JR/T 0168-2018 云计算技术金融应用规范 容灾 金融行标
JR/T0168-2018 目次 前言 II 1范围 2规范性引用文件. 3术语和定义 4缩略语. 5概述… 6云计算平台容灾能力分级 7预案与演练. 8组织管理 333778 9监控管理… 10监督管理 JR/T0168-2018 前言 本标准是云计算技术金融应用系列标准之“,云计算技术金融应用系列标准包括: 《云计算技术金融应用规范技术架构》; 《云计算技术金融应用规范安全技术要求》; 《云计算技术金融应用规范容灾》。 本标准按照GBT1.1—2009给出的规则起草。 本标准由中国人民银行提出 本标准由仝国金融标准化技术委员会(SAC/TC180)归口。 本标准负责起草单位:中国人民银行科技司、中国人民银行福州中心支行。 木标准参加起草单位:中国金融电子化公司、网联清算有限公司、中国互联网金融协会、中国人民 银行泉州市中心支行、北京中佥国盛认证有限公司、北京移动金融产业联盟、中金金融认证中心有限公 司、北京银联金卡科技有限公司、北京软件产品质量检测检验中心、财付通支付科技有限公司、蚂蚁金 融服务集团、华为技术有限公司、阿甲云计算有限公司、北京百度网讯科技有限公司、新华三技术有限 公司、万国数据服务有限公司、兴业数字金融服务(上海)股份有限公司、亚马逊通技术服务(北京) 有限公司、北京京东金融科技控股有限公司、中国工商银行、中国农业银行、中国银行、中国建设银行 招商银行、中国光人银行、中国民牛银行、平安银行、国泰君安证券股份有限公司、华泰证券股份有限 公司、中国人寿保险〔集团)公司、中国人民保险集团股份有限公司、中国银联股份有限公司、天津麒 麟信息技术有限公司、北京三快云计算有限公司。 本标准主要起草人:李伟、李兴锋、邬向阳、张宏基、班廷伦、强群力、杨倩、聂丽琴、林光丰、 郛林、胡达川、朱勇、周国林、辛路、杨彬、陈则栋、林羽、段家钦、傅凯铮、吴永强、吴金海、白阳、 于柳婍、张文涛、符海芳、汪琪、高勇、赵华、郭红莫、髙志民、高强裔、金怡、孔令斌、杜辉、居未 伟、李明凯、王晓燕、张亮、刘刚、杨俊、郝轶、陈当阳、樊华、罗子强、雷佳杰、许涛、王绍斌、张 苿典、燕冰、曹辉、董亮、苏晗、赵春华、高天游、司渤洋、来宾、和毓鑫、李澍、张洁、陈晨、章彩 红、刘永福、穆冬生、宋杰、瞿红来、黄超、髙坤、李荣振、李宝、巩向锋、李囯光、谭晓辉、王仕、 土研娟、林春、周亚国、张洋洋、张翰林。 JR/T0168-2018 云计算技术金融应用规范容灾 1范围 本标准规定了金融领域云计算平台的容灾要求,包括云计算平台容灾能力分级、灾难恢复预案与演 练、组织管坦、监控管理、监督管理等内容。 本标准适用于金融领域的云服务提供者、云服务使用者、云服务合作者等。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20988-2007信息安仝技术信息系统灾难恢复规范 GB/T222402008信息安全技术信息系统安全等级保护定级指南 GB/T301462013公共安全业务连续性管理体系要求 ]R∧T0044—2008银行些信息系统灾难恢复管理规范 R/T0166-2018云计算技术金融应用规范技术架构 3术语和定义 JR/T0166—2018界定的以及下列术语和定义适用」木文件。 灾难 di saster 由于人为或自然的原因,造成信息系统严重故陪、瘫痪或其数据严重受损,使信息系统支持的业务 功能停顿或服务水平达到不可接受的程度,并持续特定时冋的突发性事件。 JR/T0044—2008,定义3.2] 3.2 容灾 disaster recovery 灾难恢复 为了将信息系统从灾难造成的不可运行状态或不可接受状态恢复到可正常运行状态,并将其支持的 业务功能从灾难造成的不正常状态恢复到可接受的状态而设计的活动和流程。 