（2021年3月12日发布）

　　第一部分 总体说明　

　1 前言

　　证券公司信息系统是证券公司的核心，也是各类业务运行的重要基础，为在信息系统发生故障、灾难或重大灾难时，有效保障业务的连续性，证券公司应严格遵循《证券基金经营机构信息技术管理办法》（以下简称《办法》）、《证券期货经营机构信息系统备份能力标准》（以下简称《标准》）等文件的要求，为自身的信息系统建立有效的备份能力。

　　《标准》规定，证券公司的信息系统备份能力包括数据备份能力、故障应对能力、灾难应对能力和重大灾难应对能力。其中，数据备份能力包括备份频率、保存方式和恢复验证等三个方面的要求，故障应对能力、灾难应对能力和重大灾难应对能力，包括恢复时间目标（RTO）、恢复点目标（RPO）和性能容量等三个方面的要求。

　　《标准》共定义了六个等级的备份能力,从低到高依次从第一级到第六级。其中，第一级为数据备份级，包括对数据备份的要求；第二、三、四级为故障应对级，包括对数据备份和对故障应对的要求；第五级为灾难应对级，包括对数据备份和对故障应对、灾难应对的要求；第六级为重大灾难应对级，包括对数据备份和对故障应对、灾难应对、重大灾难应对的要求。

　　《标准》对证券公司需要建设备份能力的重要信息系统的范围进行了明确界定，指出重要信息系统是指支持证券公司关键业务功能、如出现异常将对证券期货市场和投资者产生重大影响的信息系统，包括集中交易系统、投资交易系统、金融产品销售系统、估值核算系统、投资监督系统、份额登记系统、第三方存管系统、融资融券业务系统、网上交易系统、电话委托系统、移动终端交易系统、法人清算系统、具备开户交易或者客户资料修改功能的门户网站、承载投资咨询业务的系统、存放承销保荐业务工作底稿相关数据的系统、专业即时通信软件以及与上述信息系统具备类似功能的信息系统。

　　《办法》要求，证券公司应当确保备份系统与生产系统具备同等的处理能力，保持备份数据与原始数据的一致性。在上述重要信息系统中，在数据备份能力方面，实时信息系统、非实时信息系统均应当达到第一级；在故障应对能力方面，非实时信息系统应当达到第二级，实时信息系统应当达到第四级；在具备灾难及重大灾难应对能力方面，实时信息系统、非实时信息系统均应达到灾难应对能力第五级、重大灾难应对能力第六级；灾难应对能力可以通过重大灾难应对能力体现，但重大灾难应对能力相关技术指标应当达到灾难应对能力第五级。

　　对于证券公司而言，遵循《办法》与《标准》的要求，建设信息系统备份能力的工作，具有多种实施模式，包括两地两中心模式（主中心+异地灾备中心）、两地三中心模式（主中心+同城灾备中心+异地灾备中心）等。证券公司可根据自己的实际情况，选择符合自身实际的模式，以达到《办法》与《标准》的要求，从而确保信息系统具备足够的应对故障、灾难或重大灾难的能力，为业务的连续性提供有效保障。

　　本文所收录的山西证券、东吴证券、南京证券三家公司的备份能力建设工作实施案例，在严格遵守《办法》与《标准》的前提下，在方案设计上采用了相同的思路，具有以下特点：

　　·以行业核心机构的云平台作为备份能力的承载平台；

　　·采用两地两中心模式（主中心+异地灾备中心）；

　　·灾难应对能力通过重大灾难应对能力体现，且重大灾难应对能力相关技术指标达到了灾难应对能力第五级标准；

　　·备份系统与生产系统具备同等的处理能力；

　　·基于可行性、安全性等方面的考虑，根据信息系统的重要性，制定了分布建设的实施策略。

　　这种模式的优点在于总体结构较为简单，建设速度较快，切换策略明确，并且可以借助行业核心机构的力量，保证备份能力所依托基础环境的安全可靠。但由于灾难应对能力通过重大灾难应对能力来体现，因此对于远程数据同步和切换操作等方面的规划，都具有较高的要求。

