《保險(xiǎn)行業(yè)基于容器的云計(jì)算平臺(tái)成熟度模型（征求意見稿）》

T/IACCCSA—2020

目次

前言.................................................................................II

引言................................................................................III

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語和定義.........................................................................1

4成熟度模型概述.....................................................................2

5落實(shí)程度要求.......................................................................2

6應(yīng)用成效要求.......................................................................2

7平臺(tái)技術(shù)能力要求...................................................................3

8安全保障要求.......................................................................6

參考文獻(xiàn).............................................................................8

I

T/IACCCSA—2020

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

本文件由中國(guó)保險(xiǎn)行業(yè)協(xié)會(huì)、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。

本文件起草單位：中國(guó)信息通信研究院、中國(guó)太平洋保險(xiǎn)（集團(tuán)）股份有限公司、中國(guó)人民財(cái)產(chǎn)保

險(xiǎn)股份有限公司、中國(guó)人壽保險(xiǎn)股份有限公司、安心財(cái)產(chǎn)保險(xiǎn)有限責(zé)任公司、中國(guó)再保險(xiǎn)（集團(tuán)）股份

有限公司、陽光保險(xiǎn)集團(tuán)股份有限公司、泰康保險(xiǎn)集團(tuán)股份有限公司、華為技術(shù)有限公司、深圳市騰

訊計(jì)算機(jī)系統(tǒng)有限公司、北京青云科技股份有限公司、云?？萍迹ū本┯邢薰尽⒑贾輸?shù)夢(mèng)工場(chǎng)科技

有限公司、北京易捷思達(dá)科技發(fā)展有限公司。

本文件主要起草人：栗蔚、郭雪、衛(wèi)斌、孔松、劉震、王龍濤、李玉山、胡罡、顧睿、張寧軍、袁

紅、于希金、李文鵬、張?jiān)讫?、馮鍵、成宇、尹琛、廖東升、黃建坤、段紅帥、白陽、趙華、符海芳、

蔣增增、武獻(xiàn)雨、傅帥、張春源、杜建偉、李小慶、宋敬海、劉宏亮、張敏。

II

T/IACCCSA—2020

引言

為建立保險(xiǎn)企業(yè)基于容器的云計(jì)算平臺(tái)評(píng)價(jià)體系，衡量保險(xiǎn)企業(yè)容器技術(shù)發(fā)展水平，推動(dòng)容器技術(shù)

快速部署、輕量靈活等特性在保險(xiǎn)行業(yè)的深入應(yīng)用，本文件對(duì)保險(xiǎn)行業(yè)基于容器的云計(jì)算平臺(tái)成熟度模

型進(jìn)行定義，主要包括落實(shí)程度、應(yīng)用成效、平臺(tái)技術(shù)能力和安全保障四個(gè)方面。

保險(xiǎn)行業(yè)基于容器的云計(jì)算平臺(tái)

成熟度模型

Maturitymodelforcloudcomputingplatformbasedoncontainerininsurance

industry

（征求意見稿）

III

T/IACCCSA—2020

保險(xiǎn)行業(yè)基于容器的云計(jì)算平臺(tái)成熟度模型

1范圍

本文件規(guī)定了保險(xiǎn)行業(yè)基于容器的云計(jì)算平臺(tái)成熟度模型，具體包括四方面：落實(shí)程度、應(yīng)用成效、

平臺(tái)技術(shù)能力和安全保障。

本文件適用于保險(xiǎn)行業(yè)云服務(wù)科技公司或保險(xiǎn)業(yè)科技部門部署、實(shí)施和監(jiān)測(cè)基于容器的云計(jì)算平臺(tái)

相關(guān)場(chǎng)景。

注：本文件以容器平臺(tái)為考察單位，若保險(xiǎn)企業(yè)具備多個(gè)容器平臺(tái)，應(yīng)單獨(dú)考察每個(gè)平臺(tái)的成熟度等級(jí)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T32400-2015信息技術(shù)云計(jì)算概覽與詞匯

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

云計(jì)算cloudcomputing

一種通過網(wǎng)絡(luò)將可伸縮、彈性的共享物理和虛擬資源池按需自服務(wù)的方式供應(yīng)和管理的模式。

注：資源包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲(chǔ)設(shè)備等。

[GB/T32400-2015，定義3.2.5]

3.2

容器技術(shù)container

寄宿于操作系統(tǒng)的一組進(jìn)程，為應(yīng)用提供相互隔離的運(yùn)行環(huán)境。容器具有輕量、隔離性、彈性擴(kuò)容

等優(yōu)點(diǎn)，廣泛應(yīng)用于開發(fā)測(cè)試，運(yùn)維等場(chǎng)景中。

3.3

容器平臺(tái)containerplatform

以容器或容器組為最小調(diào)度單元，通過容器編排技術(shù)處理實(shí)現(xiàn)任務(wù)間的關(guān)聯(lián)關(guān)系（調(diào)用、訪問、代

理等），用于構(gòu)建、發(fā)布和運(yùn)行分布式應(yīng)用的云平臺(tái)。容器平臺(tái)為開發(fā)者提供了管理和部署容器化應(yīng)用

