搜索结果: JR/T 0205-2020, JR/T0205-2020, JRT 0205-2020, JRT0205-2020
| 标准编号 | JR/T 0205-2020 (JR/T0205-2020) | | 中文名称 | 分布式数据库技术金融应用规范 灾难恢复要求 | | 英文名称 | (Distributed database technology financial application specification Disaster recovery requirements) | | 行业 | 金融行业标准 (推荐) | | 中标分类 | A11 | | 字数估计 | 14,123 | | 发布日期 | 2020-11-26 | | 实施日期 | 2020-11-26 | | 标准依据 | 金融标准全文公开系统(2020.11.26) | | 发布机构 | 中国人民银行 | JR/T 0205-2020: 分布式数据库技术金融应用规范 灾难恢复要求
JR/T 0205-2020 英文名称: (Distributed database technology financial application specification Disaster recovery requirements)
中 华 人 民 共 和 国 金 融 行 业 标 准
分布式数据库技术金融应用规范
灾难恢复要求
中国人民银行 发 布
1 范围
本文件规定了金融领域分布式事务数据库的灾难恢复要求,涵盖容灾能力分级、灾备技术要求和灾
备管理流程。
本文件适用于金融领域分布式事务数据库的研发、测试、评估、应用、运维和管理。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
5 概述
近年来,分布式事务数据库技术在金融领域应用不断深入,深刻影响和变革了金融机构的技术架构、
服务模式和业务流程,也给灾难恢复带来了新的挑战。分布式事务数据库在灾难恢复的影响评估、关键
指标、技术要求和组织管理等方面与传统架构存在诸多差异,应重点关注并妥善应对。为了保障应用业
务连续性,确保数据的可靠性达到管理规范要求,应评估具体业务在故障或灾难发生时可能造成的影响。
根据不同灾难恢复等级,确定灾难恢复目标,设计和实施对应的检测机制和恢复手段。
6 容灾能力分级
6.1 风险与业务影响分析
金融机构应根据业务连续性目标和业务发展规划,对分布式事务数据库进行详细的风险分析。在风
险分析过程中,应根据不同的业务场景,重点界定风险分析的目标和范围,使用恰当的分析方法,对所
面临的威胁进行深入剖析,评估各类风险发生的概率和可能导致的损失。
在金融领域分布式事务数据库应用场景中,风险分析应重点关注使用分布式事务数据库技术可能引
发的新风险、威胁、脆弱性和损害,包括但不限于以下方面:
a) 无法预知的区域局部性灾难,如生产中心所在的楼宇发生火灾、爆炸、全部楼宇停电、通信
瘫痪等。
b) 严重的台风、地震、洪水等自然灾害。
c) 访问控制不当可能导致的信息泄露。
d) 系统人员误操作造成意外宕机或关键数据丢失。
e) 硬件设备、网络等性能瓶颈可能导致的系统中断。
f) 手段频多的黑客攻击、病毒入侵、垃圾邮件、网络与系统的漏洞而造成安全隐患。
g) 系统故障、升级等可能导致的问题群发。
h) 适应金融行业与政府的标准法规不断变化。
经过严谨的风险分析之后,应对风险可能造成的业务影响进行研判。在金融领域分布式事务数据库
使用场景下,对业务影响进行分析时,首先需要根据监管要求、业务性质、业务服务范围、数据集中程
度、业务时间敏感性、功能关联性等要素进行业务功能分析,并在此基础上评估业务中断可能造成的影
响,确定灾难恢复目标及恢复优先级。
6.2 容灾能力级别划分
根据GB/T 20988-2007、 GB/T 22240-2008、 JR/T 0044-2008的相关要求,按照所承载的业务