　　符合规范要求的备份能力建设方案，并不局限于上述这种模式。各证券公司可以根据自身业务规模、系统复杂度、现有备份能力实现状况等实际情况制定合规、科学、完整、可行的方案，以保证自身信息系统的备份能力严格符合《办法》与《标准》的规定。协会信息技术委员会将密切关注行业推进此项工作的指导性意见及具体情况，不断推荐更多的案例，以促进全行业的信息系统备份能力合法、合规、合理地达到规范要求。

　　2  项目背景

　　2.1    项目目标

　　证券公司为保证各类业务运行的连续性，必须做好信息系统备份能力的规划及建设工作。信息系统备份能力的规划建设，需要综合考虑建设模式、机房选址、系统覆盖范围及处理能力、建设及后期维护成本等各方面因素，以满足行业相关规范要求，保障业务连续性，有效降低故障、灾难及重大灾难给证券公司造成的损失及影响。

　　（1）行业监管要求

　　根据《证券基金经营机构信息技术管理办法》（以下简称《办法》）要求，重要信息系统应当具备灾难及重大灾难应对能力，确保在发生故障后，有较快的系统恢复能力，并尽量减少丢失数据。重要系统分类如下：

　　《办法》要求实时信息系统的故障应对能力应达到四级，非实时信息系统的故障应对能力应达到二级，所有信息系统的灾难应对能力应达到五级，重大灾难应对能力应达到六级。

　　（2）灾备系统建设标准

　　异地灾备中心应提供与主生产数据中心同等处理能力，灾备环境能完全承受生产切换时的所有业务负载，以确保实施灾备切换后，业务能依托异地灾备中心正常运行。

　　同等能力指异地灾备中心所部署的所有系统，其性能指标（如TPS、响应时间等）具有与生产环境同等的水平。同等处理能力不要求异地灾备中心具备与主生产数据中心完全一致的物理设备和系统架构。如果具备弹性条件，异地灾备中心可以在日常运行时采用最小资源运行模式，当实施灾备切换时，可在RTO时间内迅速完成资源弹性扩容，以达到同等能力处理要求。

　　异地灾备中心系统建设参照《证券期货经营机构信息系统备份能力标准》及《信息安全技术信息系统灾难恢复规范GB/T 20988—2007》。

　　2.2    应急切换组织

　　证券公司应制定《信息安全事件应急处置流程》等制度，保证事件发生时公司能够快速响应，妥善应对，尽快恢复信息系统，降低信息安全事件对业务的影响，保障业务持续对外服务和运营。

　　2.3    覆盖范围

　　建议异地灾备中心的应用系统建设分三期进行，并以确保经纪业务（特别是零售业务）的连续性为一期建设目标，逐步积累云环境下异地灾备系统的建设和运维经验，待条件成熟后再逐步扩大系统范围,分期建设涉及的系统清单建议如下：

　　3  总体技术方案

　　3.1    基础平台概述

　　证券公司异地灾备中心需要与主中心、分支机构，以及交易所、证联网、基金公司等外部机构间建立通讯线路，实现互联，中心间互联关系图如下：

　　3.2    网络架构与通信

　　（1）网络功能分区

　　按照业务的重要程度、业务的特点及类别、业务的等级保护要求，宜将异地灾备中心的网络分成多个功能区域，部分功能区域之间实现安全隔离，区域建设建议如下：

　　（2）通讯线路

　　根据业务需求和系统部署要求，与内联机构和外联机构之间采用数据专线或VPN的通信方式。采用双线路冗余设计时，可采用不同运营商的数据专线或数据专线和不同运营商VPN的方式实现互备。

　　为降低通讯成本，可在外联单位或内联单位较为聚集的城市设立专门的通信中转点，由该站点实现与异地灾备中心的通信。下表给出了异地灾备中心主要通讯线路的建议。

　　3.3    云平台系统性风险防范

　　当券商采用租赁可信机构云服务的方式构建异地备份能力时，其异地备份的可靠性高度依赖于云平台自身的安全性与连续工作能力。因此云平台的供应商，应采取多种措施，防范因云平台故障给券商造成系统性风险。以两家行业核心机构（上交所技术、深证通）为例，作为向行业提供云平台服务的供应商，两家公司在云平台的规划、部署与管理等各层面，对此均有较为完善的考虑。