程序和集群的能力。

1

T/IACCCSA—2020

4成熟度模型概述

保險(xiǎn)行業(yè)基于容器的云計(jì)算平臺(tái)成熟度模型從四個(gè)維度進(jìn)行衡量：

——落實(shí)程度：保險(xiǎn)企業(yè)內(nèi)容器平臺(tái)在部門、信息系統(tǒng)等方面的覆蓋情況。

——應(yīng)用成效：容器平臺(tái)在提高效率、節(jié)約建設(shè)成本等方面的應(yīng)用成效。

——平臺(tái)技術(shù)能力：容器平臺(tái)的技術(shù)能力水平。

——安全保障：容器平臺(tái)安全保障制度的完備性和能力水平。

每個(gè)指標(biāo)從弱到強(qiáng)的要求分為基礎(chǔ)級(jí)、增強(qiáng)級(jí)和先進(jìn)級(jí)，所有指標(biāo)為某一級(jí)，則評(píng)定基于容器的云

計(jì)算平臺(tái)為相應(yīng)級(jí)別，成熟度等級(jí)劃分見表1。

表1容器平臺(tái)成熟度等級(jí)劃分

容器平臺(tái)成熟度等級(jí)劃分

基礎(chǔ)級(jí)在企業(yè)內(nèi)構(gòu)建基于容器的云計(jì)算平臺(tái)，一定范圍推行并獲得初步成效。

增強(qiáng)級(jí)在企業(yè)內(nèi)構(gòu)建基于容器的云計(jì)算平臺(tái)，大范圍推行并獲得較高效率提升。

先進(jìn)級(jí)在企業(yè)內(nèi)構(gòu)建基于容器的云計(jì)算平臺(tái)，全面落地并達(dá)到整體效率得到較大優(yōu)化

5落實(shí)程度要求

5.1業(yè)務(wù)系統(tǒng)使用率

本指標(biāo)考察保險(xiǎn)企業(yè)內(nèi)基于容器平臺(tái)的業(yè)務(wù)系統(tǒng)數(shù)量，參考標(biāo)準(zhǔn)見表2，表3。

容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率的計(jì)算公式，見式（1）:

P1=(A/B)×100%……（1）

式中：

P1--容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率;

A--實(shí)際使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)數(shù)量;

B--業(yè)務(wù)系統(tǒng)總數(shù)。

注：若保險(xiǎn)企業(yè)具備多個(gè)容器平臺(tái)，本指標(biāo)只區(qū)分使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)和未使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)，不對(duì)

業(yè)務(wù)系統(tǒng)使用的容器平臺(tái)作區(qū)分。

a)業(yè)務(wù)系統(tǒng)總數(shù)大于30的保險(xiǎn)企業(yè)的容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)如下：

表2容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)

容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

不低于15%不低于30%不低于50%

b)業(yè)務(wù)系統(tǒng)總數(shù)小于等于30的保險(xiǎn)企業(yè)的容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)如下：

表3容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)

容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

實(shí)際使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)數(shù)量實(shí)際使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)數(shù)量實(shí)際使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)數(shù)量

不低于5個(gè)不低于10個(gè)不低于15個(gè)

6應(yīng)用成效要求

2

T/IACCCSA—2020

6.1效率提升成效

本指標(biāo)考察保險(xiǎn)企業(yè)基于容器的云計(jì)算平臺(tái)對(duì)應(yīng)用部署時(shí)間的效率提升，參考標(biāo)準(zhǔn)見表4。

效率提升比的計(jì)算方法，見式（2）:

P2=[(C-D)/D]×100%……（2）

式中：

P2--效率提升比;

C--傳統(tǒng)模式效率：傳統(tǒng)模式下一年內(nèi)所有應(yīng)用部署所耗工作量;

D--基于容器的云計(jì)算平臺(tái)效率：最近一年年度上所有應(yīng)用部署所耗工作量（人*天）。

注：本指標(biāo)僅考察該容器平臺(tái)上所有業(yè)務(wù)系統(tǒng)遷移到容器平臺(tái)前后工作量的對(duì)比。

表4容器平臺(tái)效率提升成效參考標(biāo)準(zhǔn)

容器平臺(tái)效率提升成效參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

不低于100%不低于200%不低于300%

7平臺(tái)技術(shù)能力要求

7.1容器管理平臺(tái)層能力要求

對(duì)容器管理平臺(tái)層的能力要求如下：

表5容器管理平臺(tái)層能力要求參考標(biāo)準(zhǔn)

容器管理平臺(tái)層能力要求參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

容器管理平臺(tái)：應(yīng)具備管理來自所有同上一級(jí)同上一級(jí)

業(yè)務(wù)區(qū)域計(jì)算資源管理、服務(wù)調(diào)度的

能力，并提供統(tǒng)一門戶。容器管理平

臺(tái)應(yīng)具備資源管理能力、運(yùn)維系統(tǒng)、

監(jiān)控系統(tǒng)等基本功能。

容器調(diào)度：應(yīng)具備資源集群（資源池）同上一級(jí)容器調(diào)度：應(yīng)具備資源集群（資源

服務(wù)調(diào)度能力，包括：常駐服務(wù)調(diào)度池）服務(wù)調(diào)度能力，包括：常駐服

框架。務(wù)調(diào)度框架，批處理調(diào)度框架等。

批處理調(diào)度框架能夠定時(shí)執(zhí)行和

結(jié)束某些任務(wù)。

服務(wù)注冊(cè)：應(yīng)具備容器服務(wù)注冊(cè)能同上一級(jí)同上一級(jí)

