ICS35.020

I65T/SIA

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)

T/SIA036-2023

應(yīng)用現(xiàn)代化技術(shù)能力成熟度評(píng)估模型

Applicationmodernizationtechnologycapacitymaturityassessmentmodel

2023-7-1發(fā)布2023-7-1實(shí)施

中國(guó)軟件行業(yè)協(xié)會(huì)發(fā)布

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

目次

前言..........................................................................................................................................3

1范圍..........................................................................................................................................4

2規(guī)范性引用文件.......................................................................................................................4

3術(shù)語(yǔ)和定義..............................................................................................................................4

4縮略語(yǔ)......................................................................................................................................4

5概述..........................................................................................................................................5

5.1應(yīng)用現(xiàn)代化技術(shù)能力成熟度模型構(gòu)成.................................................................................5

5.2應(yīng)用現(xiàn)代化技術(shù)能力成熟度評(píng)估方法.................................................................................6

5.3應(yīng)用現(xiàn)代化技術(shù)能力成熟度級(jí)別劃分.................................................................................6

6應(yīng)用敏捷能力指標(biāo)...................................................................................................................6

6.1開發(fā)生產(chǎn)線.............................................................................................................................6

6.2組裝式開發(fā).............................................................................................................................7

6.3應(yīng)用托管.................................................................................................................................8

6.4可觀測(cè)性.................................................................................................................................8

6.5服務(wù)化架構(gòu).............................................................................................................................9

7穩(wěn)定可靠能力指標(biāo)...................................................................................................................9

7.1流量治理.................................................................................................................................9

7.2業(yè)務(wù)彈性...............................................................................................................................10

7.3多活容災(zāi)...............................................................................................................................10

7.4混沌工程...............................................................................................................................11

7.5性能壓測(cè)...............................................................................................................................11

8安全可信能力指標(biāo).................................................................................................................12

8.1身份與權(quán)限安全...................................................................................................................12

8.2網(wǎng)絡(luò)安全...............................................................................................................................13

8.3應(yīng)用安全...............................................................................................................................13

8.4負(fù)載安全...............................................................................................................................14

8.5數(shù)據(jù)安全...............................................................................................................................14

8.6合規(guī)治理...............................................................................................................................14

8.7安全運(yùn)營(yíng)...............................................................................................................................15

9業(yè)務(wù)智能能力指標(biāo).................................................................................................................16

9.1智能湖倉(cāng)...............................................................................................................................16

9.2數(shù)據(jù)治理生產(chǎn)線...................................................................................................................16

9.3AI開發(fā)平臺(tái)..........................................................................................................................17

1

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

9.4智能決策...............................................................................................................................18

10成本優(yōu)化能力指標(biāo)...............................................................................................................18

10.1財(cái)務(wù)管理.............................................................................................................................19

11成熟度評(píng)估方法...................................................................................................................19

11.1單個(gè)能力項(xiàng)得分的計(jì)算方法.............................................................................................19

11.2單個(gè)能力域得分的計(jì)算方法.............................................................................................20

11.3成熟度評(píng)估方法.................................................................................................................20

2

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

應(yīng)用現(xiàn)代化技術(shù)能力成熟度評(píng)估模型

1范圍

本文件給出了應(yīng)用現(xiàn)代化技術(shù)能力成熟度的模型構(gòu)成、評(píng)估方法及等級(jí)要求。

本文件適用于數(shù)字化轉(zhuǎn)型領(lǐng)域相關(guān)規(guī)劃、設(shè)計(jì)、開發(fā)、管理人員開展應(yīng)用現(xiàn)代化改

造實(shí)踐。

2規(guī)范性引用文件

暫無(wú)規(guī)范性引用文件。

3術(shù)語(yǔ)和定義

3.1

應(yīng)用現(xiàn)代化applicationmodernization

基于云原生、人工智能等先進(jìn)技術(shù)對(duì)傳統(tǒng)應(yīng)用升級(jí)改造或新建應(yīng)用的方案和方法論。

3.2

可觀測(cè)性observability

是一種對(duì)系統(tǒng)運(yùn)行時(shí)的指標(biāo)進(jìn)行實(shí)時(shí)跟蹤和監(jiān)控，并對(duì)系統(tǒng)內(nèi)部的事件、日志和異

常進(jìn)行聚合和分析的質(zhì)量屬性。

3.3

服務(wù)化架構(gòu)service-basedarchitecture

是一種適用于云原生應(yīng)用的技術(shù)架構(gòu)，其特征包括：進(jìn)程級(jí)別的運(yùn)行態(tài)隔離，以接

口契約定義每個(gè)服務(wù)應(yīng)用單元，各服務(wù)/微服務(wù)只能通過(guò)API進(jìn)行業(yè)務(wù)流程和邏輯的交

互、協(xié)同。

注：接口契約指的是IDL、Swagger、RAML等。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

ACL:訪問(wèn)控制表（AccessControlList）

AI:人工智能（ArtificialIntelligence）

API:應(yīng)用編程接口（ApplicationProgrammingInterface）

BI:商業(yè)智能（BusinessIntelligence）

CC:挑戰(zhàn)黑洞（ChallengeCollapsar）

CPU:中央處理器（CentralProcessingUnit）

CV:計(jì)算機(jī)視覺（ComputerVision）

DAG:有向無(wú)環(huán)圖（DirectedAcyclicGraph）

DDD:領(lǐng)域驅(qū)動(dòng)設(shè)計(jì)（Domain-DrivenDesign）

DDoS:分布式拒絕服務(wù)（DistributedDenialofService）

4

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

E2E:端到端（EndtoEnd）

FTP:文件傳輸協(xié)議（FileTransferProtocol）

HTTP:超文本傳輸協(xié)議（HypertextTransferProtocol）

HTTPS:超文本安全傳輸協(xié)議（HypertextTransferProtocoloverSecureSocketLayer）

HYOK:擁有自己的密鑰（HoldYourOwnKey）

IDL:接口描述語(yǔ)言（InterfaceDescriptionLanguage）

RAML:RestfulAPI建模語(yǔ)言（RestfulAPIModelingLanguage）

IP:互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

LP:線性規(guī)劃（LinearProgramming）

MIP:混合整數(shù)規(guī)劃（Mixed-IntegerProgramming）

NLP:自然語(yǔ)言處理（NaturalLanguageProcessing）

OIDC:開放用戶身份識(shí)別連接（OpenIDConnect）

OS:操作系統(tǒng)（OperatingSystem）

OWASP:開放式Web應(yīng)用程序安全項(xiàng)目（OpenWebApplicationSecurityProject）

PKI:公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure）

RTO:恢復(fù)時(shí)間目標(biāo)（RecoveryTimeObjective）

RPO:數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective）

SAML:安全斷言標(biāo)記語(yǔ)言（SecurityAssertionMarkupLanguage）

SIEM:安全信息與事件管理（SecurityInformationandEventManagement）

SOA:面向服務(wù)的架構(gòu)（Service-OrientedArchitecture）

SOAR:安全編排自動(dòng)化與響應(yīng)（SecurityOrchestration,AutomationandResponse）

TTM:需求到最終上線時(shí)間（TimeToMarketing）

UDP:用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol）

5概述

5.1應(yīng)用現(xiàn)代化技術(shù)能力成熟度模型構(gòu)成

應(yīng)用現(xiàn)代化技術(shù)能力成熟度評(píng)估模型包含5個(gè)能力域，每個(gè)能力域由若干能力項(xiàng)構(gòu)

