中小银行如何可持续运营

2007-01-18 23:19:49 《当代金融家》   文/黄伟

　　【编者按】外资银行正在如火如荼通过参股方式进入中国市场。让中资银行很难想到的是，在股权谈判中，外资提出的重要条件之一就是要求中资银行有完善的灾备系统并进行了灾难恢复建设，以保障业务的连续性发展。

　　有资料显示，中国银行业在实现数据大集中之后，技术风险也随之集中了。但是，城市商业银行在系统灾难备份方面却几乎是空白。

　　现实情况危如垒卵

　　银行无论以何种方式建设灾备系统，最重要的是实现灾备系统的有效性，以保障业务的可持续运营。而要实现业务的可持续运营，并非仅仅建立一个IT系统那么简单。

　　近几年，人们意识中不太能够想象的小概率灾难性事件频频发生，从“9–11”事件、卡特里娜飓风、SARS到美国和加拿大的大面积停电等，都给人们和社会带来了深重的影响。受台风影响，今年夏天中国广东部分地区发生了水灾，一些沿海地区的银行无法正常营业，一些急等用钱的用户虽然持卡、持折，面对银行却无可奈何。如果水灾持续时间更长，银行是否也要同样持续停业而丧失了其重要的金融功能？对于企业来说，如何在灾难事件中既能防范风险又能保证业务连续运营，不仅是提升服务质量和客户满意度的方法，更是企业维系生存的保证。

　　2005年以来，中国银行业已经进入后数据大集中时代，为应对因大集中而带来的技术风险集中，以工行为代表的国有商业银行采取了自建灾备中心的措施。但出于成本考虑，中小银行的灾备建设还未出现良好的“中国模式”。

　　中国的中小银行，尤其是城市商业银行与农信社，营业网点大多只分布在同一个区域内。而且相对于大型银行来说，中小银行的IT投入较少。建设一个灾备中心，不仅是投入问题，更要考虑到灾备中心的选址等很多条件。可以说，灾备中心作为银行信息安全的最后一道防线，不能有任何纰漏。

　　从防范自然灾害角度来讲，一个标准的灾备中心应该建在经营所在地外的另一个城市，而且这两个城市不应该在一个区域范围内。比如，云南地区存在一个地震带，该地区的商行建立灾备中心选址时，最好远一些，比如到华中、华东地区。但是，对于很多同城运营的城市商业银行来说，在另一个遥远的不熟悉的城市进行选址、基建，包括招聘人员或者选派人员进行灾备中心的运行管理，即使不谈投资问题，仅从实际操作看，也存在非常大的难度。更何况，合格的IT人员本来就是稀缺资源，维持正常的生产运行都有可能捉襟见肘。

　　回到投资问题，这也是一个挑战。今年年初，在“第三届中国城市商业银行信息化发展战略高峰年会上”，福州市商业银行行长蒋杰宏提出，当前城市商行信息化建设过程中一个很大的困惑，就是如何获得一个可供城市商业银行实现业务连续性的信息化平台，如国每家银行都为此投入几千万元，将给社会造成极大的资源浪费。建立独立的灾备中心，不仅需要非常大的一次性投资，而且还要持续投入以维持其运行，如每年支付基础设施运营费用、维护人员运营等费用。

　　灾难备份常见模式分析

　　目前，国内中小银行灾难备份方面存在4种方法。

　　【方法1】仅做主机双机热备份

　　双机热备份就是使用互为备份的两台服务器共同执行同一服务，其中一台主机为工作机(PrimaryServer)，另一台主机为备份机(StandbyServer)。在系统正常情况下，工作机为应用系统提供服务，备份机监视工作机的运行情况(工作机同时也在检测备份机是否正常)，当工作机出现异常，不能支持应用系统运营时，备份机主动接管工作机的工作，继续支持关键应用服务，保证系统不间断的运行。

双机热备是一种实时备份，任何软件错误、病毒影响、误操作等等，都会同步地在多份数据中发生影响。因此，对于关键业务仅采用此方案的话，依然存在相当大的安全隐患，如数据损坏、丢失时根本无法进行恢复，一旦遇到灾难性事件可能产生无可挽回的影响。

　　【方法2】将备份数据存放在同城异地分支机构

　　这种数据备份方式最常见的模式是：定期备份+关键数据备份。

　　定期备份：是按一定时间间隔，将系统某一时刻的数据备份到磁带等介质上，及时传递到远离运行中心的安全地方保存起来。

　　关键数据备份：是将数据更新的日志或流水等关键数据及时备份下来，并传送到安全地方(通常是同城的主要分支机构)。关键数据备份的频率应比定期备份的频率更高。关键数据中包含了数据更新的全部操作，因此，使用定期备份介质和关键数据备份介质，完全可以将数据恢复到备份终结前最后的关键数据状态。

