Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative.
This standard is one of the series of standards for financial applications of cloud computing technology, which include:
——Financial application specification of cloud computing technology - Technical architecture;
——Financial application specification of cloud computing technology - Security technical requirements;
——Financial application specification of cloud computing technology - Disaster recovery.
This standard is developed in accordance with the rules given in GB/T 1.1-2009.
This standard was proposed by the People's Bank of China.
This standard is under the jurisdiction of the National Technical Committee on Finance of Standardization Administration of China (SAC/TC 180).
Financial application specification of cloud computing technology - Technical architecture
1 Scope
This standard specifies the requirements for technical architecture of the cloud computing platform in financial field, covering the contents such as service categories, deployment model, parties, architectural characteristics and architecture system of cloud computing.
This standard is applicable to cloud service providers, cloud service users, cloud service partners, etc. in the financial field.
2 Normative references
The following documents for the application of this document are essential. Any dated reference, just dated edition applies to this document. For undated references, the latest edition of the normative document (including any amendments) applies.
GB/T 32400-2015 Information technology - Cloud computing - Overview and vocabulary
GB 50174-2017 Code for design of data centers
JR/T 0071-2012 Implementation guide for classified protection of information system of financial industry
JR/T 0131-2015 Financial information system room power system specification
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
party
one or a group of natural or legal persons, regardless of whether the legal person is registered
[GB/T 32400-2015, Definition 3.1.6]
3.2
cloud computing
a kind of model in which extensible and elastic sharable physical and virtual resource pool is supplied and managed by means of on-demand self-service via network
Note: resources include the server, operating system, network, software, application and storage equipment.
[GB/T 32400-2015, Definition 3.2.5]
3.3
cloud service
one or more capabilities provided through the interfaces already defined by cloud computing
[GB/T 32400-2015, Definition 3.2.8]
3.4
cloud service provider
the party providing cloud service
[GB/T 32400-2015, Definition 3.2.15]
3.5
cloud service user
the party using cloud service
3.6
cloud service partner
the party who supports or assists cloud service provider activities, cloud service user activities, or both
3.7
cloud service auditor
the cloud service party responsible for auditing the provision and use of cloud service
3.8
cloud computing platform
the collection of cloud computing infrastructure and its service software provided by the cloud service provider and cloud service partner
3.9
private cloud
a cloud deployment model in which a cloud service is used only by one cloud service user and the resources are controlled by this cloud service user
3.10
community cloud
a cloud deployment model in which a cloud service is used and shared by a specific set of cloud service users, and the resources are controlled by the cloud service provider or users, both of whom have identical or highly similar supervision policies, security requirements, etc.
3.11
public cloud
a cloud deployment model in which a cloud service can be used by any cloud service user and the resources are controlled by cloud service provider
3.12
hybrid cloud
a cloud deployment model including two or more deployment models
3.13
infrastructure as a service
a cloud service category providing the cloud service user with the infrastructure capability type among the cloud capability types
3.14
platform as a service
a cloud service category providing the cloud service user with the platform capability type among the cloud capability types
3.15
software as a service
a cloud service category providing the cloud service user with the application capability type among the cloud capability types
3.16
tenant
one or more cloud service users accessing a group of physical or virtual resources in sharing mode
3.17
multi-tenancy
the characteristic ensuring multiple tenants and their calculation and data being isolated and inaccessible mutually via distribution of physical or virtual resource
[GB/T 32400-2015, Definition 3.2.27]
3.18
physical machine
the physical server corresponding to the virtual machine, which can provide a hardware environment for the virtual machine
3.19
physical machine service
the service providing the cloud service user with physical machine directly
3.20
virtual machine
a general term for the operating system and the application operating environment provided to the user, which are the same as the original physical server via various virtualization technologies. The virtual machine typically uses the resources of the physical server, which appears to the user that its usage model is identical to that of the physical server
3.21
hypervisor
the virtualization module managing the physical machine operating system, and controlling the flow of demands between the user’s operating system and physical hardware
3.22
container
the operating environment providing a lightweight and isolated set of processes and resources through the technology of operating system virtualization
3.23
resource pool
a collection of physical resources or virtual resources, which the resources can be obtained from and released to as well as recycled by the resource pool according to certain rules, including physical and virtual machines, physical and virtual storage resources and physical and virtual network resources
3.24
sensitive data
the data which, once revealed, may possibly cause damage to the user or financial institution, including but not limited to:
a) sensitive data of user , e.g. user password and key;
b) sensitive data of system , e.g. system key and key system management data;
c) other sensitive business data required to be kept secret;
d) crucial operational order;
e) main configuration documents of system;
f) other data required to be kept secret.
[JR/T 0071-2012, Definition 3.1]
4 Abbreviations
For the purposes of this document, the following abbreviations apply.
