备战奥运：确保信息系统安全稳定运行——访银联数据服务有限公司总裁单怀光

备战奥运：确保信息系统安全稳定运行——访银联数据服务有限公司总裁单怀光 备战奥运:确保信息系统安全稳定运行—— 访银联数据服务有限公司总裁单怀光 备战奥?_1?—_一-?确保信息系统安全稳定运行 访银联数据服务有限公司总裁单怀光 本刊记者李勇 随着2008年北京奥运会的日益临近,中国金融业 为保障奥运期间信息系统的安全稳定运行,正加快落实 信息系统风险防范的各项措施,确保为境内外消费者提 供又好又快的金融服务.在日前召开的奥运支付环境建 设工作领导小组会议上,人民银行副行长苏宁要求各金 融机构切实加强对支付系统的安全保障工作.可以预期 的是,奥运期间银行卡等金融服务需求将出现高峰,给 各金融机构信息系统运行的安全性与稳定性带来严峻挑 战.近一时期,随着各金融机构安全评估,自查和整改 工作的展开,有关保障信息系统安全运行的措施和经验 单怀光:作为国内领先的银行卡发卡数据处理外包服务商,为客 户提供安全稳定的系统运行服务是银联数据的立足之本,让客户放 心,省心,安心既是我们3-作的最高要求,也是最基本的要求. 已成为金融业高度关注的焦点.为此,本刊 记者采访了银联数据服务有限公司(以下简 称"银联数据")总裁单怀光. 单怀光告诉记者,作为国内领先的银行 卡发卡数据处理外包服务商,为客户提供安 全稳定的系统运行服务是银联数据的立足之 本,让客户放心,省心,安心既是他们工作 的最高要求,也是最基本的要求.银联数据 已与约50家境内外金融机构签署了发卡外包 服务 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 ,其中包括兴业银行,民生银行, 华夏银行,中国邮政储蓄银行,以及宁波银 行和北京银行在内的36家银行客户已经在银 联数据发卡系统平台上发卡运营.截至2008 年5月13日,银联数据贷记卡外包发卡量突 破1000万张,各金融机构贷记卡外包发卡量 呈现加速发展态势.这充分证明了银联数据 对客户业务发展所起到的强有力支持作用. j圆鞠峨 记者:随着奥运会开幕时间的,临近,各金融机构为 最大限度地防范信息系统风险所部署的各项信息安全3- 作基本完成.请您介绍一下银联数据信息安全3-作的现 状和特点. 单怀光:银联数据高度重视信息安全工作,早在 2003年1月,即公司成立之初,我们就严格按照政府主管 部门和中国银联有关信息安全工作的规定和要求,建立 处理等信息安全工作,制定并不断完善相应的规章制度 和工作流程.2007年,在中国银联牵头下,我们还依据 中国人民银行,银监会((关于印发开展银行业金融机构 重要信息系统安全等级保护定级工作的 通知 关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知 对公司的 信息系统进行了等级保护定级评估工作,并定期对信息 系统安全状况,安全保护制度及措施的落实情况进行自 杏 门负责人组成的跨部门安全领导协调机构, 统一领导与分级管理并重,定期组织召开跨部门安全工 作会议,加强部门间信息安全工作的协同配合,保障信 同时,我们还设立了质 息安全工作的高效率和科学性. 量保障部,负责对信息安全工作质量进行协调监督. 第二,制定了明确的灾难恢复系统建设策略.我 们主要从两个方面来进行保障.一方面是系统层面的保 障,通过系统硬盘,磁带库,移动磁盘和异地灾备设备 等的规划和实施来进行.目前,银联数据的同城灾备系 统建设工作正在通过虚拟带库的建设予以进一步完善, 并已启动在北京的发卡系统异地灾备建设工作.另一方 面是业务层面的连续性保障,对于核心业务系统,我们 实施应用级备份,保障灾难发生时,尽快恢复客户的业 务运行.同时,对于其他应用系统,我们结合实际情况 实施系统级和数据级备份. 第三,制定了系统,完整的信息安全 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 和制度 体系.我们围绕系统运行,数据使用,故障评估和应急 12瘁2008 运行权限分开的原则,有效保障了系统的 安全运行. 