CESA-2020-2-016 企业级服务开放平台技术要求 编制说明

中国电子工业标准化技术协会

一、工作简况

(一)编制背景

本标准按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构

和起草规则》的规定起草。

本标准由神州数码融信软件有限公司提出。

本标准由中国电子工业标准化技术协会归口。

随着互联网的快速发展和国家“互联网+”战略的不断推进，各行各业都在

寻求通过互联网的方式和手段，推进各自业务的快速发展，建设各自领域新的业

务模式和生态。通过建设服务开放平台，将企业的业务以各种形式开放出去，从

而实现了与互联网的集成和融合，实现在各种互联网应用场景下，企业服务的触

达。

但是，在服务开放平台的建设方面，企业端缺乏统一的标准和规范，存在平

台建设不规范，数据保护不足、数据安全防护薄弱等问题，而如何解决以上问题，

确定服务开放的界限和方式，需要标准化组织在顶层设计上制定相关标准，也需

要企业自身进行资源整合，拓展思路，实现服务平台的有效建设。

其意义主要体现在：

1、标准化服务。企业端以统一的标准对外提供标准服务，对于个人和中小

企业客户而言，搜寻、选择、切换各项服务变得更加便捷，可以有效的降低小微

客户的接入成本，实践行业细微处的触达，客户体验将有显著提升。

2、控制风险。服务开放平台的建设在有效提升企业服务效能的同时，也使

得风险敞口更多，风险管控链条更长，风险洼地的效应更加明显，风险的形势出

现了新的特点、新的变化，需要通过技术规范，严守风险监控的底线。

因此，本标准是根据产业发展需要，对协会已发布标准《开放银行应用系统

技术要求》进行修订，形成了本标准《企业级服务开放平台技术要求》征求意见

稿。

中国电子工业标准化技术协会

(二)编制单位

本标准起草单位：神州数码融信软件有限公司、金税信息技术服务股份有限

公司、上海计算机软件技术开发中心、上海软中信息技术有限公司。

(三)编制范畴

结合业内经验，企业级服务开放平台范围包括以下内容：

1.数据标准

数据描述、记录的规则：包括对数据展现、格式、定义、结构的共识。数

据标准支持数据元素的一致性，提高可信赖度同时也降低了成本。

2.API/SDK标准

API/SDK的发布标准：API/SDK设计、开发和维护的准则，主要涉及架构风

格、资源格式、版本控制。便于在整个行业内形成统一的API设计语言，为开发

人员提供快捷、简易的使用体验。

API/SDK的使用标准：API/SDK的申请使用流程、开发者的认证模式等。

3.安全技术标准

网络安全：建立安全的网络与内容交换的通道。

应用安全：提高应用的安全开发设计能力，提升应用安全架构能力。

数据安全：通过增强数据完整性保护、机密性保护等提高数据保护能力。

4.系统功能架构标准

客户中心：客户中心主要用户对象是个人开发者或者合作商户，引导客户

进行开放服务的使用。

API接入网关：API接入网关是开放平台中最核心最基础的运行态功能实现

平台。负责第三合作者的API请求接入。

API接出网关：API接出网关主要提供异步通知、调用对外服务等。

Web服务：Web服务支持加载开放平台发布的H5静态资源。

API安全中心：为金融服业务务的发布、开放、运行提供了一整套安全解

决方案。包括但不限于证书、密钥、OAuth2.0等。

运营中心：运营中心应为企业运营人员提供图像友好、操作便捷、功能强

大的管理控制台，并提供权限管理功能。

API监控平台：实现了服务器资源、网络、API网关等关键资源的监控。

中国电子工业标准化技术协会

API组合：实现了简单API的复用与组装。

工具集：一整套能够解决系统快速开发，快速集成的管理工具。

