lxgsh@etang.com

911的灾难事件清晰地揭示了金融服务机构投资于商务永续计划的重要性。 在世贸中心遭受攻击后数小时内，如Morgan Stanley 集团和American Express等公司能够迅速恢复服务，完全感谢于稳妥的永续计划。对于eSpeed公司，甚至其在本次恐怖中袭击损失了接近3/4的员工，仍然能够在几天后金融市场重开时能够继续运作。

从这次恐怖事件中吸取教训，以及防范未来的攻击可能产生更大的破坏，许多金融服务机构正在审查他们的灾难恢复和商务永续计划。今天，当企业的人员、设施和系统遭受物理的或电子的攻击时，对技术十分依赖的金融服务机构必须能够迅速地响应及成功地恢复，否则企业将面临代价高昂的停工和业务中断的危机。

当核心数据的保护及远程备份成为长期建立和广泛实施时，运行受保护的数据的关键系统如缺乏保护，在灾难事件发生时，将未能不足以迅速的恢复运行，以提供灾难期间可提供的延续服务。

确保业务的持续性，不单单只是核心系统的冗余保护，还包括员工的通讯和生产力系统，甚至员工的知识库，特别是IT部门的员工。无论如何，商务的连续并不纯粹只是IT部门的事情，更确切地说，是要求每个部门都必须考虑的整个企业的事情。当然，IT部门在商务永续计划中扮演了重要的角色，就像其在日常管理中，必须与其他部门紧密配合才能够获得成功的。

以下部分将针对依赖技术的金融服务机构在发展和维护一个面向实时性的广泛的商务永续计划时所面临的一些事项加以说明。

lxgsh@etang.com

一、 建立及维护计划

1、 组织计划团队

计划团队中应该包括各个主要职能部门，包括所有的后台部门和呼叫中心、贸易、销售、资产管理以及其他核心职能，当然也包括了IT部门。理论上应该有一个人员来领导这个团队，他(她)负责向CEO汇报该计划，制定足够的预算和管理投入的资源。

在全国性的机构中，计划团队还应该包括来自各个省分行的代表。理论上整个机构应该只有一个计划来覆盖全国的所有分支行、办事处和员工。设计这样全面的计划将使潜在的内部资源的分配达到领先优势的最佳地位。

2、 顾问服务

商务永续计划是一个非常专门和专业化的领域。其包含了几个专业的主体，如国际灾难恢复协会DRI(Disaster Recover Institute)提供的培训和对商务永续计划的认证CBCP(Certified Business Continuity Planner)。

大型的管理顾问机构及高可用的解决方案的供应商，都提供发展商务永续计划的帮助，或开发和维护商务永续计划的完全外包服务。一个外部的顾问团队可完全地帮助了计划团队，并负责维护和执行计划。事实上，也存在着许多独立的或小规模的商务永续顾问。

尽管雇佣了外部的顾问服务，各个 部门的高级管理层仍需要把商务永续的就绪工作作为他们的主要职能之一。

lxgsh@etang.com

3、 制定计划


计划的制定是一个由计划团队维护的不断强化的文档。文档应当集中地开放给所有相关的职员，及包含灾难恢复的程序的详细指引，包括到哪里，从谁手中得到指引和信息，怎样激活备份系统，等等。

以往，计划文档通常是以硬拷贝的几百页的装订文档，而并不常常来参考。今天，计划通常以电子格式存储在企业的内联网中，可以电子格式来检索，使文档本身和存储在文档中相关的信息更为容易访问。该计划应当包含多个副本，以免在主要存储的地点受到威胁。我们还建议提供可随身的2页左右的摘要或在PDA上的可用格式。

lxgsh@etang.com

二、运营风险评估 (Executive Risk Assessment)

运营风险评估是向管理层提交的是发现的主要问题和建议。该阶段确认企业及其信息系统潜在的弱点和危机，包括了建议如何减低这些风险和在发生中断后加速业务恢复时间。大多数企业可能需要更新其现有的灾难恢复和业务延续计划。尽管在经过Y2K时已制定好类似这样的计划，但随着电子商务的快速增长，以及最近发生的恐怖事件，使我们针对现有的包括长期和短期策略的优势、风险和应变能力进行重新评估。评估小组将根据企业的目前状况提出实现降低风险以达至与最新的风险环境相关连的建议。