力。

服務(wù)發(fā)現(xiàn)：應(yīng)具備獲取運(yùn)行容器節(jié)點(diǎn)同上一級(jí)同上一級(jí)

信息、容器發(fā)現(xiàn)能力。

負(fù)載均衡：應(yīng)具備容器應(yīng)用實(shí)例的軟同上一級(jí)同上一級(jí)

負(fù)載均衡能力。

鏡像倉(cāng)庫(kù)：應(yīng)具備企業(yè)私有鏡像倉(cāng)鏡像倉(cāng)庫(kù)：應(yīng)具備企業(yè)私有鏡像倉(cāng)鏡像倉(cāng)庫(kù)：應(yīng)具備企業(yè)私有鏡像倉(cāng)

庫(kù)。庫(kù)。鏡像倉(cāng)庫(kù)的空間分為：基礎(chǔ)鏡像庫(kù)。鏡像倉(cāng)庫(kù)分為：基礎(chǔ)鏡像倉(cāng)庫(kù)、

倉(cāng)庫(kù)、項(xiàng)目鏡像倉(cāng)庫(kù)?；A(chǔ)鏡像倉(cāng)庫(kù)基礎(chǔ)鏡像倉(cāng)庫(kù)備庫(kù)、項(xiàng)目鏡像倉(cāng)

存儲(chǔ)基礎(chǔ)的公共鏡像，供所有項(xiàng)目共庫(kù)、項(xiàng)目鏡像倉(cāng)庫(kù)備庫(kù)。基礎(chǔ)鏡像

3

T/IACCCSA—2020

享；項(xiàng)目鏡像倉(cāng)庫(kù)存儲(chǔ)項(xiàng)目用戶打造倉(cāng)庫(kù)存儲(chǔ)基礎(chǔ)的公共鏡像，供所有

的私有鏡像。項(xiàng)目共享；項(xiàng)目鏡像倉(cāng)庫(kù)存儲(chǔ)項(xiàng)目

用戶打造的私有鏡像。

配置管理：應(yīng)具備集中管理容器應(yīng)用同上一級(jí)同上一級(jí)

的配置屬性能力。主要包括環(huán)境變量

配置、日志配置、應(yīng)用配置和數(shù)據(jù)庫(kù)

配置。應(yīng)具備配置文件統(tǒng)一管理能

力，容器實(shí)例啟動(dòng)時(shí)通過配置中心自

動(dòng)生成并加載配置文件。支持配置模

板化，通過模板對(duì)各具體配置項(xiàng)進(jìn)行

配置并生成配置文件實(shí)例。

批處理應(yīng)用：支持批處理任務(wù)。批處批處理應(yīng)用：支持批處理任務(wù)，批

理任務(wù)運(yùn)行在指定的資源組中，可以處理任務(wù)由資源集群的批處理調(diào)

與同一應(yīng)用系統(tǒng)下的其他資源組共度框架集中調(diào)度。批處理任務(wù)運(yùn)行

用，但不同應(yīng)用系統(tǒng)之間的批處理任在指定的資源組中，可以與同一應(yīng)

務(wù)資源隔離。用系統(tǒng)下的其他資源組共用，但不

同應(yīng)用系統(tǒng)之間的批處理任務(wù)資

源隔離。

7.2容器基礎(chǔ)設(shè)施層能力要求

容器基礎(chǔ)設(shè)施層能力要求參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

鏡像：應(yīng)具備備份能力。鏡像：應(yīng)具備備份能力。具有基礎(chǔ)鏡像同上一級(jí)

管理標(biāo)準(zhǔn)：規(guī)范鏡像命名，制作標(biāo)準(zhǔn)（包

括鏡像目錄規(guī)范，啟動(dòng)腳本，監(jiān)控接口，

日志接口）

資源集群：應(yīng)具備提供跨物理節(jié)點(diǎn)的計(jì)資源集群：應(yīng)具備提供跨物理節(jié)點(diǎn)的計(jì)同上一級(jí)

算資源和存儲(chǔ)資源的能力。算資源和存儲(chǔ)資源的能力。計(jì)算資源能

支持GPU的管理。

異構(gòu)主機(jī)：應(yīng)具備基礎(chǔ)設(shè)施適配能力，同上一級(jí)同上一級(jí)

包括物理、VMware、OpenStack、公有

云、多云多DC支持能力。

租戶隔離：應(yīng)具備提供租戶隔離的基本同上一級(jí)同上一級(jí)

能力。

網(wǎng)絡(luò)通訊：應(yīng)具備跨主機(jī)通訊能力，支同上一級(jí)同上一級(jí)

持容器網(wǎng)絡(luò)管理。

平臺(tái)災(zāi)備：具備“同城雙中心的容災(zāi)能平臺(tái)災(zāi)備：具備異地災(zāi)備的容災(zāi)能力。

力?？筛鶕?jù)自身業(yè)務(wù)需求評(píng)估是否建設(shè)雙

容器平臺(tái)以及運(yùn)行在容器平臺(tái)上的應(yīng)活中心。

用系統(tǒng)（按系統(tǒng)級(jí)別）災(zāi)難恢復(fù)能力應(yīng)容器平臺(tái)以及運(yùn)行在容器平臺(tái)上的應(yīng)

