《應用現(xiàn)代化技術能力成熟度評估模型》標準

ICS35.020

I65T/SIA

中國軟件行業(yè)協(xié)會團體標準

T/SIA036-2023

應用現(xiàn)代化技術能力成熟度評估模型

Applicationmodernizationtechnologycapacitymaturityassessmentmodel

2023-7-1發(fā)布2023-7-1實施

中國軟件行業(yè)協(xié)會發(fā)布

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

應用現(xiàn)代化技術能力成熟度評估模型

1范圍

本文件給出了應用現(xiàn)代化技術能力成熟度的模型構成、評估方法及等級要求。

本文件適用于數(shù)字化轉型領域相關規(guī)劃、設計、開發(fā)、管理人員開展應用現(xiàn)代化改

造實踐。

2規(guī)范性引用文件

暫無規(guī)范性引用文件。

3術語和定義

3.1

應用現(xiàn)代化applicationmodernization

基于云原生、人工智能等先進技術對傳統(tǒng)應用升級改造或新建應用的方案和方法論。

3.2

可觀測性observability

是一種對系統(tǒng)運行時的指標進行實時跟蹤和監(jiān)控，并對系統(tǒng)內部的事件、日志和異

常進行聚合和分析的質量屬性。

3.3

服務化架構service-basedarchitecture

是一種適用于云原生應用的技術架構，其特征包括：進程級別的運行態(tài)隔離，以接

口契約定義每個服務應用單元，各服務/微服務只能通過API進行業(yè)務流程和邏輯的交

互、協(xié)同。

注：接口契約指的是IDL、Swagger、RAML等。

4縮略語

下列縮略語適用于本文件。

ACL:訪問控制表（AccessControlList）

AI:人工智能（ArtificialIntelligence）

API:應用編程接口（ApplicationProgrammingInterface）

BI:商業(yè)智能（BusinessIntelligence）

CC:挑戰(zhàn)黑洞（ChallengeCollapsar）

CPU:中央處理器（CentralProcessingUnit）

CV:計算機視覺（ComputerVision）

DAG:有向無環(huán)圖（DirectedAcyclicGraph）

DDD:領域驅動設計（Domain-DrivenDesign）

DDoS:分布式拒絕服務（DistributedDenialofService）

4

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

E2E:端到端（EndtoEnd）

FTP:文件傳輸協(xié)議（FileTransferProtocol）

HTTP:超文本傳輸協(xié)議（HypertextTransferProtocol）

HTTPS:超文本安全傳輸協(xié)議（HypertextTransferProtocoloverSecureSocketLayer）

HYOK:擁有自己的密鑰（HoldYourOwnKey）

IDL:接口描述語言（InterfaceDescriptionLanguage）

RAML:RestfulAPI建模語言（RestfulAPIModelingLanguage）

IP:互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

LP:線性規(guī)劃（LinearProgramming）

MIP:混合整數(shù)規(guī)劃（Mixed-IntegerProgramming）

NLP:自然語言處理（NaturalLanguageProcessing）

OIDC:開放用戶身份識別連接（OpenIDConnect）

OS:操作系統(tǒng)（OperatingSystem）

OWASP:開放式Web應用程序安全項目（OpenWebApplicationSecurityProject）

PKI:公鑰基礎設施（PublicKeyInfrastructure）

RTO:恢復時間目標（RecoveryTimeObjective）

RPO:數(shù)據(jù)恢復點目標（RecoveryPointObjective）

SAML:安全斷言標記語言（SecurityAssertionMarkupLanguage）

SIEM:安全信息與事件管理（SecurityInformationandEventManagement）

SOA:面向服務的架構（Service-OrientedArchitecture）

SOAR:安全編排自動化與響應（SecurityOrchestration,AutomationandResponse）

TTM:需求到最終上線時間（TimeToMarketing）

UDP:用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol）

5概述

5.1應用現(xiàn)代化技術能力成熟度模型構成

應用現(xiàn)代化技術能力成熟度評估模型包含5個能力域，每個能力域由若干能力項構

成，每個能力項由若干能力指標構成，見表1所示。

能力域表征了現(xiàn)代化應用的特征和用戶需求，能力項和能力指標表示支撐/滿足這

些特征/需求所需的技術要求，是產品、解決方案、服務等技術能力的抽象。

表1技術能力成熟度模型構成

序號能力域能力項能力指標

1應用敏捷開發(fā)生產線具體內容見第6

章

組裝式開發(fā)

