《惠普-中国人寿IT战略规划项目灾备中心高端设计29805.docx》由会员分享,可在线阅读,更多相关《惠普-中国人寿IT战略规划项目灾备中心高端设计29805.docx(86页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、IT现状评估报告中国人寿IIT战略略规划项项目灾备中心高高端设计计版本号 V3.0起草人:中中国人寿寿IT规规划项目目组北京市朝阳阳区建国国路1112号中国惠普大大厦(11000022)电话:0110-66564438888传真:0110-66566682778FocusPMPage 2 of 86Error! Unknown document property name. (786432/Error! Unknown document property name.)Error! Unknown document property name.25a284db74dc074e3176287478
2、02db8f.docxLast printed 22-11月-22 01:50 中国人寿IT战略规划项目灾备中心高端设计版权说明本文件中出出现的任任何文字字叙述、文文档格式式、插图图、照片片、方法法、过程程等内容容,除另另有特别别注明,版版权均属属中国惠惠普有限限公司咨咨询与集集成事业业部所有有,受到到有关产产权及版版权法保保护。任任何个人人、机构构未经中中国惠普普有限公公司咨询询与集成成事业部部的书面面授权许许可,不不得复制制或引用用本文件件的任何何片断,无无论通过过电子形形式或非非电子形形式。文档信息项目名称:中国人寿信信息化战战略规划划文档版本号号:3.0文档作者:中国人寿信信息化战战略
3、规划划项目组组生成日期:2003-12-2文档审核者者:中国人寿信信息化战战略规划划项目组组审核日期:2004-3-8文档维护记记录版本号维护日期作者/维护护人描述0.02003/12/24刘育新目录结构1.02004/2/22刘育新初稿1.52004/2/33刘育新按照中国人人寿的情情况进行行客户化化添加恢复组组织的角角色和职职责定义义2.02004/2/55刘育新加入Fraanciiscoo Taang的的指导意意见2004/2/77刘育新修改灾备中中心的功功能要求求2004/2/99刘育新缩略语2.12004/2/118刘育新根据中国人人寿项目目小组的的审核意意见修改改2.22004/2
4、/224刘育新修改5.44节,灾灾备中心心的体系系架构3.02004/3/44刘育新修改灾备中中心的体体系架构构目 录1概述72灾备中中心建设设的策略略72.1业业务连续续的几个个层次102.1.11 高可可用性102.1.22 灾备备中心112.1.33 业务务永续运运行112.2业业务影响响分析122.3业业务永续续运行计计划142.4结结论203灾备中中心建设设的建议议213.1灾灾备中心心的建设设方案213.2灾灾备中心心建设要要求223.3灾灾备中心心的建设设与数据据中心的的关系223.4灾灾难恢复复基本模模式233.5省省市灾备备中心建建设243.6机机房建设设254灾备中中心的功
5、功能要求求254.1灾灾备环境境254.2开开发测试试环境254.3预预生产环环境264.4演演习环境境264.5灾灾备中心心功能示示意图275灾备中中心设备备、网络络性能要要求285.1灾灾备中心心的容量量285.2恢恢复时间间的要求求295.3体体系架构构305.3.11 灾备备中心的的主机、存存储布局局385.4灾灾备中心心的网络络415.4.11 灾备备中心与与生产中中心之间间的网络络415.4.22 灾备备中心的的广域网网架构435.5灾灾备中心心的安全全体系446灾备中中心的管管理体系系446.1业业务永续续管理与与中国人人寿其他他管理流流程的关关系456.2业业务永续续管理流流程