滿足《保險(xiǎn)業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指用系統(tǒng)（按系統(tǒng)級(jí)別）災(zāi)難恢復(fù)能力應(yīng)

引》相關(guān)要求。滿足《保險(xiǎn)業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指

4

T/IACCCSA—2020

引》相關(guān)要求。

7.3容器平臺(tái)高可用架構(gòu)

容器平臺(tái)高可用架構(gòu)能力要求參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

——滿足高可用部署規(guī)范，容器平臺(tái)在上一級(jí)的基礎(chǔ)上仍需滿足：在上一級(jí)的基礎(chǔ)上仍需滿足：

各功能模塊，如調(diào)度模塊、鏡像模塊、

——三級(jí)域劃分：每個(gè)業(yè)務(wù)區(qū)域劃分——每個(gè)業(yè)務(wù)區(qū)域劃分若干個(gè)子

監(jiān)控模塊、配置管理模塊等，不允許

若干個(gè)子域。例如，為壽險(xiǎn)公司業(yè)務(wù)域，每個(gè)子域部署兩個(gè)不同的資源

存在單點(diǎn)故障技術(shù)風(fēng)險(xiǎn)。

區(qū)域劃分移動(dòng)APP子域和小程序子域。集群來實(shí)現(xiàn)雙活與高可用架構(gòu)。應(yīng)

——二級(jí)域劃分：運(yùn)行在容器平臺(tái)上本指標(biāo)考察容器平臺(tái)管理層面的三級(jí)用系統(tǒng)可選擇高可用部署，高可用

的應(yīng)用系統(tǒng)應(yīng)按所屬業(yè)務(wù)劃分業(yè)務(wù)域劃分能力，具體劃分策略不做要求。架構(gòu)下應(yīng)用系統(tǒng)的同一功能集群

區(qū)域，且所有業(yè)務(wù)區(qū)域統(tǒng)一接入容器的容器分別部署在兩個(gè)不同的資

——每個(gè)資源集群可部署的容器宿主

管理平臺(tái)進(jìn)行管理。例如，平臺(tái)為壽源集群上，當(dāng)某一資源集群發(fā)生故

機(jī)節(jié)點(diǎn)數(shù)量不宜過多，通過增加子域

險(xiǎn)公司和財(cái)險(xiǎn)公司分別劃分業(yè)務(wù)區(qū)障，由另一個(gè)資源集群上的容器持

來實(shí)現(xiàn)業(yè)務(wù)區(qū)域計(jì)算資源擴(kuò)容。

域，壽險(xiǎn)公司的服務(wù)部署在壽險(xiǎn)公司續(xù)提供服務(wù)，反之亦然。

——資源集群中可為每個(gè)應(yīng)用系統(tǒng)劃

業(yè)務(wù)區(qū)域，財(cái)險(xiǎn)公司的服務(wù)部署在財(cái)

分資源組，不同資源組下的Slave宿

險(xiǎn)公司業(yè)務(wù)區(qū)域。本指標(biāo)考察容器平

主機(jī)相互隔離。每個(gè)應(yīng)用系統(tǒng)不同服

臺(tái)管理層面的二級(jí)域劃分能力，具體

務(wù)間若需要資源隔離，也可以創(chuàng)建多

劃分策略不做要求。

個(gè)資源組，Slave宿主機(jī)可以是虛擬機(jī)

——每個(gè)資源集群可部署的容器宿

或者物理服務(wù)器。

主機(jī)節(jié)點(diǎn)數(shù)量不宜過多。

——能夠基于應(yīng)用服務(wù)進(jìn)行負(fù)載均衡

實(shí)例配置，可以自動(dòng)注冊(cè)和發(fā)現(xiàn)應(yīng)用

服務(wù)，并且可以根據(jù)應(yīng)用服務(wù)的實(shí)際

性能需求為其分配相應(yīng)處理能力的負(fù)

載均衡實(shí)例。當(dāng)負(fù)載均衡實(shí)例與服務(wù)

發(fā)現(xiàn)軟件運(yùn)行在兩臺(tái)或以上數(shù)量服務(wù)

器上時(shí)，同一應(yīng)用服務(wù)相關(guān)的各負(fù)載

均衡實(shí)例向上需要對(duì)接全局大流量出

口的負(fù)載均衡，并且對(duì)外提供統(tǒng)一固

定IP和端口訪問。

7.4容器平臺(tái)分域治理能力要求

容器平臺(tái)分域治理能力要求參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

——為每個(gè)應(yīng)用系統(tǒng)分別開設(shè)只讀賬同上一級(jí)

在上一級(jí)的基礎(chǔ)上仍需滿足：

戶和管理賬戶。管理賬戶可以在權(quán)限

——支持常駐服務(wù)與批處理任務(wù)，持

范圍內(nèi)的資源組（Slave宿主機(jī)）上運(yùn)

續(xù)提供服務(wù)的容器實(shí)例屬于常駐服

行和管理容器應(yīng)用，進(jìn)行鏡像打包發(fā)