應用托管

可觀測性

服務化架構

5

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

2穩(wěn)定可靠流量治理具體內容見第7

章

業(yè)務彈性

多活容災

混沌工程

性能壓測

3安全可信身份與權限安全具體內容見第8

章

網(wǎng)絡安全

應用安全

負載安全

數(shù)據(jù)安全

合規(guī)治理

安全運營

4業(yè)務智能智能湖倉具體內容見第9

章

數(shù)據(jù)治理生產線

AI開發(fā)平臺

智能決策

5成本優(yōu)化財務管理具體內容見第

10章

5.2應用現(xiàn)代化技術能力成熟度評估方法

通過計算公式可以得出被評估系統(tǒng)每個能力項、每個能力域滿足能力指標要求的情

況，然后基于評判原則給出待評估對象系統(tǒng)的成熟度等級。具體評估方法見第11章。

5.3應用現(xiàn)代化技術能力成熟度級別劃分

根據(jù)目前云計算領域技術、服務的現(xiàn)狀及發(fā)展趨勢，應用現(xiàn)代化技術能力自低向高

依次劃分為3個級別：初始級（L1）、發(fā)展級（L2）、優(yōu)秀級（L3）。

6應用敏捷能力指標

6.1開發(fā)生產線

6.1.1初始級要求

開發(fā)生產線達到初始級，應滿足以下要求：

1)應用軟件開發(fā)過程采用單層級的需求進行管理；

2)應用軟件按固定節(jié)奏發(fā)布，部署頻率為季度或者年；

6

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

3)通過手工方式提供和管理應用的部署運行環(huán)境，應用生產過程的自動化低，每

個環(huán)節(jié)都需要人工審批；

4)需求TTM時長粒度為年；

5)應用生產全過程無法度量，無法定位研發(fā)過程的效率瓶頸，缺乏可持續(xù)自主改

進的基礎輸入；對應用生產過程的質量無法進行跟蹤管理；

6)應用上線前才進行必需的安全檢查，或者全過程都沒有必需的安全檢查，或者

安全檢查采用單獨團隊手工執(zhí)行的方式。

6.1.2發(fā)展級要求

開發(fā)生產線達到發(fā)展級，應滿足以下要求：

1)初步需求管理采用多層次模型進行分解，能夠實現(xiàn)戰(zhàn)略級規(guī)劃到具體迭代開發(fā)

任務的端到端追溯、協(xié)同，需求收集分解采用手工方式；

注：多層次模型例如Epic-Feature-Story-Task。

2)應用軟件按固定節(jié)奏發(fā)布，部署頻率為月；

3)半自動化方式提供和管理應用的部署運行環(huán)境，能定義測試、生產等環(huán)境，在

關鍵環(huán)節(jié)進行人工審核，如：上線前；

4)需求TTM時長粒度為季度或者月；

5)應用生產全過程的數(shù)據(jù)主要以人工收集，人工匯總，事后分析透視為主，無法

實時反饋應用生產的狀態(tài)；

6)通過半自動化（人工+自動）對應用生產過程實施必需的安全檢查和防護，安全

檢查覆蓋的范圍相對較窄，如：僅使用代碼靜態(tài)檢查。

6.1.3優(yōu)秀級要求

開發(fā)生產線達到優(yōu)秀級，應滿足以下要求：

1)規(guī)?；褂妹艚蓍_發(fā)的需求多層次模型，需求管理全過程數(shù)字化、可視化，實

現(xiàn)從戰(zhàn)略需求到開發(fā)需求任務的無縫協(xié)同；

2)應用軟件以按需、隨時、增量等不同方式部署發(fā)布；

3)應用部署運行環(huán)境的提供和配置完全自動化，CI/CD流水線自動化；

4)需求TTM時長粒度為天；

5)應用生產全過程數(shù)據(jù)收集自動化，信息可視化（如當前需求接納率，需求TTM，

軟件質量缺陷，代碼安全超過閾值等），并能依據(jù)這些數(shù)據(jù)持續(xù)優(yōu)化；

6)應用生產過程中采用漏洞掃描，開源風險分析，多語言代碼檢查等全流程的安

全措施；

7)開發(fā)生產線為用戶自建應用提供開放構建能力，對接外部或者第三方生態(tài)。

6.2組裝式開發(fā)

6.2.1初始級要求

組裝式達到初始級，應滿足以下要求：

1)應用開發(fā)基于SOA架構和內部API組件開發(fā)，各模塊間耦合性強；

2)應用交付基于服務化架構通過內部標準協(xié)議進行內部開放。

6.2.2發(fā)展級要求

7

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

組裝式達到發(fā)展級，應滿足以下要求：

1)應用開發(fā)基于微服務架構，用戶界面無組裝能力，按項目定制開發(fā)；

2)前端開發(fā)人員需要理解微服務API，根據(jù)業(yè)務場景設計用戶界面，完成前端代

碼開發(fā)、聯(lián)調和上線工作。

6.2.3優(yōu)秀級要求

組裝式達到優(yōu)秀級，應滿足以下要求：

1)應用開發(fā)基于組裝式架構，可E2E組裝用戶界面和服務端組件（業(yè)務邏輯和數(shù)