成，每個(gè)能力項(xiàng)由若干能力指標(biāo)構(gòu)成，見表1所示。

能力域表征了現(xiàn)代化應(yīng)用的特征和用戶需求，能力項(xiàng)和能力指標(biāo)表示支撐/滿足這

些特征/需求所需的技術(shù)要求，是產(chǎn)品、解決方案、服務(wù)等技術(shù)能力的抽象。

表1技術(shù)能力成熟度模型構(gòu)成

序號(hào)能力域能力項(xiàng)能力指標(biāo)

1應(yīng)用敏捷開發(fā)生產(chǎn)線具體內(nèi)容見第6

章

組裝式開發(fā)

應(yīng)用托管

可觀測(cè)性

服務(wù)化架構(gòu)

5

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

2穩(wěn)定可靠流量治理具體內(nèi)容見第7

章

業(yè)務(wù)彈性

多活容災(zāi)

混沌工程

性能壓測(cè)

3安全可信身份與權(quán)限安全具體內(nèi)容見第8

章

網(wǎng)絡(luò)安全

應(yīng)用安全

負(fù)載安全

數(shù)據(jù)安全

合規(guī)治理

安全運(yùn)營(yíng)

4業(yè)務(wù)智能智能湖倉(cāng)具體內(nèi)容見第9

章

數(shù)據(jù)治理生產(chǎn)線

AI開發(fā)平臺(tái)

智能決策

5成本優(yōu)化財(cái)務(wù)管理具體內(nèi)容見第

10章

5.2應(yīng)用現(xiàn)代化技術(shù)能力成熟度評(píng)估方法

通過(guò)計(jì)算公式可以得出被評(píng)估系統(tǒng)每個(gè)能力項(xiàng)、每個(gè)能力域滿足能力指標(biāo)要求的情

況，然后基于評(píng)判原則給出待評(píng)估對(duì)象系統(tǒng)的成熟度等級(jí)。具體評(píng)估方法見第11章。

5.3應(yīng)用現(xiàn)代化技術(shù)能力成熟度級(jí)別劃分

根據(jù)目前云計(jì)算領(lǐng)域技術(shù)、服務(wù)的現(xiàn)狀及發(fā)展趨勢(shì)，應(yīng)用現(xiàn)代化技術(shù)能力自低向高

依次劃分為3個(gè)級(jí)別：初始級(jí)（L1）、發(fā)展級(jí)（L2）、優(yōu)秀級(jí)（L3）。

6應(yīng)用敏捷能力指標(biāo)

6.1開發(fā)生產(chǎn)線

6.1.1初始級(jí)要求

開發(fā)生產(chǎn)線達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)應(yīng)用軟件開發(fā)過(guò)程采用單層級(jí)的需求進(jìn)行管理；

2)應(yīng)用軟件按固定節(jié)奏發(fā)布，部署頻率為季度或者年；

6

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

3)通過(guò)手工方式提供和管理應(yīng)用的部署運(yùn)行環(huán)境，應(yīng)用生產(chǎn)過(guò)程的自動(dòng)化低，每

個(gè)環(huán)節(jié)都需要人工審批；

4)需求TTM時(shí)長(zhǎng)粒度為年；

5)應(yīng)用生產(chǎn)全過(guò)程無(wú)法度量，無(wú)法定位研發(fā)過(guò)程的效率瓶頸，缺乏可持續(xù)自主改

進(jìn)的基礎(chǔ)輸入；對(duì)應(yīng)用生產(chǎn)過(guò)程的質(zhì)量無(wú)法進(jìn)行跟蹤管理；

6)應(yīng)用上線前才進(jìn)行必需的安全檢查，或者全過(guò)程都沒有必需的安全檢查，或者

安全檢查采用單獨(dú)團(tuán)隊(duì)手工執(zhí)行的方式。

6.1.2發(fā)展級(jí)要求

開發(fā)生產(chǎn)線達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)初步需求管理采用多層次模型進(jìn)行分解，能夠?qū)崿F(xiàn)戰(zhàn)略級(jí)規(guī)劃到具體迭代開發(fā)

任務(wù)的端到端追溯、協(xié)同，需求收集分解采用手工方式；

注：多層次模型例如Epic-Feature-Story-Task。

2)應(yīng)用軟件按固定節(jié)奏發(fā)布，部署頻率為月；

3)半自動(dòng)化方式提供和管理應(yīng)用的部署運(yùn)行環(huán)境，能定義測(cè)試、生產(chǎn)等環(huán)境，在

關(guān)鍵環(huán)節(jié)進(jìn)行人工審核，如：上線前；

4)需求TTM時(shí)長(zhǎng)粒度為季度或者月；

5)應(yīng)用生產(chǎn)全過(guò)程的數(shù)據(jù)主要以人工收集，人工匯總，事后分析透視為主，無(wú)法

實(shí)時(shí)反饋應(yīng)用生產(chǎn)的狀態(tài)；

6)通過(guò)半自動(dòng)化（人工+自動(dòng)）對(duì)應(yīng)用生產(chǎn)過(guò)程實(shí)施必需的安全檢查和防護(hù)，安全

檢查覆蓋的范圍相對(duì)較窄，如：僅使用代碼靜態(tài)檢查。

6.1.3優(yōu)秀級(jí)要求

開發(fā)生產(chǎn)線達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)規(guī)?；褂妹艚蓍_發(fā)的需求多層次模型，需求管理全過(guò)程數(shù)字化、可視化，實(shí)

現(xiàn)從戰(zhàn)略需求到開發(fā)需求任務(wù)的無(wú)縫協(xié)同；

2)應(yīng)用軟件以按需、隨時(shí)、增量等不同方式部署發(fā)布；

3)應(yīng)用部署運(yùn)行環(huán)境的提供和配置完全自動(dòng)化，CI/CD流水線自動(dòng)化；

4)需求TTM時(shí)長(zhǎng)粒度為天；

5)應(yīng)用生產(chǎn)全過(guò)程數(shù)據(jù)收集自動(dòng)化，信息可視化（如當(dāng)前需求接納率，需求TTM，

軟件質(zhì)量缺陷，代碼安全超過(guò)閾值等），并能依據(jù)這些數(shù)據(jù)持續(xù)優(yōu)化；

6)應(yīng)用生產(chǎn)過(guò)程中采用漏洞掃描，開源風(fēng)險(xiǎn)分析，多語(yǔ)言代碼檢查等全流程的安

全措施；

7)開發(fā)生產(chǎn)線為用戶自建應(yīng)用提供開放構(gòu)建能力，對(duì)接外部或者第三方生態(tài)。

6.2組裝式開發(fā)