6、466.3计计划的测测试、培培训和演演习466.4业业务永续续运行计计划的维维护486.5恢恢复组组组织结构构图506.5.11 角色色和职责责517缩略语语57图表目录图 21停机因因素8图 22中国人人寿ITT高可用用性环境境建设线线路图9图 23业务连连续的层层次10图 24中国人人寿业务务永续运运行环境境实施方方法12图 25中国人人寿业务务影响分分析方法法13图 26中国人人寿开发发业务永永续运行行计划的的方法14图 41容灾中中心的功功能27图 51校园集集群体系系架构32图 52城间集集群体系系架构33图 53广域集集群体系系架构34图 54中国人人寿灾备备中心假假设方案案37图
7、 55 灾备备中心主主机、存存储布局局38图 56 灾备备中心与与生产中中心的数数据链路路42图 57灾备中中心广域域网逻辑辑架构示示意图43图 61业务永永续管理理与ITTSM其其他流程程的关系系45图 62中国人人寿永续续运行管管理流程程概览46图 63中国人人寿业务务永续运运行计划划的维护护流程48图 64灾备中中心永续续运行管管理组构构成51表 51技术手手段与RRPO、RTOO的对应应关系35表 52业务类类型的服服务级别别分类35表 53中国人人寿关键键应用RRTO与与RPOO要求(来来源:中中国人寿寿IT规划划项目组组)391 概述 根据项目第第一阶段段的调查查和在在在中国人人寿
8、ITT战略的的要求,我我们认为为中国人人寿有必必要建立立一个灾灾备中心心和相应应的业务务永续运运行计划划。本文是中国国人寿IIT战略略规划项项目的高高端设计计之一灾灾备中心心高端设设计。其其中涉及及到如下下问题: 灾备中心建建设的策策略提出了业务务永续运运行的概概念,并并建议中中国人寿寿的灾备备中心具具有保证证关键业业务永续续运行的的能力 灾备中心建建设的建建议介绍了灾备备中心建建设应该该考虑的的问题,例例如灾备备中心地地点的选选择,技技术的选选择,关关于省市市级数据据中心的的灾备中中心建设设的考虑虑等 灾备中心的的功能要要求 灾备中心设设备、网网络性能能要求,以及灾灾备中心心的安全全体系 灾
9、备中心的的管理体体系介绍灾备中中心的组组织架构构以及管管理流程程,质量量控制等等2 灾备中心建建设的策策略 在信息时代代,数据据是企业业创造商商业价值值的生产产资料,数数据的丢丢失将为为企业带带来毁灭灭性的灾灾难。 据Gaartnner Grooup的的调查数数据表明明:在经经历过大大型灾难难或长时时间系统统停运的的公司中中,有22/5的的公司再再也未恢恢复运行行,而在在其余的的公司中中,有11/3的的公司在在两年内内破产。面面对各种种未可预预知的灾灾难,越越来越多多的企业业将容灾灾作为企企业安全全的保障障。 根据Garrtneer GGrouup在220033年9月月分表的的报告,由由于硬件
10、件故障而而导致的的系统停停机只占占非计划划停机的的21。因此此,减少少系统的的停机时时间不能能仅仅靠靠加大硬硬件的投投入,还还有兼顾顾其他因因素,例例如加强强员工的的教育,强强化管理理流程,成成立专门门的机构构应对突突发事件件等。通过我们第第一阶段段的调研研,也发发现中国国人寿从从自身的的发展出出发,有有建立灾灾备中心心的需求求。建议中国人人寿的灾灾备中心心建设成成一个能能构保证证关键业业务能够够永续运运行的数数据中心心。图 Error! No text of specified style in document.Error! Bookmark not defined.停机因因素惠普公司在在
11、总结了了大量经经验的基基础上提提出了建建设高可可用性环环境的55个步骤骤。这55个步骤骤将伴随随建设的的全过程程,是一一个不断断循环往往复的过过程。这5个步骤骤分别是是:分析析,设计计,建设设,管理理,提高高。图 Error! No text of specified style in document.Error! Bookmark not defined.中国人人寿ITT高可用用性环境境建设线线路图高可用性只只有通过过技术,服服务和最最佳管理理实践三三者的完完美结合合才能达达到。2.1 业务连续的的几个层层次 图 Error! No text of specified style in d