據(jù)實體）；

2)應用通過零碼/低碼平臺拖拉拽組件完成開發(fā)和交付；

3)應用通過零碼/低代碼平臺可視化開發(fā)，平臺側自動實現(xiàn)應用的部署、托管和運

維，業(yè)務人員無須關注系統(tǒng)架構和基礎設施、技術選型；

4)提供組裝式開發(fā)的開發(fā)能力，即基于原廠功能可以做擴展。

6.3應用托管

6.3.1初始級要求

應用托管達到初始級，應滿足以下要求：

1)各個業(yè)務使用獨立的發(fā)布工具管理應用，通過各自腳本實現(xiàn)部分自動化，沒有

統(tǒng)一的應用發(fā)布平臺；

2)應用通過人工方式部署在云資源上，如：裸金屬機或云主機；

3)人工維護應用與應用依賴資源的配置關系。

6.3.2發(fā)展級要求

應用托管達到發(fā)展級，應滿足以下要求：

1)通過統(tǒng)一的發(fā)布平臺發(fā)布應用，業(yè)務團隊各自管理和運維基礎設施；

2)應用通過發(fā)布系統(tǒng)部署到資源，如：云主機或容器；

3)提供應用與其使用的基礎設施資源的拓撲，如：中間件，數(shù)據(jù)庫，節(jié)點等。

6.3.3優(yōu)秀級要求

應用托管達到優(yōu)秀級，應滿足以下要求：

1)有統(tǒng)一的發(fā)布平臺，提供基于模板的自動化應用交付能力；組織內不同團隊的

最佳實踐沉淀為模板，通過發(fā)布平臺復用團隊經驗；

2)用戶能夠自定義應用與資源的模型，并對模型進行編排調度，將應用及依賴的

資源一鍵式部署上云；

3)能夠進行灰度發(fā)布，實現(xiàn)業(yè)務在線發(fā)布；

4)提供變更管理，實現(xiàn)變更可追溯，開發(fā)人員按照變更管控要求對生產環(huán)境進行

操作。

6.4可觀測性

6.4.1初始級要求

可觀測性達到初始級，應滿足以下要求：

1)通過手工查看日志文件或通過OS命令查看指標數(shù)據(jù)，對問題進行分析，缺少日

8

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

志/監(jiān)控平臺。

6.4.2發(fā)展級要求

可觀測性達到發(fā)展級，應滿足以下要求：

1)自建日志、監(jiān)控和性能平臺；

2)指標、日志、性能等運維數(shù)據(jù)孤立，缺少聯(lián)動分析；

3)觀測數(shù)據(jù)收集后缺少權限管理，能夠被公司內部所有研發(fā)團隊查看。

6.4.3優(yōu)秀級要求

可觀測性達到優(yōu)秀級，應滿足以下要求：

1)使用全托管式可觀測分析平臺；

2)指標、日志和性能數(shù)據(jù)可聯(lián)動分析，并以應用或資源的維度統(tǒng)一呈現(xiàn)；

3)觀測數(shù)據(jù)按照運維或管理人員角色劃分權限，控制觀測數(shù)據(jù)的操作范圍和權限；

4)提供用戶側到云服務側的全鏈路性能追蹤能力；

5)兼容云原生可觀測性南北向數(shù)據(jù)規(guī)范，如：OpenTelementry、Prometheus、

OpenTracing等。

6.5服務化架構

6.5.1初始級要求

服務化架構達到初始級，應滿足以下要求：

1)采用單體或SOA架構；

2)應用依賴的基礎設施，如；緩存、消息和數(shù)據(jù)庫、容器平臺、對象存儲等，均為

自建和維護，缺少安全、可觀察性等方面建設。

6.5.2發(fā)展級要求

服務化架構達到發(fā)展級，應滿足以下要求：

1)采用微服務架構，包含注冊中心，配置中心等基礎組件，各服務可獨立交付、

部署和擴容；

2)采用云上托管中間件、數(shù)據(jù)庫，應用無需關注部署、維護和自身穩(wěn)定性。

6.5.3優(yōu)秀級要求

服務化架構達到優(yōu)秀級，應滿足以下要求：

1)采用微服務架構，各服務可獨立交付、部署和擴容；

2)使用DDD方法論指導微服務架構設計；

3)采用云上托管中間件和數(shù)據(jù)庫，應用無需關注部署、維護和自身穩(wěn)定性；

4)使用無服務器托管形式，開發(fā)者僅需維護業(yè)務邏輯，節(jié)點運維由云服務提供商

管理。如：使用函數(shù)服務、事件驅動服務、無服務器容器等。

7穩(wěn)定可靠能力指標

7.1流量治理

7.1.1初始級要求

9

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

流量治理達到初始級，應滿足以下要求：

1)各個業(yè)務團隊使用不同的開源流量治理工具實現(xiàn)，能力層次不齊，如：Sentinel、

Hystrix等。

7.1.2發(fā)展級要求

流量治理達到發(fā)展級，應滿足以下要求：

1)使用服務治理框架，支持部分開發(fā)語言與框架；

2)服務治理框架需要業(yè)務團隊持續(xù)升級，版本碎片化嚴重；

3)提供服務的限流、降級和故障隔離等基礎治理能力。

7.1.3優(yōu)秀級要求

流量治理達到優(yōu)秀級，應滿足以下要求：

1)具備統(tǒng)一服務治理框架，支持多語言異構應用統(tǒng)一治理；

2)支持非侵入模式，業(yè)務開發(fā)不感知，治理能力與業(yè)務解耦；

3)提供服務的限流、降級、故障隔離以及全鏈路灰度發(fā)布能力。

7.2業(yè)務彈性

7.2.1初始級要求

業(yè)務彈性達到初始級，應滿足以下要求：

1)缺少自動彈性能力，手動對業(yè)務負載進行彈性擴縮容。

7.2.2發(fā)展級要求

業(yè)務彈性達到發(fā)展級，應滿足以下要求：

