標(biāo)準(zhǔn)編號(hào):	JR/T 0166-2018
中文名稱(chēng):	云計(jì)算技術(shù)金融應(yīng)用規(guī)范 技術(shù)架構(gòu)
英文名稱(chēng):	Financial application specification of cloud computing technology - Technical architecture
中標(biāo)分類(lèi):	A11    金融、保險(xiǎn)
行業(yè)分類(lèi):	JR    金融行業(yè)標(biāo)準(zhǔn)
ICS分類(lèi):	35.240.40 35.240.40    信息技術(shù)在銀行中的應(yīng)用 35.240.40
發(fā)布機(jī)構(gòu):	中國(guó)人民銀行
發(fā)布日期:	2018-8-15
實(shí)施日期:	2018-8-15
標(biāo)準(zhǔn)狀態(tài):	superseded
被新標(biāo)準(zhǔn)替代:	JR/T 0166-2020 云計(jì)算技術(shù)金融應(yīng)用規(guī)范 技術(shù)架構(gòu)
被替代日期:	2020-10-16
翻譯語(yǔ)言:	英文
文件格式:	PDF
中文字符數(shù):	14,000 字
翻譯價(jià)格(元):	2100.0
交付時(shí)間:	付款后 1 個(gè)工作日

Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative. This standard is one of the series of standards for financial applications of cloud computing technology, which include: ——Financial application specification of cloud computing technology - Technical architecture; ——Financial application specification of cloud computing technology - Security technical requirements; ——Financial application specification of cloud computing technology - Disaster recovery. This standard is developed in accordance with the rules given in GB/T 1.1-2009. This standard was proposed by the People's Bank of China. This standard is under the jurisdiction of the National Technical Committee on Finance of Standardization Administration of China (SAC/TC 180). Financial application specification of cloud computing technology - Technical architecture 1 Scope This standard specifies the requirements for technical architecture of the cloud computing platform in financial field, covering the contents such as service categories, deployment model, parties, architectural characteristics and architecture system of cloud computing. This standard is applicable to cloud service providers, cloud service users, cloud service partners, etc. in the financial field. 2 Normative references The following documents for the application of this document are essential. Any dated reference, just dated edition applies to this document. For undated references, the latest edition of the normative document (including any amendments) applies. GB/T 32400-2015 Information technology - Cloud computing - Overview and vocabulary GB 50174-2017 Code for design of data centers JR/T 0071-2012 Implementation guide for classified protection of information system of financial industry JR/T 0131-2015 Financial information system room power system specification 3 Terms and definitions For the purposes of this document, the following terms and definitions apply. 3.1 party one or a group of natural or legal persons, regardless of whether the legal person is registered [GB/T 32400-2015, Definition 3.1.6] 3.2 cloud computing a kind of model in which extensible and elastic sharable physical and virtual resource pool is supplied and managed by means of on-demand self-service via network Note: resources include the server, operating system, network, software, application and storage equipment. [GB/T 32400-2015, Definition 