12、ocument.Error! Bookmark not defined.业务连连续的层层次如图2-33所示,根根据受保保护对象象的不同同,保证证业务连连续运行行所使用用的技术术不尽相相同,当当然,实实现的成成本也有有较大的的差异。2.1.1 高可用性 可用性并不不是一个个模糊概概念,实实际上它它能用数数学方法法来精确确地表示示。简单单地讲,一一个高可可用性系系统就是是一个用用户能随随时使用用的系统统,例如如当用户户需要在在早上88点到下下午5点点启用该该系统时时,该系系统就应应该在这这段时间间内保证证良好的的可用状状态,其其余的时时间可以以用来进进行定期期维修保保养。可可用性常常被定义义为实际
13、际的服务务时间和和要求的的服务时时间的比比值,常常用百分分比表示示。许多多现代化化系统需需要一天天24小小时、一一年3665天连连续不间间断运转转(有时时也称为为7224或336524)。一个个可用性性为999.9%的3665224系统统一年的的平均故故障时间间为8.76小小时(5525分分钟),而而要想让让系统的的中断时时间在一一年中只只有3分分钟的话话,系统统必须有有99.9999%的可可用性。我们将图22-3中中对应于于数据,应应用/数数据库,系系统和网网络的解解决方案案称为高高可用性性解决方方案。我我们这里里所说的的高可用用性解决决方案是是指利用用冗余设设备在本本地(机机房内部部)完成
14、成的,一一般恢复复时间在在几分钟钟之内。在使用高可用性方案进行系统恢复时,一般只需要IT部门参与,而与业务部门无关。2.1.2 灾备中心 当遇到大规规模的自自然或人人为灾害害,例如如火灾,地地震等,办办公场所所/机房房也许会会遭到破破坏。灾灾备中心心就是为为了应对对这种情情况而诞诞生的。灾备中心位于与生产中心不同的建筑物中,距离因容灾目的而不同。灾备中心强强调的是是灾难恢恢复功能能,重点点在灾难难发生后后。而要要保证关关键业务务在灾难难发生到到灾备中中心开始始工作期期间不中中断运行行,仅仅仅靠ITT部门的的力量是是远远不不够的,还还需要各各个业务务部门的的积极参参与,利利用技术术,服务务和管理
15、理的手段段才能做做到。2.1.3 业务永续运运行 所谓业务永永续,是是指在遇遇到严重重灾害事事件时(物物理场所所的灾难难,人为为破坏,自自然灾害害等),仍仍能够提提供保证证业务运运行的环环境。它它包括一一个持续续不断的的评估,计计划,实实现和支支持流程程,还要要求利用用必要的的技术和和服务来来为基础础架构提提供支持持。业务务永续不不是专门门的技术术,产品品或服务务。也不不是高可可用性,灾灾难恢复或或者容灾灾的实现现。业务永续运运行应该该包括风风险评估估,中断断影响分分析,以以及避免免中断策策略,必必须将这这些因素素充分考考虑进综综合性业业务持续续性计划划即即要根据据关键性性业务程程序而不不是技
16、术术来进行行调整。然而,无论论在高可可用性、冗冗余、容容错、群群集和镜镜像策略等方方面考虑虑得多么么全面,仍仍然没有有哪个业业务持续续性计划划能保证证业务万万无一失失。业务务永续的的关键,在在于了解解什么业业务程序序在业务务中事关关重大,并并确定影影响该程程序的所所有因素素。综合合性风险险分析,有有助于企企业做出出有关应应对,迁迁移或转转移风险险的业务务决策。根据中国人人寿的具具体情况况,我们们建议中中国人寿寿灾备中中心的建建设分44个阶段段进行:图 Error! No text of specified style in document.Error! Bookmark not define
17、d.中国人人寿业务务永续运运行环境境实施方方法2.2 业务影响分分析执行业务永永续运行行项目的的第一步步就是做做业务影影响分析析(Bussineess Imppactt Annalyysiss)。以后后的基础础架构设设计和业业务永续续运行计计划都是是根据业业务影响响分析的的结果。业务影响分分析是确确定不同同业务流流程对企企业的影影响程度度。优先先级的制制订主要要根据分分析有形形的和无无形的影影响,对对停止业业务时间间长短的的接受情情况和为为使影响响降至最最低的最最低需求求。这些些数据可可以用来来做制订订恢复和和业务永永续运行行策略的的基础。BIA的目目标: 识别和量化化每个业业务单元元或者资资