高速共享缓存：高速共享缓存用来保证服务的更新频次以及产品的灵活个

性，必要的验证数据具备随机性和临时性，都需要高速共享缓存存储。

数据库：使用数据库的要求和提供的功能。

(四)编制过程

标准编制过程分为：筹备阶段、工作组成立、标准调研、标准起草、征求意

见、标准修改六个阶段。

1、筹备阶段

2020年4月与神州信息工程院院长、神州数码融信软件有限公司产品中心总

经理沟通，形成建立“企业服务开放平台”的想法和规范，并形成负责人。

2、工作组成立

2020年4月，组建此次工作组成员：

姓名电话职务

于宏负责人

陈宏放银行规范负责人

肇放银行规范负责人备份

潘紫协调人

3、标准调研

2020年4月开始，分布式规范负责人组织“企业服务开放平台”的工作组成

员对国内重点企业的服务平台系统的现状进行了充分调研，尤其关注开放平台涉

及的范围，以及在一些重点领域行业的实现现状。

神州数码融信软件有限公司产品中心副总经理陈宏鸿组织相关人员，研究了

分布式平台技术规范的特征差异、发展情况、市场需求和现状等方面，形成了调

研报告。

4、标准起草

2020年5月“企业服务开放平台”提交立项专家评审会评审，最终通过批准

立项。

2020年7月13日完成了“企业服务开放平台”工作组的组建，发布了工作组

章程，确定了细分方向及相关负责人。发布规范编写模板、并通过小组讨论的方

中国电子工业标准化技术协会

式形成统一的编写思路，讨论并确定了规范的总体思路和框架设计，完成了标准

文本的初稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

(一)原则

本标准是以企业级服务开放平台建设过程中的建设实践为基础，为了指导企

业在对外开放的平台建设过程中，更全面、更安全的进行系统设计和建设而提出

的。

1.全面性

本标准力求通过多方调研，全面描述企业对外开放平台建设的各个方面。

2.适宜性

本标准调研范围和工作组成员范围广泛，拥有对外开放服务平台建设实施的

丰富实践经验，保证了标准的合理性和适用性。在标准制定过程中，各单位提供

了丰富的建议，并不断对标准进行评审和修订。

(二)技术成果

通过对企业服务开放平台建设过程的梳理和总结，编制了本文档。希望通过

文档的制定，解决当前企业在建设对外开放服务的平台时如何定位系统功能，架

构标准、安全准则等等问题。

1、安全技术

平台面对互联网，需要特别重视安全技术的使用，针对网络、应用、数据方

面进行安全技术的使用建议。

2、系统功能

企业级开放平台在建设过程中，需要具备的功能架构，用以支撑整个对外开

放的业务和流程。

3、集成技术

在平台建设方面，采用的集成技术。

4、安全管控技术

在各个安全层面，采用的安全技术，用以保证系统运行时各种安全风险的防

控。

中国电子工业标准化技术协会

针对以上方面，解决了企业在对外开放服务的开放平台建设过程中的问题，

为有志于建设开放服务的机构，提供了应用系统建设的标准和要求。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

本标准在系统安全控制方面，从网络安全控制的层面，参考了专利《一种面

向开放银行网络安全控制的方法》，该专利正在申请中，企业级服务开放平台可

以借鉴银行开放平台建设要求。

五、产业化情况、推广应用论证和预期达到的经济效果

近几年，随着互联网技术更加成熟，互联网生态环境也朝着“开放、共赢”

的方向不断发展。数年前，互联网企业就开始建设开放平台，让更多的互联网用

户，无论是企业还是个人开发者，都能从开放平台上，获取和使用企业的服务。

扩大企业业务的范围和受众，从而提高整体的经营水平。随着国家“互联网+”