系统发生故障或瘫痪的影响范围、危害程度等对分布式事务数据库容灾能力要求进行划分。
结合金融领域特性,将分布式事务数据库发生故障或瘫痪的影响范围分为4个层级:
a) 内部辅助管理:未对金融机构经济效益、社会声誉产生直接影响的内部管理事项。
b) 内部运营管理:对金融机构经济效益、社会声誉产生直接影响的内部管理事项。
c) 公民、法人和其他组织的金融权益,包括:
--公民、法人和其他组织的财产安全权、知情权、公平交易权、依法求偿权、信息安全权。
--其他影响公民、法人和其他组织的金融权益的事项。
d) 国家金融稳定、金融秩序,包括:
--国家对外活动中的经济金融利益。
--国家金融政策的制定与执行。
--国家金融风险的防范。
--国家金融管理活动。
--多数关键金融机构、金融市场及其基础设施的稳定运行。
--其他影响国家金融稳定、金融秩序的事项。
将分布式事务数据库发生故障或瘫痪的危害程度划分为3类:
a) 较小影响:指的是工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出
现较轻的法律问题、较低的财产损失等。
b) 一般影响:指的是工作职能受到一般影响,业务能力显著下降且影响主要功能的执行,引发
一般的法律问题、较高的财产损失等。
c) 严重影响:指的是工作职能受到严重影响或丧失行使能力,业务能力严重下降或功能无法执
行,出现严重的法律问题等。
根据应用于金融领域的分布式事务数据库的业务系统的重要程度和发生故障或瘫痪的影响范围、危
害程度,将其容灾能力等级划分为6级,具体见表1。
6.3 关键指标
应用于金融领域的分布式事务数据库灾难恢复能力应至少达到4级及以上能力要求,具体对应的
RTO、RPO、灾备部署等关键指标要求见表2。
7.1 灾备建设模式
应用于金融领域的分布式事务数据库应具备自动或手动灾难恢复能力,满足不同等级灾难恢复要
求。在单个机房发生灾难的情况下(如机房进水导致机房整体受损),提供不同等级的容灾能力。在受
灾机房恢复之前,应保证受灾机房中所对应的数据库数据和应用服务能通过技术手段全部恢复或者部分
恢复,即对数据可靠性和服务可靠性的影响控制在可预期范围内,数据恢复点目标和恢复时间目标根据
应用容灾等级进行约束。
分布式事务数据库的灾备建设模式选择,应结合风险分析、业务功能分析和业务中断影响分析,根
据成本风险平衡原则以及运行管理要求,选取相应的灾备建设模式。
灾备建设模式具体要求如下:
基本要求:
同城灾备场景:应支持同城两中心或同城多中心部署架构,具体为在生产中心所在城市建设同城数
据中心,以应对火灾、电力中断等生产中心可能发生的灾难。
增强要求:
异地灾备场景:宜支持两地三中心或多地多中心等部署架构,具体为在生产中心所在城市建立同城
数据中心,同时在与生产中心处于不同地理区域的城市建立异地数据中心,以应对可能发生的同城范围
的灾难。
7.2 技术要求
金融领域分布式事务数据库应至少达到4级容灾能力要求,容灾能力相关技术要求应符合GB/T
20988-2007中的规定。本章节从数据备份、数据处理、网络能力和运维能力4个要素给出不同容灾能力
等级的具体要求,详见表3至表5。
a) 数据应在生产、同城和异地数据中心至少各有2个数据副本。
b) 确保每个同城数据中心至少有1个副本是同步复制,保障数据一致性。
c) 完全数据备份至少每2天1次。
d) 增量数据备份至少每天1次。
数据处理
a) 备用数据处理系统的主机、操作系统等资源与生产数据处理系统完全兼容。
b) 异地和同城数据中心均具备与生产数据处理系统相一致的备用数据处理能力,并
处于运行状态。
c) 应确保备用数据处理系统具备与生产数据处理系统相同的高可用特性。
网络能力
a) 提供充足的网络带宽,保证备份数据传输带宽大于业务峰值所需的带宽需求。
b) 异地和同城数据中心的虚拟网络、物理网络、出口网络带宽及链路配置与生产系