18、源对整整个企业业在财务务和运行行方面的的影响 识别潜在的的失效场场景和评评估潜在在的威胁胁 帮助定义针针对不同同的可用用性/灾灾难恢复复要求所所需要的的不同级级别的投投资情况况 规定恢复策策略 建立灾难恢恢复时的的恢复流流程优先先级我们认为,中中国人寿寿应该按按照如下下步骤进进行业务务影响分分析:图 Error! No text of specified style in document.Error! Bookmark not defined.中国人人寿业务务影响分分析方法法2.3 业务永续运运行计划划业务永续运运行计划划是关于于一些流流程的正正式文件件,这些些流程是是制订企企业面对对不利的
19、的意外事事件时的的策略和和行动计计划的。使使用这些些策略和和行动计计划可以以使企业业在预先先定义的的时间段段内恢复复关键业业务的运运行,从从而使灾灾难的影影响降至至最小,使使受影响响的业务务尽快的的恢复。业务永续运运行计划划是灾备中中心最重重要的文文件之一一。我们根根据中国国人寿的的情况制制订了如如下开发发业务永永续运行行计划的的方法:图 Error! No text of specified style in document.Error! Bookmark not defined.中国人人寿开发发业务永永续运行行计划的的方法根据中国人人寿的具具体情况况,我们们认为中中国人寿寿在制订订和执行
20、行业务永永续运行行计划时时应参考考如下原原则:原则 1: 董事事会和管管理层应应该对其其企业的业务永永续运行行计划准准备情况况负责。1. 企业的业务务永续运运行计划划是董事事会和管管理层的的责任。管管理层应应该通过过对业务务永续运运行计划划准备情情况的定定期验证证来表明明其对于于风险及及其消减减措施的的充分了了解和重重视。2. 验证的内容容应该明明确包括括: 企业的准备备情况以以及 企业考虑到到其业务务活动水水平、风风险管理理策略和和在保护护保险体系系系统稳稳定性方方面所扮扮演的角角色这些些因素的的情况下下,选择择遵循本本文中原原则的程程度 3. 这些验证应应该提交交给董事事会。企企业业务务优
21、先情情况的变变化可能能影响到到其业务务永续运运行计划划准备的的效率。所所以验证证应该定定期进行行更新。4. 越来越多的的客户和和合作伙伙伴也在在寻求为为其提供供金融服服务的企企业在业务永永续运行行计划准准备方面面的保证证。所以以,如果果适当,应应该将这这些验证证与客户户、合作作伙伴以以及其它它有关方方面共享享。原则 2:企业应该该将业务务永续运运行计划划融入到到日常的的业务活活动中使使之成为为良好的的工作习习惯。1. 业务永续运运行计划划是面向向风险和和事先反反应的方方法,它它包括对对业务分分枝的全全面理解解、事件件响应、危危机管理理和对外外联络。它它通过制制定恢复复业务功功能以履履行业务务职
22、责的的方法和和规程来来处理风风险。2. 业务永续运运行计划划应该是是可信的的,包含含清晰的的策略和和职责,具具有可操操作性,随随着业务务变化得得到更新新并经过过切实的的测试。依依据企业业业务规规模和范范围的不不同,良良好的工工作措施施可包括括: 明确业务永永续运行行计划政政策和策策略 明确业务永永续运行行计划项项目中的的角色和和责任 进行业务影影响分析析 制定、部署署、测试试和维护护业务永永续运行行计划 不断对员工工进行相相关的意意识培养养和技能能培训 应急响应和和操作规规程 对外联络和和危机管管理协调调规程 对外协调规规程(包包括管理理当局和和相互依依赖的团团体等) 3. 一旦建立了了业务永
23、永续运行行计划,就就应该定定期对其其进行检检查、维维护和测测试以确确保其具具有及时时性、高高效性和和可操作作性。企企业应该该努力将将面向风风险的业业务永续续运行计计划融入入到日常常运行和和管理中中并使之之成为企企业文化化的一部部分。原则 3:企业应该该定期、全全面和切切实地测测试其业业务永续续运行计计划。1. 需要通过测测试来确确定业务务永续运运行计划划的有效效性。技技术、业业务方法法以及员员工角色色和责任任的变化化将影响响和降低低业务永永续运行行计划的的效率并并最终影影响到企企业的准准备状态态。因此此,通过过对业务务永续运运行计划划的测试试来测量量其可用用性和有有效性是是很重要要的。测测试还
