【IT168 资讯】“保监会的五年安全风险规划,今年是最后的一年。”1月18日,当恒安标准人寿信息技术部IT总经理刘欣坐在办公室里接受媒体记者采访时,恒安标准人寿从天津总公司到北京中心的异地容灾项目已经完成部署与测试工作。按照计划,到2013年4月,这一由横跨年度的两期工程项目组成的异地容灾规划,马上将全部竣工——按照保监会所要求的时间表完成异地灾备的改善工作。
2008年3月,中国保监会下发《保险业信息系统灾难恢复管理指引》,要求在中国从业经营的保险公司,都需要建立完备的灾难备份恢复体系,明确规定各个保险业经营企业,“必须具备异地应用级别的恢复体系”。
该规定同时要求,“保险机构应统筹规划信息系统灾难恢复工作,自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。”——考虑到国内保险业IT水平的差异和灾备系统建设尚处在初期,保监会给了保险企业们五年的时间,但当时业界的CIO们仍然认为,“时间太短”。
现实情况也确实如此,对于灾难备份恢复系统来说,虽然在国际上已有国家对此明文规定的先例,但在中国保险行业IT信息系统应用水平仍有待提高的时候,国家主管机构明文规定并作出相对要求较高、时间较紧的要求,在保险行业,这还是第一次。于是,此规定普一推出便在中国保险行业引发热议。
以上便是刘欣所说的“保监会的五年安全风险规划”及其对保险业信息化建设历程所将产生的重大意义与挑战,
“保监会的标准,其实是看你有或没有,指标和评价比较宽泛,但对于企业来说,我们是从业务的角度出发,一旦出现问题‘怎么办,如何恢复,时间是多少’来规划。”刘欣认为,灾备系统的设计,是为了能够满足企业正常运维支持,是要恢复到正常的、灾难发生前的状况,或是切换到可以使用的备份系统上,同时保证业务在过渡期间不能够出现明显的停顿,而且“这些指标都需要量化到非常细致的数值和严格的要求”。
刘欣表示,以这两点来说,如果仅仅按照国家建议或规划来做,那么对于企业来说,可以说仅仅是为了应付差事而已,很可能无法形成对企业业务的真正保护。于是,恒安标准人寿在灾难备份系统的建设上从一开始就制定了结合业务实际制定详细规划,寻找业界一流专业技术的发展道路。
“(恒安标准人寿)从2007年就开始建设北京的灾备中心,到2010年开始考虑实际的、融合的、高效的异地容灾解决方案,并在2012年我们选定了飞康CDP解决方案。现在,一期已经建成上线,二期也将在4月份全部完成,需要澄清的是,事实上这是一个项目,只是因为跨年度所以才分了两期。”经过几年的深思熟虑与严谨的项目选型,飞康CDP的真正实力得以在恒安标准人寿进行最终的试炼。
而飞康的CDP解决方案确实不负众望,如今恒安标准人寿的信息技术部门已经为公司建立了严密、高效的业务连续性容灾平台,“满足了保监会和公司董事会的要求,并在可接受的带宽成本下,能够提供最高秒级的灾难恢复”,让企业的业务拓展得到的充分的保障。
而作为恒安标准人寿信息技术部总经理的刘欣不仅摸索出了一条信息技术部的“生存与发展之道”,在选定公司的容灾解决方案合作伙伴上,刘欣也摸索出了不少的“道道”——恒安标准人寿也成为了天津地区金融企业以及中外合资人寿保险公司中业务连续性平台建设的典范标杆。
上线飞康CDP:灾难秒级恢复业务无停顿
“第一阶段我们主要是保护Unix系统,第二阶段主要是保护Windows,未来我们将利用飞康的CDP解决方案,把所有的重要数据都保护起来,通过备份恢复、CDP形成完整的数据保护系统。”刘欣表示,随着飞康CDP解决方案的上线,恒安标准人寿数据保护水平得到了有效提高,原本“几乎是一天的数据差距”,但现在“生产环境已经能够达到秒级恢复,服务中心业务则限制在半小时之内”,刘欣表示,对于恒安标准人寿来说,这是其数据保护RTO (Recovery Time Objective,复原时间目标)、RPO (Recovery Point Objective,复原点目标)的一次飞跃。
