“保監會的五年安全風險規劃，今年是最后的一年。”1月18日，當恒安標準人壽信息技術部IT總經理劉欣坐在辦公室里接受媒體記者采訪時，恒安標準人壽從天津總公司到北京中心的異地容災項目已經完成部署與測試工作。按照計劃，到2013年4月，這一由橫跨年度的兩期工程項目組成的異地容災規劃，馬上將全部竣工——按照保監會所要求的時間表完成異地災備的改善工作。

　　2008年3月，中國保監會下發《保險業信息系統災難恢復管理指引》，要求在中國從業經營的保險公司，都需要建立完備的災難備份恢復體系，明確規定各個保險業經營企業，“必須具備異地應用級別的恢復體系”。

　　該規定同時要求，“保險機構應統籌規劃信息系統災難恢復工作，自本指引生效起五年內至少達到本指引規定的最低災難恢復能力等級要求。”——考慮到國內保險業IT水平的差異和災備系統建設尚處在初期，保監會給了保險企業們五年的時間，但當時業界的CIO們仍然認為，“時間太短”。

　　現實情況也確實如此，對于災難備份恢復系統來說，雖然在國際上已有國家對此明文規定的先例，但在中國保險行業IT信息系統應用水平仍有待提高的時候，國家主管機構明文規定并作出相對要求較高、時間較緊的要求，在保險行業，這還是第一次。于是，此規定普一推出便在中國保險行業引發熱議。

　　以上便是劉欣所說的“保監會的五年安全風險規劃”及其對保險業信息化建設歷程所將產生的重大意義與挑戰，

　　“保監會的標準，其實是看你有或沒有，指標和評價比較寬泛，但對于企業來說，我們是從業務的角度出發，一旦出現問題‘怎么辦，如何恢復，時間是多少’來規劃。”劉欣認為，災備系統的設計，是為了能夠滿足企業正常運維支持，是要恢復到正常的、災難發生前的狀況，或是切換到可以使用的備份系統上，同時保證業務在過渡期間不能夠出現明顯的停頓，而且“這些指標都需要量化到非常細致的數值和嚴格的要求”。

　　劉欣表示，以這兩點來說，如果僅僅按照國家建議或規劃來做，那么對于企業來說，可以說僅僅是為了應付差事而已，很可能無法形成對企業業務的真正保護。于是，恒安標準人壽在災難備份系統的建設上從一開始就制定了結合業務實際制定詳細規劃，尋找業界一流專業技術的發展道路。

　　“(恒安標準人壽)從2007年就開始建設北京的災備中心，到2010年開始考慮實際的、融合的、高效的異地容災解決方案，并在2012年我們選定了飛康CDP解決方案。現在，一期已經建成上線，二期也將在4月份全部完成，需要澄清的是，事實上這是一個項目，只是因為跨年度所以才分了兩期。”經過幾年的深思熟慮與嚴謹的項目選型，飛康CDP的真正實力得以在恒安標準人壽進行最終的試煉。

　　而飛康的CDP解決方案確實不負眾望，如今恒安標準人壽的信息技術部門已經為公司建立了嚴密、高效的業務連續性容災平臺，“滿足了保監會和公司董事會的要求，并在可接受的帶寬成本下，能夠提供最高秒級的災難恢復”，讓企業的業務拓展得到的充分的保障。

　　而作為恒安標準人壽信息技術部總經理的劉欣不僅摸索出了一條信息技術部的“生存與發展之道”，在選定公司的容災解決方案合作伙伴上，劉欣也摸索出了不少的“道道”——恒安標準人壽也成為了天津地區金融企業以及中外合資人壽保險公司中業務連續性平臺建設的典范標桿。

　　上線飛康CDP：災難秒級恢復業務無停頓

　　“第一階段我們主要是保護Unix系統，第二階段主要是保護Windows，未來我們將利用飛康的CDP解決方案，把所有的重要數據都保護起來，通過備份恢復、CDP形成完整的數據保護系統。”劉欣表示，隨著飛康CDP解決方案的上線，恒安標準人壽數據保護水平得到了有效提高，原本“幾乎是一天的數據差距”，但現在“生產環境已經能夠達到秒級恢復，服務中心業務則限制在半小時之內”，劉欣表示，對于恒安標準人壽來說，這是其數據保護RTO (Recovery Time Objective,復原時間目標)、RPO (Recovery Point Objective，復原點目標)的一次飛躍。

