聊聊银行“灾备真实切换演练”的那些事

一、今年为什么这么多中小银行都要演练

**

根据银保监会发布《中国银保监会办公厅关于开展中小银行机构业务连续性相关风险整治工作的通知》（银保监办发〔2019〕221号）要求，要求中小银行在2021年底所有重要信息系统基本具备灾备真实接管生产的能力， 开展核心业务系统从生产中心切换到灾备中心真实接管业务的演练 。原则上，灾备系统真实接管相关重要业务的时间不应少于2小时，且灾备系统在接管期间承载一定规模的重要业务交易量 ，并且灾备系统在切换期间产生的相关重要业务数据同步复制回生产中心。

在该文件的指导下，各中小银行业陆续在今年三四季度，开始了忙碌真实切换演练。我最近也在忙着协助两家银行在进行演练准备工作。最近觉得有必要将我这些年真实切换演练的一些经验和心得，整理出来分享给正在准备今年业务连续性真实切换演练的伙伴们。

二、监管要求的真实接管业务的灾备切换演练

**

根据监管的定义，真实接管业务的灾备切换演练是指：演练由业务部门和科技部门共同参与，重要信息系统由生产中心成功切换至灾备中心的灾备系统运行，灾备系统真实接管相关重要业务并面向社会公众提供服务，随后将灾备系统在切换期间产生的相关重要业务数据同步复制回生产中心，并将重要信息系统成功从灾备中心回切至生产中心恢复运行。原则上，灾备系统真实接管相关重要业务的时间不应少于2小时，且灾备系统在接管期间承载一定规模的重要业务交易量。

划重点：

灾备系统真实接管相关重要业务并面向社会公众提供服务，不能仅让内部验证，不对外服务。** 简单来讲就是：手机银行、网银需要开门迎客，配套重要的支付通道也需要对外开放；
数据需要回写，这次演练要求的数据需要回写到生产中心，必须数据回写，另外都让社会公众提供服务，有这有个“金箍咒” ，估计也没银行敢将灾备中心真实业务数据不回写；
*重要业务接管时间不得少于2小时，承载一定规模的重要业务交易量，这一条最强悍 ，彻底打掉了只做几笔交易就回切的想法，需要面向社会公众提供不少于2小时服务，而且还不能故意限制用户访问，需要一定规模的重要业务交易量。

今年最好的办法是按要求，不大折扣的完成真实切换演练！

三、不同灾备模式下真实切换演练
灾备建模式不同，真实切换的难度也差距很大，银行业常见三种灾备模式下的真实切换：

• 1.全双活模式（也称为对称双活）下灾备切换 这种模式下往往灾备中心应用和数据库同时对外提供服务，底层数据通过存储双活来保持的一致性。对于这模式下切换相对比较简单，由于日常业务本身就是生产和灾备双中心接入，而且往往灾备中心配套基本和生产相当，并且具备完成接管重要业务的能力。针对只需要关闭生产中心对应的系统，就可以了。目前有一部分银行已经实现了，但总体来讲做到这个程度的银行还是少数。
• 2.应用双活模式（也称准双活或非对称双活）下灾备切换 这种模式下灾备中心应用对外提供服务，数据库处于备状态，这也是最近几年银行最常见的架构。日常情况下，灾备应用将对外提供服务，但是需要跨中心访问生产数据库，针对今年的切换演练，需要将数据库切换到灾备中心，整个切换工作主要是数据库及配套切换，基于不同数据复制技术，单到系统切换时间从几分钟到十几分钟不等。
  3.*主备模式下切换 这种模式切换也是操作量最大的切换，最复杂的切换。由于灾备中心系统平时不对外提供服务，有甚者还处于冷备状态，演练是需要大量的操作，切换时间从几十分钟到几小时不同。这种架构在早期年建设中较多，目前还有许多银行是这种。 小结，灾备建设方式对真实切换演练影响较大， 从切换的难度上来从全双活->应用层双活->主备模式依次复杂。从市场规模来讲 ，应用双活和主备模式较多，全双活模式相对较少。

四、孤岛架构的“艰难”演练在目前主备模式下的网络架构有两大类，两种模式对整个灾备切换以及准备工作影响巨大，具体如下：

• 1. 第一类是灾备中心网络相对独立，灾备网络处于“孤岛”模式，即使灾备系统启动后也不能与生产中心未切换的系统通讯，这种模式简直就是灾备真实切换的“死敌”。这种模式不具备单系统切换，也就说要切换就需要全部切换，不具备局部真实切换演练的能力，切换时基本需要全行停业。

2. 第二类是灾备系统启动后可以与生产中心未演练的系统进行通信，对于真实接管的演练来讲，相对友好很多，能够支持单系统切换或局部系统切换，无论从切换后恢复的业务数量还是对客的影响都会小很多。 举个实例，比如说中间业务和司法查控业务，一般情况下这两个业务都没有灾备，但是这两个业务又多涉及大量的外联单位。特别是司法查控业务，当前许多银行都是通过前置去对接司法机关系统完成业务处理。如果是第一种模式那种，演练期间对社会服务期间，由于生产中心和灾备中心网络无法通行，就算生产前置接受到需要处理业务的数据，也发与灾备中心核心通讯，来实时处理业务，如果手工处理不及时，还可能会产生一些不必要的麻烦，这样就需要有对应的预案，人工来处理。如果是第二类，对外开放时，生产中心可以与灾备中心系统通讯，是可以向往常一样正常处理业务，可以减少一些不必要的麻烦。

五、灾备“真实切换”是否有必要“预演” ** 基于我这些年的真实切换演练经验，对于主备模式灾备，特别是长时间未进行过真实切换演练的大规模整体切换，建议非常有必要进行预演。但是对于全双模式和应用双活模式或平时经常进行灾备切换的单位，预演就不是必须的。另外预演和真实切换演练还是有所不同的，一般预演期间不需要对外提供服务，仅采用内部验证业务，这样预演将会比真实演练至少多2个小时应急时间（根据221号要求，真实演练至少需要对外提供2小时服务）。

•预演的意义：

1.通过预演，可以控制演练风险，提升演练达到的效果。通过预演可以让参演人员熟悉整个演练流程和步骤，提供演练熟练程度，进而缩短最终演练的用时，针对发现可能潜在的问题，在演练前解决。
 2.通过预演，可以锻炼团队，让各部门能够更好地相互协调、一致，保证演练效果。 **

从目前来讲，对于主备模式下的预演，应该是当下许多银行一种无奈的选择。 **

希望未来灾备建设尽可能减少主备模式的灾备，灾备中心具备随时可用、具备随时可切换，人员队伍能够具备熟练的切换能力。 最后祝愿年底前各家真实切换演练的银行好远，GOOD LUCK！！!