1)支持定時、周期、CPU/內存利用率等觸發(fā)擴縮容；

2)提供分鐘級內數(shù)百容器實例批量創(chuàng)建的彈性擴展能力；

3)提供業(yè)務在單個云服務提供商的云之間彈性調度能力。

7.2.3優(yōu)秀級要求

業(yè)務彈性達到優(yōu)秀級，應滿足以下要求：

1)支持定時、周期、事件觸發(fā)、自定義監(jiān)控指標等觸發(fā)擴縮容；

2)提供分鐘級內數(shù)千容器實例批量創(chuàng)建的彈性擴展能力；

3)提供業(yè)務在多云服務提供商的云之間，以及云計算數(shù)據(jù)中心和本地數(shù)據(jù)中心之

間的彈性調度能力。

7.3多活容災

7.3.1初始級要求

多活容災達到初始級，應滿足以下要求：

1)提供基于基礎設施層的計算、存儲、網(wǎng)絡資源的災備；

2)支持RTO/RPO小時級的基礎設施災難恢復。

7.3.2發(fā)展級要求

業(yè)務彈性達到發(fā)展級，應滿足以下要求：

10

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

1)提供基于基礎設施、數(shù)據(jù)層、流量層的同城多活能力；

2)提供分鐘級的RTO/RPO的故障切換能力；

3)提供數(shù)據(jù)同步、一致性保障、應用部署等能力，保障故障過程中業(yè)務不中斷。

7.3.3優(yōu)秀級要求

業(yè)務彈性達到優(yōu)秀級，應滿足以下要求：

1)提供管理、流量、應用、數(shù)據(jù)、基礎設施等全層次的異地多活能力；

2)提供秒級的RTO/RPO的業(yè)務之間切換的能力；

3)基于單元化架構構建業(yè)務，支持業(yè)務的靈活擴展、故障爆炸半徑縮小到單元內。

7.4混沌工程

7.4.1初始級要求

混沌工程達到初始級，應滿足以下要求：

1)支持基于測試環(huán)境開展故障注入，驗證系統(tǒng)可靠性能力或者需求；

2)通過故障注入工具開展基本的資源類故障，如突發(fā)高CPU、高內存等；通過人

工觀測監(jiān)控數(shù)據(jù)和分析系統(tǒng)可靠性能力。

7.4.2發(fā)展級要求

混沌工程達到發(fā)展級，應滿足以下要求：

1)建立被測系統(tǒng)故障模式庫，制定測試方案并在測試環(huán)境例行開展可靠性測試；

2)通過故障注入工具開展復雜場景故障注入測試，如機房級故障、主機故障、應

用進程故障、數(shù)據(jù)庫/中間件故障、網(wǎng)絡故障等；自動采集監(jiān)控數(shù)據(jù)，通過人工

開展可靠性量化評估；

3)基于測試環(huán)境或者預發(fā)環(huán)境開展故障演練，制定演練計劃、演練方案、組織陣

型、應急響應策略，建立基礎的故障演練流程。

7.4.3優(yōu)秀級要求

混沌工程達到優(yōu)秀級，應滿足以下要求：

1)系統(tǒng)性建立和持續(xù)更新故障模式庫，研發(fā)環(huán)境全面例行開展可靠性測試，支持

故障模式全覆蓋和自動化評估；

2)故障注入工具具備完備的故障場景仿真能力，支持故障注入、穩(wěn)態(tài)指標監(jiān)控、

可靠性量化評估、結果分析、實驗防護、環(huán)境修復等全自動化；

3)基于故障演練平臺系統(tǒng)性建立故障演練體系和流程，包括演練計劃、演練方案、

組織陣型、演練通知、演練實施、演練報告和復盤、演練場景庫等能力；

4)生產環(huán)境按照月度或者周常態(tài)化開展故障演練、紅藍對抗、突擊演練等實踐，

持續(xù)提升系統(tǒng)故障響應和恢復能力。

7.5性能壓測

7.5.1初始級要求

性能壓測達到初始級，應滿足以下要求：

1)壓測過程中手動調節(jié)壓測流量、根據(jù)指標熔斷壓測；

2)支持配置請求內容的字段、檢查點、超時間等，實現(xiàn)自定義內容的編寫。

11

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

7.5.2發(fā)展級要求

性能壓測達到發(fā)展級，在滿足初始級要求的基礎上，應滿足以下要求：

1)支持在線編輯壓測腳本，參數(shù)文件；

2)支持在線調試壓力腳本，兼容開源腳本工具如Jmeter等，覆蓋多種常見協(xié)議，

如：HTTP/HTTPS/FTP/UDP/WebSocket等，實現(xiàn)自定義測試內容；

3)支持從指定的環(huán)境、多執(zhí)行器發(fā)起壓力，如：私有資源組；

4)支持被測系統(tǒng)的監(jiān)控與告警。

7.5.3優(yōu)秀級要求

性能壓測達到優(yōu)秀級，在滿足發(fā)展級要求的基礎上，應滿足以下要求：

1)支持壓測過程中自動調節(jié)壓測流量；

2)支持指定云廠商提供的網(wǎng)絡或多地域網(wǎng)絡發(fā)起壓力；

3)支持被測服務鏈路追蹤；

4)支持部分場景壓測熔斷，如：支持按照響應時間、成功率指標的壓測熔斷；

5)支持壓測數(shù)據(jù)隔離。

8安全可信能力指標

8.1身份與權限安全

8.1初始級要求

身份與權限安全達到初始級，應滿足以下要求：

1)根據(jù)企業(yè)組織架構和角色設置不同訪問權限,實現(xiàn)基于角色的訪問控制；

2)支持基礎級聯(lián)邦身份認證,如基于SAML、OIDC標準協(xié)議，實現(xiàn)單一身份源登

錄。

8.1.2發(fā)展級要求

身份與權限安全達到發(fā)展級，應滿足以下要求：