24、将将使员工工熟悉恢恢复站点点的位置置以及中中断期间间所需的的恢复规规程。测测试的目目标是确确保企业业在启动动业务永永续运行行计划后后能够按按照计划划可靠、及及时和有有效地恢恢复运行行。2. 定期:企业业对其业务务永续运运行计划划一年至至少要测测试一次次。经常常性的测测试对于于保证业业务永续续运行计计划的效效率是至至关重要要的。一一些企业业发现,每每月或每每季度进进行测试试能够有有效帮助助其进行行中断处处理的准准备。管管理层应应该参与与到测试试中并熟熟悉其在在计划启启动时的的角色和和责任。3. 全面和切实实:业务务方法的的所有部部分都应应该得到到切实的的测试(比比如从前前台到支支持和处处理部分分
25、),其其中包括括测试恢恢复站点点所提供供基础设设施的连连接性、功功能性和和负载能能力。企企业应该该能够证证明其测测试项目目充分涵涵盖了定定性和定定量等各各方面的的问题。所所有的策策略和计计划的假假设都应应该定期期地被检检讨以确确保其适适当性,在在业务范范围和方方向发生生变化时时尤其应应该如此此。全面面性还包包括测试试人员的的意识和和准备情情况以及及对外协协调情况况。相互互依赖性性,特别别是对企企业控制制范围之之外的外外部团体体的依赖赖性应该该被全面面测试。这这包括在在新加坡坡以外工工作的企企业官员员、分枝枝或服务务提供商商。4. 其它可能的的测试包包括: 整个系统的的桌面排排演测试试 员工呼叫
26、测测试(人人员调动动和无调调动情况况下) 备份站点到到备份站站点的测测试(包包括与外外部服务务提供商商) 共享服务替替代测试试 备份磁带还还原测试试以及 关键记录恢恢复(数数字的或或书面的的) 应该准备好好正式的的测试文文档和列列有经验验教训以以及风险险消减措措施的测测后分析析报告供供管理层层签署。原则 4:企业应该该制定恢恢复策略略和关键键业务功功能的恢恢复时间间目标。1. 建立恢复策策略可以以使企业业以有序序和事先先定义的的方式执执行业务务永续运运行计划划以减少少中断时时间和经经济损失失。它是是定义关关键业务务功能的的恢复时时间目标标 的基基础。没没有这些些清晰的的定义,有有限的资资源就有
27、有可能被被不恰当当的用于于次要的的活动。这这样就可可能对企企业的信信誉和生生存能力力造成负负面的影影响。关键业务功功能2. 在危机中,全全部恢复复所有的的业务功功能可能能是不实实际的。所所以,企企业应该该确定其其关键的的业务功功能以及及这些操操作中断断情况下下的潜在在损失(经经济或非非经济方方面)。获获取这些些信息的的常用方方法是进进行业务务影响分分析 。这这种方法法也用来来凸现各各种关键键功能之之间的相相对优先先顺序并并帮助企企业确定定其恢复复策略和和恢复时时间目标标。3. 由于不同企企业的业业务导向向和顾客客预期不不同,所所以其关关键业务务功能也也有所不不同。但但是,与与完成大大额支付付业
28、务、清清算和结结算事务务、履行行每日资资金和担担保职责责、管理理客户风风险以及及维护客客户、投投资者或或公众信信心有关关的功能能通常被被视作关关键的。恢复时间目目标4. 不同企业的的恢复时时间目标标可能不不同,范范围从中中断后的的一天之之内到数数分钟之之内,非非常重要要的企业业功能比其其它企业业要求有有更快的的恢复能能力。原则 5:企业应该该了解和和适当地地消减关关键业务务功能互互相依赖赖的风险险。1. 企业具有将将风险和和过程分分散和分分布在本本地、区区域内和和全球范范围的倾倾向。这这使其增增加了对对其它团团体(内内部或外外部的)的的依赖。任任何对互互相依赖赖风险的的不当管管理都可可能造成成
29、风险叠叠加而降降低运行行或系统统效率,从从而有可可能损害害企业的运运行。2. 在制定关键键业务功功能的应应急计划划时,企企业应该该考虑到到这些功功能的相相互依赖赖性及其其相互依依赖的程程度。企企业也应应该了解解支持这这些关键键功能的的相关业业务方法法,尤其其是业务务永续运运行计划划准备和和恢复优优先顺序序方面的的。这些些依赖性性的例子子有: 企业中的 企业之间(如如银保通通) 对供应商(如如灾难恢恢复服务务供应商商) 对基础设施施提供者者(如电电信) 业务永续运运行计划划应该将将复杂的的依赖关关系考虑虑进去并并且尽可可能地消消减这些些风险。这这些依赖赖关系应应该在制制定恢复复策略和和恢复时时间