战略的推行，越来越多的企业将自身领域的优势服务封装成一系列数据接口

（OpenAPI）开放，供外部开发者使用，并逐渐建设起拥有自身品牌特色，提供

基于标准的服务的开放平台架构。。

从2007年开始，facebook宣布平台开放，成为互联网企业开饭给的标志和

标杆，随后，我国的淘宝、新浪微博、百度、腾讯等互联网企业，也先后开始建

设了开放平台。经过一段时间的发展。互联网企业的开放平台使用用户数量已经

达到千万，各类开发者使用互联网企业的zis开放平台及服务，完善自身业务场

景，拓宽业务发展的领域和渠道，同时，开放平台的建设企业，也获得了海量的

客户和使用场景的支持，由此，实现了开发者和开放平台的利益双赢。

随后，国内外的银行业也开始了与互联网的融合。互联网与金融的融合推动

金融系统多元化，通过建设开放平台，传统金融机构灵活运用开放平台推广营销，

拓宽用户使用渠道，提高效率；建立依赖大量用户交易行为数据，此外大数据还

可用于客户画像、风险管控、识别欺诈及股价预测等。

随着太平洋保险、平安保险、泰康人寿、众安保险等众多保险公司将保险产

品搬上互联网进行销售，保险公司也通过开放平台渠道，让客户能通过各种方式

选择保险。

中国电子工业标准化技术协会

在社会生活的方方面面，都可以通过开放平台进行对接，让客户享受更多无

缝场景的对接。在教育领域，通过对外开放服务，进行报名和缴费；在交通领域，

通过对外开放发布各种信息供客户查询，如违法信息、号牌信息等；在医疗领域，

通过对外开放进行挂号、查询等操作。通过开放平台的建设和对接，给广大企业

提供了更广阔的舞台。

在各行业探索开放平台建设的过程中，需要提供平台建设的规范和标准，以

指导各企业，规范、快速的建立完善的开放平台，在方便提供开放平台功能的基

础上，保证安全、规范，用以对未来企业业务的发展并形成产业化提供有力支撑。

六、转化国际标准和国外先进标准情况

无。

七、与现行相关法律、法规、规章及相关标准的协调性

无。

八、重大分歧意见的处理经过和依据

无。

九、贯彻标准的要求和措施建议

各企业的开放平台建设的日新月异而快速发展，因此，对系统建设的规范化、

科学化、标准化具有深远意义。对于未来企业系统建设具有现实的指导意义。

根据标准内容的要求和自身的实际情况，选择适宜的内容进行建设，随着未

来信息技术水平的不断发展，可以在标准的指导下，选择更新的和合适的技术进

行实现。

利用各种媒体，大力宣传本标准，为未来计划建设开放银行应用系统的银行

尽早提供标准的建议，避免重复或者走弯路。

十、替代或废止现行相关标准的建议

无。

十一、其它应予说明的事项

无。

《企业服务开放平台》团体标准编制工作组

2020-07-30

中国电子工业标准化技术协会

一、工作简况

(一)编制背景

本标准按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构

和起草规则》的规定起草。

本标准由神州数码融信软件有限公司提出。

本标准由中国电子工业标准化技术协会归口。

随着互联网的快速发展和国家“互联网+”战略的不断推进，各行各业都在

寻求通过互联网的方式和手段，推进各自业务的快速发展，建设各自领域新的业

务模式和生态。通过建设服务开放平台，将企业的业务以各种形式开放出去，从

而实现了与互联网的集成和融合，实现在各种互联网应用场景下，企业服务的触

达。

但是，在服务开放平台的建设方面，企业端缺乏统一的标准和规范，存在平

台建设不规范，数据保护不足、数据安全防护薄弱等问题，而如何解决以上问题，

确定服务开放的界限和方式，需要标准化组织在顶层设计上制定相关标准，也需

要企业自身进行资源整合，拓展思路，实现服务平台的有效建设。

其意义主要体现在：

1、标准化服务。企业端以统一的标准对外提供标准服务，对于个人和中小

企业客户而言，搜寻、选择、切换各项服务变得更加便捷，可以有效的降低小微

客户的接入成本，实践行业细微处的触达，客户体验将有显著提升。

2、控制风险。服务开放平台的建设在有效提升企业服务效能的同时，也使

得风险敞口更多，风险管控链条更长，风险洼地的效应更加明显，风险的形势出

现了新的特点、新的变化，需要通过技术规范，严守风险监控的底线。

因此，本标准是根据产业发展需要，对协会已发布标准《开放银行应用系统

技术要求》进行修订，形成了本标准《企业级服务开放平台技术要求》征求意见

稿。

中国电子工业标准化技术协会

(二)编制单位

本标准起草单位：神州数码融信软件有限公司、金税信息技术服务股份有限

公司、上海计算机软件技术开发中心、上海软中信息技术有限公司。

(三)编制范畴

结合业内经验，企业级服务开放平台范围包括以下内容：

1.数据标准

数据描述、记录的规则：包括对数据展现、格式、定义、结构的共识。数

据标准支持数据元素的一致性，提高可信赖度同时也降低了成本。

2.API/SDK标准

API/SDK的发布标准：API/SDK设计、开发和维护的准则，主要涉及架构风

格、资源格式、版本控制。便于在整个行业内形成统一的API设计语言，为开发

人员提供快捷、简易的使用体验。

API/SDK的使用标准：API/SDK的申请使用流程、开发者的认证模式等。

3.安全技术标准

网络安全：建立安全的网络与内容交换的通道。

应用安全：提高应用的安全开发设计能力，提升应用安全架构能力。

数据安全：通过增强数据完整性保护、机密性保护等提高数据保护能力。

4.系统功能架构标准

客户中心：客户中心主要用户对象是个人开发者或者合作商户，引导客户

进行开放服务的使用。

API接入网关：API接入网关是开放平台中最核心最基础的运行态功能实现

平台。负责第三合作者的API请求接入。

API接出网关：API接出网关主要提供异步通知、调用对外服务等。

Web服务：Web服务支持加载开放平台发布的H5静态资源。

API安全中心：为金融服业务务的发布、开放、运行提供了一整套安全解

决方案。包括但不限于证书、密钥、OAuth2.0等。

运营中心：运营中心应为企业运营人员提供图像友好、操作便捷、功能强

大的管理控制台，并提供权限管理功能。

API监控平台：实现了服务器资源、网络、API网关等关键资源的监控。

中国电子工业标准化技术协会

API组合：实现了简单API的复用与组装。

工具集：一整套能够解决系统快速开发，快速集成的管理工具。

高速共享缓存：高速共享缓存用来保证服务的更新频次以及产品的灵活个

性，必要的验证数据具备随机性和临时性，都需要高速共享缓存存储。

数据库：使用数据