JR/T0014—2008,定义3.3 3 风险分析 risk ana lys is 确定影响信息系统正常运行的风险,评估对单位业务运营至关重要的功能,定义降低湝在危险控制 手段的流程。风险分析经常会涉及到对特殊事件发生可能性的评估。 JRT0168-2018 JR/T0044—2008,定义3.6] 业务影响分析 business impact analysis 分析业务功能及其相关信息系统资源,评估特定灾难对各业务功能的影响。 JR/T0044-2008,定义3.7] 业务连续性 bus iness continuity 在中断事件发生后,组织在预先桷定的可接受的水平上连续交付产品或提供服务的能力 IGB/T30116-2013,定义3.3 恢复时间目标 recovery time ob jective 灾难发生后,信息系统从停顿到必须恢复的吋间要求。 JR/T0014-2008,定义3.17 恢复点目标 recovery po int ob ject ive 灾难发生后,数据必须恢复到的时间点要求。 [JR/T0044-208,定义3.18] 3.8 系统可用性 system availabi lity 指在要求的外部资源得到保证的前提下,云服务在规定的条件下和规定的时刻或时间区间内(不包 括计划内服务中断时间)处于可执行规定功能状态的能力,一般按允许计划外年服务中断时间、可用程 度至少达到“n个9”来衡量 可用区 ava i lab i l ity zone 在云计算平台中,综合考虑电力、网终、供水等基础设施的容灾因素划分出来的物理区域,区域内 包含空调、电力设施、主机、网络、存储等物理资源 3.10 同城可用区 avai labi l ity zone in the same region 能够抵御因供电供水中断、水淹、火灾、网络故障、硬件损毁、交通中断等灾难同时影响的两个可 用区互为同城可用区。般情况下两同城可用区之间地理距离为数十公里 3.11 异地可用区 avai labi l ity zone in the different region 能够抵御因战争、洪水、海啸、台凤、地震等人范围区域性灾害同时影响的两个可用区互为异地可 用区。一般情況下两异地可用区之间地理距离为数百公里以上 JRT0168-2018 3.12 演练 exerci se 为提扃灾难恢复能力,基于灾难恢复预案进行的演习,形式包括臬面演练、模拟演练、实战演练等。 缩略语 下列缩略语适用于本文件。 RPO恢复点目标( Recovery Point Objective RTO恢复时间目标( Recovery Time Objective) 5概述 近年来,云计算技术在金融领域应用逐渐深入,深刻影响和变弔了金融机构的技术架构、服务模式 和业务流程,但也给灾难恢复带来了新的挑战。由于多租户、虚拟化、资源池等技术特性,云计算丬台 在灾难恢复的影响评佔、关键指标、技术要求、组织管理等方面与传统架构存在诸多差异,应重点关氵 并妥善应对。厶计算平台木质上仍是一和信息系统,应满足国家和金融行业信息系统灾难恢复相关要求, 本标准重点提出了体现云计算特性的差异化容灾憂求 6云计算平台容灾能力分级 风险与业务影响分析 金融机构应根据业务连续性目标和业务发展规划,对厶计算平台进行详细的风险分析。在风险分析 过程中,云服务提供者、云服务使用者和云服务合作者应根据当前的业务场景,重点界定风险分析的目 标和范围,使用恰当的分析方法,对所面临的威胁和当前体系的脆弱性进行深入剖析,评估各类风险发 生的概率和可能导致的损失。 在金融领城云计算环境下,风险分析应重点关注使用云计算技术可能引发的新风险、威胁、脆弱性 和损害,包括但不限于以下方面: 云计算环境下多租户的资源竞争可能导致的系统服务能力下降或不可用。 