3.2.5] 3.3 cloud service one or more capabilities provided through the interfaces already defined by cloud computing [GB/T 32400-2015, Definition 3.2.8] 3.4 cloud service provider the party providing cloud service [GB/T 32400-2015, Definition 3.2.15] 3.5 cloud service user the party using cloud service 3.6 cloud service partner the party who supports or assists cloud service provider activities, cloud service user activities, or both 3.7 cloud service auditor the cloud service party responsible for auditing the provision and use of cloud service 3.8 cloud computing platform the collection of cloud computing infrastructure and its service software provided by the cloud service provider and cloud service partner 3.9 private cloud a cloud deployment model in which a cloud service is used only by one cloud service user and the resources are controlled by this cloud service user 3.10 community cloud a cloud deployment model in which a cloud service is used and shared by a specific set of cloud service users, and the resources are controlled by the cloud service provider or users, both of whom have identical or highly similar supervision policies, security requirements, etc. 3.11 public cloud a cloud deployment model in which a cloud service can be used by any cloud service user and the resources are controlled by cloud service provider 3.12 hybrid cloud a cloud deployment model including two or more deployment models 3.13 infrastructure as a service a cloud service category providing the cloud service user with the infrastructure capability type among the cloud capability types 3.14 platform as a service a cloud service category providing the cloud service user with the platform capability type among the cloud capability types 3.15 software as a service a cloud service category providing the cloud service user with the application capability type among the cloud capability types 3.16 tenant one or more cloud service users accessing a group of physical or virtual resources in sharing mode 3.17 multi-tenancy the characteristic ensuring multiple tenants and their calculation and data being isolated and inaccessible mutually via distribution of physical or virtual resource [GB/T 32400-2015, Definition 3.2.27] 3.18 physical machine the physical server corresponding to the virtual machine, which can provide a hardware environment for the virtual machine 3.19 physical machine service the service providing the cloud service user with physical machine directly 3.20 virtual machine a general term for the operating system and the application operating environment provided to the user, which are the same as the original physical server via various virtualization technologies. The virtual machine typically uses the resources of the physical server, which appears to the user that its usage model is identical to that of the physical server 3.21 hypervisor the virtualization module managing the physical machine operating system, and controlling the flow of demands between the user’s operating system and physical