同城通信轉接中心應急演練的思考和啟示

陳濤

【摘要】人民銀行網絡既是自身網絡的中心，也是金融網絡的聚集中心和交互平臺。同城通信轉接中心（以下簡稱轉接中心）作為人民銀行全省數據中心的同城異地備份網絡，在應對網絡通信突發事件方面具有重要的容災意義。為了檢驗和提升轉接中心的應急和災備能力，保障云南省金融城域網和人民銀行業務網穩定運行，我們組織了具有探索意義的轉接中心切換應急演練。通過演練的規劃組織與實施，驗證了主備中心通信網絡的冗余性和完整性，驗證了演練方案的有效性及演練流程的可操作性，探索了備份網絡與備份應用系統同時接管的可行性。整個演練引導我們積極思考現行網絡災備布局與構建新型應急體系建設的問題，對于改進轉接中心應急管理工作，具有實際啟發意義。

【關鍵詞】網絡安全 應急演練 金融信息化

一、轉接中心與業務系統的特點分析及演練場景設計

（一）轉接中心與業務系統的三個特點

1.轉接中心具有廣域網熱備、局域網溫備的運行特點。轉接中心內聯區及外聯區實現了同城熱備，且能自動切換；但局域網只實現了溫備，在主中心局域網停運的情況下需手工切換至轉接中心，且在切換前，必須先對轉接中心局域網設備進行配置同步。

2.云南業務系統具有“五地三級”的空間分布特性。云南省136個信息系統服務器分別部署于總行、省、地市3個地域級別，呈現“三級”分布狀態；同時，這些系統又位于總行、昆明中支、CCPC中心、鈔票處理中心及省外管中心5個城域區間，呈現“五地”運行狀況。其中，80個信息系統服務器部署于昆明主中心。

3.轉接中心無應用系統備份。轉接中心僅實現主中心通信網絡的同城異地災備，無應用系統備份。

（二）演練場景的設計

針對上述三個特點，從演練的切換風險、演練場景的深入程度與業務連續性保障三方面個綜合考慮，我們設計了如下的演練場景：網絡方面，主中心上聯區、下聯區和外聯區網絡中斷，局域網正常；系統方面，主中心辦公自動化系統、郵件系統宕機，啟用備機。較主中心機房整體斷電的切換演練場景而言，該場景的設計既能保證上聯、下聯及外聯的網絡環境正常運行，又能保障主中心80個信息系統的業務連續性。演練場景涵蓋了網絡和系統兩方面的切換，演練內容充分，演練風險具有代表性，演練流程具備一定的復雜性與綜合性。

二、演練的風險分析與風險控制

演練場景的實現存在網絡風險、系統風險及操作風險三大風險點。為確保演練風險可控、過程可控，我們采取三項風險應對與控制措施。

第一，推演演練場景，核實網絡與系統部署的關聯細節，控制演練的網絡風險。轉接中心應急演練是一項涉及面寬、影響重大的系統性工作。對內涉及科技、各業務部門、直屬單位及下轄單位，對外涉及各銀行業金融機構、稅務機關、財政部門、小微金融機構，演練風險對社會的影響不言而喻。通過認真梳理主備中心的網絡結構，仔細核對設備、線路、端口連接細節并粘貼標簽，同步網絡設備配置，反復推理論證方案的有效性，確保網絡演練風險可控。

第二，探索演練方式，構建實戰與推演相結合，控制演練的系統風險。為實現演練場景的可模擬性，保障演練過程業務的連續性，我們采取實戰演練與桌面推演相結合的方式規避系統風險：主中心上聯區、下聯區和外聯區采取實戰演練方式切換至轉接中心，局域網部分采取桌面推演方式參與到演練過程。該方式既能實現演練場景要求、達到演練目標，又能保證業務系統不受演練影響，不失為一種安全有效的創新性演練方式。

第三，細化演練方案，演練腳本流程化，控制演練的操作風險。演練內容既有網絡切換，又有系統切換，演練過程具有相當的操作難度及復雜行，操作風險顯而易見。為降低演練操作風險，增強演練過程可控性，我們將演練方案及方式逐步細化成演練步驟，并以簡明扼要的表格形式將切換步驟腳本化，規范每一演練流程的執行人員、開始時間、完成時間及操作方法，確保演練過程安全可控。