1)根據(jù)部門、項目等次級組織單位細分訪問權限；

2)支持多種聯(lián)邦身份認證，在多個內部身份源基礎上，實現(xiàn)無縫單點登錄業(yè)務系

統(tǒng)、運維及管理平臺；

3)支持用戶組劃分，對用戶進行批量的權限管理，例如：將不同用戶放到同一用

戶組中，統(tǒng)一配置權限策略，無需為每個用戶單獨配置。

8.1.3優(yōu)秀級要求

身份與權限安全達到優(yōu)秀級，應滿足以下要求：

1)支持精細的權限管理，支持對象粒度細致的訪問控制（精確到API）,最大程度

實現(xiàn)權限分離；

2)支持多種標準聯(lián)邦認證協(xié)議,支持聯(lián)合身份認證方式與風險策略相結合的安全

認證。例如：IAM與AD之間的聯(lián)邦、不同IAM之間的聯(lián)邦、或者與LDAP的

聯(lián)邦；

3)支持用戶組劃分，對用戶進行批量的權限管理，支持同一用戶劃分到不同用戶

12

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

組中；

4)支持區(qū)域內資源隔離，實現(xiàn)跨系統(tǒng)和跨區(qū)域的單點登錄；

5)支持對用戶登錄后的操作行為進行完整審計，如：新增賬號、將賬號切換到更

高權限的群組中等，以識別敏感操作；

6)提供靈活的委托管理機制，如：委托其他帳號或者云服務管理資源；

7)提供訪問策略管理，如：支持根據(jù)不同用戶組、不同云資源類型及屬性、不同操

作類型進行細粒度控制等，用于管理用戶組、用戶的訪問權限。

8.2網(wǎng)絡安全

8.2.1初始級要求

網(wǎng)絡安全達到初始級，應滿足以下要求：

1)支持G級別帶寬的DDos防御能力；

2)支持南北向ACL訪問控制、訪問記錄，支持網(wǎng)絡安全區(qū)域隔離劃分。

8.2.2發(fā)展級要求

網(wǎng)絡安全達到發(fā)展級，應滿足以下要求：

1)支持10G~1000G帶寬的DDos防御能力；

2)支持南北向、東西向ACL訪問控制，訪問記錄，支持網(wǎng)絡安全區(qū)域隔離劃分；

3)支持南北向基于網(wǎng)絡流量特征的訪問控制、威脅預警。

8.3.3優(yōu)秀級要求

網(wǎng)絡安全達到優(yōu)秀級，應滿足以下要求：

1)支持1T及以上帶寬的DDos防御能力，同時時延不超過ms級別；

2)支持南北向、東西向ACL訪問控制，訪問記錄，支持網(wǎng)絡安全區(qū)域隔離劃分；

3)支持南北向、東西向基于網(wǎng)絡流量特征的訪問控制、威脅預警；

4)提供傳輸通道的安全保障能力，如：支持TLS2.0及以上版本的協(xié)議；

5)支持對服務端的身份認證，在安全等級要求較高場景下，支持雙向身份驗證，

如：基于PKI數(shù)字證書的身份驗證；

6)支持南北向、東西向網(wǎng)絡請求流量的限流降級保護，確保源站正常服務。

8.3應用安全

8.3.1初始級要求

應用安全達到初始級，應滿足以下要求：

1)安全防護規(guī)則覆蓋OWASPTOP10中常見安全威脅。

8.3.2發(fā)展級要求

應用安全達到發(fā)展級，在滿足初始級要求基礎上，應滿足以下要求：

1)支持自定義安全規(guī)則配置，如：智能訪問控制、CC安全防護、黑白名單等，保

障應用運行安全。

8.3.3優(yōu)秀級要求

應用安全達到優(yōu)秀級，在滿足發(fā)展級要求基礎上，應滿足以下要求：

13

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

1)提供應用開發(fā)階段端到端的安全合規(guī)檢測，包括：安全設計、隱私合規(guī)分析、

代碼檢查、二進制成分分析、移動應用安全等；

2)支持內容的安全檢測，如：識別文本、圖片、視頻的不規(guī)范內容。

8.4負載安全

8.4.1初始級要求

負載安全達到初始級，應滿足以下要求：

1)自動檢測主機中的口令復雜度策略，關鍵軟件中含有風險的配置信息；

2)針對所發(fā)現(xiàn)的風險提供修復建議。

8.4.2發(fā)展級要求

負載安全達到發(fā)展級，在滿足初始級要求基礎上，應滿足以下要求：

1)支持漏洞管理，如檢測Linux漏洞、Windows漏洞、Web-CMS漏洞、應用漏洞。

8.4.3優(yōu)秀級要求

負載安全達到優(yōu)秀級，在滿足發(fā)展級要求基礎上，應滿足以下要求：

1)支持對主機、容器進行系統(tǒng)完整性的保護、應用程序控制、行為監(jiān)控和基于主

機的入侵防御等，保護工作負載免受攻擊。

8.5數(shù)據(jù)安全

8.5.1初始級要求

數(shù)據(jù)安全達到初始級，應滿足以下要求：

1)支持數(shù)據(jù)庫的數(shù)據(jù)資產安全管理；

2)提供數(shù)據(jù)加密能力。

8.5.2發(fā)展級要求

數(shù)據(jù)安全達到發(fā)展級，應滿足以下要求：

1)支持對象存儲、數(shù)據(jù)庫的數(shù)據(jù)資產安全管理；

2)提供專屬的數(shù)據(jù)加密能力，如：HYOK加密。

8.5.3優(yōu)秀級要求

數(shù)據(jù)安全達到優(yōu)秀級，應滿足以下要求：

1)支持對象存儲、數(shù)據(jù)庫、大數(shù)據(jù)系統(tǒng)的數(shù)據(jù)資產安全管理；

2)通過數(shù)據(jù)安全總覽整合數(shù)據(jù)安全生命周期各階段狀態(tài)，對外整體呈現(xiàn)云上數(shù)據(jù)