第五,有效地执行安全制度.有了安全制度,有 了安全意识,最终效果还得看执行.我可以自豪地讲, 在信息安全保障上,银联数据做得最好的一个环节就是 执行,这是与公司对信息安全的高度重视密切相关的, 尽管在制度和战略方面还存在有待完善的空间,但对于 既有的制度和规范,我们要求不打折扣的贯彻执行.目 前,银联数据已连续二年通过SAS70第二类审计(SAS70 第二类审计又称"审计标准公告第70号",是由美国注 册会计师协会制定的,国际公认的用来评估服务机构内 部控制和安全措施是否充分的标准).在两次审计中, 第三方审计公司均对银联数据出具了无保留意见的审计 报告,报告显示审计期间内银联数据所有控制目标均为 有效控制. 记者:请您谈谈金融机构管控ITig行风险,消除安 全隐患的方法和经验. 单怀光:银联数据IT运行的风险管控工作可以用 "早准备,抓落实,勤检查,持续改进"四句话来概 括."早准备"是指在系统运行环境,信息安全规章制 度和流程等方面做出充分有效的安排和准备;"抓落 实"是指贯彻落实各项信息安全工作措施,并注重执行 效果;"勤检查"是指公司指派专人负责定期开展对IT 运行各环节的规范化评估;"持续改进"是指根据定期 检查的评估结果,对其中相对薄弱的环节进行改进优 化.落实到具体工作中,根据IT系统运行可能出现风险 的环节,公司着重从以下几个方面来进行防范IT运行风 险. 第一,在基础设施方面,银联数据一直十分重视IT 运行各环节建设,不断加强对机房环境的管理.发卡系 统机房与中国银联银行卡信息交换系统机房同在中国银 联上海信息中心生产区内,具备相同的基础设施,包括 两路市电,两台应急发电机组,两路互为备份的UPS电 源,两台冗余的精密空调和自动报警及灭火系统等,同 时配备专业的维护人员和实时监控系统对基础设施进行7 ×24/],时监控,并且每周组织人员对机房环境进行实地 检查,以确保IT基础设施稳定运行. 第二,在系统建设方面,银联数据的系统具有高可 用性,这主要体现在系统资源的冗余设计方面.正如前面 提到的,在灾难备份建设方面,公司已制定"两地两中' (即同机房进行同步数据复制,异地进行异步数据复制,异 地灾备中心拥有灾备主机)灾备恢复系统建设策略,银联 数据的异地灾备系统建设工作正在有序展开.近几年, 随着银联数据的业务发展和技术的不断进步,我们在信 息系统建设上投入了大量精力,核心生产系统,存储系 统,外围系统和其他主要设备都已建成备份系统,有效 避免了系统级单点故障发生的可能. 第三,在IT运行管理方面,银联数据对IT运行管 理主要通过对变更,问题和事件三个方面的管控来进行 的.在变更管理方面,公司建立了完整的研发质量保证 体系,包括需求变更流程,开发流程,测试流程,生产 蝴圆l 变更流程等,贯穿从变更从立项,研发到投产的整个过 程.我们建立了专业的软件测试团队,降低信息系统的 变更风险,为信息系统的高效运行保驾护航;建立了独 立的准生产测试环境,为变更实施和软件测试提供影子 系统服务.在问题管理方面,公司建立了一套完整的问 题监控,问题报告和问题解决机制与流程,保证对IT 运行问题的及时发现和迅速,准确解决.在事件管理方 面,公司对发生的事件进行级别管理,建立故障报告制 度,依据银联数据服务有限公司系统故障级别定义暂 行办法每月对发生的故障进行等级认定,明确责任, 依据不同级别故障造成的影响采取针对性的应对措施, 最大程度地降低故障影响,同时避免下次发生同类故障 的可能. 第四,在应急演练与预警监测方面,银联数据已建 立了相当完善的应对突发事件的机制.在发生突发事件 的情况下,我们仍然可以保障系统,协调,高效地开展 工作,并将突发事件可能造成的损失控制在最低程度. 为此,我们制定了突发事件应急总分预案,每年组 织两次全方位的应急演练,提高全公司的实战能力.同 时,我们建立了良好的预警监测机制,对机房环境,发 卡系统和外围系统进行7×24/],时全方位监控. 记者:为保证今年北京奥运会期间信息系统的安全 运行,银联数据采取了哪些应对举措? 