6.2.1初始級(jí)要求

組裝式達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)應(yīng)用開發(fā)基于SOA架構(gòu)和內(nèi)部API組件開發(fā)，各模塊間耦合性強(qiáng)；

2)應(yīng)用交付基于服務(wù)化架構(gòu)通過(guò)內(nèi)部標(biāo)準(zhǔn)協(xié)議進(jìn)行內(nèi)部開放。

6.2.2發(fā)展級(jí)要求

7

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

組裝式達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)應(yīng)用開發(fā)基于微服務(wù)架構(gòu)，用戶界面無(wú)組裝能力，按項(xiàng)目定制開發(fā)；

2)前端開發(fā)人員需要理解微服務(wù)API，根據(jù)業(yè)務(wù)場(chǎng)景設(shè)計(jì)用戶界面，完成前端代

碼開發(fā)、聯(lián)調(diào)和上線工作。

6.2.3優(yōu)秀級(jí)要求

組裝式達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)應(yīng)用開發(fā)基于組裝式架構(gòu)，可E2E組裝用戶界面和服務(wù)端組件（業(yè)務(wù)邏輯和數(shù)

據(jù)實(shí)體）；

2)應(yīng)用通過(guò)零碼/低碼平臺(tái)拖拉拽組件完成開發(fā)和交付；

3)應(yīng)用通過(guò)零碼/低代碼平臺(tái)可視化開發(fā)，平臺(tái)側(cè)自動(dòng)實(shí)現(xiàn)應(yīng)用的部署、托管和運(yùn)

維，業(yè)務(wù)人員無(wú)須關(guān)注系統(tǒng)架構(gòu)和基礎(chǔ)設(shè)施、技術(shù)選型；

4)提供組裝式開發(fā)的開發(fā)能力，即基于原廠功能可以做擴(kuò)展。

6.3應(yīng)用托管

6.3.1初始級(jí)要求

應(yīng)用托管達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)各個(gè)業(yè)務(wù)使用獨(dú)立的發(fā)布工具管理應(yīng)用，通過(guò)各自腳本實(shí)現(xiàn)部分自動(dòng)化，沒有

統(tǒng)一的應(yīng)用發(fā)布平臺(tái)；

2)應(yīng)用通過(guò)人工方式部署在云資源上，如：裸金屬機(jī)或云主機(jī)；

3)人工維護(hù)應(yīng)用與應(yīng)用依賴資源的配置關(guān)系。

6.3.2發(fā)展級(jí)要求

應(yīng)用托管達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)通過(guò)統(tǒng)一的發(fā)布平臺(tái)發(fā)布應(yīng)用，業(yè)務(wù)團(tuán)隊(duì)各自管理和運(yùn)維基礎(chǔ)設(shè)施；

2)應(yīng)用通過(guò)發(fā)布系統(tǒng)部署到資源，如：云主機(jī)或容器；

3)提供應(yīng)用與其使用的基礎(chǔ)設(shè)施資源的拓?fù)?，如：中間件，數(shù)據(jù)庫(kù)，節(jié)點(diǎn)等。

6.3.3優(yōu)秀級(jí)要求

應(yīng)用托管達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)有統(tǒng)一的發(fā)布平臺(tái)，提供基于模板的自動(dòng)化應(yīng)用交付能力；組織內(nèi)不同團(tuán)隊(duì)的

最佳實(shí)踐沉淀為模板，通過(guò)發(fā)布平臺(tái)復(fù)用團(tuán)隊(duì)經(jīng)驗(yàn)；

2)用戶能夠自定義應(yīng)用與資源的模型，并對(duì)模型進(jìn)行編排調(diào)度，將應(yīng)用及依賴的

資源一鍵式部署上云；

3)能夠進(jìn)行灰度發(fā)布，實(shí)現(xiàn)業(yè)務(wù)在線發(fā)布；

4)提供變更管理，實(shí)現(xiàn)變更可追溯，開發(fā)人員按照變更管控要求對(duì)生產(chǎn)環(huán)境進(jìn)行

操作。

6.4可觀測(cè)性

6.4.1初始級(jí)要求

可觀測(cè)性達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)通過(guò)手工查看日志文件或通過(guò)OS命令查看指標(biāo)數(shù)據(jù)，對(duì)問(wèn)題進(jìn)行分析，缺少日

8

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

志/監(jiān)控平臺(tái)。

6.4.2發(fā)展級(jí)要求

可觀測(cè)性達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)自建日志、監(jiān)控和性能平臺(tái)；

2)指標(biāo)、日志、性能等運(yùn)維數(shù)據(jù)孤立，缺少聯(lián)動(dòng)分析；

3)觀測(cè)數(shù)據(jù)收集后缺少權(quán)限管理，能夠被公司內(nèi)部所有研發(fā)團(tuán)隊(duì)查看。

6.4.3優(yōu)秀級(jí)要求

可觀測(cè)性達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)使用全托管式可觀測(cè)分析平臺(tái)；

2)指標(biāo)、日志和性能數(shù)據(jù)可聯(lián)動(dòng)分析，并以應(yīng)用或資源的維度統(tǒng)一呈現(xiàn)；

3)觀測(cè)數(shù)據(jù)按照運(yùn)維或管理人員角色劃分權(quán)限，控制觀測(cè)數(shù)據(jù)的操作范圍和權(quán)限；

4)提供用戶側(cè)到云服務(wù)側(cè)的全鏈路性能追蹤能力；

5)兼容云原生可觀測(cè)性南北向數(shù)據(jù)規(guī)范，如：OpenTelementry、Prometheus、

OpenTracing等。

6.5服務(wù)化架構(gòu)

6.5.1初始級(jí)要求

服務(wù)化架構(gòu)達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)采用單體或SOA架構(gòu)；

2)應(yīng)用依賴的基礎(chǔ)設(shè)施，如；緩存、消息和數(shù)據(jù)庫(kù)、容器平臺(tái)、對(duì)象存儲(chǔ)等，均為

自建和維護(hù)，缺少安全、可觀察性等方面建設(shè)。

6.5.2發(fā)展級(jí)要求

服務(wù)化架構(gòu)達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)采用微服務(wù)架構(gòu)，包含注冊(cè)中心，配置中心等基礎(chǔ)組件，各服務(wù)可獨(dú)立交付、

部署和擴(kuò)容；

2)采用云上托管中間件、數(shù)據(jù)庫(kù)，應(yīng)用無(wú)需關(guān)注部署、維護(hù)和自身穩(wěn)定性。

6.5.3優(yōu)秀級(jí)要求

服務(wù)化架構(gòu)達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)采用微服務(wù)架構(gòu)，各服務(wù)可獨(dú)立交付、部署和擴(kuò)容；