安全態(tài)勢。

8.6合規(guī)治理

8.6.1初始級要求

合規(guī)治理達到初始級，應滿足以下要求：

1)支持安全合規(guī)治理法規(guī)標準條款代碼化，周期性、自動化掃描租戶云上資產的

合規(guī)情況。

14

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

8.6.2發(fā)展級要求

合規(guī)治理達到發(fā)展級，應滿足以下要求：

1)支持安全合規(guī)法規(guī)標準條款轉化成檢查項，可根據(jù)檢查項完成租戶自身業(yè)務的

合規(guī)評估。

8.6.3優(yōu)秀級要求

合規(guī)治理達到優(yōu)秀級，應滿足以下要求：

1)提供ISO27701、ISO27001等安全合規(guī)治理模板，合規(guī)策略和自評估檢查項；

2)自動化、持續(xù)性掃描租戶云上資產的合規(guī)狀態(tài)，快速梳理業(yè)務情況并且提供證

據(jù)鏈管理功能。

8.7安全運營

8.7.1初始級要求

安全運營達到初始級，應滿足以下要求：

1)支持基礎資產安全管理，如：對主機、IP類型的資產導入、導出等；

2)支持安全風險掃描,如：發(fā)現(xiàn)互聯(lián)網(wǎng)暴露高危端口的資產、未覆蓋安全服務產品

的資產。

3)支持收集、查看部分安全服務產品的告警，如：主機、應用、網(wǎng)絡，可提供簡單

的告警處理操作；

4)支持整體云上資產安全健康現(xiàn)狀評估，快速感知安全狀態(tài)，快速了解未處理風

險對用戶資產的整體威脅狀況。

8.7.2發(fā)展級要求

安全運營達到發(fā)展級，應滿足以下要求：

1)支持云上資產自動盤點；支持其它資產的導入，如：云外資產、多云資產；資產

具有明確的歸屬，如：應用、部門；

2)支持安全風險掃描,如：發(fā)現(xiàn)互聯(lián)網(wǎng)暴露高危端口的資產、未覆蓋安全服務產品

的資產；支持安全基線掃描，如：發(fā)現(xiàn)最佳實踐基線檢查弱配置；支持漏洞掃

描，如：發(fā)現(xiàn)OS漏洞、應用漏洞；

3)支持基于SIEM分析威脅，可自定義配置威脅告警處理規(guī)則；提供基本的安全

事件跟蹤審計；

4)支持提供整體而全面的安全評估結果，定期或按需生成任一安全運營報告和安

全運營大屏，且必須有云上態(tài)勢的呈現(xiàn)能力。

8.7.3優(yōu)秀級要求

安全運營達到優(yōu)秀級，應滿足以下要求：

1)支持對多類型的資產安全管理，如：主機、IP、網(wǎng)站/域名、數(shù)據(jù)庫/數(shù)據(jù)平臺等；

云上資產自動盤點；支持其它資產的導入，如：云外資產、多云資產；資產具有

明確的歸屬，如：應用、部門；資產與告警、事件、漏洞、基線之間可關聯(lián)；資

產與資產之間可關聯(lián)；

2)支持安全風險掃描,如：發(fā)現(xiàn)互聯(lián)網(wǎng)暴露高危端口的資產、發(fā)現(xiàn)未覆蓋安全服務

產品的資產；支持多類型安全基線掃描，如：發(fā)現(xiàn)最佳實踐基線檢查弱配置、

15

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

發(fā)現(xiàn)PCI-DSS/ISO等法規(guī)標準基線檢查弱配置、發(fā)現(xiàn)自定義基線檢查弱配置；

支持漏洞掃描，如：發(fā)現(xiàn)OS漏洞、應用漏洞；支持云防護策略的設置與維護；

3)支持基于SIEM分析威脅，開放式采集數(shù)據(jù)；可構建復雜威脅告警分析模型；

基于SOAR響應威脅，開放式聯(lián)動安全服務產品或其他任意工具；支持外部威

脅情報信息接入，并運用到威脅分析及響應流程中；支持完整的攻擊鏈還原分

析；