统的网络能力相同。
运维能力
a) 应能够对灾备能力进行集成管理,支持通过可定制的标准化流程完成流量自动或
集中切换。
b) 灾难事件发生后,备份数据中心的数据库资源管理仍可完成对备份数据中心的资
源管理和调度。
c) 对生产系统关键运行状态进行实时监控和告警。
d) 分布式事务数据库需要为关键的运营数据提供数据备份。
a) 数据应在生产和同城数据中心至少各有2个数据副本,在满足RPO、RTO的要求下,
异地至少有1个数据副本。
b) 确保每个同城数据中心至少有1个副本是同步复制,保障数据一致性。
c) 完全数据备份至少每周1次。
d) 增量数据备份至少每天1次。
数据处理
a) 备用数据处理系统的主机、操作系统等资源与生产数据处理系统完全兼容。
b) 异地和同城数据中心均具备与生产数据处理系统相一致的数据处理能力,至少有
1个备份处于运行状态。
c) 应确保备用数据处理系统具备与生产数据处理系统相同的高可用特性。
网络能力
a) 提供充足的网络带宽,保证备份数据传输带宽满足业务峰值所需的带宽需求。
b) 异地和同城数据中心的虚拟网络、物理网络、出口网络带宽及链路配置与生产系
统的网络能力相同。
运维能力
a) 应能够对灾备能力进行集成管理,支持通过可定制的标准化流程完成流量自动或
集中切换。
b) 灾难事件发生后,备份数据中心的分布式事务数据库资源管理仍可完成对备份数
据中心的资源管理和调度。
c) 对生产系统关键运行状态进行实时监控和告警。
d) 分布式事务数据库需要为关键的运营数据提供数据备份。
a) 至少有1个数据副本处于同城或异地数据中心。
b) 至少存在1个数据副本是同步复制,保障数据一致性。
c) 完全数据备份至少每周1次。
d) 增量数据备份至少每天1次。
数据处理
a) 同城数据中心备用数据处理系统的主机、操作系统等资源与生产数据处理系统完
全兼容。
b) 同城数据中心具备与生产数据处理系统相一致的数据处理能力,至少有1个备份
处于运行状态。
c) 应确保备用数据处理系统具备与生产数据处理系统相同的高可用特性。
网络能力
a) 提供充足的网络带宽,保证备份数据传输带宽满足业务峰值所需的带宽需求。
b) 同城数据中心的虚拟网络、物理网络、出口网络带宽及链路配置与生产系统的网
络能力相同。
运维能力
a) 应能够对灾备能力进行集成管理,支持通过可定制的标准化流程完成流量集中切
换。
b) 灾难事件发生后,备份数据中心的分布式事务数据库资源管理仍可完成对备份数
据中心的资源管理和调度。
c) 对生产系统关键运行状态进行实时监控和告警。
d) 分布式事务数据库需要为关键的运营数据提供数据备份。
8 灾备管理流程
8.1 灾难预防
灾难预防应支持对数据中心灾备环境与主生产环境一体化管理,将数据中心的变更、容量、配置、
监控、事件、应急、安全等管理流程延伸到同城数据中心和异地数据中心,尤其当主生产环境发生变更
时,应定期对灾备环境进行同步变更。
灾难预防应建立和完善的机制包括如下内容:
a) 应支持数据库灾备环境系统可用性检测。
b) 应支持自动或手动切换服务的功能。
c) 数据中心应定期制定灾备切换演练计划,定期进行灾备切换演练,验证灾备系统的有效性。
d) 数据中心应建立完善的应急处理体系,灾难恢复预案和流程应经过切换演练的验证,能确保
在紧急情况下发挥作用。
8.1.1 灾难预案管理
灾难预案管理通常包含如下内容:
a) 可用性检测管理:
--应具备灾难检测预案和灾难检测机制,判断资源的可用性。
--应支持对资源的状态进行实时检测,当检测到生产中心异常时及时触发灾备切换。
b) 数据备份管理:
--应具备数据备份方案,定期对生产数据中心和灾备数据中心的数据进行备份。
--应具备数据一致性检测方案,定期对备份数据进行一致性检测。
--应具备备份数据的恢复校验功能,避免因为异常导致备份数据不可用。
-......
|