hardware 3.22 container the operating environment providing a lightweight and isolated set of processes and resources through the technology of operating system virtualization 3.23 resource pool a collection of physical resources or virtual resources, which the resources can be obtained from and released to as well as recycled by the resource pool according to certain rules, including physical and virtual machines, physical and virtual storage resources and physical and virtual network resources 3.24 sensitive data the data which, once revealed, may possibly cause damage to the user or financial institution, including but not limited to: a) sensitive data of user , e.g. user password and key; b) sensitive data of system , e.g. system key and key system management data; c) other sensitive business data required to be kept secret; d) crucial operational order; e) main configuration documents of system; f) other data required to be kept secret. [JR/T 0071-2012, Definition 3.1] 4 Abbreviations For the purposes of this document, the following abbreviations apply. ACL Access Control List CPU Central Processing Unit DSaaS Data Storage as a Service HTTP Hypertext Transfer Protocol I/O Input/Output IaaS Infrastructure as a Service NaaS Network as a Service PaaS Platform as a Service QoS Quality of Service SaaS Software as a Service SQL Structured Query Language TCP Transmission Control Protocol VPN Virtual Private Network 5 General 5.1 Service category Cloud services mainly include Infrastructure as a Service (IaaS), Platform as a Service (PaaS) and Software as a Service (SaaS). In addition, according to service content, they can be divided into specific service categories such as Network as a Service (NaaS) and Data Storage as a Service (DSaaS). IaaS provides basic resource services such as computing, storage and network. Cloud service users may use, monitor and manage the resources on the cloud computing platform via management platform, Application Programming Interface (API), etc. PaaS provides the software development and operating platform services on the cloud computing infrastructure. Cloud service users can perform system development, testing, integration, deployment, operation, maintenance, etc. based on the PaaS provided by the cloud computing platform. SaaS provides the application software services that run on the cloud computing infrastructure, such as email services.

Foreword II 1 Scope 2 Normative references 3 Terms and definitions 4 Abbreviations 5 General 6 Architectural characteristics 7 Architecture system

云計(jì)算技術(shù)金融應(yīng)用規(guī)范 技術(shù)架構(gòu) 1 范圍 本標(biāo)準(zhǔn)規(guī)定了金融領(lǐng)域云計(jì)算平臺(tái)的技術(shù)架構(gòu)要求，涵蓋云計(jì)算的服務(wù)類(lèi)別、部署模式、參與方、 架構(gòu)特性和架構(gòu)體系等內(nèi)容。 本標(biāo)準(zhǔn)適用于金融領(lǐng)域的云服務(wù)提供者、云服務(wù)使用者、云服務(wù)合作者等。 2 規(guī)范性引用文件 下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 GB/T 32400—2015 信息技術(shù) 云計(jì)算 概覽與詞匯 GB 50174—2017 數(shù)據(jù)中心設(shè)計(jì)規(guī)范 JR/T 0071—2012 金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引 JR/T 0131—2015 金融業(yè)信息系統(tǒng)機(jī)房動(dòng)力系統(tǒng)規(guī)范 3 術(shù)語(yǔ)和定義 下列術(shù)語(yǔ)和定義適用于本文件。 