同城通信转接中心应急演练的思考和启示

【摘要】人民银行网络既是自身网络的中心，也是金融网络的聚集中心和交互平台。同城通信转接中心（以下简称转接中心）作为人民银行全省数据中心的同城异地备份网络，在应对网络通信突发事件方面具有重要的容灾意义。为了检验和提升转接中心的应急和灾备能力，保障云南省金融城域网和人民银行业务网稳定运行，我们组织了具有探索意义的转接中心切换应急演练。通过演练的规划组织与实施，验证了主备中心通信网络的冗余性和完整性，验证了演练方案的有效性及演练流程的可操作性，探索了备份网络与备份应用系统同时接管的可行性。整个演练引导我们积极思考现行网络灾备布局与构建新型应急体系建设的问题，对于改进转接中心应急管理工作，具有实际启发意义。

【关键词】网络安全 应急演练 金融信息化

（一）转接中心与业务系统的三个特点

1.转接中心具有广域网热备、局域网温备的运行特点。转接中心内联区及外联区实现了同城热备，且能自动切换；但局域网只实现了温备，在主中心局域网停运的情况下需手工切换至转接中心，且在切换前，必须先对转接中心局域网设备进行配置同步。

2.云南业务系统具有“五地三级”的空间分布特性。云南省136个信息系统服务器分别部署于总行、省、地市3个地域级别，呈现“三级”分布状态；同时，这些系统又位于总行、昆明中支、CCPC中心、钞票处理中心及省外管中心5个城域区间，呈现“五地”运行状况。其中，80个信息系统服务器部署于昆明主中心。

3.转接中心无应用系统备份。转接中心仅实现主中心通信网络的同城异地灾备，无应用系统备份。

（二）演练场景的设计

针对上述三个特点，从演练的切换风险、演练场景的深入程度与业务连续性保障三方面个综合考虑，我们设计了如下的演练场景：网络方面，主中心上联区、下联区和外联区网络中断，局域网正常；系统方面，主中心办公自动化系统、邮件系统宕机，启用备机。较主中心机房整体断电的切换演练场景而言，该场景的设计既能保证上联、下联及外联的网络环境正常运行，又能保障主中心80个信息系统的业务连续性。演练场景涵盖了网络和系统两方面的切换，演练内容充分，演练风险具有代表性，演练流程具备一定的复杂性与综合性。

演练场景的实现存在网络风险、系统风险及操作风险三大风险点。为确保演练风险可控、过程可控，我们采取三项风险应对与控制措施。

第一，推演演练场景，核实网络与系统部署的关联细节，控制演练的网络风险。转接中心应急演练是一项涉及面宽、影响重大的系统性工作。对内涉及科技、各业务部门、直属单位及下辖单位，对外涉及各银行业金融机构、税务机关、财政部门、小微金融机构，演练风险对社会的影响不言而喻。通过认真梳理主备中心的网络结构，仔细核对设备、线路、端口连接细节并粘贴标签，同步网络设备配置，反复推理论证方案的有效性，确保网络演练风险可控。

第二，探索演练方式，构建实战与推演相结合，控制演练的系统风险。为实现演练场景的可模拟性，保障演练过程业务的连续性，我们采取实战演练与桌面推演相结合的方式规避系统风险：主中心上联区、下联区和外联区采取实战演练方式切换至转接中心，局域网部分采取桌面推演方式参与到演练过程。该方式既能实现演练场景要求、达到演练目标，又能保证业务系统不受演练影响，不失为一种安全有效的创新性演练方式。

第三，细化演练方案，演练脚本流程化，控制演练的操作风险。演练内容既有网络切换，又有系统切换，演练过程具有相当的操作难度及复杂行，操作风险显而易见。为降低演练操作风险，增强演练过程可控性，我们将演练方案及方式逐步细化成演练步骤，并以简明扼要的表格形式将切换步骤脚本化，规范每一演练流程的执行人员、开始时间、完成时间及操作方法，确保演练过程安全可控。方案包括概述、应急演练组织、演练时间安排、演练内容及流程、演练风险与对策等五部分；演练流程包括26个演练步骤，每个演练步骤包括演练内容、详细的操作步骤、开始时间、结束时间、执行人员、签字确认等内容；演练步骤包括97个操作步骤，其中，58个实战操作步骤，39个桌面推演步骤，操作步骤实现脚本化。

第一，演练组织与实施。（1）演练角色明细化。通过成立领导小组、协调小组、执行小组、基础环境保障小组、测试小组及外部技术支持小组，明确分工、职责清晰；事前征得风险关联单位部门对演练工作的认同，协调各相关单位部门积极配合演练工作。（2）演练执行报批化。一方面，向昆明中支应急办报批演练请示与方案，严格按照程序开展应急演练；另一方面，向总行正式行文请示，取得总行对演练工作的指导与帮助。（3）演练培训程序化。通过组织演练执行小组、基础环境保障小组和测试小组学习等培训学习，使每个参与的人员，明确的具体工作要求；通过对主备中心的网络、系统参数和连接细节进行核对梳理，确保演练前环境准备到位。（4）演练的实施。组织省、市州、县3级5个分支机构、商业银行2个外联机构、网络维保服务商8个外部技术支持单位等，共计15个参演机构73名参演人员按时到岗，按既定方案和步骤开展切换应急演练。

第二，问题的处理。在演练过程中，我们发现并处置了两个问题隐患。一是外联的富滇银行与人行互联线路自动切换失败。经查实，问题出现在对端的富滇银行。执行小组技术骨干及时与对方沟通，发现对端静态路由设置不当，经富滇银行相关人员调整配置，网络连通，再次进行主备线路切换测试，网络仍可自动切换连通，切换测试通过。二是临沧中支外管业务切换测试失败，与之同步演练的丽江中支切换测试成功。经跟踪路由，发现主中心下联路由器有关临沧中支外管业务的静态路由配置不当，调整配置后问题得以解决。

我们在认真总结转接中心切换应急演练的基础上，认真思考了改进转接中心应急管理工作，以及今后灾备体系建设的“四个重点”问题。

第二，省级外管中心的同城灾备体系建设问题。省级外管中心依靠单点接入省级数据主中心，并转载到全省业务网和金融城域网，尚无灾备手段。一旦省级数据主中心主中心网络瘫痪，全省外管业务随之中断。如何统筹考虑省级外管心的灾备建设，也是一个值得思考的问题。

第三，主中心与转接中心负载分流的应急问题。我们将努力提高转接中心应对主中心整体性网络瘫痪的灾备能力，改善转接中心局域网温备的运行状况，研究主中心与转接中心负载分流同时运行的思路，进一步降低网络运行风险、保障各项业务系统安全稳定运行。

第四，区域网络及重要系统灾备系统的建设问题。演练发现的两个问题提醒我们，应在加强自身灾备体系建设的同时，加强对商业银行、下联单位应急灾备工作的信息化指导，并通过实践检验灾备体系是否有效。我们将致力于灾备体系建设研究，探索金融业信息安全保障体系建设工作思路，尝试跨区域灾备代理中心建设，以适应新形势下对灾备中心作用定位的新要求。

（原作者：陈涛）