30、目标标时做为为考虑因因素。3. 虽然有些依依赖性风风险不在在企业的控控制范围围内而无无法彻底底消减(如如无法使使用电信信网络),但但是这并并不能降降低其客客户和合合作伙伴伴对企业业服务和和履行职职责的期期望。最最终,依依赖性风风险将会会落在企企业身上上而无法法回避。所所以,企企业应采采取合理理的步骤骤消减这这些风险险(如同同电信供供应商讨讨论确保保通信线线路通过过不同的的交换局局进行路路由的问问题)。4. 在与任何外外部供应应商签订订合同之之前,企企业都应应该确信信外来风风险在当当前风险险策略可可接受的的范围内内,并且且不会破破坏自己己的业务务永续运运行计划划。它们们应该确确定其服服务供应应商
31、也有有相应的的应急计计划,即即使这些些计划没没有自己己的业务务永续运运行计划划准备的的那么充充分。企企业还应应该事先先向其服服务供应应商寻求求其业务务永续运运行计划划得到定定期测试试的保证证。5. 在外部供应应商异常常终止或或破产的的事件中中,企业业寻找其其它合适适的供应应商并进进行安置置和部署署可能要要花费数数月的时时间,这这样的过过渡期风风险是无无法接受受的。企企业应该该采取合合理步骤骤以保持持适当的的控制水水平并保保留采取取适当措措施继续续其关键键业务运运行和维维护其业业务永续续运行计计划不容容破坏的的权力。原则 6:企业应该该为大范范围中断断情况制制定计划划。1. 911事事件表明明,
32、企业业应该为为大范围围中断情情况制定定计划。范范围被定定义为同同一中断断所影响响的可能能区域 。企业业考虑的的因素还还应该包包括什么么情况下下关键人人员可能能会遭受受严重损损失或无无法使用用,什么么情况下下诸如电电信这样样的关键键服务会会大面积积中断。企业应该在业务永续运行计划中考虑到多个区域中断的情况,考虑到各关键业务活动的水平、风险承受能力和风险管理策略。另外,它们还应该考虑到长期中断情况下对业务永续运行计划的范围进行扩大和深化的问题。2. 大范围中断断可能会会增加依依赖性风风险。同同一区域域的关键键功能和和服务提提供者的的相互依依赖性应应该得到到适当消消减。对对于企业业与客户户、合作作伙
33、伴和和服务供供应商的的主站点点在同一一区域的的情况,其其恢复站站点之间间应该安安排有电电信链接接。这些些链接应应该得到到测试。原则 7:企业应该该采用分分离策略略来消减减集中风风险。1. 关键人员和和信息是是难以快快速替代代的重要要资产。当当业务运运行及其其支持技技术(IIT设备备和人员员)被安安排在同同一区域域时,企企业应该该评估其其集中风风险。例例如,当当今的许许多企业业设想将将主站点点的同一一批人员员用于在在恢复站站点对其其关键业业务功能能进行恢恢复的工工作。这这在中断断造成人人员无法法使用的的情况下下通常是是行不通通的。2. 所以说,既既要消减减集中风风险和提提高人员员安全性性,又不不
34、能损失失业务处处理和关关键人员员集中带带来的高高效率,这这两者之之间作出出平衡是是很重要要的。在在应对大大范围中中断的准准备中,企业应该尽量采用以下三种关键业务功能的分离策略:第一:主站站点和恢恢复站点点分离。关关键业务务功能的的主站点点和恢复复站点应应在不同同的区域域内。第二:事务务操作和和IT操操作分离离。关键键的事务务操作和和支持事事务操作作的ITT操作应应该在不不同的区区域。例例如,结结算操作作人员与与其ITT操作(包包括ITT设备和和人员)应应该在不不同的区区域。第三:功能能内分离离。部署署在另外外区域的的一批工工作人员员用于接接管关键键业务功功能。解解决方案案可能包包括处于于两个分
35、分离的操操作地点点的人员员和得到到交叉培培训的另另一个地地点的人人员。企企业应该该确定和和设计减减少集中中风险的的最适当当的消减减措施组组合。2.4 结论综上所述,结结合中国国人寿IIT战略略规划和和中国人人寿ITT架构的的要求,我我们认为为中国人人寿灾备备中心的的建设应应按照如如下策略略进行: 灾备中心的的建设需需要得到到高层领领导的支支持灾备中心的的建设和和运维需需要大量量人力、物物力的配配合,涉涉及到许许多部门门。没有有企业高高层领导导的支持持是不行行的。 灾备中心的的建设要要满足业业务的需需求灾备中心的的建设资资金投入入、功能能、处理理能力、管管理方式式等必须须满足目目前的业业务需求求