3.1 參與方 party 一個(gè)或一組自然人或法人，無(wú)論該法人是否注冊(cè)。 [GB/T 32400—2015，定義3.1.6] 3.2 云計(jì)算 cloud computing 一種通過(guò)網(wǎng)絡(luò)將可伸縮、彈性的共享物理和虛擬資源池以按需自服務(wù)的方式供應(yīng)和管理的模式。 注：資源包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲(chǔ)設(shè)備等。 [GB/T 32400—2015，定義3.2.5] 3.3 云服務(wù) cloud service 通過(guò)云計(jì)算已定義的接口提供的一種或多種能力。 [GB/T 32400—2015，定義3.2.8] 3.4 云服務(wù)提供者 cloud service provider 提供云服務(wù)的參與方。 [GB/T 32400—2015，定義3.2.15] 3.5 云服務(wù)使用者 cloud service user 使用云服務(wù)的參與方。 3.6 云服務(wù)合作者 cloud service partner 支撐或協(xié)助云服務(wù)提供者活動(dòng)、云服務(wù)使用者活動(dòng)或者兩者共同活動(dòng)的參與方。 3.7 云服務(wù)審計(jì)者 cloud service auditor 負(fù)責(zé)審計(jì)云服務(wù)的供應(yīng)和使用的云服務(wù)參與方。 3.8 云計(jì)算平臺(tái) cloud computing platform 云服務(wù)提供者和云服務(wù)合作者提供的云計(jì)算基礎(chǔ)設(shè)施及其上服務(wù)軟件的集合。 3.9 私有云 private cloud 云服務(wù)僅被一個(gè)云服務(wù)使用者使用，且資源被該云服務(wù)使用者控制的一種云部署模式。 3.10 團(tuán)體云 community cloud 云服務(wù)由一組特定的云服務(wù)使用者使用和共享，且資源被云服務(wù)提供者或使用者控制的一種云部署 模式。云服務(wù)提供者和使用者在監(jiān)管政策、安全要求等方面相同或高度相似。 3.11 公有云 public cloud 云服務(wù)可被任意云服務(wù)使用者使用，且資源被云服務(wù)提供者控制的一種云部署模式。 3.12 混合云 hybrid cloud 包含兩種及以上部署模式的云部署模式。 3.13 基礎(chǔ)設(shè)施即服務(wù) infrastructure as a service 為云服務(wù)使用者提供云能力類(lèi)型中的基礎(chǔ)設(shè)施能力類(lèi)型的一種云服務(wù)類(lèi)別。 3.14 平臺(tái)即服務(wù) platform as a service 為云服務(wù)使用者提供云能力類(lèi)型中的平臺(tái)能力類(lèi)型的一種云服務(wù)類(lèi)別。 3.15 軟件即服務(wù) software as a service 為云服務(wù)使用者提供云能力類(lèi)型中的應(yīng)用能力類(lèi)型的一種云服務(wù)類(lèi)別。 3.16 租戶(hù) tenant 對(duì)一組物理和虛擬資源進(jìn)行共享訪問(wèn)的一個(gè)或多個(gè)云服務(wù)使用者。 3.17 多租戶(hù) multi-tenancy 通過(guò)對(duì)物理或虛擬資源的分配實(shí)現(xiàn)多個(gè)租戶(hù)以及他們的計(jì)算和數(shù)據(jù)彼此隔離和不可訪問(wèn)。 [GB/T 32400—2015，定義3.2.27] 3.18 物理機(jī) physical machine 是指相對(duì)于虛擬機(jī)的物理服務(wù)器，可為虛擬機(jī)提供硬件環(huán)境。 3.19 物理機(jī)服務(wù) physical machine service 是指直接向云服務(wù)使用者提供物理機(jī)的服務(wù)。 3.20 虛擬機(jī) virtual machine 是指通過(guò)各種虛擬化技術(shù)，為用戶(hù)提供的與原有物理服務(wù)器相同的操作系統(tǒng)和應(yīng)用程序運(yùn)行環(huán)境的 統(tǒng)稱(chēng)。虛擬機(jī)通常使用物理服務(wù)器的資源，在用戶(hù)看來(lái)它與物理服務(wù)器的使用方式完全相同。 3.21 虛擬機(jī)管理器 hypervisor 管理物理機(jī)操作系統(tǒng)并控制客戶(hù)操作系統(tǒng)與物理硬件之間指令流動(dòng)的虛擬化組件。 3.22 容器 container 是指通過(guò)操作系統(tǒng)虛擬化的技術(shù)，提供輕量且隔離的一組進(jìn)程和資源的運(yùn)行環(huán)境。 3.23 資源池 resource pool 一組物理資源或虛擬資源的集合，按照一定規(guī)則可從池中獲取資源，也可釋放資源并由資源池回收。 資源包括物理機(jī)、虛擬機(jī)、物理存儲(chǔ)資源、虛擬存儲(chǔ)資源、物理網(wǎng)絡(luò)資源和虛擬網(wǎng)絡(luò)資源等。 3.24 敏感數(shù)據(jù) sensitive data 是指一旦泄露可能會(huì)對(duì)用戶(hù)或金融機(jī)構(gòu)造成損失的數(shù)據(jù)，包括但不限于： a) 用戶(hù)敏感數(shù)據(jù)，如用戶(hù)口令、密鑰等； b) 系統(tǒng)敏感數(shù)據(jù)，如系統(tǒng)的密鑰、關(guān)鍵的系統(tǒng)管理數(shù)據(jù)； c) 其他需要保密的敏感業(yè)務(wù)數(shù)據(jù)； d) 關(guān)鍵性的操作指令； e) 系統(tǒng)主要配置文件； f) 其他需要保密的數(shù)據(jù)。 [JR/T 0071—2012，定義3.1] 4 縮略語(yǔ) 下列縮略語(yǔ)適用于本文件。 