评估步骤：

评估现有的灾难恢复计划、关键业务系统、现有的业务影响评估及介绍高水平的业务案例分析

确认优势、风险和发现，根据业务提供高水平的降低风险和发展短期和长期的灾难恢复的策略。

定义灾难恢复和业务延续的最佳定位
在此阶段结束时，您将会拥有一份基于今天现有的商务环境及您的目前的业务状况和业内最实用的关于目前的策略的具备明确目标、独立的专家分析。这意味着，您已经拥有了一份详尽的、可执行的计划来降低严重的风险。 考虑的关键点

我们的业务延续计划是否可行？

我们怎样快速、准确地评估我们的目前看似正确的状况与目前最实用及可用的解决方案？

在灾难发生的时候，我们能够恢复业务运作的概率是多少？

我们如何适当地把目前业务影响分析及主要流程、支持的技术和系统的任何改变均整合在计划中？

lxgsh@etang.com

三、商务影响分析(Business Impact Analysis)

发展商务永续计划的第三步是进行商务影响分析 BIA(Business Impact Analysis)，针对每个业务的领域进行最坏的情况分析研究。每个领域的BIA有两个主要部分：

计算业务中断的代价. 每小时中断给机构带来的代价是多少？ 对于交易地点和提供客户交易的网站，任何的中断均可以根据业务量计算出清晰的代价评估。对于客户服务中心，任何的中断会令客户满意度和保留度产生明显的的影响。而一些运营系统，如应收账和人事系统，有限的中断可能产生的影响则有限。
设定恢复时间的目标.(RTO) 在计算出每个业务中断导致的代价后，BIA应当设置恢复时间的目标。RTO通常的范围为0到48小时。

1. 考虑所有的系统，不只是核心IT功能

一个广泛的业务影响分析(BIA) 必须考虑所有的系统和功能，并不只是核心的IT系统像交易系统、客户帐户、网站和ERP系统等。同样重要的是确保计划围绕者恢复数据和使其他系统恢复运行，包括：

CRM/呼叫中心系统： 这些系统的失效将对客户服务产生毁灭性的影响，因为这是在灾难发生时帮助精神紧张的客户正确面对灾难的至关重要的一种保障。

员工邮件系统： 缺少正常运行的邮件系统的正常，将会削弱员工的工作效率。同样重要的是，缺少了访问以往的邮件记录，将意味着知识的巨大损失。

内部本地文件： 许多部门会把客户的联系地址或重要的文档和记录作为本地数据库保留。重建这些数据是几乎不可能的。在一些事例中，交易记录是短暂本地保留的，如在交易者或销售者的硬盘里的Excel文件。计划必须把本地文件和帐户数据库同样考虑。

lxgsh@etang.com

2. 测试

一项计划必须定期进行测试(如果不能每季度一次，则至少每年一次)，以便让其保持为最新的和让员工对计划保持熟悉。测试在实际的危机发生之前可以暴露出计划中的缺陷。

四、在实时环境中的业务继续

1. 磁带并不足够

在过去，灾难备份意味着用磁带备份关键的数据并存放在另外的地点。当灾难事件发生时，原地点的系统会恢复数据或在其他地点重建系统，并把数据恢复至新的系统中。磁带备份是每天晚上或更为密集的工作。在事件的最佳条件下，恢复的时间至少需要48小时。

对于某些行业来说，磁带备份是足够了。但是，对金融服务机构实时运行的环境中，48小时的中断意味着不可接受的损失。在交易大厅中，每一分钟的中断会导致超过$100,000的损失。在客户服务的网站或呼叫中心的中断相当于关门大吉了。销售机会的损失及声誉和客户满意度的损失是难以精确计算的，但在这个基于信任的行业如财务服务中，任何服务的失败会导致的损失要恢复是十分困难的。

