第二代支付系统是我国经济金融的重要基础设施，必须确保其安全、稳定运行。第二代支付系统采用“两地三中心”的架构，基本实现了系统自动切换和数据零丢失的目标。我国大型商业银行及股份制银行大多采用“两地三中心”的架构建立其灾备系统，而规模较小的外资法人银行及外资银行的分支机构虽然按照监管要求进行了核心业务系统灾备建设，但灾备等级较低，业务连续性保障存在不足。

本文针对支付清算系统参与者中规模较小的外资法人银行及外资银行分支机构进行研究分析，试图找出适合规模较小的外资银行可供参考的支付清算系统灾备系统建设方案。

一、中小外资银行支付清算系统灾备系统建设原则

(一)高度重视，加强沟通协作原则

制定一个安全有效的灾备系统需要高层管理者、部门管理者、法律合规顾问的支持参与，提供必要的人力、物力资源，各职能部门的通力合作，如人力资源部门、行政部门、信息科技部、业务部门等。如果没有高层管理者的长期支持，就不可能采取全组织范围内的行动。除高层管理者负责领导系统灾备建设外，还应加强与外部支持机构、监管机构、应急管理机构的沟通协作。

(二)量身定制，兼顾管理成本与效益原则

灾备系统建设方案应当根据银行自身的发展需要量身定做，高规格的灾备系统建设，需要投入大量的资源，对日常支持和维护也提出较高的要求；过低级别的灾备系统则不能够满足应对灾难的需求。商业银行具有企业性质，是经济组织，以盈利为目的，需要充分衡量灾难发生带来的损失、应负有的社会责任、对金融市场的影响、监管部门的要求、信用风险、法律及声誉的风险等因素，兼顾管理成本与效益，制定切实可行的业务恢复目标。

(三)目标明确，计划清晰易操作原则

在深入业务分析的基础上，制定明确的恢复目标及优先级。灾备恢复计划中的策略及流程要清晰明了，各个部门能够切实理解和执行，系统恢复易操作，保障有序恢复关键业务。充分考虑可操作性、行内技术及管理能力，体现“自主可控”，过于复杂的计划往往会因为技术支持和管理能力的不足而失控。

(四)纳入日常运营管理原则

一个高效的灾备管理计划需要一个循环进行的规划、演练、评估和整改过程，以避免“重建设、轻管理”。参与应急管理与灾难恢复的所有员工都要培训，以按照明确的流程进行恢复和应付突发事件，并将灾备环境纳入日常监控和维护流程，保障灾备环境的可用性。

二、中小外资银行支付系统同城灾备建设(一)中小外资银行灾备机房基础设施建设现状

建设自主运维的灾备机房，对中小外资银行来说不仅需要投入大量的资源进行建设，而且后期的维护成本较高，总体来看投入大于收益，可行性不高。因此，部分中小外资银行因经营范围及规模的限制，没有建设自主运维的灾备中心，租用灾备外包服务商的部分场地及共享配套基础设施，通过限制外包商对租用区域的访问，控制物力安全。

外包服务的主要优势包括:数据中心外包商按照国家数据中心机房建设标准进行建设；配有专业的电力供应、UPS设备、机房精密空调设备、消防安全设备等基础设施；具有先进的环境监控系统，提供24小时不间断的基础设施监控服务；专业的维护团队拥有数据中心实际运维管理经验等等。

外包服务带来优势的同时，也带来了外包管理风险，因此，商业银行的管理责任不能外包。中小外资银行应确定外包服务所涉及的信息资产的关键性和敏感程度，审慎确定灾备中心服务范围，还应充分审查、评估外包服务商的资质、专业能力和服务方案。

(二)中小外资银行灾备机房网络建设方案设计

1、限制条件《第二代支付清算系统直接参与者接入环境验收标准》中要求一点接入全国性金融机构必须具有备份机房。第二代支付系统参与者接入网络要求专机专用，包括路由器、交换机、防火墙及服务器等设备，采用数据专线直接接入国家处理中心(NPC)或城市处理中心(CCPC)，关键设备应实现热备，关键线路应选用两家以上的运营商。

2、方案设计按照灾备系统的网络建设兼顾管理成本与效益原则，根据参与者与CCPC接入方式，统筹考虑接入网络的建设规格，可以选择参照生产环境建设灾备环境，充分考虑支付系统的业务量来合理配置生产环境与灾备环境之间的通信线路带宽，高速率数据专线带来高的传输效率，但也需要一定的投入。

3、具体方案按照日均交易量小于500笔，日交易峰值小于5000笔的支付交易规模，综合考虑支付报文发送频率、维护成本、发生生产故障带来的影响及应急预案后的灾备系统网络设计(见下图):

网络环境部署要点包括:(1)金融城域网生产环境使用中国电信和中国联通专线各一条或为备份，连接CCPC，保障生产环境通信线路的可用性。(2)行内生产环境和灾备环境之间，通过中国电信和中国联通专线各一条或为备份连接。配置服务质量(QOS)保障支付系统数据通讯。(3)灾备环境采用单机部署，部署一套设备，金融城域网通过东方有线接入上海CCPC同城转接中心，通过CCPC内部路由可以访问CCPC生产环境或CCPC灾备环境。

(三)中小外资银行支付系统灾备系统建设方案

在商业银行支付系统灾备系统建设方面，综合考虑业务量、业务中断的影响、灾备恢复小组的技能和投资收益情况，采取单机模式灾备环境的具体配置建议如下:

1、生产环境支付报文传输平台商业银行前置机(PMTS－MBFE)主机采用双机高可用性(HA)配置，采用单机部署模式接入城市处理中心。

2、灾备环境PMTS－MBFE

主机采用单机配置，部署为生产环境的冷备机模式，灾备PMTS－MBFE主机地址保持和生产环境相同。

3、在边界防火墙上配置地址映射对PMTS－MBFE和人行支付报文传输平台(CCPC－PMTS)主机进行双向地址映射(NAT)。将CCPC－PMTSA和CCPC－PMTSB

映射为行内地址，将行内PMTS－MBFE

映射为CCPC分配的金融城域网内地址。

4、PMTS配置文件和MQ配置脚本中PMTS－MBFE和人行CCPC－PMTS主机地址保持不变，不需要针对灾备环境修改支付报文传输平台(PMTS)配置文件和MQ配置信息。

5、行内系统数据同步，通过数据库应用软件的同步(或镜像)组件进行同步，不同的数据库厂商大多提供了交易日志的传送功能，全程由作业控制，主服务器定时向辅服务器发送日志，辅服务器处于备用(STAND

BY)模式下，定时按日志进行差异恢复。

6、使用域名服务器进行生产和灾备地址的切换，应用程序使用域名代替IP地址对主机进行访问，以降低因为主机切换对应用程序的影响。

三、灾备场景设计和应急预案灾难恢复和应急管理共同构成了业务连续管理(BCM)，在灾备方案设定的情况下，应针对可能出现的应急场景制定应急处置预案。合理的灾难恢复场景设计需要明确在不同场景下的应急流程和措施，这是保障业务连续性计划有效性的基础之一。以下从信息科技角度简述进行应急处理的思路。

(一)生产环境整体损毁，整体不可用

在此场景下，生产网络与金融城域网连接完全中断，生产PMTS－MBFE主机与CCPC－PMTS

失去连接。从系统层面上看第二代支付系统专项应急预案要注重启动灾备环境系统，强化与CCPC的沟通协调等环节，以确保灾备环境可以顺利接管生产系统并具备安全回切功能。启用灾备网络接入金融城域网，使用PMTS－MBFE

冷备机接替生产，请求CCPC重置MQ消息队列，恢复PMTS－MBFE与CCPC－PMTS

通信。

(二)生产环境可用，不能进入办公区域

在此场景下，生产系统仍然可用提供正常服务，但人员不能进入办公场所。从信息技术层面出发，第二代支付系统专项应急预案应侧重于从灾备场所远程访问应用、远程技术支持及数据远程备份等环节的管理，包括行内系统的数据异地备份及备份介质的异地存储等。(三)PMTS－MBFE

生产主机系统严重故障

在此场景下，PMTS－MBFE

两台主机都发生故障，或存储设备不可用，且在短时间内不能修复。从信息技术层面上讲，应急流程较为复杂。具体包括:

1、整体切换到灾备环境，金融城域网、PMTS－MBFE及行内系统切换到灾备环境，该方案对数据同步及安全回切要求较高。

2、仅切换PMTS－MBFE

到灾备环境，相当于启用冷备机，可以通过防火墙的NAT映射，使PMTS－MBFE

冷备机通过行内网络路由到生产环境访问CCPC－PMTS，行内系统生产环境，通过修改DNS记录，访问灾备环境的PMTS－MBFE

冷备机。同理，修改防火墙使CCPC－PMTS

可

以

访

问PMTS－MBFE。此方案要求修改生产和灾备防火墙的NAT和DNS记录，对行内系统的应用和数据没有影响。故障排除后切回PMTS－MBFE主机。

3、切断生产线路与CCPC之间的连接，启用灾备线路和PMTS－MBFE

冷备机，PMTS－MBFE冷备机通过灾备环境接入CCPC－PMTS，修改DNS使PMTS－MBFE对应灾备主机，行内系统通过域名访问灾备环境的PMTS－MBFE

冷备机。此方案只需要修改灾备环境防火墙设备和DNS记录，对行内系统的应用和数据没有影响。故障排除后切回PMTS－MBFE

主机。

(四)金融城域网参与者生产网络环境不可用

在此场景下，生产环境主线路和备用线路发生故障，且在短时间内不能修复。从信息技术层面上看，主要涉及防火墙的地址重映射技术。应急处置大致步骤如下:

1、仅切换金融城域网参与者接入环境，需要修改灾备环境防火墙，将CCPC－PMTS经行内映射的地址，再次映射为行内地址，该地址可以被生产环境防火墙访问，修改生产环境防火墙的NAT设置，将CCPC－PMTS

经行内映射的地址指向灾备环境的防火墙“再次映射的地址”。同理，修改防火墙使CCPC－PMTS

可以访问PMTS－MBFE。PMTS－MBFE主机通过生产防火墙、再经灾备防火墙和灾备金融城域网访问CCPC－PMTS主机。

2、启用灾备线路和PMTS－MBFE

冷备机，PMTS－MBFE冷备机通过灾备环境接入CCPC－PMTS，修改DNS使PMTS－MBFE对应灾备主机，行内系统通过域名访问灾备环境的PMTS－MBFE冷备机。此方案只需要修改灾备环境防火墙设备和DNS记录，对行内系统的应用和数据没有影响，行内系统不需要回切。故障排除后切回PMTS－MBFE主机和金融城域网参与者接入环境。