云计算环境下隔离措施不当可能导致的信息泄露。 云计算环境下单点设备或性能瓶颈可能导致的系统中断 云计算环境下自服务管控不足可能导致的资源和信息滥用。 厶计算环境下系统故障、升缴等可能导致的问题群发。 经过严谨的风险分析之后,需要对风险可能造成的业务影响进行研判。在对业务影响进行分析时, 首先需要根据监管要求、业务性质、业务服务范囯、数据集中程度、业务时间敏感性、功能关联性等要 素进行业务功能分析,并在此基础上评估业务中断可能造成的影响,确定灾难恢复目标及恢复优先级 在金融领域云计算环境下,业务影响分析应关注的内容包括但不限于以下方面 对于可能造成多个金融应用同时遭受灾难的,要综合评估云计算平台的影响。 由于应用和数据部著的实际物理设备的不确定性,导致的同一故障影响的不确定性。 6.2容灾能力级别划分 根据GB/T20988-2007、JR/T0044—2008、GB/T22240-2008的相关要求,按照所承载的业务系 统发生故障或瘫的影响范围、危害程度等对云计算平台容灾能力要求进行划分 JR/T0168-2018 结合金融领域特性,将云计算平台发生故障或瘫痪的影响范闱分为4个层级 内部辅助管理:未对金融机构经济效益、社会声誉产生直接影响的内部管理事项 —内部运营管理:对贪融机构经济效益、社会声誉产生直接影响的内部管理事项。 公民、法人和其他组织的金融权益,包括: 公民、法人和其他组织的财产安全权、知情权、公平交易权、依法求偿权、信息安全权; 其他影响公民、法人和其他组织的金融权益的事项 国家金融稳定、金融秩序,包括 国家对外活动中的经济金融利益 国家金融政策的制定与执行; 国家金融风殓的防范 国家金融管理活动 多数关键金融机构、金融市场及其基础设施的稳定运行; 其他影响国家金融稳定、金融秩序的事项。 将云计算平台发生故障或瘫痪的危害稈度划分为3类: 较小影响,指的是工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现 较轻的法律问题,较低的财产损失等。 一般影响,指的是工作职能受到一般影响,业务能力显著下降且影响主要功能执行,引发一般 的法律问题,较高的财产损失等。 —严重影响,指的是工作职能受到严重影响或丧尖行使能力,业务能力严重下降或功能无法执行, 出现严重的法律问题等。 根据应用于金融领域的云计算平台发生故障或瘫痪的影响范围、危害程度,将其容灾能力等级划分 为6级,具体如表1所示。考虑应用于佥融领域云计算平台的重要性和发生枚障或瘫痪的影晌程度,应 用于金融领域厶计算平台至少应达到容灾能力3级要求 表1应用于金融领域的云计算平台容灾能力等级要求划分 危害程度 影响范围 较小影响 一般影响 严重影响 内部辅助管理 第1级 第2级 第3级 内部运营管理 第2级 第3级 第4级 公民、法人和其他组织的金融权益 第3级 第4级 第5级 国家金融稳定、金融秩序 第4级 第5级 第6级 6.3关键指标 应用于金融领域的云计算平台应至少达到容灾能力3级要求,对应的RT0、RPO、可用性等关键指标 要求如表2所示。 表2应用于金融领域的云计算平台容灾能力等级关键指标要求 容灾等级 RTO RPO 可用性 3级 24小时 24小时每年非计划服务中断时间不超 过4天,系统可用性至少达到 99 4级 ≤1小时 ≤1小时 每年非计划服务中断时间不超 过10小时,系统可用性至少达 到99.9% JR/T0168-2018 容灾等级 RTO 可用性 5级 ≤30分钟 每年非计划服务中断时间不超 过1小时,系统可用性至少达到 99.99% 6级 2分钟 0 每年非计划服务中断时间不超 过5分钟,系统可用性至少达到 99.999 64技术要求 本标准按照GB/T20988-2007有关内容,从数据备份、数据处理、网终能力和运维能力4个要素给 出厶计算平台容灾能力等级相关技术要求。