4)支持提供整體而全面的安全評估結果，定期或按需生成任一安全運營報告，并

支持發(fā)送、可自定義安全運營報告；支持安全運營大屏呈現(xiàn)云上多種態(tài)勢，如：

綜合態(tài)勢、資產態(tài)勢、風險態(tài)勢、威脅態(tài)勢、值班響應等；

5)統(tǒng)一運營、作戰(zhàn)協(xié)同：支持云上云下統(tǒng)一管理。

9業(yè)務智能能力指標

9.1智能湖倉

9.1.1初始級要求

智能湖倉達到初始級，應滿足以下要求：

1)依賴開源Hadoop大數(shù)據(jù)分析/數(shù)倉技術，自建數(shù)據(jù)分析平臺；

2)分析組件按業(yè)務需要和技能熟悉度自主搭配集成，數(shù)據(jù)分析引擎性能與開源社

區(qū)持平；

3)數(shù)據(jù)湖存儲僅支持本地HDFS，不支持對象存儲。

9.1.2發(fā)展級要求

智能湖倉達到發(fā)展級，在滿足初始級要求的基礎上，應滿足以下要求：

1)大數(shù)據(jù)分析/數(shù)倉分析平臺分析引擎性能較開源社區(qū)技術有差異化提升，包括功

能增強、性能增強；

2)數(shù)據(jù)湖支持存算分離彈性架構，數(shù)據(jù)存儲支持對象存儲，計算和存儲可靈活彈

性擴展；

3)湖和倉之間數(shù)據(jù)能夠共享，實現(xiàn)快速數(shù)據(jù)流動；

4)湖倉平臺增強企業(yè)級管理能力，包括：監(jiān)控、告警、日志、審計、用戶管理、作

業(yè)管理等。

9.1.3優(yōu)秀級要求

智能湖倉達到優(yōu)秀級，在滿足發(fā)展級要求的基礎上，應滿足以下要求：

1)提供統(tǒng)一的數(shù)據(jù)湖構建能力，打通湖與倉、湖與AI平臺、倉與AI平臺，實現(xiàn)

統(tǒng)一的元數(shù)據(jù)和安全，減少數(shù)據(jù)搬遷；

2)湖倉平臺提供細粒度的監(jiān)控，支持作業(yè)智能診斷和調優(yōu)推薦能力；

3)支持湖倉平臺軟硬調優(yōu)能力，具備一些硬件加速的算子。

9.2數(shù)據(jù)治理生產線

9.2.1初始級要求

數(shù)據(jù)治理達到初始級，應滿足以下要求：

16

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

1)支持通過開源數(shù)據(jù)集成工具構建數(shù)據(jù)接入能力，以批量接入為主；

2)提供簡單的數(shù)據(jù)SQL開發(fā)界面，實現(xiàn)數(shù)據(jù)的關聯(lián)查詢分析。

9.2.2發(fā)展級要求

數(shù)據(jù)治理達到發(fā)展級，在滿足初始級的基礎上，應滿足以下要求：

1)提供統(tǒng)一的數(shù)據(jù)開發(fā)平臺，提供可視化作業(yè)編輯和基于DAG的編排能力，提供

腳本代碼多個版本的統(tǒng)一管理；

2)支持血緣分析和質量監(jiān)控，業(yè)務流程能夠有效打通；

3)提供基本的數(shù)據(jù)安全管理能力，包括認證、授權、存儲加密、傳輸加密、基本的

脫敏等。

9.2.3優(yōu)秀級要求

數(shù)據(jù)治理達到優(yōu)秀級，在滿足發(fā)展級要求的基礎上，應滿足以下要求：

1)提供自動化數(shù)據(jù)管理能力，包括：自動提供數(shù)據(jù)質量評估結果（如：數(shù)據(jù)重復度

等）、自動識別敏感數(shù)據(jù)、自動實現(xiàn)數(shù)據(jù)分級分類、自動進行數(shù)據(jù)關聯(lián)分析和搜

索推薦（如：基于數(shù)據(jù)資產圖譜）；

2)支持維度建模、關系建模等數(shù)據(jù)標準規(guī)范，以提升數(shù)據(jù)開發(fā)的質量以及后期數(shù)