務(wù)，由資源集群的常駐服務(wù)調(diào)度框架

5

T/IACCCSA—2020

布、配置管理、程序發(fā)布等工作；只集中調(diào)度。

讀賬戶只能查看相關(guān)信息。

——應(yīng)用系統(tǒng)網(wǎng)絡(luò)架構(gòu)大致分三種場(chǎng)

景：內(nèi)網(wǎng)應(yīng)用架構(gòu)、外網(wǎng)應(yīng)用架構(gòu)、

內(nèi)外網(wǎng)混合架構(gòu)。

?內(nèi)網(wǎng)應(yīng)用架構(gòu)：應(yīng)用系統(tǒng)只接受

內(nèi)網(wǎng)用戶訪問，所有容器實(shí)例均運(yùn)行

在內(nèi)網(wǎng)區(qū)域。

?外網(wǎng)應(yīng)用架構(gòu)：應(yīng)用系統(tǒng)只接受

外網(wǎng)用戶訪問。具有訪問控制規(guī)則，

能夠監(jiān)測(cè)到外網(wǎng)用戶的網(wǎng)絡(luò)攻擊行

為，能夠記錄攻擊類型、攻擊時(shí)間、

攻擊流量等。

內(nèi)外網(wǎng)混合架構(gòu)：內(nèi)網(wǎng)容器服務(wù)

需要提供內(nèi)網(wǎng)用戶訪問，或者對(duì)內(nèi)網(wǎng)

其他服務(wù)提供接口訪問時(shí)，應(yīng)單獨(dú)在

內(nèi)網(wǎng)部署軟負(fù)載與服務(wù)發(fā)現(xiàn)組件。

8安全保障要求

容器平臺(tái)安全保障能力要求參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

管理平臺(tái)安全性：各主機(jī)接入到管理同上一級(jí)同上一級(jí)

平臺(tái)應(yīng)需要相關(guān)的安全認(rèn)證，如需要

口令。

數(shù)據(jù)安全性：對(duì)重要的數(shù)據(jù)、配置具同上一級(jí)同上一級(jí)

有備份恢復(fù)機(jī)制，重要數(shù)據(jù)包括但不

限于應(yīng)用配置、程序和存儲(chǔ)卷。

操作安全性：支持關(guān)鍵操作的審批和同上一級(jí)同上一級(jí)

管理，關(guān)鍵操作包括但不限于應(yīng)用發(fā)

布、應(yīng)用停止等。

多用戶角色管理：不同用戶擁有不同同上一級(jí)同上一級(jí)

的應(yīng)用管理權(quán)限。

端口安全性：組件不使用默認(rèn)端口，同上一級(jí)同上一級(jí)

并且要有安全認(rèn)證（令牌）。對(duì)于容

器自動(dòng)擴(kuò)縮容在傳統(tǒng)數(shù)據(jù)中心要求

開通多端口策略的問題，具體策略需

向銀保監(jiān)會(huì)報(bào)備。

接口規(guī)范：使用Restful，基于容器同上一級(jí)同上一級(jí)

構(gòu)建的服務(wù)僅對(duì)外提供Get、Post兩

種接口。

鏡像安全性：同上一級(jí)

6

T/IACCCSA—2020

提供鏡像完整性校驗(yàn)功能，防止容器

鏡像被惡意篡改。

針對(duì)重要業(yè)務(wù)系統(tǒng)提供加固的鏡像。

支持對(duì)容器鏡像進(jìn)行安全掃描。

7

T/IACCCSA—2020

參考文獻(xiàn)

[1]GB/T31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南

[2]GB/T31168-2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

[3]GA/T1390.2-2017信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分：云計(jì)算安全擴(kuò)展要求

[4]GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求

[5]ISO/IECTR27015:2012信息技術(shù)安全技術(shù)金融服務(wù)信息安全管理指南

[6]JR/T0071-2012金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引

[7]JR/T0072-2012金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南

[8]2012-2513T-YD可信云開源容器類解決方案認(rèn)證評(píng)估方法

_________________________________

8

ICS35.240.40

L79,A11

IAC

CCSA

中國(guó)保險(xiǎn)行業(yè)協(xié)會(huì)標(biāo)準(zhǔn)

中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)標(biāo)準(zhǔn)

T/IACCCSA—2020

保險(xiǎn)行業(yè)基于容器的云計(jì)算平臺(tái)

成熟度模型

Maturitymodelforcloudcomputingplatformbasedoncontainerininsurance

industry

（征求意見稿）

T/IACCCSA—2020

保險(xiǎn)行業(yè)基于容器的云計(jì)算平臺(tái)成熟度模型

1范圍

本文件規(guī)定了保險(xiǎn)行業(yè)基于容器的云計(jì)算平臺(tái)成熟度模型，具體包括四方面：落實(shí)程度、應(yīng)用成效、

平臺(tái)技術(shù)能力和安全保障。

本文件適用于保險(xiǎn)行業(yè)云服務(wù)科技公司或保險(xiǎn)業(yè)科技部門部署、實(shí)施和監(jiān)測(cè)基于容器的云計(jì)算平臺(tái)