2)使用DDD方法論指導(dǎo)微服務(wù)架構(gòu)設(shè)計(jì)；

3)采用云上托管中間件和數(shù)據(jù)庫(kù)，應(yīng)用無(wú)需關(guān)注部署、維護(hù)和自身穩(wěn)定性；

4)使用無(wú)服務(wù)器托管形式，開發(fā)者僅需維護(hù)業(yè)務(wù)邏輯，節(jié)點(diǎn)運(yùn)維由云服務(wù)提供商

管理。如：使用函數(shù)服務(wù)、事件驅(qū)動(dòng)服務(wù)、無(wú)服務(wù)器容器等。

7穩(wěn)定可靠能力指標(biāo)

7.1流量治理

7.1.1初始級(jí)要求

9

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

流量治理達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)各個(gè)業(yè)務(wù)團(tuán)隊(duì)使用不同的開源流量治理工具實(shí)現(xiàn)，能力層次不齊，如：Sentinel、

Hystrix等。

7.1.2發(fā)展級(jí)要求

流量治理達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)使用服務(wù)治理框架，支持部分開發(fā)語(yǔ)言與框架；

2)服務(wù)治理框架需要業(yè)務(wù)團(tuán)隊(duì)持續(xù)升級(jí)，版本碎片化嚴(yán)重；

3)提供服務(wù)的限流、降級(jí)和故障隔離等基礎(chǔ)治理能力。

7.1.3優(yōu)秀級(jí)要求

流量治理達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)具備統(tǒng)一服務(wù)治理框架，支持多語(yǔ)言異構(gòu)應(yīng)用統(tǒng)一治理；

2)支持非侵入模式，業(yè)務(wù)開發(fā)不感知，治理能力與業(yè)務(wù)解耦；

3)提供服務(wù)的限流、降級(jí)、故障隔離以及全鏈路灰度發(fā)布能力。

7.2業(yè)務(wù)彈性

7.2.1初始級(jí)要求

業(yè)務(wù)彈性達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)缺少自動(dòng)彈性能力，手動(dòng)對(duì)業(yè)務(wù)負(fù)載進(jìn)行彈性擴(kuò)縮容。

7.2.2發(fā)展級(jí)要求

業(yè)務(wù)彈性達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)支持定時(shí)、周期、CPU/內(nèi)存利用率等觸發(fā)擴(kuò)縮容；

2)提供分鐘級(jí)內(nèi)數(shù)百容器實(shí)例批量創(chuàng)建的彈性擴(kuò)展能力；

3)提供業(yè)務(wù)在單個(gè)云服務(wù)提供商的云之間彈性調(diào)度能力。

7.2.3優(yōu)秀級(jí)要求

業(yè)務(wù)彈性達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)支持定時(shí)、周期、事件觸發(fā)、自定義監(jiān)控指標(biāo)等觸發(fā)擴(kuò)縮容；

2)提供分鐘級(jí)內(nèi)數(shù)千容器實(shí)例批量創(chuàng)建的彈性擴(kuò)展能力；

3)提供業(yè)務(wù)在多云服務(wù)提供商的云之間，以及云計(jì)算數(shù)據(jù)中心和本地?cái)?shù)據(jù)中心之

間的彈性調(diào)度能力。

7.3多活容災(zāi)

7.3.1初始級(jí)要求

多活容災(zāi)達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)提供基于基礎(chǔ)設(shè)施層的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源的災(zāi)備；

2)支持RTO/RPO小時(shí)級(jí)的基礎(chǔ)設(shè)施災(zāi)難恢復(fù)。

7.3.2發(fā)展級(jí)要求

業(yè)務(wù)彈性達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

10

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

1)提供基于基礎(chǔ)設(shè)施、數(shù)據(jù)層、流量層的同城多活能力；

2)提供分鐘級(jí)的RTO/RPO的故障切換能力；

3)提供數(shù)據(jù)同步、一致性保障、應(yīng)用部署等能力，保障故障過(guò)程中業(yè)務(wù)不中斷。

7.3.3優(yōu)秀級(jí)要求

業(yè)務(wù)彈性達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)提供管理、流量、應(yīng)用、數(shù)據(jù)、基礎(chǔ)設(shè)施等全層次的異地多活能力；

2)提供秒級(jí)的RTO/RPO的業(yè)務(wù)之間切換的能力；

3)基于單元化架構(gòu)構(gòu)建業(yè)務(wù)，支持業(yè)務(wù)的靈活擴(kuò)展、故障爆炸半徑縮小到單元內(nèi)。

7.4混沌工程

7.4.1初始級(jí)要求

混沌工程達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)支持基于測(cè)試環(huán)境開展故障注入，驗(yàn)證系統(tǒng)可靠性能力或者需求；

2)通過(guò)故障注入工具開展基本的資源類故障，如突發(fā)高CPU、高內(nèi)存等；通過(guò)人

工觀測(cè)監(jiān)控?cái)?shù)據(jù)和分析系統(tǒng)可靠性能力。

7.4.2發(fā)展級(jí)要求

混沌工程達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)建立被測(cè)系統(tǒng)故障模式庫(kù)，制定測(cè)試方案并在測(cè)試環(huán)境例行開展可靠性測(cè)試；

2)通過(guò)故障注入工具開展復(fù)雜場(chǎng)景故障注入測(cè)試，如機(jī)房級(jí)故障、主機(jī)故障、應(yīng)

用進(jìn)程故障、數(shù)據(jù)庫(kù)/中間件故障、網(wǎng)絡(luò)故障等；自動(dòng)采集監(jiān)控?cái)?shù)據(jù)，通過(guò)人工

開展可靠性量化評(píng)估；

3)基于測(cè)試環(huán)境或者預(yù)發(fā)環(huán)境開展故障演練，制定演練計(jì)劃、演練方案、組織陣

型、應(yīng)急響應(yīng)策略，建立基礎(chǔ)的故障演練流程。

7.4.3優(yōu)秀級(jí)要求

混沌工程達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)系統(tǒng)性建立和持續(xù)更新故障模式庫(kù)，研發(fā)環(huán)境全面例行開展可靠性測(cè)試，支持

故障模式全覆蓋和自動(dòng)化評(píng)估；

2)故障注入工具具備完備的故障場(chǎng)景仿真能力，支持故障注入、穩(wěn)態(tài)指標(biāo)監(jiān)控、

可靠性量化評(píng)估、結(jié)果分析、實(shí)驗(yàn)防護(hù)、環(huán)境修復(fù)等全自動(dòng)化；

3)基于故障演練平臺(tái)系統(tǒng)性建立故障演練體系和流程，包括演練計(jì)劃、演練方案、

組織陣型、演練通知、演練實(shí)施、演練報(bào)告和復(fù)盤、演練場(chǎng)景庫(kù)等能力；

4)生產(chǎn)環(huán)境按照月度或者周常態(tài)化開展故障演練、紅藍(lán)對(duì)抗、突擊演練等實(shí)踐，

持續(xù)提升系統(tǒng)故障響應(yīng)和恢復(fù)能力。

7.5性能壓測(cè)