據(jù)指標和對象的可維護性；

3)統(tǒng)一管理數(shù)據(jù)資產（如：提供企業(yè)全局資產目錄等方式），支持不同業(yè)務單元進

行快速查找、申請和分析數(shù)據(jù)；

4)提供數(shù)據(jù)安全管理能力，支持敏感數(shù)據(jù)分級分類自動管理，采、存、算、管、用

全流程支持敏感數(shù)據(jù)保護，支持數(shù)據(jù)水印跟蹤，面向不同場景的數(shù)據(jù)合規(guī)性診

斷、數(shù)據(jù)安全態(tài)勢感知和風險管理；

5)提供智能化數(shù)據(jù)管理能力，包括：智能分類分級、智能脫敏、智能清洗等。

9.3AI開發(fā)平臺

9.3.1初始級要求

AI開發(fā)平臺達到初始級，應滿足以下要求：

1)基于開源框架和Notebook類工具自建AI訓練平臺，AI平臺管理無規(guī)范化；

示例1：框架指TensorFlow、PyTorch、Spark等。

示例2：Notebook工具指Jupyter、Zepplin等。

2)預置算法以開源算法為主；

3)開發(fā)過程中的多人協(xié)同主要靠人工交流。

9.3.2發(fā)展級要求

AI開發(fā)平臺達到發(fā)展級，在滿足初始級的基礎上，應滿足以下要求：

1)提供模型開發(fā)全生命周期的工具鏈，支持模型、算法等資產管理和共享；

2)提供模型全生命周期的管理能力，包括：提供統(tǒng)一的模型倉庫，支持模型發(fā)布

管理，支持多廠家算法的統(tǒng)一管理；

3)提供面向多角色的統(tǒng)一開發(fā)環(huán)境，支持多版本、多人協(xié)作的交互式AI算法開發(fā)，

提供云上、云下一致的開發(fā)體驗；

4)提供基礎通用AI能力，如：計算機視覺、自然語言處理、語音語義識別等，支

17

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

持通過工作流集成通用AI能力以進行場景化模型二次開發(fā)；

5)提供異構算力資源統(tǒng)一管理能力，支持多種標準接口訪問，提供機器學習、深

度學習、強化學習等能力，提供基本的數(shù)據(jù)準備能力、數(shù)據(jù)標注能力和特征管

理能力。

9.3.3優(yōu)秀級要求

AI開發(fā)平臺達到優(yōu)秀級，在滿足發(fā)展級的基礎上，應滿足以下要求：

1)支持分布式、高性能、大規(guī)模訓練能力，支持模型并行、數(shù)據(jù)并行、混合并行等

加速能力；

2)支持智能數(shù)據(jù)標注，提供多場景訓練數(shù)據(jù)；

3)支持預訓練模型，如：NLP大模型、CV大模型、多模態(tài)大模型等，縮短場景化

二次訓練的周期；

4)支持多種AI硬件和框架；

示例1：硬件指的是昇騰、昆侖芯、曙光DCU、寒武紀等。

示例2：AI框架指的是MindSpore，PanddlePanddle等。

5)支持邊緣推理，端、邊、云AI場景聯(lián)動，模型下推和數(shù)據(jù)回流。

9.4智能決策

9.4.1初始級要求

智能決策達到初始級，應滿足以下要求：

1)支持基于具體的業(yè)務場景或部門需求定制開發(fā)業(yè)務決策系統(tǒng)及業(yè)務指標統(tǒng)計的

大屏應用；

2)具備基礎的數(shù)據(jù)處理和分析，如采用Excel表格功能分析數(shù)據(jù)；

3)支持規(guī)則可自定義配置的決策引擎。

9.4.2發(fā)展級要求

智能決策達到發(fā)展級，在滿足初始級要求基礎上，應滿足以下要求：

1)具備通用的決策平臺，支持自主分析的BI工具和可視化決策大屏；

2)支持規(guī)則引擎結合預測模型進行商業(yè)決策，規(guī)則引擎覆蓋已知業(yè)務模式，預測

模型滿足部分場景預測，實現(xiàn)智能優(yōu)化業(yè)務決策；

3)具備自研或者集成商業(yè)求解器，提供常規(guī)數(shù)學規(guī)劃建模求解能力；

4)求解器支持十萬級參數(shù)，在有限時間內（小時級）找到可行的決策方案。

9.4.3優(yōu)秀級要求

智能決策達到優(yōu)秀級，在滿足發(fā)展級要求基礎上，應滿足以下要求：

1)支持NLP等AI能力，通過自然語言交互式分析查詢到用戶所需數(shù)據(jù)，實現(xiàn)自

動分析、智能推薦；

2)支持數(shù)據(jù)片段和數(shù)據(jù)點的智能根因分析，關聯(lián)指標及圖表推薦，多維下鉆；

3)求解器覆蓋大部分現(xiàn)實中的數(shù)學規(guī)劃問題，包含LP和MIP等問題的建模求解；

4)求解器支持百萬級以上參數(shù)。

10成本優(yōu)化能力指標

18

中國軟件行業(yè)協(xié)會團體標準T/SIA036-2023

10.1財務管理

10.1.1初始級要求

財務管理達到初始級，應滿足以下要求：

1）通過賬單了解云資源消費和支出。

10.1.2發(fā)展級要求

財務管理達到發(fā)展級，應滿足以下要求：

1)部分組織有成本意識和成本管理；

2)通過賬單了解云資源消費和支出，并監(jiān)控賬戶和資源包；

3)提供少量維度的成本分析報告，通過成本可視化難以看清各個部門、項目成本，

無法對超支的部門、項目問責；

4)對部分資源利用率進行監(jiān)控和優(yōu)化。

10.1.3優(yōu)秀級要求

財務管理達到優(yōu)秀級，應滿足以下要求：

1)在組織內部貫徹成本意識，創(chuàng)建成本透明度和成本問責制；

2)提供工具制定預算支出規(guī)劃，并對已上云業(yè)務和新增業(yè)務對資源的需求成本進

行預測，預測成本與估算成本之和與實際支出差異不高于20%；

3)通過工具監(jiān)控預算、賬