　　據劉欣介紹，恒安標準人壽在天津的總部是整個公司生產系統中心，主中心有著比較復雜的服務器及存儲部署架構，生產網絡中包括Unix、Linux和Windows等多種主機，這在一定程度上對公司的數據保護工作提出了一定的挑戰，必須要應對異構的生產系統的數據保護工作，而隨著恒安標準人壽信息化進程的推進，虛擬化系統的普及率也越來越高，物理機與虛擬機之間的數據保護、業務連續性又形成了新的業務需求。

　　因此，恒安標準人壽決定尋找一種既能夠保證原有異構環境的數據保護，又能夠滿足虛擬機與物理機之間業務連續性，同時具有“高性能的數據保護的秒級恢復”能力的解決方案，飛康CDP最終成為了劉欣和他的團隊的選擇。

　　據飛康公司售前技術部門工程師介紹，飛康CDP的容災解決方案是利用飛康CDP管理器(Unix環境通過光纖方式連入生產系統，Linux和Windows通過iSCSI方式連入生產系統)，實現本地/異地的分層次災難恢復體系，并且對于物理和邏輯故障均提供恢復保障，各種恢復功能均在數分鐘以內——甚至是數秒內——的短時間完成。

　　“我們用飛康的目的，就是能夠在問題發生的時候，恢復到災難發生前的情況，第二就是能夠切換到災備系統，保證某個系統出現故障之后，能夠快速延續業務。”劉欣坦言，在容災系統的實際應用中，第二種情況其實并不多見，畢竟系統切換不是小孩過家家，涉及到方方面面的問題，但無論對于企業業務，還是IT系統的應用來說，這兩者卻又都是缺一不可的。

　　“看起來好像保險公司就是那些推銷員，在外面沒日沒夜的賣保險，但實際上我們早就脫離了靠推銷員的日子。”劉欣笑稱，不少外行人——甚至包括采訪的記者——都會有個疑問：賣保險不就是賣出去就得了?要什么災備?有什么關鍵數據?但事實上，保險行業的數據同樣十分關鍵——即便是在日常的運營中。

　　劉欣所說的這些關鍵數據，就是恒安標準人壽的Oracle生產數據庫和大量的保單、保單影像數據、客戶回訪錄音和客戶理賠辦理記錄等信息，按劉欣的話說，“在買保險之前，保險公司依靠的是保險經紀人，在理賠的時候，靠的就是IT信息系統”，他表示，對于保險公司來說，客戶的滿意度、信賴度并不僅僅是其與保險經紀人的交往過程，而是保單的整個生命周期，一旦客戶發生理賠行為，每一張保單、每一個保單影像、每一筆記錄，都需要及時的調出來以供查驗，如果出現了耽擱，客戶無法及時理賠拿到賠償，對保險公司來說，都是極大的客戶服務問題。

　　“我們的信息化目標很簡單，主要是提高客戶服務水平，完善業務流程，我們有30萬左右的保險用戶，容災備份就是要讓他們很好的實現理賠和其他的保險服務。”劉欣坦言，從目前的情況來看，信息化也好，容災備份也罷，馬上說能夠對業務能夠產生什么促進——哪怕是隨著二期工程完成，容災備份系統與保險主要業務的接駁即將全面完成——IT系統能對保險公司主營業務產生多大的推動都是一個未知數，但關鍵是不能發生問題，更不能拖后腿，最好還要能省一點錢。

　　說到省錢，劉欣表示，這倒是飛康CDP解決方案除了滿足公司在法規遵從方面要求及業務連續性要求之外的另一個“意外收獲”：“使用CDP更多的是對生產環境進行快速恢復，其實對公司的節約也是很大的，比如說，一些CDP保護的非重要系統可以就不用HA高可用性集群了，只要業務的容忍度可以，這實際上節約了大量建設HA的成本以及管理的成本。”

　　實際上，在2012年8月8日——接受采訪前近半年，恒安標準人壽、美國飛康軟件公司及其合作伙伴海泰公司就在一起進行了第一期項目的一次CDP測試實驗。在驗證階段，無論是對Unix環境及其Oracle數據庫進行了很好的保護，還是Windows、Linux環境中的虛擬機與物理機之間的業務連續性切換，都得到了“滿意的答案”。