7.5.1初始級(jí)要求

性能壓測(cè)達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)壓測(cè)過(guò)程中手動(dòng)調(diào)節(jié)壓測(cè)流量、根據(jù)指標(biāo)熔斷壓測(cè)；

2)支持配置請(qǐng)求內(nèi)容的字段、檢查點(diǎn)、超時(shí)間等，實(shí)現(xiàn)自定義內(nèi)容的編寫。

11

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

7.5.2發(fā)展級(jí)要求

性能壓測(cè)達(dá)到發(fā)展級(jí)，在滿足初始級(jí)要求的基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持在線編輯壓測(cè)腳本，參數(shù)文件；

2)支持在線調(diào)試壓力腳本，兼容開源腳本工具如Jmeter等，覆蓋多種常見協(xié)議，

如：HTTP/HTTPS/FTP/UDP/WebSocket等，實(shí)現(xiàn)自定義測(cè)試內(nèi)容；

3)支持從指定的環(huán)境、多執(zhí)行器發(fā)起壓力，如：私有資源組；

4)支持被測(cè)系統(tǒng)的監(jiān)控與告警。

7.5.3優(yōu)秀級(jí)要求

性能壓測(cè)達(dá)到優(yōu)秀級(jí)，在滿足發(fā)展級(jí)要求的基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持壓測(cè)過(guò)程中自動(dòng)調(diào)節(jié)壓測(cè)流量；

2)支持指定云廠商提供的網(wǎng)絡(luò)或多地域網(wǎng)絡(luò)發(fā)起壓力；

3)支持被測(cè)服務(wù)鏈路追蹤；

4)支持部分場(chǎng)景壓測(cè)熔斷，如：支持按照響應(yīng)時(shí)間、成功率指標(biāo)的壓測(cè)熔斷；

5)支持壓測(cè)數(shù)據(jù)隔離。

8安全可信能力指標(biāo)

8.1身份與權(quán)限安全

8.1初始級(jí)要求

身份與權(quán)限安全達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)根據(jù)企業(yè)組織架構(gòu)和角色設(shè)置不同訪問(wèn)權(quán)限,實(shí)現(xiàn)基于角色的訪問(wèn)控制；

2)支持基礎(chǔ)級(jí)聯(lián)邦身份認(rèn)證,如基于SAML、OIDC標(biāo)準(zhǔn)協(xié)議，實(shí)現(xiàn)單一身份源登

錄。

8.1.2發(fā)展級(jí)要求

身份與權(quán)限安全達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)根據(jù)部門、項(xiàng)目等次級(jí)組織單位細(xì)分訪問(wèn)權(quán)限；

2)支持多種聯(lián)邦身份認(rèn)證，在多個(gè)內(nèi)部身份源基礎(chǔ)上，實(shí)現(xiàn)無(wú)縫單點(diǎn)登錄業(yè)務(wù)系

統(tǒng)、運(yùn)維及管理平臺(tái)；

3)支持用戶組劃分，對(duì)用戶進(jìn)行批量的權(quán)限管理，例如：將不同用戶放到同一用

戶組中，統(tǒng)一配置權(quán)限策略，無(wú)需為每個(gè)用戶單獨(dú)配置。

8.1.3優(yōu)秀級(jí)要求

身份與權(quán)限安全達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)支持精細(xì)的權(quán)限管理，支持對(duì)象粒度細(xì)致的訪問(wèn)控制（精確到API）,最大程度

實(shí)現(xiàn)權(quán)限分離；

2)支持多種標(biāo)準(zhǔn)聯(lián)邦認(rèn)證協(xié)議,支持聯(lián)合身份認(rèn)證方式與風(fēng)險(xiǎn)策略相結(jié)合的安全

認(rèn)證。例如：IAM與AD之間的聯(lián)邦、不同IAM之間的聯(lián)邦、或者與LDAP的

聯(lián)邦；

3)支持用戶組劃分，對(duì)用戶進(jìn)行批量的權(quán)限管理，支持同一用戶劃分到不同用戶

12

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

組中；

4)支持區(qū)域內(nèi)資源隔離，實(shí)現(xiàn)跨系統(tǒng)和跨區(qū)域的單點(diǎn)登錄；

5)支持對(duì)用戶登錄后的操作行為進(jìn)行完整審計(jì)，如：新增賬號(hào)、將賬號(hào)切換到更

高權(quán)限的群組中等，以識(shí)別敏感操作；

6)提供靈活的委托管理機(jī)制，如：委托其他帳號(hào)或者云服務(wù)管理資源；

7)提供訪問(wèn)策略管理，如：支持根據(jù)不同用戶組、不同云資源類型及屬性、不同操

作類型進(jìn)行細(xì)粒度控制等，用于管理用戶組、用戶的訪問(wèn)權(quán)限。

8.2網(wǎng)絡(luò)安全

8.2.1初始級(jí)要求

網(wǎng)絡(luò)安全達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)支持G級(jí)別帶寬的DDos防御能力；

2)支持南北向ACL訪問(wèn)控制、訪問(wèn)記錄，支持網(wǎng)絡(luò)安全區(qū)域隔離劃分。

8.2.2發(fā)展級(jí)要求

網(wǎng)絡(luò)安全達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)支持10G~1000G帶寬的DDos防御能力；

2)支持南北向、東西向ACL訪問(wèn)控制，訪問(wèn)記錄，支持網(wǎng)絡(luò)安全區(qū)域隔離劃分；

3)支持南北向基于網(wǎng)絡(luò)流量特征的訪問(wèn)控制、威脅預(yù)警。

8.3.3優(yōu)秀級(jí)要求

網(wǎng)絡(luò)安全達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)支持1T及以上帶寬的DDos防御能力，同時(shí)時(shí)延不超過(guò)ms級(jí)別；

2)支持南北向、東西向ACL訪問(wèn)控制，訪問(wèn)記錄，支持網(wǎng)絡(luò)安全區(qū)域隔離劃分；

3)支持南北向、東西向基于網(wǎng)絡(luò)流量特征的訪問(wèn)控制、威脅預(yù)警；

4)提供傳輸通道的安全保障能力，如：支持TLS2.0及以上版本的協(xié)議；

5)支持對(duì)服務(wù)端的身份認(rèn)證，在安全等級(jí)要求較高場(chǎng)景下，支持雙向身份驗(yàn)證，

如：基于PKI數(shù)字證書的身份驗(yàn)證；

6)支持南北向、東西向網(wǎng)絡(luò)請(qǐng)求流量的限流降級(jí)保護(hù)，確保源站正常服務(wù)。

8.3應(yīng)用安全

8.3.1初始級(jí)要求

應(yīng)用安全達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)安全防護(hù)規(guī)則覆蓋OWASPTOP10中常見安全威脅。