单怀光:为保障银联数据客户在奥运会期问为广大 国内外持卡客户提供高水平的金融服务,我们在贯彻落 实中国人民银行和中国银联对奥运期问信息安全专项工 作要求的基础上,结合客户需求,制定了严密的奥运会 期间信息系统安全保障工作 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 .具体工作主要分奥运 前和奥运会期间两个阶段进行. 在奥运会开幕之前,我们的重点工作包括以下几个 方面. 第一,开展自查自纠.按照中国人民银行提出的 "边查边改,抓紧落实"的工作要求,银联数据将在近 期进行两次信息安全风险自评估和整改工作.评估和整 期峰 改重点涉及信息 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 工作和技术力量两个方面的内 容,具体包括制度和管理缺位,设备和人员的单点运行 风险,冗余备份设备与数据的可用性,关键生产设备的 运行可靠性,运行监控和安全审计系统的有效性,安全 防护设施的有效性,系统配置的合理性与安全性,生产 系统资源冗余度与业务量变化的适应性等方面. 第二,深度健康检查.公司已在今年65q底前完成 对关键设备的深度健康检查,在充分预测估算奥运期间 业务量变化的基础上,提前做好相关系统资源的冗余准 备.同时,我们还将协调IT产品厂家和服务商完成对操 作系统,数据库和关键设备的深度健康检查. 第三,实施应急演练.银联数据将进一步完善和细 化应急预案,在不影响业务处理的情况下,在生产环境 上完成一次自主应急演练,及时解决演练中发现的技术 与业务问题,通过演练切实增强应急处置能力,充分做 好突发事件的应对准备.同时,我们将通知相关IT产品 厂商和服务商,随时做好应急技术支持准备. 第四,系统压力测试.为应对奥运期间由于刷卡交 易量大幅增长造成发卡系统的超负荷运转,我们将提前 对发卡系统进行压力测试,并持续对发卡系统进行优化 工作,特别是联机交易和批量处理能力方面,扩大系统 处理容量. 第五,配合客户做好奥运安全检查工作.我们除了 开展奥运安全自查与整改工作外,作为外包服务商,公 司还将配合客户,做好奥运安全检查工作,目前我们已 协助多家客户落实安全审计工作. 第六,加紧项目实施,加强系统功能.我们在今年 初曾为强化系统功能规划了诸如虚拟带库,NTP时间服 务器,VMware虚拟机和系统管控等项目,尽管这些项目 并非单纯为奥运信息安全保障工作而规划的.为进一步 强化奥运期间安全保障工作,我们目前正在加快项目实 施进度,力争在北京奥运会开幕前完成增强系统功能类 的项目实施. 在奥运会和残奥会期间,我们的工作重点将放在以 下三个方面. l4.;势瓣囊戳憩麓200B*7 第一,实行系统封版.我们将按照中国人民银行 和有关方面的要求,从2008年7月25日开始至残奥运会 结束,停止所有新系统上线,系统改造等重大生产性变 更,确保奥运会期间生产系统的安全稳定运行. 第二,做好现场支持保障.我们将由公司领导,各 部门负责人和部门关键岗位人员共同组成现场支持保障 队伍,继续保持系统运行,网络运行和业务操作等岗位 人员7×24/J,时值班监控,增加技术部门负责人和技术骨 干人员7×12/],时值班,增加相关IT产品厂商和服务商技 术人员7×24d,时电话值班,确保及时排除发生的故障. 第三,加强预警监测.在继续落实运行晨会,午会 制度的基础上,进一步加强公司跨部门信息沟通工作. 与此同时,我们还将每天组织技术人员对操作系统,数 据库和应用系统的运行日志进行实时检测分析与报告, 及时排除发现的故障隐患,为客户提供每日系统运行报 告,运行正常零报告. 最后,单怀光总裁强调指出,2008年北京奥运会举 世瞩目,是所有中国人的骄傲,做好奥运会期间信息系 统安全保障工作,不仅关系到银联数据客户的业务正常 运行,并且影响到国家利益和民族尊严.银联数据将以 高于一切的政治责任感,克服一切困难,来承担这一社 ,银联数据将在快速发展的中 会责任和历史使命.今后 国银行卡市场中,继续以安全,高效,创新的服务不断 提升客户价值,与各金融机构客户展开紧密合作,为客 户业务发展提供坚强后盾,实现客户,银联数据及中国 银行卡产业的多赢局面.圈