大卫的思考：保险行业云计算建设思路

一、保险行业云计算标准研讨会.深冬的什刹海

鼓楼西接后湖湾，银锭桥横夕照间。

不尽沧波连太液，依然晴翠送遥山。

旧时院落松槐在，仙境笙簧岁月闲。

白首炼师茶话久，春风料峭暮鸦还。

一月十二日上午，笔者参加了北京什刹海之源举办的“保险行业云计算标准研讨会”。会场建筑古色古香，会议室里可以窗外什刹海的冰场。

参与研讨会的有各大保险公司的IT部门领导和技术人员，以及部分IT厂商技术人员。

会上，除了各大保险公司介绍自身云计算建设的经验外，一个重要的议题就是一起讨论保险行业的团体标准。

谈到标准，通常有四类：国家标准、行业标准、团体标准、企业标准。

在四个标准中，国家标准自然是权威性最高的。但国家转标准宏观性会较强。对保险业而言，保险会作为行业监管机构，会发布一些行业性的规章制度。

我们先看一下保监会“十三五”的内容：

我们解读一下和IT的关键词：车联网、电子签名、信息安全、数据中心建设等。整体而言，还是加大对IT方面的投入。

而相对于行业标准，团体标准可执行性、技术建议性会更强。如保险行业计算生产环境技术要求等。目前这些标准尚在制定中，因此内容笔者也不方便过多介绍。

本文介绍的重点是，通过在会议上，聆听保险公司IT部门领导的分享，引发我对保险行业云计算发展趋势的思考，分享给大家。需要注意的是：本文仅代表个人观点。

二、保险行业、IT行业与人类历史发展规律类似

人类历史发展的趋势是：分久必合、合久必分。

统一的唐帝国之前，是三国两晋南北朝的大分裂；

统一的唐帝国之后，是五代十国的大分裂；

古代历史中，只有大唐的文治武功，才能孕育出“大漠孤烟直，长河落日圆”的边塞诗人们。大唐以后，再无大唐。

IT界的发展趋势是：分久必合、合久必分。

IBM辉煌之前：各类芯片厂商、操作系统厂商、服务器厂商、应用厂商，各自之间相互混战。

IBM辉煌之时，打通了整体IT的端到端：从芯片、服务器、存储、网络、操作系统、数据库、中间件、甚至应用（如金融行业）、咨询规划等等。只有甲方想不到的，没有IBM做不到的。

IBM辉煌之后，开源与闭源的竞争、互联网与传统IT的竞争、分布式与集中式的竞争等。

自辉煌的IBM后，IT界再无IBM。

保险行业的发展趋势：行业竞争加剧； 行业竞争细分化、跨界化。

建国以后，从人保的成立、产寿分离、放开外资保险市场、互联网保险。整体而言，保险行业竞争激烈程度增加、相对利润降低，垄断性利润再难复现。

保险行业和IT行业都在同步发展、变迁，那么保险行业对IT技术的诉求是什么？

在十多年以前，保险公司的进行IT建设，3到4年做一个大项目，项目承保给一个IBM这样的IT巨头即可；今天，保险公司一年可以做300-400个小项目，很难将项目完全交给某个IT厂商，保险公司IT部门员工也很难做到不参与IT建设、只懂如何使用即可。

十多年以前，进行IT建设时, 保险公司希望IT公司“交钥匙”；今天，保险公司希望IT技术自主可控，或至少有IT集成能力。

三、保险行业云计算发展趋势

我们先看一下国内保险业信息化的历程：

因此，近两年，很多保险公司都在做互联网+相关的科技创新。

中国保险行业2016年度信息化建设优秀案例。我们可以看到，这些案例中，大多数都与移动平台、互联网+有关。其目的也是提升最终用户的满意度。也就是说，这些案例主要集中在行业渠道系统的信息化建设上。

随着目前保险业竞争的加剧，保险行业IT部门面临着技术和运维两个方面的压力。

那么，在面临这些压力的时候，如何解决这些问题呢？

结论就是，面对竞争和业务压力，保险公司需要构建：基于开源架构开放式混合云。

四、保险公司云计算建设思路

我们谈到云计算，层级上通常分：IaaS、PaaS、SaaS。属性上分公有云、私有云。

近两年，国内公有云迅速发展。那么对于保险行业，后续的云建设，是更多购买公有云的服务，还是自建私有云呢？

这需要从保险行业客户最关心的两点，也即是，构建的云平台：

1.是否满足监管要求 2.是否引入业务竞争

1.是否满足监管要求

保险行业的监管机构，如保监会。对保险行业的数据安全有明确要求。

《保险公司信息系统安全管理指引》保监发〔2011〕68号，如：

第十条建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度，并定期或根据需要及时对安全管理规章制度进行评审、修订。

第十五条制定信息管理相关制度和流程，规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节，加强重要数据信息控制和保护，保障信息的合法、合规使用。

第十七条对信息系统安全事件进行等级划分和事件分类，制定安全事件报告、响应处理程序等应急预案，并定期进行演练，评审和修订。遇有重大信息系统事故或突发事件，应按应急预案快速响应处理，并按规定及时向中国保监会报告。

第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求，加强信息安全管理体系认证安全管理，选择国家认证认可监督管理部门批准的机构进行认证，并与认证机构签订安全和保密协议。

第二十九条建立网络安全管理制度，规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核，保障安全策略的有效执行。

第三十二条加强信息系统平台软件安全管理，确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署，严格控制信息系统身份访问、资源访问，监控主机系统的资源使用情况，并在服务水平降低到设定阈值时发出报警。

因此，从安全角度看，笔者认为未来保险公司构建云计算，更多会以私有云为主，使用公有云的量不会太大。

2.是否引入业务竞争。

我们看一下目前涉足互联网保险业务的公司都有哪些（部分名单）：

很多提供公有云服务的公司，其实已经涉足保险行业的业务，参与了保险行业的业务竞争。在这种情况下，公有云比自建私有云省不省钱、剩多少钱已经是次要的了，不是么？

因此，从是否引入业务竞争角度看，笔者认为未来保险公司构建云计算，会更多构建私有云、并且重点将是PaaS云。如果使用公有云，则更多情况下会购买公有云的IaaS服务，而将PaaS和SaaS把握在自己手中。

五、结论

1.在IT建设上，以前希望IT厂商“交钥匙”；现在。保险公司希望IT技术自主可控，或至少有IT集成能力。

2..未来保险公司的混合云，会以私有云为主、少量使用公有云。公有云更多会使用IaaS相关的服务。PaaS、SaaS则会更多采取自建的方式。

3.未来保险公司的云计算建设，会更多使用开源技术、会更多地将建设重点放到PaaS层上。通过统一的云门户，将PaaS、IaaS全部纳管，形成开放式混合云。

魏新宇

"大卫分享"运营者、红帽资深解决方案架构师

专注开源云计算、容器及自动化运维在金融行业的推广

拥有红帽RHCE/RHCA、VMware VCP-DCV、VCP-DT、VCP-Network、VCP-Cloud、ITIL V3、Cobit5、C-STAR、AIX、HPUX等相关认证。