8.3.2發(fā)展級(jí)要求

應(yīng)用安全達(dá)到發(fā)展級(jí)，在滿足初始級(jí)要求基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持自定義安全規(guī)則配置，如：智能訪問(wèn)控制、CC安全防護(hù)、黑白名單等，保

障應(yīng)用運(yùn)行安全。

8.3.3優(yōu)秀級(jí)要求

應(yīng)用安全達(dá)到優(yōu)秀級(jí)，在滿足發(fā)展級(jí)要求基礎(chǔ)上，應(yīng)滿足以下要求：

13

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

1)提供應(yīng)用開發(fā)階段端到端的安全合規(guī)檢測(cè)，包括：安全設(shè)計(jì)、隱私合規(guī)分析、

代碼檢查、二進(jìn)制成分分析、移動(dòng)應(yīng)用安全等；

2)支持內(nèi)容的安全檢測(cè)，如：識(shí)別文本、圖片、視頻的不規(guī)范內(nèi)容。

8.4負(fù)載安全

8.4.1初始級(jí)要求

負(fù)載安全達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)自動(dòng)檢測(cè)主機(jī)中的口令復(fù)雜度策略，關(guān)鍵軟件中含有風(fēng)險(xiǎn)的配置信息；

2)針對(duì)所發(fā)現(xiàn)的風(fēng)險(xiǎn)提供修復(fù)建議。

8.4.2發(fā)展級(jí)要求

負(fù)載安全達(dá)到發(fā)展級(jí)，在滿足初始級(jí)要求基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持漏洞管理，如檢測(cè)Linux漏洞、Windows漏洞、Web-CMS漏洞、應(yīng)用漏洞。

8.4.3優(yōu)秀級(jí)要求

負(fù)載安全達(dá)到優(yōu)秀級(jí)，在滿足發(fā)展級(jí)要求基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持對(duì)主機(jī)、容器進(jìn)行系統(tǒng)完整性的保護(hù)、應(yīng)用程序控制、行為監(jiān)控和基于主

機(jī)的入侵防御等，保護(hù)工作負(fù)載免受攻擊。

8.5數(shù)據(jù)安全

8.5.1初始級(jí)要求

數(shù)據(jù)安全達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)支持?jǐn)?shù)據(jù)庫(kù)的數(shù)據(jù)資產(chǎn)安全管理；

2)提供數(shù)據(jù)加密能力。

8.5.2發(fā)展級(jí)要求

數(shù)據(jù)安全達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)支持對(duì)象存儲(chǔ)、數(shù)據(jù)庫(kù)的數(shù)據(jù)資產(chǎn)安全管理；

2)提供專屬的數(shù)據(jù)加密能力，如：HYOK加密。

8.5.3優(yōu)秀級(jí)要求

數(shù)據(jù)安全達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)支持對(duì)象存儲(chǔ)、數(shù)據(jù)庫(kù)、大數(shù)據(jù)系統(tǒng)的數(shù)據(jù)資產(chǎn)安全管理；

2)通過(guò)數(shù)據(jù)安全總覽整合數(shù)據(jù)安全生命周期各階段狀態(tài)，對(duì)外整體呈現(xiàn)云上數(shù)據(jù)

安全態(tài)勢(shì)。

8.6合規(guī)治理

8.6.1初始級(jí)要求

合規(guī)治理達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)支持安全合規(guī)治理法規(guī)標(biāo)準(zhǔn)條款代碼化，周期性、自動(dòng)化掃描租戶云上資產(chǎn)的

合規(guī)情況。

14

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

8.6.2發(fā)展級(jí)要求

合規(guī)治理達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)支持安全合規(guī)法規(guī)標(biāo)準(zhǔn)條款轉(zhuǎn)化成檢查項(xiàng)，可根據(jù)檢查項(xiàng)完成租戶自身業(yè)務(wù)的

合規(guī)評(píng)估。

8.6.3優(yōu)秀級(jí)要求

合規(guī)治理達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)提供ISO27701、ISO27001等安全合規(guī)治理模板，合規(guī)策略和自評(píng)估檢查項(xiàng)；

2)自動(dòng)化、持續(xù)性掃描租戶云上資產(chǎn)的合規(guī)狀態(tài)，快速梳理業(yè)務(wù)情況并且提供證

據(jù)鏈管理功能。

8.7安全運(yùn)營(yíng)

8.7.1初始級(jí)要求

安全運(yùn)營(yíng)達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)支持基礎(chǔ)資產(chǎn)安全管理，如：對(duì)主機(jī)、IP類型的資產(chǎn)導(dǎo)入、導(dǎo)出等；

2)支持安全風(fēng)險(xiǎn)掃描,如：發(fā)現(xiàn)互聯(lián)網(wǎng)暴露高危端口的資產(chǎn)、未覆蓋安全服務(wù)產(chǎn)品

的資產(chǎn)。

3)支持收集、查看部分安全服務(wù)產(chǎn)品的告警，如：主機(jī)、應(yīng)用、網(wǎng)絡(luò)，可提供簡(jiǎn)單

的告警處理操作；

4)支持整體云上資產(chǎn)安全健康現(xiàn)狀評(píng)估，快速感知安全狀態(tài)，快速了解未處理風(fēng)

險(xiǎn)對(duì)用戶資產(chǎn)的整體威脅狀況。

8.7.2發(fā)展級(jí)要求

安全運(yùn)營(yíng)達(dá)到發(fā)展級(jí)，應(yīng)滿足以下要求：

1)支持云上資產(chǎn)自動(dòng)盤點(diǎn)；支持其它資產(chǎn)的導(dǎo)入，如：云外資產(chǎn)、多云資產(chǎn)；資產(chǎn)

具有明確的歸屬，如：應(yīng)用、部門；

2)支持安全風(fēng)險(xiǎn)掃描,如：發(fā)現(xiàn)互聯(lián)網(wǎng)暴露高危端口的資產(chǎn)、未覆蓋安全服務(wù)產(chǎn)品

的資產(chǎn)；支持安全基線掃描，如：發(fā)現(xiàn)最佳實(shí)踐基線檢查弱配置；支持漏洞掃

描，如：發(fā)現(xiàn)OS漏洞、應(yīng)用漏洞；

3)支持基于SIEM分析威脅，可自定義配置威脅告警處理規(guī)則；提供基本的安全

事件跟蹤審計(jì)；

4)支持提供整體而全面的安全評(píng)估結(jié)果，定期或按需生成任一安全運(yùn)營(yíng)報(bào)告和安

全運(yùn)營(yíng)大屏，且必須有云上態(tài)勢(shì)的呈現(xiàn)能力。

8.7.3優(yōu)秀級(jí)要求

安全運(yùn)營(yíng)達(dá)到優(yōu)秀級(jí)，應(yīng)滿足以下要求：

1)支持對(duì)多類型的資產(chǎn)安全管理，如：主機(jī)、IP、網(wǎng)站/域名、數(shù)據(jù)庫(kù)/數(shù)據(jù)平臺(tái)等；