36、,同时时还要兼兼顾未来来发展的的要求。 灾备中心需需要建立立高可用用性的架架构灾备中心启启用后,就就开始做做为生产产中心提提供服务务。因此此灾备中中心也应应该与生生产中心心一样,对对关键业业务应用用采用高高可用性性架构,以以防止由由于单点点故障而而引起宕宕机 灾备中心应应该可以以提供演演习环境境演习是保证证业务永永续运行行计划有有效性的的重要手手段,每每年至少少应该举举行一次次。演习习环境是是为了保保证在演演习是正正常的业业务处理理仍能继继续而建建立的。 灾备中心的的设备应应该得到到充分利利用灾备中心的的建设不不仅要考考率到紧紧急情况况下的使使用情况况,还要要考虑日日常如何何利用。例例如,为为
37、了在平平时提供供灾备中中心设备备的利用用率,可可以利用用灾备中中心的设设备进行行应用的的开发和和测试。 灾备中心的的建设以以用先进进、成熟熟的方法法论做为为指导,分分阶段进进行先进、成熟熟的方法法论为灾灾备中心心建设的的成功提提供了保保障。 灾备中心与与生产中中心使用用结构相同同的ITT基础架架构和管管理流程程这样可以大大大降低低管理与与运行维维护的复复杂度。灾灾备中心心的处理理能力可可以与生生产中心心不同,但但是要满满足业务务需要。3 灾备中心建建设的建建议 根据中国人人寿的未未来ITT架构,我我们建议议中国人人寿建设设一个灾灾备中心心,以保保证中国国人寿因因重大灾灾难事件件而使一一级数据据
38、中心无无法继续续提供服服务时,继继续为关关键企业业应用提提供运行行平台。我们的设计计基于如如下假设设:由于连续性性灾难(即即主数据据中心发发生灾难难尚未恢恢复正常常运行时时,灾备备中心又又因发生生重大灾灾难而停停止运行行)发生生的概率率极小,我我们在设设计中不不考率对对于连续续性灾难难的恢复复问题。3.1 灾备中心的的建设方方案灾备中心的的建设方方案由两两种:1. 建立一个独独立的灾灾备中心心2. 建立两个数数据中心心,两个个中心之之间互为为备份但是,如果果建立两两个数据据中心,管理流程会变得复杂,人员配备会增加,运行成本也会提高(例如,为了进行双向数据同步,要租用多条通信线路)。所以,我们建
39、议采用第一种方案。 容灾备份系系统建设设内容 在灾备中心心建设中中,不仅仅要考虑虑数据中中心端的的容错,还还要考虑虑对重要要关键业业务系统统进行异异地容灾灾备份和和对重要要数据的的定时和和实时备备份。 灾备中心建建设的内内容包括括: 1. 面向数据中中心提供供网络通通讯设备备、通讯讯线路、存存储网络络设备的的全面容容错和异异地容灾灾。 2. 面向数据中中心提供供部分关关键业务务系统的的容错和和异地容容灾。 3. 提供数据中中心和容容灾中心心本地数数据备份份。 3.2 灾备中心建建设要求求 灾备中心的的建设须须满足以以下要求求: 1. 备份中心与与数据中中心在地地理位置置上保持持较远的的距离(例
40、如110000公里),使得得当数据据中心遭遭受灾害害破坏时时,不会会影响到到备份中中心。 2. 交通便捷3. 主要电信服服务商可可以提供供语音及及专用数数据网络络服务4. 机房环境要要求与主主中心相相同5. 可以容纳足足够的工工作人员员办公6. 备份中心的的所有应应用系统统必须经经过严格格的测试试,确保保业务系系统能够够正常运运行 7. 备份中心与与数据中中心间网网络带宽宽应能保保证两地地间数据据的可靠靠同步。 8. 备份中心计计算机系系统有足足够的处处理能力力来接管管数据中中心的业业务;同同时应具具有不低低于数据据中心的的安全防防护能力力9. 重大灾难发发生时,灾灾备中心心和数据据中心可可以
41、通过过手工操操作的方方式切换换10. 数据中心或或灾备中中心发生生小范围围事故时时,系统统在数据据中心或或灾备中中心内部部可以自自动切换换3.3 灾备中心的的建设与与数据中中心的关关系灾备中心机机房建设设的前提提条件是是 完成BIAA分析和和灾备中中心ITT基础架架构设计计 生产数据中中心开始始运行理由如下:1. 没有BIAA的分析析结果,无无法明确确灾备中中心到底底针对何何种灾害害设计,即即无法决决定灾备备中心的的物理地地点2. 没有BIAA的分析析结果,无无法决定定中国人人寿对灾灾备中心心的投资资规模3. 没有BIAA的分析析结果,无无法确定定灾备中中心运行行的核心心应用种种类及其其对恢复