方案包括概述、應急演練組織、演練時間安排、演練內容及流程、演練風險與對策等五部分；演練流程包括26個演練步驟，每個演練步驟包括演練內容、詳細的操作步驟、開始時間、結束時間、執行人員、簽字確認等內容；演練步驟包括97個操作步驟，其中，58個實戰操作步驟，39個桌面推演步驟，操作步驟實現腳本化。

三、演練實施與問題處理

第一，演練組織與實施。（1）演練角色明細化。通過成立領導小組、協調小組、執行小組、基礎環境保障小組、測試小組及外部技術支持小組，明確分工、職責清晰；事前征得風險關聯單位部門對演練工作的認同，協調各相關單位部門積極配合演練工作。（2）演練執行報批化。一方面，向昆明中支應急辦報批演練請示與方案，嚴格按照程序開展應急演練；另一方面，向總行正式行文請示，取得總行對演練工作的指導與幫助。（3）演練培訓程序化。通過組織演練執行小組、基礎環境保障小組和測試小組學習等培訓學習，使每個參與的人員，明確的具體工作要求；通過對主備中心的網絡、系統參數和連接細節進行核對梳理，確保演練前環境準備到位。（4）演練的實施。組織省、市州、縣3級5個分支機構、商業銀行2個外聯機構、網絡維保服務商8個外部技術支持單位等，共計15個參演機構73名參演人員按時到崗，按既定方案和步驟開展切換應急演練。

第二，問題的處理。在演練過程中，我們發現并處置了兩個問題隱患。一是外聯的富滇銀行與人行互聯線路自動切換失敗。經查實，問題出現在對端的富滇銀行。執行小組技術骨干及時與對方溝通，發現對端靜態路由設置不當，經富滇銀行相關人員調整配置，網絡連通，再次進行主備線路切換測試，網絡仍可自動切換連通，切換測試通過。二是臨滄中支外管業務切換測試失敗，與之同步演練的麗江中支切換測試成功。經跟蹤路由，發現主中心下聯路由器有關臨滄中支外管業務的靜態路由配置不當，調整配置后問題得以解決。

四、演練的思考與啟示

我們在認真總結轉接中心切換應急演練的基礎上，認真思考了改進轉接中心應急管理工作，以及今后災備體系建設的“四個重點”問題。

第一，重要業務系統的同城災備體系建設問題。轉接中心尚未實現重要業務系統同城災備的功能，當機房斷電而導致的災難性網絡系統癱瘓狀況發生時，勢必導致TCBS、賬戶管理、電子對賬、財務綜合管理等55個信息系統的業務中斷。因此，加強重要業務系統的同城災備體系建設，真正實現包括網絡和重要業務系統在內的整個省級數據中心的同城災備，是我們下一步完善災備體系建設的重點工作和重要內容。

第二，省級外管中心的同城災備體系建設問題。省級外管中心依靠單點接入省級數據主中心，并轉載到全省業務網和金融城域網，尚無災備手段。一旦省級數據主中心主中心網絡癱瘓，全省外管業務隨之中斷。如何統籌考慮省級外管中心的災備建設，也是一個值得思考的問題。

第三，主中心與轉接中心負載分流的應急問題。我們將努力提高轉接中心應對主中心整體性網絡癱瘓的災備能力，改善轉接中心局域網溫備的運行狀況，研究主中心與轉接中心負載分流同時運行的思路，進一步降低網絡運行風險、保障各項業務系統安全穩定運行。

第四，區域網絡及重要系統災備系統的建設問題。演練發現的兩個問題提醒我們，應在加強自身災備體系建設的同時，加強對商業銀行、下聯單位應急災備工作的信息化指導，并通過實踐檢驗災備體系是否有效。我們將致力于災備體系建設研究，探索金融業信息安全保障體系建設工作思路，嘗試跨區域災備代理中心建設，以適應新形勢下對災備中心作用定位的新要求。