　　但恒安標準人壽在建設飛康CDP解決方案之前，并非沒有建設數據保護、備份恢復應用，也不止一家供應商與其接洽過對公司容災系統建設的看法與實施方案，劉欣與他的團隊為何選擇了飛康?作為信息技術部總經理，劉欣又是如何看待企業用戶與供應商之間的關系?飛康CDP為何能夠全新注入恒安標準人壽的信息化平臺?劉欣也給出了他的答案。

　　尋找合作伙伴的標準：CIO能控制得住的專業伙伴

　　“我們的信息化系統，主要是滿足客戶服務的要求，回訪、理賠都是客戶服務的重點，這些業務一旦中斷對公司信譽影響很大，我們做信息化，做容災系統，主要考察的就是對客戶服務產生的影響，財務系統、保單系統需要極高的優先級，倒是我們的傭金系統優先級沒有那么高。”劉欣向記者表示，“選擇不是那么容易就做出來的”。

　　劉欣表示，他選供應商的標準，最關鍵是專業，其次是客戶服務要好，除此以外，還有一個標準是“作為用戶，能夠控制得住。”

　　“中小公司不像大公司，大一些的公司可以找更大的系統集成商，但是我們傾向于找專業性強的合作伙伴，要看到它能夠做好某一件事就足夠了。”劉欣說，他不是沒有和大廠做過比較，但大廠有大廠的問題：一是受益時間長，實施時間長，像恒安標準人壽這種1、200百萬的項目，他們不會放太大心;二是大廠很多技術都是買過來的，整合的好不好也是個問題——“最重要是專業性，要專注做CDP這件事情，企業信息化高速發展的時候，如果某個供應商不能跟上步伐，發展太慢的供應商可能會拖后腿，而專注的供應商會在業務上不斷變化和進步，會匹配業務發展。”

　　“第三是恒安要考慮大廠的策略問題，如果大廠的產品架構調整，不做了，那么多用戶的影響就很大。飛康做災備最專業，不會說做幾年就轉移業務，會越做越好，這對我們的成本來說，也會慢慢地體現出來。”劉欣說，相對于大廠來說，飛康這樣的專業型公司，“更容易控制得住”。

　　“如果說要有些建議，那就是信息技術部門要掌握較強的自主話語權，不要過分依賴咨詢公司或是供應商，他們不只是為你考慮，他們也要考慮自身的業務、自身的發展，CIO要在基礎和業務上有話語權，才能夠做好。”劉欣強調。

　　而談到如何規劃災備系統，劉欣表示，做災備是個長期工程，“不能說一下子就做，一下子就不做。”

　　“災備一定要提早規劃，必須要分布實施，提前2、3年就要開始和公司各個層面溝通，并在每年都做基礎化的建設，(對于中小規模保險企業來說)公司不可能一下子拿出一筆錢來。除此以外，找一些專業的公司，快速和低成本的支持環境和業務的變化。而且要充分考慮成本，尤其是長期成本，大廠的成本可能入門不貴，但一旦環境、業務發生變化，改變的費用會非常昂貴。”劉欣說，做災備，必須要從保證業務的運營同時還能夠節約的角度去“說服老板們掏錢”。

　　在采訪中，劉欣也在不經意之間透露了一些“與公司領導要錢”的方式方法，他說，錢要聰明的、策略的去要——當然，也需要公司的支持。

　　“我們每年IT的新投入在1000-1500萬之間，分為三部分，第一是業務應用，實施新的系統;第二是硬件架構的改造，買新的服務器、做虛擬化;第三是做一些基礎建設，比如說機房托管、災備，甚至未來去嘗試如Oracle RAC這樣的技術。”劉欣說，對于一家保費總額處在中等水平的合資人壽保險公司來說，這樣的IT預算實際上有些捉襟見肘，能拿來做新嘗試、大系統、大應用的錢更是鳳毛麟角，“所以要想一些策略”。