相關(guān)場(chǎng)景。

注：本文件以容器平臺(tái)為考察單位，若保險(xiǎn)企業(yè)具備多個(gè)容器平臺(tái)，應(yīng)單獨(dú)考察每個(gè)平臺(tái)的成熟度等級(jí)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T32400-2015信息技術(shù)云計(jì)算概覽與詞匯

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

云計(jì)算cloudcomputing

一種通過網(wǎng)絡(luò)將可伸縮、彈性的共享物理和虛擬資源池按需自服務(wù)的方式供應(yīng)和管理的模式。

注：資源包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲(chǔ)設(shè)備等。

[GB/T32400-2015，定義3.2.5]

3.2

容器技術(shù)container

寄宿于操作系統(tǒng)的一組進(jìn)程，為應(yīng)用提供相互隔離的運(yùn)行環(huán)境。容器具有輕量、隔離性、彈性擴(kuò)容

等優(yōu)點(diǎn)，廣泛應(yīng)用于開發(fā)測(cè)試，運(yùn)維等場(chǎng)景中。

3.3

容器平臺(tái)containerplatform

以容器或容器組為最小調(diào)度單元，通過容器編排技術(shù)處理實(shí)現(xiàn)任務(wù)間的關(guān)聯(lián)關(guān)系（調(diào)用、訪問、代

理等），用于構(gòu)建、發(fā)布和運(yùn)行分布式應(yīng)用的云平臺(tái)。容器平臺(tái)為開發(fā)者提供了管理和部署容器化應(yīng)用

程序和集群的能力。

1

T/IACCCSA—2020

4成熟度模型概述

保險(xiǎn)行業(yè)基于容器的云計(jì)算平臺(tái)成熟度模型從四個(gè)維度進(jìn)行衡量：

——落實(shí)程度：保險(xiǎn)企業(yè)內(nèi)容器平臺(tái)在部門、信息系統(tǒng)等方面的覆蓋情況。

——應(yīng)用成效：容器平臺(tái)在提高效率、節(jié)約建設(shè)成本等方面的應(yīng)用成效。

——平臺(tái)技術(shù)能力：容器平臺(tái)的技術(shù)能力水平。

——安全保障：容器平臺(tái)安全保障制度的完備性和能力水平。

每個(gè)指標(biāo)從弱到強(qiáng)的要求分為基礎(chǔ)級(jí)、增強(qiáng)級(jí)和先進(jìn)級(jí)，所有指標(biāo)為某一級(jí)，則評(píng)定基于容器的云

計(jì)算平臺(tái)為相應(yīng)級(jí)別，成熟度等級(jí)劃分見表1。

表1容器平臺(tái)成熟度等級(jí)劃分

容器平臺(tái)成熟度等級(jí)劃分

基礎(chǔ)級(jí)在企業(yè)內(nèi)構(gòu)建基于容器的云計(jì)算平臺(tái)，一定范圍推行并獲得初步成效。

增強(qiáng)級(jí)在企業(yè)內(nèi)構(gòu)建基于容器的云計(jì)算平臺(tái)，大范圍推行并獲得較高效率提升。

先進(jìn)級(jí)在企業(yè)內(nèi)構(gòu)建基于容器的云計(jì)算平臺(tái)，全面落地并達(dá)到整體效率得到較大優(yōu)化

5落實(shí)程度要求

5.1業(yè)務(wù)系統(tǒng)使用率

本指標(biāo)考察保險(xiǎn)企業(yè)內(nèi)基于容器平臺(tái)的業(yè)務(wù)系統(tǒng)數(shù)量，參考標(biāo)準(zhǔn)見表2，表3。

容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率的計(jì)算公式，見式（1）:

P1=(A/B)×100%……（1）

式中：

P1--容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率;

A--實(shí)際使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)數(shù)量;

B--業(yè)務(wù)系統(tǒng)總數(shù)。

注：若保險(xiǎn)企業(yè)具備多個(gè)容器平臺(tái)，本指標(biāo)只區(qū)分使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)和未使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)，不對(duì)

業(yè)務(wù)系統(tǒng)使用的容器平臺(tái)作區(qū)分。

a)業(yè)務(wù)系統(tǒng)總數(shù)大于30的保險(xiǎn)企業(yè)的容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)如下：

表2容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)

容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

不低于15%不低于30%不低于50%

b)業(yè)務(wù)系統(tǒng)總數(shù)小于等于30的保險(xiǎn)企業(yè)的容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)如下：

表3容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)

容器平臺(tái)業(yè)務(wù)系統(tǒng)使用率參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

實(shí)際使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)數(shù)量實(shí)際使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)數(shù)量實(shí)際使用容器平臺(tái)的業(yè)務(wù)系統(tǒng)數(shù)量

不低于5個(gè)不低于10個(gè)不低于15個(gè)

6應(yīng)用成效要求

2

T/IACCCSA—2020

6.1效率提升成效

本指標(biāo)考察保險(xiǎn)企業(yè)基于容器的云計(jì)算平臺(tái)對(duì)應(yīng)用部署時(shí)間的效率提升，參考標(biāo)準(zhǔn)見表4。

效率提升比的計(jì)算方法，見式（2）:

P2=[(C-D)/D]×100%……（2）

式中：

P2--效率提升比;

C--傳統(tǒng)模式效率：傳統(tǒng)模式下一年內(nèi)所有應(yīng)用部署所耗工作量;