　　此种方案大多采取人工方式传送定期备份介质、数据通信传送关键数据的方式运行，主要优点是投资较少，可利用现有的磁带备份设备和数据库管理系统工具。

　　采用这种方式进行灾备，说明银行对于灾难恢复有基本的认知，但是防护手段比较单一。如果碰到地区性灾害，则同样有可能丢失对于银行来说生死攸关的数据。

　　【方法3】在分支机构内设机房，做同城异地实时备份

　　同城异地实时备份，是指进行数据更新操作同时，在运行系统和备份系统中进行备份，运行系统的数据更新操作既写入本地磁盘，又通过高速数据通信线路传到备份系统的磁盘，直至收到备份系统完成数据更新操作的确认。

　　此方案中后备运行系统处于热备份状态，因此灾难发生后恢复时间极短，主要是网络切换的时间。采用的技术一般有远程磁盘镜像同步方式、远程数据库复制同步方式和网络数据镜像同步方式等。

　　虽然此种方式看似安全且恢复时间短，十分适合城市商业银行，但也存在很多问题。首先，分支机构建立的机房不满足灾备中心的条件。不少银行对于灾难备份的重视程度不够，选择的分支机构可能属于办公设施，承重、楼层高度、消防、供电条件（双回路供电）不能满足灾备中心的要求。万国数据在一次调查中发现，有些银行的灾备中心与生产中心的距离根本不满足要求，甚至存在使用同一个变电站供电的情况（区域停电时灾备中心根本不能接替运行）。

　　此外，运行管理方面存在非常大的隐患。由于城市商业银行在IT方面的资源问题，灾备中心可能是无人值守或者是非专业人员值守，无法达到专业灾备中心的运营管理。

　　这种方式说明，银行对于灾难恢复的防护提升到了一定高度，数据的保护措施达到了一定标准，而且准备了业务连续运营的主机系统，在有限的灾难情况下，具备了提供业务持续运行的基本条件。

　　金融IT:外包是现实的

　　【方法4】将备份系统托管在同城IDC机房中，做同城异地实时备份

　　长沙市商业银行数据级灾难备份交给湖南电信。这种情况与第三种情况类似，区别之处在于使用了第三方的机房环境。IDC的基础设施条件有好有差，但最根本的一点也在于运营管理。IDC的制度、管理及设施都是适应于Internet主机设备托管的，因此与灾备中心的运营管理存在极大差别。如果没有相应的措施，其中存在的隐患会更大。

　　上述灾难备份只是涉及了设施、设备层面，而从业务连续性管理角度来看，万国数据调查发现，目前很少有城市商业银行、农信社做了业务持续性规划（BCP），而且也没有任何演练。从万国数据为一些大银行服务的经验来看，即使在IT层面可以进行技术切换，从业务角度来讲，如果没有考虑业务持续性，也不可能将业务切换到灾备中心进行运营，更不可能在出现灾难性事件时做到有秩序、有条理地处理了。

　　外包是现实理性选择

　　目前，灾备模式大致分为三种：自建、共建和外包。

　　■自建灾备中心模式

　　自建模式一次性投资巨大，涉及建筑工程、机房配套工程、IT系统投入、通信网络设备投，对银行资金和技术的要求颇高。由于这笔投入是为小概率事件做准备，平时系统处于闲置状态，导致总体投入成本(TCO)和投资回报率(ROI)不对称，资源利用率低。因此，自建灾备中心非中小银行的最佳选择，而更适合国有商业银行和少数实力型股份制商业银行。

　　例如，工行在北京、上海自建了两个数据备份中心，实现了南北两大数据中心的生产、灾备格局。交行将香港分行业务系统为基础的海外数据处理中心作为总行数据中心的异地灾备中心。兴业银行也是在福州、上海构建了两个互为备份的现代化数据运行中心，建成了远程容灾系统。光大银行已完成同城灾备中心的建立，正准备在上海建立异地灾备中心。中国银行的灾备中心目前也在紧锣密鼓的建设之中。

　　■外包模式

　　在自建模式下，银行自己投入大量资金、花费许多时间、维持大量运营人员，即便如此，灾备系统还长期处于待命状态，这在某种程度上也是资源浪费。显然，对于已经实现数据大集中的中小银行，自建灾备中心在人力、物力、财力上都将是一种挑战。于是，灾备服务外包模式应运而生，是目前业内一致认为值得考虑的有效方法。

　　国际通行的灾备模式，基本是由商业化灾难备份中心提供灾难恢复的外包服务。在欧洲，灾难备份行业已经开始由隐型走向显型，CIO开始把灾难备份和灾难恢复当做重点日常工作；CEO开始有意识地将业务连续管理（BCM）纳入管理战略体系。而在美国，灾难恢复行业已经比较成熟。

　　鉴于灾难恢复系统是为高风险、小概率事件所准备的，具有资金投入大、运行维护成本高等特点，因此目前外包是灾难恢复建设的主要方式。

　　■共建或互为备份模式

　　由于可以节省一部分基础建设投资，这种模式曾经被香港中资银行应用。但到了1990年代中叶，共建或互为备份模式已基本消失。随着各银行的业务发展，IT技术路线不统一、责任难以界定以及技术管理难度大等矛盾逐一出现。由于无法协调各方关系、保障所有银行的业务发展，共建模式已经逐步被抛弃。

