求b）至少存在一個數(shù)據(jù)副本應(yīng)同步復(fù)制，保6JR/T0168—2018a）備用數(shù)據(jù)處理系統(tǒng)的主機、虛擬化平臺、操作系統(tǒng)b）在異地和同城可用區(qū)均具備與生產(chǎn)數(shù)據(jù)處理系統(tǒng)相一致的數(shù)c）應(yīng)確保備用數(shù)據(jù)處理系統(tǒng)具備與生產(chǎn)數(shù)據(jù)處a）提供充足的網(wǎng)絡(luò)帶寬，保證備份數(shù)據(jù)傳輸帶寬滿足b）異地和同城可用區(qū)的虛擬網(wǎng)絡(luò)、物理網(wǎng)絡(luò)、出口網(wǎng)絡(luò)帶寬及配置與生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)能力相同，并至少有c）支持跨異地或同城可用區(qū)的負(fù)載均衡。對于a）云計算平臺應(yīng)能夠?qū)?zāi)備能力進行集成管理，支持b）災(zāi)難事件發(fā)生后，備份數(shù)據(jù)中心的云計算資源管理和調(diào)度平d）云計算平臺需要為關(guān)鍵的用戶運營數(shù)據(jù)，如表5第4級技術(shù)要求b）完全數(shù)據(jù)備份至少每天一次且處于異地a）在異地可用區(qū)具備災(zāi)難恢復(fù)所需的全部備用數(shù)據(jù)處b）應(yīng)確保備用數(shù)據(jù)處理系統(tǒng)具備與生產(chǎn)數(shù)據(jù)處理系統(tǒng)相同的高a）異地可用區(qū)的虛擬網(wǎng)絡(luò)、物理網(wǎng)絡(luò)、出口網(wǎng)絡(luò)帶寬a）云計算平臺應(yīng)能夠?qū)?zāi)備能力進行集成管理，支持b）災(zāi)難事件發(fā)生后，備份數(shù)據(jù)中心的云計算資源管理和調(diào)度平d）云計算平臺需要為關(guān)鍵的用戶運營數(shù)據(jù)，如7JR/T0168—2018表6第3級技術(shù)要求b）應(yīng)確保云計算資源調(diào)度能力滿足在數(shù)小時內(nèi)配備災(zāi)難恢a）應(yīng)確保異地或同城可用區(qū)的虛擬網(wǎng)絡(luò)、物理網(wǎng)a）云計算平臺應(yīng)能夠?qū)?zāi)備能力進行集成管理，b）災(zāi)難事件發(fā)生后，備份數(shù)據(jù)中心的云計算資源管理和調(diào)c）云計算平臺需要為關(guān)鍵的用戶運營數(shù)據(jù)7預(yù)案與演練7.1災(zāi)難恢復(fù)預(yù)案的制定災(zāi)難恢復(fù)預(yù)案應(yīng)包括應(yīng)急和系統(tǒng)災(zāi)難恢復(fù)兩部分?！獞?yīng)急部分包括但不限于以下內(nèi)容：——系統(tǒng)災(zāi)難恢復(fù)部分包括但不限于以下內(nèi)容：.各系統(tǒng)恢復(fù)的切換步驟、操作手冊和業(yè)務(wù)功能恢復(fù)驗證測試方法。7.2災(zāi)難恢復(fù)演練和預(yù)案管理在云計算環(huán)境下，災(zāi)難恢復(fù)演練主要是為了驗證災(zāi)難恢復(fù)預(yù)案的完整性和有效性，提高預(yù)案的執(zhí)行能力，確保云服務(wù)各參與方在災(zāi)難發(fā)生時的有效協(xié)同，以及業(yè)務(wù)系統(tǒng)的快速恢復(fù)。具體的災(zāi)難恢復(fù)演練和預(yù)案管理要求應(yīng)遵循GB/T20988—2007，并滿足以下要求：——云服務(wù)提供者、云服務(wù)合作者應(yīng)根據(jù)云服務(wù)使用者的要求，及時提供技術(shù)和管理支持，配合執(zhí)行相關(guān)演練?！