2. 高可用系统

高可用系统是为尽量减低中断时间而设计的。代替磁带异步的备份和恢复，高可用系统被设计为并行系统的功能，使之可以在主系统一旦发生故障时，可以立刻运行。

磁带备份的一个主要的限制是磁带上的数据必须要恢复到恢复系统的数据库中才能运行，这是耗费时间的过程。

在高可用系统中，备份数据是直接写到一个并行数据库中。另外，高可用系统通常包含了整个主系统的并行版本作为后备，这意味着在灾难事件发生后不须浪费时间来重建系统。

高可用系统有三种主要分类：

冷备份系统： 这类系统，数据定期备份至并行系统中。经常地，电子鞍马类会设置包括一个主系统的并行版本保持非激活状态直至在紧急事件中激活。


在线切换系统： 数据在记录至主数据库的同时，会写入备份数据库中。备份系统保持运行状态，并维持网络的连接，随时准备好当主系统失效时，可接受交易请求。


负载均衡系统： 在这种模式下，两套系统都处于激活和同步状态，当主系统处于繁忙状态不能处理更多的请求时，交由备份系统来处理，，一旦主系统失效时，备份系统还会随时接管所有的请求。

lxgsh@etang.com

3. 确保员工的工作效率

1. 信息的分发

在发生严重的商务中断事件时，所有的员工都必须知道怎样获得可靠并最新的信息和指引，不管是否直接从上层经理中获得，还是通过电话或互连网。

2. 内部调遣/临时办公地点

如果企业具有多个办公地点的，应有措施可保障员工可转移到另一个地点继续办公。和基于运输问题，充足的电话系统和数据网络，以及员工使用的工作站，均需考虑周到。

五、灾难备份中心的建设

备份中心必须满足以下条件：

具备与主中心相似的网络，通信设置；

具备业务应用运行的基本系统配置；

具备稳定，高效的电信通路连接主中心，例如光纤、E1、E3、ATM，确保数据的实时备份；

具备日常维护条件；

与主中心相距足够安全的距离。
建立灾难恢复计算环境后至少具有以下优势：

极大降低企业业务在各种不可预料灾难发生时的损失，保证业务系统的7×24小时不间断运转。

最大限度地保证数据的实时性、完整性和一致性。业务数据是用户最宝贵的资产之一，数据的损失就是企业资产利润的损失，所以保护业务数据是企业计算系统的主要功能之一。

为企业计算系统的正常升级，更换部件提供不停机环境。

提高企业抗变能力，增加其用户的信心。

lxgsh@etang.com

灾难备份系统的关键技术包括网络技术、存储技术与解决方案。从网络层面而言，无论是TCP/IP网络还是光纤网络，都已经在世界各地得到了广泛的应用；在存储技术方面，RAID、磁盘等基础技术已经成熟，磁盘阵列的应用已经遍布全球每一个角落；存储区域网络（SAN）在全世界各地得到了全面的认同，同时正在向OpenSAN方面发展。

灾难备份解决方案有两种方式：第一种是同城备份中心，利用同城内高速线路的优势建立主、备中心之间的数据高速同步复制；第二种是在同城备份中心的基础上，在主生产中心数千公里范围内设立远程异地备份中心，然后通过广域网络将主生产中心和异地备份中心连接起来，以实现异步的数据复制备份功能。灾难备份解决方案以网络为基础，在存储区域网络与网络之间采用光纤通道交换机来实现连接。生产中心和灾难备份中心运行同样的系统，包括操作系统、基础数据库和应用软件，并配备数据复制管理器。假如生产中心发生灾难，不能再工作，这时备份中心会将业务数据及时恢复到备用服务器上，并自动将业务切换到备用服务器，然后实现业务的远程切换，恢复系统不间断地运行，在备份中心实现应用的异地备份恢复，这个过程需要很短的时间完成。

灾难备份系统的基本构成包括主机服务器、TCP/IP网络、存储区域网络、光纤通道交换机、数据复制软件。其中，数据复制软件提供了基于存储设备的数据复制、在线和实时的本地数据复制，或者通过光纤通道SAN经过DWDM到远程的复制，支持同步和异步的容灾镜像，支持全面的磁盘同步，当出现很大的灾难时，确保这些数据在另外一个地点的在线拷贝是可用的，以支持尽快恢复在另一台机器上的关键处理。

lxgsh@etang.com

六、结论

商务永续计划和维护高可用冗余系统是任何依赖实时和与客户、供应商、分销商代理商及市场互动的金融机构的一项高优先级别的要求。虽然计划和维护系统的费用不菲，但是如果遭遇大灾难时，确实能给我们带来保障。

sendbank

好东东，看来写方案时可以“借用”一下。