D--基于容器的云計(jì)算平臺(tái)效率：最近一年年度上所有應(yīng)用部署所耗工作量（人*天）。

注：本指標(biāo)僅考察該容器平臺(tái)上所有業(yè)務(wù)系統(tǒng)遷移到容器平臺(tái)前后工作量的對(duì)比。

表4容器平臺(tái)效率提升成效參考標(biāo)準(zhǔn)

容器平臺(tái)效率提升成效參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

不低于100%不低于200%不低于300%

7平臺(tái)技術(shù)能力要求

7.1容器管理平臺(tái)層能力要求

對(duì)容器管理平臺(tái)層的能力要求如下：

表5容器管理平臺(tái)層能力要求參考標(biāo)準(zhǔn)

容器管理平臺(tái)層能力要求參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

容器管理平臺(tái)：應(yīng)具備管理來自所有同上一級(jí)同上一級(jí)

業(yè)務(wù)區(qū)域計(jì)算資源管理、服務(wù)調(diào)度的

能力，并提供統(tǒng)一門戶。容器管理平

臺(tái)應(yīng)具備資源管理能力、運(yùn)維系統(tǒng)、

監(jiān)控系統(tǒng)等基本功能。

容器調(diào)度：應(yīng)具備資源集群（資源池）同上一級(jí)容器調(diào)度：應(yīng)具備資源集群（資源

服務(wù)調(diào)度能力，包括：常駐服務(wù)調(diào)度池）服務(wù)調(diào)度能力，包括：常駐服

框架。務(wù)調(diào)度框架，批處理調(diào)度框架等。

批處理調(diào)度框架能夠定時(shí)執(zhí)行和

結(jié)束某些任務(wù)。

服務(wù)注冊(cè)：應(yīng)具備容器服務(wù)注冊(cè)能同上一級(jí)同上一級(jí)

力。

服務(wù)發(fā)現(xiàn)：應(yīng)具備獲取運(yùn)行容器節(jié)點(diǎn)同上一級(jí)同上一級(jí)

信息、容器發(fā)現(xiàn)能力。

負(fù)載均衡：應(yīng)具備容器應(yīng)用實(shí)例的軟同上一級(jí)同上一級(jí)

負(fù)載均衡能力。

鏡像倉(cāng)庫(kù)：應(yīng)具備企業(yè)私有鏡像倉(cāng)鏡像倉(cāng)庫(kù)：應(yīng)具備企業(yè)私有鏡像倉(cāng)鏡像倉(cāng)庫(kù)：應(yīng)具備企業(yè)私有鏡像倉(cāng)

庫(kù)。庫(kù)。鏡像倉(cāng)庫(kù)的空間分為：基礎(chǔ)鏡像庫(kù)。鏡像倉(cāng)庫(kù)分為：基礎(chǔ)鏡像倉(cāng)庫(kù)、

倉(cāng)庫(kù)、項(xiàng)目鏡像倉(cāng)庫(kù)?；A(chǔ)鏡像倉(cāng)庫(kù)基礎(chǔ)鏡像倉(cāng)庫(kù)備庫(kù)、項(xiàng)目鏡像倉(cāng)

存儲(chǔ)基礎(chǔ)的公共鏡像，供所有項(xiàng)目共庫(kù)、項(xiàng)目鏡像倉(cāng)庫(kù)備庫(kù)?；A(chǔ)鏡像

3

T/IACCCSA—2020

享；項(xiàng)目鏡像倉(cāng)庫(kù)存儲(chǔ)項(xiàng)目用戶打造倉(cāng)庫(kù)存儲(chǔ)基礎(chǔ)的公共鏡像，供所有

的私有鏡像。項(xiàng)目共享；項(xiàng)目鏡像倉(cāng)庫(kù)存儲(chǔ)項(xiàng)目

用戶打造的私有鏡像。

配置管理：應(yīng)具備集中管理容器應(yīng)用同上一級(jí)同上一級(jí)

的配置屬性能力。主要包括環(huán)境變量

配置、日志配置、應(yīng)用配置和數(shù)據(jù)庫(kù)

配置。應(yīng)具備配置文件統(tǒng)一管理能

力，容器實(shí)例啟動(dòng)時(shí)通過配置中心自

動(dòng)生成并加載配置文件。支持配置模

板化，通過模板對(duì)各具體配置項(xiàng)進(jìn)行

配置并生成配置文件實(shí)例。

批處理應(yīng)用：支持批處理任務(wù)。批處批處理應(yīng)用：支持批處理任務(wù)，批

理任務(wù)運(yùn)行在指定的資源組中，可以處理任務(wù)由資源集群的批處理調(diào)

與同一應(yīng)用系統(tǒng)下的其他資源組共度框架集中調(diào)度。批處理任務(wù)運(yùn)行

用，但不同應(yīng)用系統(tǒng)之間的批處理任在指定的資源組中，可以與同一應(yīng)

務(wù)資源隔離。用系統(tǒng)下的其他資源組共用，但不

同應(yīng)用系統(tǒng)之間的批處理任務(wù)資

源隔離。

7.2容器基礎(chǔ)設(shè)施層能力要求

容器基礎(chǔ)設(shè)施層能力要求參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

鏡像：應(yīng)具備備份能力。鏡像：應(yīng)具備備份能力。具有基礎(chǔ)鏡像同上一級(jí)