ACL Access Control List
CPU Central Processing Unit
DSaaS Data Storage as a Service
HTTP Hypertext Transfer Protocol
I/O Input/Output
IaaS Infrastructure as a Service
NaaS Network as a Service
PaaS Platform as a Service
QoS Quality of Service
SaaS Software as a Service
SQL Structured Query Language
TCP Transmission Control Protocol
VPN Virtual Private Network
5 General
5.1 Service category
Cloud services mainly include Infrastructure as a Service (IaaS), Platform as a Service (PaaS) and Software as a Service (SaaS). In addition, according to service content, they can be divided into specific service categories such as Network as a Service (NaaS) and Data Storage as a Service (DSaaS).
IaaS provides basic resource services such as computing, storage and network. Cloud service users may use, monitor and manage the resources on the cloud computing platform via management platform, Application Programming Interface (API), etc.
PaaS provides the software development and operating platform services on the cloud computing infrastructure. Cloud service users can perform system development, testing, integration, deployment, operation, maintenance, etc. based on the PaaS provided by the cloud computing platform.
SaaS provides the application software services that run on the cloud computing infrastructure, such as email services.
Foreword II
1 Scope
2 Normative references
3 Terms and definitions
4 Abbreviations
5 General
6 Architectural characteristics
7 Architecture system
云計算技術金融應用規范 技術架構
1 范圍
本標準規定了金融領域云計算平臺的技術架構要求,涵蓋云計算的服務類別、部署模式、參與方、 架構特性和架構體系等內容。
本標準適用于金融領域的云服務提供者、云服務使用者、云服務合作者等。
2 規范性引用文件
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 32400—2015 信息技術 云計算 概覽與詞匯 GB 50174—2017 數據中心設計規范
JR/T 0071—2012 金融行業信息系統信息安全等級保護實施指引
JR/T 0131—2015 金融業信息系統機房動力系統規范
3 術語和定義
下列術語和定義適用于本文件。
3.1
參與方 party
一個或一組自然人或法人,無論該法人是否注冊。 [GB/T 32400—2015,定義3.1.6]
3.2
云計算 cloud computing
一種通過網絡將可伸縮、彈性的共享物理和虛擬資源池以按需自服務的方式供應和管理的模式。
注:資源包括服務器、操作系統、網絡、軟件、應用和存儲設備等。
[GB/T 32400—2015,定義3.2.5]
3.3
云服務 cloud service
通過云計算已定義的接口提供的一種或多種能力。 [GB/T 32400—2015,定義3.2.8]
3.4
云服務提供者 cloud service provider
提供云服務的參與方。
[GB/T 32400—2015,定義3.2.15]
3.5
云服務使用者 cloud service user
使用云服務的參與方。
3.6
云服務合作者 cloud service partner
支撐或協助云服務提供者活動、云服務使用者活動或者兩者共同活動的參與方。
3.7
云服務審計者 cloud service auditor
負責審計云服務的供應和使用的云服務參與方。
3.8
云計算平臺 cloud computing platform
云服務提供者和云服務合作者提供的云計算基礎設施及其上服務軟件的集合。
3.9
私有云 private cloud
云服務僅被一個云服務使用者使用,且資源被該云服務使用者控制的一種云部署模式。
3.10
團體云 community cloud
云服務由一組特定的云服務使用者使用和共享,且資源被云服務提供者或使用者控制的一種云部署 模式。云服務提供者和使用者在監管政策、安全要求等方面相同或高度相似。
3.11
公有云 public cloud
云服務可被任意云服務使用者使用,且資源被云服務提供者控制的一種云部署模式。
3.12
混合云 hybrid cloud
包含兩種及以上部署模式的云部署模式。
3.13
基礎設施即服務 infrastructure as a service
為云服務使用者提供云能力類型中的基礎設施能力類型的一種云服務類別。
3.14
平臺即服務 platform as a service