云上資產(chǎn)自動(dòng)盤點(diǎn)；支持其它資產(chǎn)的導(dǎo)入，如：云外資產(chǎn)、多云資產(chǎn)；資產(chǎn)具有

明確的歸屬，如：應(yīng)用、部門；資產(chǎn)與告警、事件、漏洞、基線之間可關(guān)聯(lián)；資

產(chǎn)與資產(chǎn)之間可關(guān)聯(lián)；

2)支持安全風(fēng)險(xiǎn)掃描,如：發(fā)現(xiàn)互聯(lián)網(wǎng)暴露高危端口的資產(chǎn)、發(fā)現(xiàn)未覆蓋安全服務(wù)

產(chǎn)品的資產(chǎn)；支持多類型安全基線掃描，如：發(fā)現(xiàn)最佳實(shí)踐基線檢查弱配置、

15

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

發(fā)現(xiàn)PCI-DSS/ISO等法規(guī)標(biāo)準(zhǔn)基線檢查弱配置、發(fā)現(xiàn)自定義基線檢查弱配置；

支持漏洞掃描，如：發(fā)現(xiàn)OS漏洞、應(yīng)用漏洞；支持云防護(hù)策略的設(shè)置與維護(hù)；

3)支持基于SIEM分析威脅，開放式采集數(shù)據(jù)；可構(gòu)建復(fù)雜威脅告警分析模型；

基于SOAR響應(yīng)威脅，開放式聯(lián)動(dòng)安全服務(wù)產(chǎn)品或其他任意工具；支持外部威

脅情報(bào)信息接入，并運(yùn)用到威脅分析及響應(yīng)流程中；支持完整的攻擊鏈還原分

析；

4)支持提供整體而全面的安全評(píng)估結(jié)果，定期或按需生成任一安全運(yùn)營(yíng)報(bào)告，并

支持發(fā)送、可自定義安全運(yùn)營(yíng)報(bào)告；支持安全運(yùn)營(yíng)大屏呈現(xiàn)云上多種態(tài)勢(shì)，如：

綜合態(tài)勢(shì)、資產(chǎn)態(tài)勢(shì)、風(fēng)險(xiǎn)態(tài)勢(shì)、威脅態(tài)勢(shì)、值班響應(yīng)等；

5)統(tǒng)一運(yùn)營(yíng)、作戰(zhàn)協(xié)同：支持云上云下統(tǒng)一管理。

9業(yè)務(wù)智能能力指標(biāo)

9.1智能湖倉(cāng)

9.1.1初始級(jí)要求

智能湖倉(cāng)達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)依賴開源Hadoop大數(shù)據(jù)分析/數(shù)倉(cāng)技術(shù)，自建數(shù)據(jù)分析平臺(tái)；

2)分析組件按業(yè)務(wù)需要和技能熟悉度自主搭配集成，數(shù)據(jù)分析引擎性能與開源社

區(qū)持平；

3)數(shù)據(jù)湖存儲(chǔ)僅支持本地HDFS，不支持對(duì)象存儲(chǔ)。

9.1.2發(fā)展級(jí)要求

智能湖倉(cāng)達(dá)到發(fā)展級(jí)，在滿足初始級(jí)要求的基礎(chǔ)上，應(yīng)滿足以下要求：

1)大數(shù)據(jù)分析/數(shù)倉(cāng)分析平臺(tái)分析引擎性能較開源社區(qū)技術(shù)有差異化提升，包括功

能增強(qiáng)、性能增強(qiáng)；

2)數(shù)據(jù)湖支持存算分離彈性架構(gòu)，數(shù)據(jù)存儲(chǔ)支持對(duì)象存儲(chǔ)，計(jì)算和存儲(chǔ)可靈活彈

性擴(kuò)展；

3)湖和倉(cāng)之間數(shù)據(jù)能夠共享，實(shí)現(xiàn)快速數(shù)據(jù)流動(dòng)；

4)湖倉(cāng)平臺(tái)增強(qiáng)企業(yè)級(jí)管理能力，包括：監(jiān)控、告警、日志、審計(jì)、用戶管理、作

業(yè)管理等。

9.1.3優(yōu)秀級(jí)要求

智能湖倉(cāng)達(dá)到優(yōu)秀級(jí)，在滿足發(fā)展級(jí)要求的基礎(chǔ)上，應(yīng)滿足以下要求：

1)提供統(tǒng)一的數(shù)據(jù)湖構(gòu)建能力，打通湖與倉(cāng)、湖與AI平臺(tái)、倉(cāng)與AI平臺(tái)，實(shí)現(xiàn)

統(tǒng)一的元數(shù)據(jù)和安全，減少數(shù)據(jù)搬遷；

2)湖倉(cāng)平臺(tái)提供細(xì)粒度的監(jiān)控，支持作業(yè)智能診斷和調(diào)優(yōu)推薦能力；

3)支持湖倉(cāng)平臺(tái)軟硬調(diào)優(yōu)能力，具備一些硬件加速的算子。

9.2數(shù)據(jù)治理生產(chǎn)線

9.2.1初始級(jí)要求

數(shù)據(jù)治理達(dá)到初始級(jí)，應(yīng)滿足以下要求：

16

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

1)支持通過(guò)開源數(shù)據(jù)集成工具構(gòu)建數(shù)據(jù)接入能力，以批量接入為主；

2)提供簡(jiǎn)單的數(shù)據(jù)SQL開發(fā)界面，實(shí)現(xiàn)數(shù)據(jù)的關(guān)聯(lián)查詢分析。

9.2.2發(fā)展級(jí)要求

數(shù)據(jù)治理達(dá)到發(fā)展級(jí)，在滿足初始級(jí)的基礎(chǔ)上，應(yīng)滿足以下要求：

1)提供統(tǒng)一的數(shù)據(jù)開發(fā)平臺(tái)，提供可視化作業(yè)編輯和基于DAG的編排能力，提供

腳本代碼多個(gè)版本的統(tǒng)一管理；

2)支持血緣分析和質(zhì)量監(jiān)控，業(yè)務(wù)流程能夠有效打通；

3)提供基本的數(shù)據(jù)安全管理能力，包括認(rèn)證、授權(quán)、存儲(chǔ)加密、傳輸加密、基本的

脫敏等。

9.2.3優(yōu)秀級(jí)要求

數(shù)據(jù)治理達(dá)到優(yōu)秀級(jí)，在滿足發(fā)展級(jí)要求的基礎(chǔ)上，應(yīng)滿足以下要求：

1)提供自動(dòng)化數(shù)據(jù)管理能力，包括：自動(dòng)提供數(shù)據(jù)質(zhì)量評(píng)估結(jié)果（如：數(shù)據(jù)重復(fù)度