管理標(biāo)準(zhǔn)：規(guī)范鏡像命名，制作標(biāo)準(zhǔn)（包

括鏡像目錄規(guī)范，啟動(dòng)腳本，監(jiān)控接口，

日志接口）

資源集群：應(yīng)具備提供跨物理節(jié)點(diǎn)的計(jì)資源集群：應(yīng)具備提供跨物理節(jié)點(diǎn)的計(jì)同上一級(jí)

算資源和存儲(chǔ)資源的能力。算資源和存儲(chǔ)資源的能力。計(jì)算資源能

支持GPU的管理。

異構(gòu)主機(jī)：應(yīng)具備基礎(chǔ)設(shè)施適配能力，同上一級(jí)同上一級(jí)

包括物理、VMware、OpenStack、公有

云、多云多DC支持能力。

租戶隔離：應(yīng)具備提供租戶隔離的基本同上一級(jí)同上一級(jí)

能力。

網(wǎng)絡(luò)通訊：應(yīng)具備跨主機(jī)通訊能力，支同上一級(jí)同上一級(jí)

持容器網(wǎng)絡(luò)管理。

平臺(tái)災(zāi)備：具備“同城雙中心的容災(zāi)能平臺(tái)災(zāi)備：具備異地災(zāi)備的容災(zāi)能力。

力?？筛鶕?jù)自身業(yè)務(wù)需求評(píng)估是否建設(shè)雙

容器平臺(tái)以及運(yùn)行在容器平臺(tái)上的應(yīng)活中心。

用系統(tǒng)（按系統(tǒng)級(jí)別）災(zāi)難恢復(fù)能力應(yīng)容器平臺(tái)以及運(yùn)行在容器平臺(tái)上的應(yīng)

滿足《保險(xiǎn)業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指用系統(tǒng)（按系統(tǒng)級(jí)別）災(zāi)難恢復(fù)能力應(yīng)

引》相關(guān)要求。滿足《保險(xiǎn)業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指

4

T/IACCCSA—2020

引》相關(guān)要求。

7.3容器平臺(tái)高可用架構(gòu)

容器平臺(tái)高可用架構(gòu)能力要求參考標(biāo)準(zhǔn)

基礎(chǔ)級(jí)增強(qiáng)級(jí)先進(jìn)級(jí)

——滿足高可用部署規(guī)范，容器平臺(tái)在上一級(jí)的基礎(chǔ)上仍需滿足：在上一級(jí)的基礎(chǔ)上仍需滿足：

各功能模塊，如調(diào)度模塊、鏡像模塊、

——三級(jí)域劃分：每個(gè)業(yè)務(wù)區(qū)域劃分——每個(gè)業(yè)務(wù)區(qū)域劃分若干個(gè)子

監(jiān)控模塊、配置管理模塊等，不允許

若干個(gè)子域。例如，為壽險(xiǎn)公司業(yè)務(wù)域，每個(gè)子域部署兩個(gè)不同的資源

存在單點(diǎn)故障技術(shù)風(fēng)險(xiǎn)。

區(qū)域劃分移動(dòng)APP子域和小程序子域。集群來實(shí)現(xiàn)雙活與高可用架構(gòu)。應(yīng)

——二級(jí)域劃分：運(yùn)行在容器平臺(tái)上本指標(biāo)考察容器平臺(tái)管理層面的三級(jí)用系統(tǒng)可選擇高可用部署，高可用

的應(yīng)用系統(tǒng)應(yīng)按所屬業(yè)務(wù)劃分業(yè)務(wù)域劃分能力，具體劃分策略不做要求。架構(gòu)下應(yīng)用系統(tǒng)的同一功能集群

區(qū)域，且所有業(yè)務(wù)區(qū)域統(tǒng)一接入容器的容器分別部署在兩個(gè)不同的資

——每個(gè)資源集群可部署的容器宿主

管理平臺(tái)進(jìn)行管理。例如，平臺(tái)為壽源集群上，當(dāng)某一資源集群發(fā)生故

機(jī)節(jié)點(diǎn)數(shù)量不宜過多，通過增加子域

險(xiǎn)公司和財(cái)險(xiǎn)公司分別劃分業(yè)務(wù)區(qū)障，由另一個(gè)資源集群上的容器持

來實(shí)現(xiàn)業(yè)務(wù)區(qū)域計(jì)算資源擴(kuò)容。

域，壽險(xiǎn)公司的服務(wù)部署在壽險(xiǎn)公司續(xù)提供服務(wù)，反之亦然。

——資源集群中可為每個(gè)應(yīng)用系統(tǒng)劃

業(yè)務(wù)區(qū)域，財(cái)險(xiǎn)公司的服務(wù)部署在財(cái)

分資源組，不同資源組下的Slave宿

險(xiǎn)公司業(yè)務(wù)區(qū)域。本指標(biāo)考察容器平

主機(jī)相互隔離。每個(gè)應(yīng)用系統(tǒng)不同服

臺(tái)管理層面的二級(jí)域劃分能力，具體

務(wù)間若需要資源隔離，也可以創(chuàng)建多

劃分策略不做要求。

個(gè)資源組，Slav