為云服務使用者提供云能力類型中的平臺能力類型的一種云服務類別。
3.15
軟件即服務 software as a service
為云服務使用者提供云能力類型中的應用能力類型的一種云服務類別。
3.16
租戶 tenant
對一組物理和虛擬資源進行共享訪問的一個或多個云服務使用者。
3.17
多租戶 multi-tenancy
通過對物理或虛擬資源的分配實現多個租戶以及他們的計算和數據彼此隔離和不可訪問。 [GB/T 32400—2015,定義3.2.27]
3.18
物理機 physical machine
是指相對于虛擬機的物理服務器,可為虛擬機提供硬件環境。
3.19
物理機服務 physical machine service
是指直接向云服務使用者提供物理機的服務。
3.20
虛擬機 virtual machine
是指通過各種虛擬化技術,為用戶提供的與原有物理服務器相同的操作系統和應用程序運行環境的 統稱。虛擬機通常使用物理服務器的資源,在用戶看來它與物理服務器的使用方式完全相同。
3.21
虛擬機管理器 hypervisor
管理物理機操作系統并控制客戶操作系統與物理硬件之間指令流動的虛擬化組件。
3.22
容器 container
是指通過操作系統虛擬化的技術,提供輕量且隔離的一組進程和資源的運行環境。
3.23
資源池 resource pool
一組物理資源或虛擬資源的集合,按照一定規則可從池中獲取資源,也可釋放資源并由資源池回收。 資源包括物理機、虛擬機、物理存儲資源、虛擬存儲資源、物理網絡資源和虛擬網絡資源等。
3.24
敏感數據 sensitive data
是指一旦泄露可能會對用戶或金融機構造成損失的數據,包括但不限于:
a) 用戶敏感數據,如用戶口令、密鑰等;
b) 系統敏感數據,如系統的密鑰、關鍵的系統管理數據;
c) 其他需要保密的敏感業務數據;
d) 關鍵性的操作指令;
e) 系統主要配置文件;
f) 其他需要保密的數據。 [JR/T 0071—2012,定義3.1]
4 縮略語
下列縮略語適用于本文件。
ACL 訪問控制列表(Access Control List)
CPU 中央處理單元(Central Processing Unit) DSaaS 數據存儲即服務(Data Storage as a Service)
HTTP 超文本傳輸協議(Hypertext Transfer Protocol) I/O 輸入/輸出(Input/Output)
IaaS 基礎設施即服務(Infrastructure as a Service) NaaS 網絡即服務(Network as a Service)
PaaS 平臺即服務(Platform as a Service) QoS 服務質量(Quality of Service)
SaaS 軟件即服務(Software as a Service)
SQL 結構化查詢語言(Structured Query Language) TCP 傳輸控制協議(Transmission Control Protocol) VPN 虛擬專用網絡(Virtual Private Network)
5 概述
5.1 服務類別
云服務主要包括基礎設施即服務(IaaS)、平臺即服務(PaaS)和軟件即服務(SaaS),此外根據 服務內容還可分為網絡即服務(NaaS)、數據存儲即服務(DSaaS)等具體服務類別。
IaaS提供計算、存儲、網絡等基礎資源服務。云服務使用者可通過管理平臺、應用編程接口等使用、 監控、管理云計算平臺中的資源。
PaaS提供運行在云計算基礎設施上的軟件開發和運行平臺服務。云服務使用者可基于云計算平臺提 供的PaaS進行系統開發、測試、集成、部署、運行、維護等工作。
SaaS提供運行在云計算基礎設施上的應用軟件服務,如電子郵箱服務等。
5.2 部署模式
金融領域云計算部署模式主要包括私有云、團體云以及由其組成的混合云等。金融機構應秉持安全 優先、對用戶負責的原則,根據信息系統所承載業務的重要性和數據的敏感性、發生安全事件的危害程 度等,充分評估可能存在的風險隱患,謹慎選用與業務系統相適應的部署模式。金融機構應承擔的安全 責任不因使用云服務而免除或減輕。
5.3 云服務參與方
云服務的參與方包括:
——云服務使用者。
——云服務提供者。
——云服務合作者。 如圖1所示,云服務提供者為云服務使用者提供IaaS、PaaS、SaaS等類別的云服務,并負責云計算
平臺的建設、運營和管理;云服務使用者基于云服務提供者提供的云服務構建、運行、維護自身的應用 系統,或直接使用可作為應用系統的云服務;云服務合作者為云服務提供者、云服務使用者提供支撐或 協助。云服務審計者是一種特殊的云服務合作者,應對云服務提供者、云服務使用者、其他云服務合作 者進行獨立審計。
圖 1 云服務參與方視圖
6 架構特性
6.1 高彈性
云計算平臺應具備資源彈性伸縮能力。在業務高峰期,云計算平臺資源能夠快速擴容支持大流量、 高并發的金融交易場景;在業務低谷期,云計算平臺資源能夠合理收縮,避免資源過度配置。
6.2 開放性
云計算平臺應采用開放的架構體系,不與某個特定的云服務提供者綁定。在云服務使用者中止或變 更服務時,云計算平臺應支持應用和數據在不同云計算平臺間、用戶信息系統與云計算平臺間進行快速 便捷遷移。
6.3 互通性
云計算平臺應支持通用、規范的通信接口,同一云計算平臺內或不同云計算平臺間的云服務應能夠 按需進行安全便捷信息交互。
6.4 高可用性
云計算平臺應具備軟件、主機、存儲、網絡節點、數據中心等層面的高可用保障能力,能夠從嚴重 故障或錯誤中快速恢復,保障應用系統的連續正常運行,滿足金融領域業務連續性要求。
6.5 數據安全性
云計算平臺應在架構層面保障端到端的數據安全,對用戶數據進行全生命周期的嚴格保護,保證數 據在產生、使用、傳輸和存儲等過程中的完整性、可用性和保密性,避免數據的損壞、丟失和泄露。
7 架構體系
7.1 概述
云計算平臺架構體系可以分為基礎硬件設施與設備、資源抽象與控制、云服務、運維運營管理等部 分,如圖2所示。
——基礎硬件設施與設備主要包括機房及其附屬設施、計算設備、存儲設備、網絡設備和其他設備。
——資源抽象與控制主要包括計算資源池、存儲資源池、網絡資源池、資源管理和調度平臺等。
——云服務主要包含 IaaS、PaaS、SaaS 等類型的服務。
——運維運營管理主要包括日常管理、資源監控、運維管理、自助服務和服務管理等。