据刘欣介绍,恒安标准人寿在天津的总部是整个公司生产系统中心,主中心有着比较复杂的服务器及存储部署架构,生产网络中包括Unix、Linux和Windows等多种主机,这在一定程度上对公司的数据保护工作提出了一定的挑战,必须要应对异构的生产系统的数据保护工作,而随着恒安标准人寿信息化进程的推进,虚拟化系统的普及率也越来越高,物理机与虚拟机之间的数据保护、业务连续性又形成了新的业务需求。
因此,恒安标准人寿决定寻找一种既能够保证原有异构环境的数据保护,又能够满足虚拟机与物理机之间业务连续性,同时具有“高性能的数据保护的秒级恢复”能力的解决方案,飞康CDP最终成为了刘欣和他的团队的选择。
据飞康公司售前技术部门工程师介绍,飞康CDP的容灾解决方案是利用飞康CDP管理器(Unix环境通过光纤方式连入生产系统,Linux和Windows通过iSCSI方式连入生产系统),实现本地/异地的分层次灾难恢复体系,并且对于物理和逻辑故障均提供恢复保障,各种恢复功能均在数分钟以内——甚至是数秒内——的短时间完成。
“我们用飞康的目的,就是能够在问题发生的时候,恢复到灾难发生前的情况,第二就是能够切换到灾备系统,保证某个系统出现故障之后,能够快速延续业务。”刘欣坦言,在容灾系统的实际应用中,第二种情况其实并不多见,毕竟系统切换不是小孩过家家,涉及到方方面面的问题,但无论对于企业业务,还是IT系统的应用来说,这两者却又都是缺一不可的。
“看起来好像保险公司就是那些推销员,在外面没日没夜的卖保险,但实际上我们早就脱离了靠推销员的日子。”刘欣笑称,不少外行人——甚至包括采访的记者——都会有个疑问:卖保险不就是卖出去就得了?要什么灾备?有什么关键数据?但事实上,保险行业的数据同样十分关键——即便是在日常的运营中。
刘欣所说的这些关键数据,就是恒安标准人寿的Oracle生产数据库和大量的保单、保单影像数据、客户回访录音和客户理赔办理记录等信息,按刘欣的话说,“在买保险之前,保险公司依靠的是保险经纪人,在理赔的时候,靠的就是IT信息系统”,他表示,对于保险公司来说,客户的满意度、信赖度并不仅仅是其与保险经纪人的交往过程,而是保单的整个生命周期,一旦客户发生理赔行为,每一张保单、每一个保单影像、每一笔记录,都需要及时的调出来以供查验,如果出现了耽搁,客户无法及时理赔拿到赔偿,对保险公司来说,都是极大的客户服务问题。
“我们的信息化目标很简单,主要是提高客户服务水平,完善业务流程,我们有30万左右的保险用户,容灾备份就是要让他们很好的实现理赔和其他的保险服务。”刘欣坦言,从目前的情况来看,信息化也好,容灾备份也罢,马上说能够对业务能够产生什么促进——哪怕是随着二期工程完成,容灾备份系统与保险主要业务的接驳即将全面完成——IT系统能对保险公司主营业务产生多大的推动都是一个未知数,但关键是不能发生问题,更不能拖后腿,最好还要能省一点钱。
说到省钱,刘欣表示,这倒是飞康CDP解决方案除了满足公司在法规遵从方面要求及业务连续性要求之外的另一个“意外收获”:“使用CDP更多的是对生产环境进行快速恢复,其实对公司的节约也是很大的,比如说,一些CDP保护的非重要系统可以就不用HA高可用性集群了,只要业务的容忍度可以,这实际上节约了大量建设HA的成本以及管理的成本。”
实际上,在2012年8月8日——接受采访前近半年,恒安标准人寿、美国飞康软件公司及其合作伙伴海泰公司就在一起进行了第一期项目的一次CDP测试实验。在验证阶段,无论是对Unix环境及其Oracle数据库进行了很好的保护,还是Windows、Linux环境中的虚拟机与物理机之间的业务连续性切换,都得到了“满意的答案”。
但恒安标准人寿在建设飞康CDP解决方案之前,并非没有建设数据保护、备份恢复应用,也不止一家供应商与其接洽过对公司容灾系统建设的看法与实施方案,刘欣与他的团队为何选择了飞康?作为信息技术部总经理,刘欣又是如何看待企业用户与供应商之间的关系?飞康CDP为何能够全新注入恒安标准人寿的信息化平台?刘欣也给出了他的答案。
寻找合作伙伴的标准:CIO能控制得住的专业伙伴