等）、自動(dòng)識(shí)別敏感數(shù)據(jù)、自動(dòng)實(shí)現(xiàn)數(shù)據(jù)分級(jí)分類、自動(dòng)進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析和搜

索推薦（如：基于數(shù)據(jù)資產(chǎn)圖譜）；

2)支持維度建模、關(guān)系建模等數(shù)據(jù)標(biāo)準(zhǔn)規(guī)范，以提升數(shù)據(jù)開發(fā)的質(zhì)量以及后期數(shù)

據(jù)指標(biāo)和對(duì)象的可維護(hù)性；

3)統(tǒng)一管理數(shù)據(jù)資產(chǎn)（如：提供企業(yè)全局資產(chǎn)目錄等方式），支持不同業(yè)務(wù)單元進(jìn)

行快速查找、申請(qǐng)和分析數(shù)據(jù)；

4)提供數(shù)據(jù)安全管理能力，支持敏感數(shù)據(jù)分級(jí)分類自動(dòng)管理，采、存、算、管、用

全流程支持敏感數(shù)據(jù)保護(hù)，支持?jǐn)?shù)據(jù)水印跟蹤，面向不同場(chǎng)景的數(shù)據(jù)合規(guī)性診

斷、數(shù)據(jù)安全態(tài)勢(shì)感知和風(fēng)險(xiǎn)管理；

5)提供智能化數(shù)據(jù)管理能力，包括：智能分類分級(jí)、智能脫敏、智能清洗等。

9.3AI開發(fā)平臺(tái)

9.3.1初始級(jí)要求

AI開發(fā)平臺(tái)達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)基于開源框架和Notebook類工具自建AI訓(xùn)練平臺(tái)，AI平臺(tái)管理無(wú)規(guī)范化；

示例1：框架指TensorFlow、PyTorch、Spark等。

示例2：Notebook工具指Jupyter、Zepplin等。

2)預(yù)置算法以開源算法為主；

3)開發(fā)過(guò)程中的多人協(xié)同主要靠人工交流。

9.3.2發(fā)展級(jí)要求

AI開發(fā)平臺(tái)達(dá)到發(fā)展級(jí)，在滿足初始級(jí)的基礎(chǔ)上，應(yīng)滿足以下要求：

1)提供模型開發(fā)全生命周期的工具鏈，支持模型、算法等資產(chǎn)管理和共享；

2)提供模型全生命周期的管理能力，包括：提供統(tǒng)一的模型倉(cāng)庫(kù)，支持模型發(fā)布

管理，支持多廠家算法的統(tǒng)一管理；

3)提供面向多角色的統(tǒng)一開發(fā)環(huán)境，支持多版本、多人協(xié)作的交互式AI算法開發(fā)，

提供云上、云下一致的開發(fā)體驗(yàn)；

4)提供基礎(chǔ)通用AI能力，如：計(jì)算機(jī)視覺、自然語(yǔ)言處理、語(yǔ)音語(yǔ)義識(shí)別等，支

17

中國(guó)軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

持通過(guò)工作流集成通用AI能力以進(jìn)行場(chǎng)景化模型二次開發(fā)；

5)提供異構(gòu)算力資源統(tǒng)一管理能力，支持多種標(biāo)準(zhǔn)接口訪問(wèn)，提供機(jī)器學(xué)習(xí)、深

度學(xué)習(xí)、強(qiáng)化學(xué)習(xí)等能力，提供基本的數(shù)據(jù)準(zhǔn)備能力、數(shù)據(jù)標(biāo)注能力和特征管

理能力。

9.3.3優(yōu)秀級(jí)要求

AI開發(fā)平臺(tái)達(dá)到優(yōu)秀級(jí)，在滿足發(fā)展級(jí)的基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持分布式、高性能、大規(guī)模訓(xùn)練能力，支持模型并行、數(shù)據(jù)并行、混合并行等

加速能力；

2)支持智能數(shù)據(jù)標(biāo)注，提供多場(chǎng)景訓(xùn)練數(shù)據(jù)；

3)支持預(yù)訓(xùn)練模型，如：NLP大模型、CV大模型、多模態(tài)大模型等，縮短場(chǎng)景化

二次訓(xùn)練的周期；

4)支持多種AI硬件和框架；

示例1：硬件指的是昇騰、昆侖芯、曙光DCU、寒武紀(jì)等。

示例2：AI框架指的是MindSpore，PanddlePanddle等。

5)支持邊緣推理，端、邊、云AI場(chǎng)景聯(lián)動(dòng)，模型下推和數(shù)據(jù)回流。

9.4智能決策

9.4.1初始級(jí)要求

智能決策達(dá)到初始級(jí)，應(yīng)滿足以下要求：

1)支持基于具體的業(yè)務(wù)場(chǎng)景或部門需求定制開發(fā)業(yè)務(wù)決策系統(tǒng)及業(yè)務(wù)指標(biāo)統(tǒng)計(jì)的

大屏應(yīng)用；

2)具備基礎(chǔ)的數(shù)據(jù)處理和分析，如采用Excel表格功能分析數(shù)據(jù)；

3)支持規(guī)則可自定義配置的決策引擎。

9.4.2發(fā)展級(jí)要求

智能決策達(dá)到發(fā)展級(jí)，在滿足初始級(jí)要求基礎(chǔ)上，應(yīng)滿足以下要求：

1)具備通用的決策平臺(tái)，支持自主分析的BI工具和可視化決策大屏；

2)支持規(guī)則引擎結(jié)合預(yù)測(cè)模型進(jìn)行商業(yè)決策，規(guī)則引擎覆蓋已知業(yè)務(wù)模式，預(yù)測(cè)

模型滿足部分場(chǎng)景預(yù)測(cè)，實(shí)現(xiàn)智能優(yōu)化業(yè)務(wù)決策；

3)具備自研或者集成商業(yè)求解器，提供常規(guī)數(shù)學(xué)規(guī)劃建模求解能力；

4)求解器支持十萬(wàn)級(jí)參數(shù)，在有限時(shí)間內(nèi)（小時(shí)級(jí)）找到可行的決策方案。

9.4.3優(yōu)秀級(jí)要求

智能決策達(dá)到優(yōu)秀級(jí)，在滿足發(fā)展級(jí)要求基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持NLP等AI能力，通過(guò)自然語(yǔ)言交互式分析查詢到用戶所需數(shù)據(jù)，實(shí)現(xiàn)自

動(dòng)分析、智能推薦；

2)支持?jǐn)?shù)據(jù)片段和數(shù)據(jù)點(diǎn)的智能根因分析，關(guān)聯(lián)指標(biāo)及圖表推薦，多維下鉆；

3)求解器覆蓋大部分現(xiàn)實(shí)中的數(shù)學(xué)規(guī)劃問(wèn)題，包含LP和MIP等問(wèn)題的建模求解；

4)求解器支持百萬(wàn)級(jí)以上