　　对于缺乏经验的国内银行来说，第三方的专业外包服务不失为一个好的选择。一份来自赛迪顾问的调查报告表明，除了几家大型国有商业银行采取灾难恢复自建的形式外，中小银行已开始试水灾难恢复外包形式，如深圳发展银行、广东发展银行。在未来几年，凭借专业化的服务和较为经济的成本，灾难恢复外包模式将逐渐成为银行的主要选择；自建灾备中心的银行也会选择专业的咨询服务来协助提升业务连续运行能力。

　　2006年是中国向WTO过渡期的最后一年。进入中国的外资银行多为实力较强的跨国机构，其所在的国家，或者上市的证券市场，都有很多规定涉及到业务连续性管理，如“巴塞尔协议II”、“萨班斯法案”等。

　　“巴塞尔协议II”给国内的主要印象是，对银行的资本金充足率有很严格的要求。但实际上，它对风险的范畴也进行了拓展。在当前的金融格局下，尽管信用风险仍然是银行经营中面临的主要风险，但市场风险和操作风险的影响及其产生的破坏力却在进一步加大。业务连续性管理是应对操作性风险IT部分的重要措施。

　　同时，这些外资机构进入中国选择合作伙伴时，一般将对IT方面的管理考察作为整体评估的重要部分。欧洲某家银行和国内某城市商行洽谈合作时，对银行的现有情况进行了基本评估，提出的第一个问题就是有没有业务连续性规划、有没有灾难恢复措施。

　　我国银行业市场全面开放后，外资银行的业务范围、服务对象和领域将与中资银行完全相同。外资银行有良好的公司治理结构、严密的内控制度和丰富的风险管理经验，在金融创新、中间业务以及争夺优质客户和人才等方面必然会给中资银行带来巨大压力和挑战。同时，随着我国银行业改革开放进程的加快，中资银行走出国门的步伐也会加快，中小银行也将不可避免地融入国际金融一体化的发展大潮中去。因此，要实现业务的可持续运营发展、加快提升自身的竞争力，专业的灾难恢复咨询和外包专业服务不失为上乘之选。

　　金融IT:外包是现实的

　　可持续性运营的BCM方法论

　　灾备中心的运营是构建业务连续管理体系非常重要的一环，需要专业的运营制度和运营队伍来确保其正常运营，否则将直接影响灾备中心所能发挥的作用和效果。

　　构建业务连续管理体系，不仅要着眼于IT系统的备份与恢复，更重要的是确定或构建嵌于单位生命周期的业务连续管理目标、策略、制度、组织和资源。灾难恢复体系建设不仅涉及企业的IT部门，还涉及到业务、财务、后勤保障等部门，同时需要与消防、电力和电信行业等相关部门、单位进行沟通，以确保相应的配套资源。

　　BCM关注的内容包括：如何确定关键业务面临的各种威胁？灾难恢复的业务需求是怎样的？如何制定基于业务的灾难恢复策略和恢复方案？事件发生后如何进行应急响应？如何判断是否需要启动灾难备份系统？如何进行恢复？如何进行危机公关和危机通信？如何演练灾难恢复预案？如何持续地维护BCM体系？通过灾难恢复行业的近30年发展，行业标准组织制定了BCM最佳实践的十个领域。

　　银行可持续运营政策与规范

　　2002年8月：《中国人民银行关于加强银行数据集中安全工作的指导意见》（银发[2002]260号文件）：为保障银行业务的连续性，确保银行稳健运行，实施数据集中的银行必须建立相应的灾难备份中心。要制定业务连续性计划，保障业务连续性及有效性。

　　2003年8月：《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)：各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定和不断完善信息安全应急处置预案；“谁主管谁负责，谁运营谁负责”。

　　2004年9月：《关于做好重要信息系统灾难备份工作的通知》(信安通[2004]11号文件)：提高抵御灾难和重大事故的能力，减少灾难打击和重大事故造成的损失、确保重要信息系统的数据安全和作业连续性，避免引起社会重要服务功能的严重中断，保障社会经济的稳定；“统筹规划、资源共享、平战结合”。

　　2005年4月：《关于印发“重要信息系统灾难恢复指南”的通知》(国信办[2005]8号文件)：重要信息系统的灾难恢复应遵循的基本要求，从原则、技术、规划、管理等层面给予了指导，文件指明了灾难恢复工作的流程、灾备中心的等级划分及灾难恢复预案的制订框架。

　　2006年4月：《关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发[2006]123号)：同步规划、同步建设、同步运行信息系统灾难恢复系统；综合考虑平衡风险与成本、运维管理与灾难恢复力量等因素，可采取自建、联合共建或利用外部企业(组织)的灾难备份设施等方式；全国性大型银行，原则上应同时采用同城和异地灾难备份和恢复策略；对于核心业务系统，应实施应用级备份，对于其他应用系统，可实施系统级或数据级备份。已建立灾难备份系统的单位，原则上备份系统与生产系统的切换至少每年演练一次。

　　2006年8月：《关于印发《银行业金融机构信息系统风险管理指引》的通知》(银监发[2006]63号)：银行业金融机构应制定信息系统应急预案，并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存，省域数据中心至少实现异地数据实时备份，全国性数据中心实现异地灾备。