金融领域厶计算平合至少应达到容灾能力3纵要求,相应等 级的具体技术要求详见表3至表6 表3第6级技术要求 要素 云计算相关要求 数据备份 a)数据应在同城和异地可用区至少各有一个数据副本; o)数据副本实时备份且至少一个数据副本应同步复制,保障数据 致性 c)完全数据备份至少每天一次且处于异地可用区。 数据处琲 a)各用数据处理系统的主机、虚拟化平台、操作系统、中间件、应 用软件等资源与生产数据欠理系统完全兼容; b)在异地和冋城可用区均具备与生产数据处理系统相一致的备用数 据处理能力,并处于运行状态,可实时无缝切换; c)应确保备用数据处理系统具备与生产数据处理系统相同的高可用 特性。 网络能力 a)提供充足的网络带宽,保证畚份数据传输带宽大于业务峰值所需 的带宽需求 υ)异地和同城可用区的虚拟內络、物理內绍、岀口网络带宽及链路 配置与生产系统的网络能力相同,并处于运行状态 c)支持跨异地和同城可用区的负载均衡。 运维能力 a)云计算平台应能够对灾备能力进行集成管理,支持通过可定制的 标准化流程完成流量自动或集中切换,支持跨同城和异地可用区的流 量均衡配置: o)灾难事件发生后,备份数据中心的云计算资源管理和调度平台仍 以完成对备份数据中心的资源管理和调度 c)对生产系统关键运行状态进行实时监控和告警 d)云计算平台需要为关键的用户运营数据,如亩计日志等,提供数 据备份。 表4第5级技术要求 要素 云计算相关要求 数据备份 a)数据应在同城和异地可用区至少各有一个数据副木; b)至少存在一个数据副本应同步复制,保障数据一致性; JR/T0168-2018 要素 云计算相关要求 c)完全数据备份至少每天一次且处于异地可用区。 数捱处理 a)备用数据处理系统的主机、虚拟化平台、操作系统、中间件、应 用软仵等资源与生产数据欠理系统完全兼容 b)在异地和同城可用区均具各与生产数据处理系统相一改的数据处 理能力,至少有一个处于运行状态,并可实现无缝切换; c)应确保备用数据处理系统具备与生产数据处理系统相同的高可用 壮性 网络能力 a)提供充足的网络带宽,保证备份数据传输带宽涛足业务峰值所需 的带宽需求 b)异地和同城可用区的虚拟网络、物理网终、出口网络带宽及链路 配置与生产系统的网络能力相冋,并至少有一个处于运行状态 c)支持跨异地或同城可用区的负载均衡。对于处于就绪状态的可用 区,应支持跨可用区的自动或集中切换。 运维能力 a)云计算平台应能够对灾备能力进行集成管理,支持通过可定制的 标准化流程完成流量自动或集中切挨 b)灾难事件发生后,备份数据中心的云计算资源管理和调度平台仍 可完成对备份数据中心的资源管理和调度 c)对生产系统关键运行状态进行实时监控和告警; d)云计算平台需要为关键的用户运营数据,如审计日志等,提供数 据备份。 表5第4级技术要求 要素 云计算相关要求 数据备份 a)至少有一个数据副本处于异地可用区: b)完全数据备份至少每天一次且处于异地可用区。 数捱处理 a)在异地可用区貝备灾难恢复所需的全部备用数据处理能力,并处 于就绪状态或运行状态,并月可自动或集中切换 b)应确保备用数据处理系统具备与生产数据处理系统相同的高可用 特性 网络能力 a)异地用区的虚拟网络、物理网络、出口网络带宽及链路配置与 生产系统的网终能力相同,并处于就绪状态 b)应支持盼可用区的自动或集中切换。 运维能力 a)云计算平台应能够对灾备能力进行集成管理,支持通过可定制的 标准化流稈完成流量集中切换 b)灾难事件发生后,备份数据中心的云计算资源管理和调度半台仍 可完成对备份数据屮心的资源管理和调度; c)对生产系统关键运行状态进行实时监控和告警; d)云训算平台需要为关键的用户运营数据,如审计日志等,提供数 据备份。