“我们的信息化系统,主要是满足客户服务的要求,回访、理赔都是客户服务的重点,这些业务一旦中断对公司信誉影响很大,我们做信息化,做容灾系统,主要考察的就是对客户服务产生的影响,财务系统、保单系统需要极高的优先级,倒是我们的佣金系统优先级没有那么高。”刘欣向记者表示,“选择不是那么容易就做出来的”。
刘欣表示,他选供应商的标准,最关键是专业,其次是客户服务要好,除此以外,还有一个标准是“作为用户,能够控制得住。”
“中小公司不像大公司,大一些的公司可以找更大的系统集成商,但是我们倾向于找专业性强的合作伙伴,要看到它能够做好某一件事就足够了。”刘欣说,他不是没有和大厂做过比较,但大厂有大厂的问题:一是受益时间长,实施时间长,像恒安标准人寿这种1、200百万的项目,他们不会放太大心;二是大厂很多技术都是买过来的,整合的好不好也是个问题——“最重要是专业性,要专注做CDP这件事情,企业信息化高速发展的时候,如果某个供应商不能跟上步伐,发展太慢的供应商可能会拖后腿,而专注的供应商会在业务上不断变化和进步,会匹配业务发展。”
“第三是恒安要考虑大厂的策略问题,如果大厂的产品架构调整,不做了,那么多用户的影响就很大。飞康做灾备最专业,不会说做几年就转移业务,会越做越好,这对我们的成本来说,也会慢慢地体现出来。”刘欣说,相对于大厂来说,飞康这样的专业型公司,“更容易控制得住”。
“如果说要有些建议,那就是信息技术部门要掌握较强的自主话语权,不要过分依赖咨询公司或是供应商,他们不只是为你考虑,他们也要考虑自身的业务、自身的发展,CIO要在基础和业务上有话语权,才能够做好。”刘欣强调。
而谈到如何规划灾备系统,刘欣表示,做灾备是个长期工程,“不能说一下子就做,一下子就不做。”
“灾备一定要提早规划,必须要分布实施,提前2、3年就要开始和公司各个层面沟通,并在每年都做基础化的建设,(对于中小规模保险企业来说)公司不可能一下子拿出一笔钱来。除此以外,找一些专业的公司,快速和低成本的支持环境和业务的变化。而且要充分考虑成本,尤其是长期成本,大厂的成本可能入门不贵,但一旦环境、业务发生变化,改变的费用会非常昂贵。”刘欣说,做灾备,必须要从保证业务的运营同时还能够节约的角度去“说服老板们掏钱”。
在采访中,刘欣也在不经意之间透露了一些“与公司领导要钱”的方式方法,他说,钱要聪明的、策略的去要——当然,也需要公司的支持。
“我们每年IT的新投入在1000-1500万之间,分为三部分,第一是业务应用,实施新的系统;第二是硬件架构的改造,买新的服务器、做虚拟化;第三是做一些基础建设,比如说机房托管、灾备,甚至未来去尝试如Oracle RAC这样的技术。”刘欣说,对于一家保费总额处在中等水平的合资人寿保险公司来说,这样的IT预算实际上有些捉襟见肘,能拿来做新尝试、大系统、大应用的钱更是凤毛麟角,“所以要想一些策略”。
“比如说,如果我要2、300万上线一个项目,肯定不会得到批准,这就需要慢慢来。”刘欣认为,信息技术部总经理必须要理解公司的战略、公司的文化以及公司的业务改变,而公司相应也会对各部门总经理的合理建议给予充分的相信,对于保险公司来说,IT和佣金支出相比并不高,向公司的领导层、董事会说明、说清,并给予一个可执行的、长期的、分步骤的“花钱计划”,才能够形成良好的合作循环。
“可以说,无论是实施效果还是技术指标,以及费用的支出,都满足了公司董事会的要求。”刘欣表示,中小公司在大型IT投资建设上很难一步到位,灾比如备费用就比较高,“一次性投入很难,是逐步实现的过程”。他建议,信息技术部总经理要认清:“灾备建设不可能一步到位,只有慢慢来才会有进步。”
恒安标准人寿:对信息化重视程度非比寻常
刘欣在接受采访时,多次提到公司董事会及公司高管对这一项目的关注与支持,这也让媒体记者们产生了这样的疑问:一家人寿保险企业的董事会,会对信息化建设的工作感兴趣么?恒安标准人寿的董事会,是否在其建设CDP平台时起到了关键作用?为何刘欣会多次提到公司董事会的帮助,难道身为信息技术部门的总经理,董事会会管理的如此事无巨细么?