品?wù)提供者應(yīng)至少每年進行一次相關(guān)預(yù)案的更新和演練。8組織管理8JR/T0168—2018在災(zāi)難發(fā)生后，云服務(wù)各參與方應(yīng)依據(jù)災(zāi)難實際影響，按照預(yù)先制定的災(zāi)難恢復(fù)預(yù)案密切配合、有序開展災(zāi)難恢復(fù)工作，包括但不限于：——應(yīng)確保災(zāi)難影響、應(yīng)對措施、恢復(fù)進度等信息在各參與方之間及時、有效、準(zhǔn)確的溝通和傳遞，重大或特別重大的事件應(yīng)及時向相關(guān)主管部門和監(jiān)管機構(gòu)報告?！獮?zāi)難恢復(fù)完成后應(yīng)及時總結(jié)經(jīng)驗教訓(xùn)，并及時告知受影響的用戶?！獞?yīng)定期進行災(zāi)難恢復(fù)的培訓(xùn)并保存培訓(xùn)記錄。9監(jiān)控管理9.1監(jiān)控能力云計算環(huán)境的災(zāi)難恢復(fù)應(yīng)具備的監(jiān)控能力，包括但不限于：——應(yīng)實時監(jiān)控生產(chǎn)中心和災(zāi)備中心的業(yè)務(wù)應(yīng)用可用性和性能狀態(tài)?！獞?yīng)能夠有效監(jiān)控災(zāi)備切換過程。——應(yīng)能夠監(jiān)控災(zāi)備同步狀態(tài)。——應(yīng)具備告警功能。9.2監(jiān)控職責(zé)云計算平臺應(yīng)對災(zāi)難恢復(fù)系統(tǒng)的日常生產(chǎn)維護工作進行監(jiān)控，包括但不限于：——應(yīng)監(jiān)控云計算平臺資源的運行狀態(tài)并主動進行優(yōu)化?！獞?yīng)執(zhí)行云計算平臺資源的日常操作、維護工作和升級工作?！獞?yīng)解決云計算平臺資源的基礎(chǔ)架構(gòu)的故障和問題。10監(jiān)督管理10.1審計審計包括內(nèi)部審計和外部審計，內(nèi)部審計由云服務(wù)提供者或云服務(wù)使用者的內(nèi)部人員或部門承擔(dān)，外部審計由具有國家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)的中介機構(gòu)組織實施。在金融領(lǐng)域云計算環(huán)境下，除了GB/T20988—2007所要求的相關(guān)內(nèi)容，還應(yīng)重點加強對如下問題的審計：——災(zāi)難恢復(fù)過程中云服務(wù)提供者、云服務(wù)使用者、云服務(wù)合作者之間協(xié)同是否順暢，是否能滿足不同災(zāi)難恢復(fù)需求?！欠窬邆湎到y(tǒng)全流程和全環(huán)境的監(jiān)控預(yù)警體系。——是否在機制和技術(shù)架構(gòu)上存在數(shù)據(jù)同步的缺陷?！M織和流程上是否充分保證了云服務(wù)使用者的知情權(quán)和參與權(quán)?！獮?zāi)難恢復(fù)流程是否存在數(shù)據(jù)泄露的風(fēng)險。審計要求如下：——云服務(wù)提供者應(yīng)根據(jù)災(zāi)難恢復(fù)工作的情況，確定災(zāi)難恢復(fù)審計的頻率，且應(yīng)至少一年進行一次內(nèi)部審計?！品?wù)提供者應(yīng)至少每年提供一次更新的預(yù)案、演練記錄和報告給相關(guān)金融機構(gòu)進行備案或?qū)徲嫛！品?wù)提供者應(yīng)至少每年組織一次內(nèi)部審計或委托第三方進行的審計，并將審計意見、改進計劃和改進結(jié)果在審計報告完成后及時交付給云服務(wù)使用者。——云服務(wù)使