42、复时间和和数据丢丢失量的的要求;无法确确定核心心业务流流程之间间的依赖赖关系,也也就是说说无法明明确核心心业务应应用之间间的数据据传递关关系及对对数据完完整性的的要求,所以无法进行IT基础架构设计。4. 没有BIAA的分析析结果,无无法确定定中国人人寿在发发生灾难难后所希希望达到到的服务务标准,即即是否关关闭一些些保险业业务,是是否关闭闭一些分分支机构构(如区区县级机机构),是是否限制制使用系系统的用用户数量量,是否否改变正正常的业业务处理理流程等等。这些些都决定定者与灾灾备中心心相连的的广域网网布局如如何设计计。5. 没有IT基基础架构构设计,无无法明确确灾备中中心需要要的设备备类型和和数量
43、,所所以无法法进行设设备选购购,无法法得出对对机房配配电,空空调,地地板承重重以及布布线的具具体要求求6. 如果数据中中心的应应用部署署没有最最终完成成,无法法得到详详细的应应用之间间的数据据依赖关关系,无无法得到到应用正正常运行行需要何何种质量量的数据据,无法法取得应应用正常常启动和和异常启启动需要要的时间间,这些些都是决决定采用用何种恢恢复技术术的关键键因素,也也是衡量量灾备中中心的设设计是否否能够达达到要求求的恢复复时间的的重要依依据。3.4 灾难恢复基基本模式式 1. 本地地容错 本地故障、错错误可以以分为几几种类型型:网络络设备宕宕机、服服务器宕宕机、数数据库宕宕机、存存储设备备宕机
44、、线线路中断断、操作作系统故故障、应应用系统统故障、硬硬件设备备故障、磁磁盘故障障。本地地设备和和软件发发生故障障时,本本地冗余余和备份份的设备备和软件件可以帮帮助恢复复故障。 2. 异地地容灾 大灾难包括括:自然然灾难(地地震、台台风、洪洪水等)、突突发事件件(业务务系统中中断、通通讯中断断、计算算机病毒毒、计算算机网络络犯罪、火火灾影响响、恐怖怖活动)等等。大灾灾难使得得本地的的网络、服服务器、存存储设备备宕机,技技术支持持人员不不能及时时到现场场恢复,业业务系统统中断,从从而造成成重大损损失和灾灾难。 异地容灾是是在本地地发生大大灾难时时由异地地设备提提供业务务容灾恢恢复。高高端异地地容
45、灾由由本地运运行中心心和异地地备份中中心组成成,异地地备份中中心具有有本地运运行中心心的相同同业务系系统,两两个中心心的数据据是同步步的。在在无大灾灾难时,本本地运行行中心正正常运行行。在有有大灾难难时,关关键业务务的客户户端的请请求自动动被送往往异地备备份中心心的服务务器,而而异地备备份中心心的数据据库提供供已同步步的数据据响应客客户端的的请求,从从而保证证数据的的完整性性和一致致性,保保证业务务7天24小小时不间间断运行行。中端端异地容容灾与高高端异地地容灾大大部分相相同,所所不同的的是对重重要业务务采用中中端容灾灾硬件和和软件,有有数据丢丢失,业业务短暂暂间断,投投资成本本较低。低低端异
46、地地容灾可可以对一一般业务务采用远远端磁带带库和磁磁盘进行行定期备备份,业业务恢复复时间长长,数据据丢失多多,投资资成本最最低。 3.5 省市灾备中中心建设设 由于未来中中国人寿寿的核心心业务系系统和关关键数据据都集中中在一级级数据中中心,省省市级数数据中心心的数据据量较少少,主要要是办公公自动化化数据,所所以建议议在省市市级数据据中心不不建立灾灾备中心心。影像系统虽虽然在二二级数据据中心,但但是在一一级数据据中心保保存有影影像数据据,所以以二级数数据中心心发生故故障时,用用户可以以使用一一级数据据中心的的影像数据据。地市系统先先通过公公司内部部专用网网络连接接到二级级数据中中心,然然后再连接到到一级数数据中心心。当二二级数据据中心发发生灾难难无法工工作时,地地市用户户可以通通过因特特网上的的VPNN直接与与一级数数据中心心通信。3.6 机房建设请参照数数据中心心高端设设计的的相应章章节。4 灾备中心的的功能要要求如果灾备中中心平时时处于冷冷备份状状态,那那么为了了更有效效地利用用灾备中中心的设设备,灾灾备中心心除了担