　　“比如說，如果我要2、300萬上線一個項目，肯定不會得到批準，這就需要慢慢來。”劉欣認為，信息技術部總經理必須要理解公司的戰略、公司的文化以及公司的業務改變，而公司相應也會對各部門總經理的合理建議給予充分的相信，對于保險公司來說，IT和傭金支出相比并不高，向公司的領導層、董事會說明、說清，并給予一個可執行的、長期的、分步驟的“花錢計劃”，才能夠形成良好的合作循環。

　　“可以說，無論是實施效果還是技術指標，以及費用的支出，都滿足了公司董事會的要求。”劉欣表示，中小公司在大型IT投資建設上很難一步到位，災比如備費用就比較高，“一次性投入很難，是逐步實現的過程”。他建議，信息技術部總經理要認清：“災備建設不可能一步到位，只有慢慢來才會有進步。”

　　恒安標準人壽：對信息化重視程度非比尋常

　　劉欣在接受采訪時，多次提到公司董事會及公司高管對這一項目的關注與支持，這也讓媒體記者們產生了這樣的疑問：一家人壽保險企業的董事會，會對信息化建設的工作感興趣么?恒安標準人壽的董事會，是否在其建設CDP平臺時起到了關鍵作用?為何劉欣會多次提到公司董事會的幫助，難道身為信息技術部門的總經理，董事會會管理的如此事無巨細么?

　　在回答這些問題之前，我們要先看看恒安標準人壽是一家怎么樣的公司，在中國的人壽保險行業中，又有哪些不同之處。

　　恒安標準人壽并非一家知名度很高的保險企業，與保險業的許多老大哥，如中國人壽、泰康人壽等國內知名人壽保險公司相比，恒安標準人壽的規模并不是很大：截止2012年8月，其業務覆蓋天津、青島、北京、山東、江蘇、遼寧、四川、河南、廣東、大連等多個省市，已開設10家分公司，中心支公司、營銷服務部共64家，累計服務客戶近30萬人，規模保險金額達15多億元。

　　但“中外混血”的恒安標準人壽卻有著非常令人矚目的血統，總部設在天津的這家人壽保險公司，是開放保險業外資之后有名的“中英混血”企業：中方股東是著名的天津泰達國際——這便是老牌中超球隊天津泰達的冠名贊助商;外方股東則是大名鼎鼎的英國標準人壽保險公司——這是一家有著近200年歷史的世界500強企業，以1200億美元的管理總資產，成為歐洲最大的相互型保險公司。

　　據劉欣介紹，在開展業務的前八年，恒安標準人壽專注保障型產品，輕分紅、理財型產品的產品結構，同時，股東雙方對于信息化的水平、信息安全的保障、信息可用性的要求顯然都處在較高的水平——“畢竟是老牌的保險公司”——恒安標準人壽也由此保證了每年10-15個各類IT項目實施的高水平管理。

　　因此，劉欣作為恒安標準人壽信息技術部IT總經理卻能夠得到董事會的關注也就能夠理解了，對于這家規模不大的保險公司來說，股東雙方在信息化上的關注與認可，給了劉欣這些IT部門管理人員以非常大的支持——當然，這同樣也是無形的壓力。

　　“我們的董事會治理方式曾經受到保監會的推薦，向保險行業推廣，董事會下屬不同的委員會，他們會從董事會的角度對信息化建設、信息安全進行審查。”劉欣說，恒安標準人壽的董事會像英國標準人壽的董事會一樣，對信息化建設非常重視，不僅每年給予可靠的——無論是保險業低估還是高峰——持續性強、沒有太大波動的IT建設投資，還常常將保監會的法律法規融合到公司的信息安全治理當中。

　　“英國標準人壽對信息化的建設就非常重視，每年的投入都非常大，現在他們甚至在同行業間銷售信息化業務經驗。”劉欣說，作為恒安標準人壽信息技術部IT總經理，在與董事會、公司管理層的良性互動中，恒安標準人壽在數據倉庫、系統集中、數據中心托管、數據集成、系統穩定性等IT業務考核指標上，“基本上與公司現有業務發展速度相比，超前了2年。”

　　劉欣說，2013年，公司信息技術部門的核心任務，將是“試著對業務提供幫助，提高IT系統在業務流程中的滲透度，提高系統的主動性，加強風險的控制，提高客戶服務滿意度。”劉欣認為，他能夠完成這一連串并不輕松的任務。