ACL 訪問(wèn)控制列表（Access Control List） CPU 中央處理單元（Central Processing Unit） DSaaS 數(shù)據(jù)存儲(chǔ)即服務(wù)（Data Storage as a Service） HTTP 超文本傳輸協(xié)議（Hypertext Transfer Protocol） I/O 輸入/輸出（Input/Output） IaaS 基礎(chǔ)設(shè)施即服務(wù)（Infrastructure as a Service） NaaS 網(wǎng)絡(luò)即服務(wù)（Network as a Service） PaaS 平臺(tái)即服務(wù)（Platform as a Service） QoS 服務(wù)質(zhì)量（Quality of Service） SaaS 軟件即服務(wù)（Software as a Service） SQL 結(jié)構(gòu)化查詢(xún)語(yǔ)言（Structured Query Language） TCP 傳輸控制協(xié)議（Transmission Control Protocol） VPN 虛擬專(zhuān)用網(wǎng)絡(luò)（Virtual Private Network） 5 概述 5.1 服務(wù)類(lèi)別 云服務(wù)主要包括基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PaaS）和軟件即服務(wù)（SaaS），此外根據(jù) 服務(wù)內(nèi)容還可分為網(wǎng)絡(luò)即服務(wù)（NaaS）、數(shù)據(jù)存儲(chǔ)即服務(wù)（DSaaS）等具體服務(wù)類(lèi)別。 IaaS提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等基礎(chǔ)資源服務(wù)。云服務(wù)使用者可通過(guò)管理平臺(tái)、應(yīng)用編程接口等使用、 監(jiān)控、管理云計(jì)算平臺(tái)中的資源。 PaaS提供運(yùn)行在云計(jì)算基礎(chǔ)設(shè)施上的軟件開(kāi)發(fā)和運(yùn)行平臺(tái)服務(wù)。云服務(wù)使用者可基于云計(jì)算平臺(tái)提 供的PaaS進(jìn)行系統(tǒng)開(kāi)發(fā)、測(cè)試、集成、部署、運(yùn)行、維護(hù)等工作。 SaaS提供運(yùn)行在云計(jì)算基礎(chǔ)設(shè)施上的應(yīng)用軟件服務(wù)，如電子郵箱服務(wù)等。 5.2 部署模式 金融領(lǐng)域云計(jì)算部署模式主要包括私有云、團(tuán)體云以及由其組成的混合云等。金融機(jī)構(gòu)應(yīng)秉持安全 優(yōu)先、對(duì)用戶(hù)負(fù)責(zé)的原則，根據(jù)信息系統(tǒng)所承載業(yè)務(wù)的重要性和數(shù)據(jù)的敏感性、發(fā)生安全事件的危害程 度等，充分評(píng)估可能存在的風(fēng)險(xiǎn)隱患，謹(jǐn)慎選用與業(yè)務(wù)系統(tǒng)相適應(yīng)的部署模式。金融機(jī)構(gòu)應(yīng)承擔(dān)的安全 責(zé)任不因使用云服務(wù)而免除或減輕。 5.3 云服務(wù)參與方 云服務(wù)的參與方包括： ——云服務(wù)使用者。 ——云服務(wù)提供者。 ——云服務(wù)合作者。 如圖1所示，云服務(wù)提供者為云服務(wù)使用者提供IaaS、PaaS、SaaS等類(lèi)別的云服務(wù)，并負(fù)責(zé)云計(jì)算 平臺(tái)的建設(shè)、運(yùn)營(yíng)和管理；云服務(wù)使用者基于云服務(wù)提供者提供的云服務(wù)構(gòu)建、運(yùn)行、維護(hù)自身的應(yīng)用 系統(tǒng)，或直接使用可作為應(yīng)用系統(tǒng)的云服務(wù)；云服務(wù)合作者為云服務(wù)提供者、云服務(wù)使用者提供支撐或 協(xié)助。云服務(wù)審計(jì)者是一種特殊的云服務(wù)合作者，應(yīng)對(duì)云服務(wù)提供者、云服務(wù)使用者、其他云服務(wù)合作 者進(jìn)行獨(dú)立審計(jì)。 圖 1 云服務(wù)參與方視圖 6 架構(gòu)特性 6.1 高彈性 云計(jì)算平臺(tái)應(yīng)具備資源彈性伸縮能力。在業(yè)務(wù)高峰期，云計(jì)算平臺(tái)資源能夠快速擴(kuò)容支持大流量、 高并發(fā)的金融交易場(chǎng)景；在業(yè)務(wù)低谷期，云計(jì)算平臺(tái)資源能夠合理收縮，避免資源過(guò)度配置。 6.2 開(kāi)放性 云計(jì)算平臺(tái)應(yīng)采用開(kāi)放的架構(gòu)體系，不與某個(gè)特定的云服務(wù)提供者綁定。在云服務(wù)使用者中止或變 更服務(wù)時(shí)，云計(jì)算平臺(tái)應(yīng)支持應(yīng)用和數(shù)據(jù)在不同云計(jì)算平臺(tái)間、用戶(hù)信息系統(tǒng)與云計(jì)算平臺(tái)間進(jìn)行快速 便捷遷移。 6.3 互通性 云計(jì)算平臺(tái)應(yīng)支持通用、規(guī)范的通信接口，同一云計(jì)算平臺(tái)內(nèi)或不同云計(jì)算平臺(tái)間的云服務(wù)應(yīng)能夠 按需進(jìn)行安全便捷信息交互。 6.4 高可用性 云計(jì)算平臺(tái)應(yīng)具備軟件、主機(jī)、存儲(chǔ)、網(wǎng)絡(luò)節(jié)點(diǎn)、數(shù)據(jù)中心等層面的高可用保障能力，能夠從嚴(yán)重 故障或錯(cuò)誤中快速恢復(fù)，保障應(yīng)用系統(tǒng)的連續(xù)正常運(yùn)行，滿(mǎn)足金融領(lǐng)域業(yè)務(wù)連續(xù)性要求。 6.5 數(shù)據(jù)安全性 云計(jì)算平臺(tái)應(yīng)在架構(gòu)層面保障端到端的數(shù)據(jù)安全，對(duì)用戶(hù)數(shù)據(jù)進(jìn)行全生命周期的嚴(yán)格保護(hù)，保證數(shù) 據(jù)在產(chǎn)生、使用、傳輸和存儲(chǔ)等過(guò)程中的完整性、可用性和保密性，避免數(shù)據(jù)的損壞、丟失和泄露。 7 架構(gòu)體系 7.1 概述 云計(jì)算平臺(tái)架構(gòu)體系可以分為基礎(chǔ)硬件設(shè)施與設(shè)備、資源抽象與控制、云服務(wù)、運(yùn)維運(yùn)營(yíng)管理等部 分，如圖2所示。 ——基礎(chǔ)硬件設(shè)施與設(shè)備主要包括機(jī)房及其附屬設(shè)施、計(jì)算設(shè)備、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備和其他設(shè)備。 ——資源抽象與控制主要包括計(jì)算資源池、存儲(chǔ)資源池、網(wǎng)絡(luò)資源池、資源管理和調(diào)度平臺(tái)等。 ——云服務(wù)主要包含 IaaS、PaaS、SaaS 等類(lèi)型的服務(wù)。 ——運(yùn)維運(yùn)營(yíng)管理主要包括日常管理、資源監(jiān)控、運(yùn)維管理、自助服務(wù)和服務(wù)管理等。