　　3.3.1   多数据中心部署

　　两家核心机构均采用多数据中心部署的模式，以避免单一中心造成的风险集中；每个数据中心不仅具有T3+的高建设级别，而且均配备有经验丰富的运行管理团队，以保障运行安全。

　　3.3.2   云平台安全体系

　　两家核心机构均从物理安全、基础平台安全、虚拟数据中心安全、内部网络隔离安全、边际网络防护安全以及运维安全等六个方面，构建了较为完善的安全体系，对云平台进行安全保障。

　　（1）物理安全

　　物理数据中心具有T3+及以上级别，并且建立了严格的管理制度，对人员出入、值班、监控、入侵监测等方面进行全面管理。

　　（2）基础平台安全

　　云平台软硬件部署采用全冗余、多活的集群架构，服务器和网络设备无单点故障；通过高可用的平台架构和软件定义网络架构，有效降低平台的运营风险，保障平台的安全稳定运行

　　（3）虚拟数据中心安全

　　云平台支持虚拟网络，用户可自定义网络，部署第三方安全设施，并将流量导向安全设施；用户可在其虚拟网络内部署堡垒机，以及防火墙、IPS、WAF等安全设施，进行自主控制。

　　（4）内部网络隔离安全

　　云平台内部采用VRF等技术手段有效隔离租户的虚拟网络，基础设施平台内部各节点间使用有效技术手段封装，隔离平台侧和租户侧的虚拟网络流量；基础设施互联网络部署BGP VPN，以隔离网络流量；云平台与外部网络之间部署防火墙及软件定义的IPS和WAF等安全措施。

　　（5）边际网络防护安全

　　云平台用户灾备数据中心与用户生产数据中心之间部署防火墙，以实现区域间安全隔离；云平台互联网出口部署防火墙及IPS、WAF、流量清洗平台，以提供互联网防DDOS攻击服务、安全防护和WEB应用防护。

　　（6）运维安全

　　云平台用户通过专线或SSL VPN接入运维，登录过程中采用双因子认证，运维操作通过堡垒机，堡垒机记录运维人员全部操作。

　　3.3.3   云平台应急保障

　　两家核心机构的云平台均制定有电力、空调、网络、主机等各种故障的应急保障方案，每年在非交易时间内，模拟各种故障情况，按照应急保障方案进行应急演练，并根据演练情况，及时升级应急方案。

　　3.4    系统维护责任边界的划分

　　云平台供应方（上交所技术、深证通等核心机构）提供异地灾备系统部署所需要的基础资源，负责保障基础资源平台的安全稳定运行和网络接入，券商负责保障灾备应用系统的稳定运行，具体分工见下表。

　　3.5    项目一期系统及设备配置

　　根据项目覆盖范围的规划，异地灾备中心项目一期建议以实时信息系统中涉及核心业务的系统为主。

　　系统部署需具备有效可行的弹性扩展方案，并制定针对弹性扩展的镜像制作、镜像更新、测试管理及应急启动的管理制度和操作流程。

　　3.5.1 集中交易系统

　　（1）部署参考示意图

　　集中交易系统主要包括交易管理、证券申报回报、银证申报回报、行情处理、接入管理等系统模块，部署示意如下图。

　　（2）程序清单、设备清单及配置参考示例

　　3.5.2 网上交易及手机接入服务

　　（1）部署参考示意图

　　网上交易及手机接入服务主要包括委托主站和委托接口等系统，部署示意图如下：

　　（2）程序清单、设备清单及配置参考示例

　　3.5.3 行情资讯系统

　　（1）部署参考示意图

　　行情资讯系统主要包括资讯主站、行情主站、数据转发等系统，部署示意图如下：

　　（2）程序清单、设备清单及配置参考示例

　　3.5.4 外部接口服务

　　（1）部署参考示意图

　　外部接口服务是指由外部接入程序组成的支持交易、行情、清算等相关业务的接入服务, 有沪深报盘、沪深行情、沪深登记公司、深证通等业务类型，部署示意图如下：

　　（2）程序清单、设备清单及配置参考示例