在回答这些问题之前,我们要先看看恒安标准人寿是一家怎么样的公司,在中国的人寿保险行业中,又有哪些不同之处。
恒安标准人寿并非一家知名度很高的保险企业,与保险业的许多老大哥,如中国人寿、泰康人寿等国内知名人寿保险公司相比,恒安标准人寿的规模并不是很大:截止2012年8月,其业务覆盖天津、青岛、北京、山东、江苏、辽宁、四川、河南、广东、大连等多个省市,已开设10家分公司,中心支公司、营销服务部共64家,累计服务客户近30万人,规模保险金额达15多亿元。
但“中外混血”的恒安标准人寿却有着非常令人瞩目的血统,总部设在天津的这家人寿保险公司,是开放保险业外资之后有名的“中英混血”企业:中方股东是著名的天津泰达国际——这便是老牌中超球队天津泰达的冠名赞助商;外方股东则是大名鼎鼎的英国标准人寿保险公司——这是一家有着近200年历史的世界500强企业,以1200亿美元的管理总资产,成为欧洲最大的相互型保险公司。
据刘欣介绍,在开展业务的前八年,恒安标准人寿专注保障型产品,轻分红、理财型产品的产品结构,同时,股东双方对于信息化的水平、信息安全的保障、信息可用性的要求显然都处在较高的水平——“毕竟是老牌的保险公司”——恒安标准人寿也由此保证了每年10-15个各类IT项目实施的高水平管理。
因此,刘欣作为恒安标准人寿信息技术部IT总经理却能够得到董事会的关注也就能够理解了,对于这家规模不大的保险公司来说,股东双方在信息化上的关注与认可,给了刘欣这些IT部门管理人员以非常大的支持——当然,这同样也是无形的压力。
“我们的董事会治理方式曾经受到保监会的推荐,向保险行业推广,董事会下属不同的委员会,他们会从董事会的角度对信息化建设、信息安全进行审查。”刘欣说,恒安标准人寿的董事会像英国标准人寿的董事会一样,对信息化建设非常重视,不仅每年给予可靠的——无论是保险业低估还是高峰——持续性强、没有太大波动的IT建设投资,还常常将保监会的法律法规融合到公司的信息安全治理当中。
“英国标准人寿对信息化的建设就非常重视,每年的投入都非常大,现在他们甚至在同行业间销售信息化业务经验。”刘欣说,作为恒安标准人寿信息技术部IT总经理,在与董事会、公司管理层的良性互动中,恒安标准人寿在数据仓库、系统集中、数据中心托管、数据集成、系统稳定性等IT业务考核指标上,“基本上与公司现有业务发展速度相比,超前了2年。”
刘欣说,2013年,公司信息技术部门的核心任务,将是“试着对业务提供帮助,提高IT系统在业务流程中的渗透度,提高系统的主动性,加强风险的控制,提高客户服务满意度。”刘欣认为,他能够完成这一连串并不轻松的任务。