【系统规划与管理师第二版】1.2 信息技术及其发展
一、计算机软硬件
1. 计算机硬件是指计算机系统中由电子、机械和光电元件等组成的各种物理装置的总称。计算机组成结构源于冯・诺依曼计算机结构,该结构是现代计算机系统发展的基础。冯・诺依曼计算机结构将计算机硬件划分为五部分,包括:控制器、运算器(这两个在CPU里)、存储器、输入设备和输出设备。在现实硬件构成中,控制单元和运算单元被集成为一体,封装到中央处理器(Central Processing Unit, CPU)中;输入设备和输出设备则经常被设计者集成为一体,按照传输过程被划分为总线、接口和外部设备。
2. 计算机软件是指计算机系统中的程序及其文档。硬件和软件互相依存。按照软件所起的作用和需要的运行环境的不同,通常将计算机软件分为系统软件和应用软件两大类。系统软件是为整个计算机系统配置的不依赖特定应用领域的通用软件。根据系统软件功能的不同,主要包括:操作系统、数据库和中间件等。应用软件是指为某类应用需要或解决某个特定问题而设计的软件,例如图形图像处理软件、财务软件、游戏软件和各种软件包等。按照应用软件使用面的不同,可以进一步将应用软件分为专用的应用软件和通用的应用软件两类。
二、计算机网络
计算机网络是利用通信线路将地理上分散的、具有独立功能的计算机系统和通信设备按不同的形式连接起来,依靠网络软件及通信协议实现资源共享和信息传递的系统。计算机网络具有数据通信、资源共享、管理集中化、实现分布式处理和负荷均衡的功能。
从网络的作用范围划分为:
个人局域网(PAN)(个人热点、蓝牙)
局域网(LAN)(企业内网)
城域网(MAN)(因为局域网的发展,这个概念已经被弱化了)
广域网(WAN)(全国、全球)
从网络使用者角度可以将网络分为公用网(互联网)、专用网(企业内网)。
1. 基本组成
网络硬件设备有集线器、中继器、网桥、交换机、路由器、网关等。
网络协议是计算机和其它设备进行通信所需遵循的一组规则和约定。
① OSI 协议(没有真正用起来,只有理论意义)
OSI 采用分层设计的技术,共分为七层,每层提供一个规范和指引,由各厂家分别提出具体的协议来实现,由低层至高层分别为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
应用层:为用户提供通讯服务。
表示层:数据格式转化、数据加密。
会话层:建立、管理和维护会话。
传输层:建立、管理和维护端到端的连接。
网络层:IP 选址及路由选择。(传输数据包)
数据链路层:将比特流组织成有意义的数据包。
物理层:在物理媒介上传输原始的比特流。
网络标准协议 OSI(速记词:巫术网传会飙鹰)
| 应用层 | FTP文件传输、SMTP发邮件、HTTP、Telnet远程登录、SNMP网络管理协议 |
| 表示层 | GIF、JPEG、DES、ASCII、MPEG |
| 会话层 | SQL、NFS、RPC |
| 传输层 | TCP(面向连接的,可靠的,延迟大消耗大)、UDP(面向非连接的,不可靠的,消耗小)、SPX |
| 网络层 | IP、ICMP、IGMP、ARP |
| 数据链路层 | HDLC、PPP、ATM、IEEE802.3/.2 |
| 物理层 | FDDI、RS232、v.35、RJ-45 |
② TCP/IP协议(真正用起来的),是 Internet 的核心,与 OSI 体系结构的对比如图所示。(记住从上到下3112合并)
| OSI 模型 | 协议集 | TCP/IP 模型 | ||||||
| 应用层 | 文件传输协议 FTP | 远程登 录协议 Telnet | 电子邮件协议 SMTP | 网络文件服务协议 NFS | 网络管 理协议SNMP | 应用层 | ||
| 表示层 | ||||||||
| 会话层 | ||||||||
| 传输层 | TCP | UDP | 传输层 | |||||
| 网络层 | IP | ICMP | ARP,RARP | 网际层 | ||||
| 数据链 路层 | Ethernet IEEE 802.3 | FDDI | Token-Ring/IEEE 802.3 硬件层 | ARCnet | PPP/ SLIP | 网络接口 层 | ||
| 物理层 | 硬件层 | |||||||
③ IEEE 802 协议族
IEEE 802 规范定义了网卡如何访问传输介质(如光缆、双绞线、无线等),以及如何在传输介质上传输数据的方法,还定义了传输信息的网络设备之间连接的建立、维护和拆除的途径。
遵循 IEEE 802 标准的产品包括网卡、桥接器、路由器以及其他一些用来建立局域网络的组件。
IEEE 802 规范包括:802.1(802 协议概论)、802.2(逻辑链路控制层 LLC 协议)、 802.3(以太网的 CSMA/CD载波监听多路访问/冲突检测协议)、802.4(令牌总线 Token Bus协议)、802.5(令牌环 Token Ring 协议)、802.6(城域网 MAN 协议)、802.7(FDDI宽带技术协议)、802.8(光纤技术协议)、802.9(局域网上的语音/数据集成规范)、 802.10(局域网安全互操作标准)、802.11(无线局域网 WLAN 标准协议)。
④ 性能指标
反应计算机网络性能的指标有性能指标和非性能指标。非性能指标费用、标准化可靠性、可扩展性、可升级性、易管理性和可维护性等非性能指标与前面介绍的性能指标有很大的相关性。
性能指标如下:
| 性能指标 | 定义 | 单位 |
| 速率 | 指的是连接在计算机网络上的主机或通信设备在数字信道上传送数据的速率,也称为数据率(Data Rate)或比特率(Bit Rate)。 | b/s (比特每秒) |
| 带宽 | 来表示网络的通信线路传送数据的能力,在单位时间内从网络中一个节点到另一个节点所能通过的“最高数据率”。(网络传输能力的关键指标) | b/s (比特每秒) |
| 吞吐量(略低于带宽) | 在单位时间内通过某个网络(或信道、接口)的数据量,受网络的带宽或网络额定速率所限制。(实际传输能力) | 每秒传送的字节数或帧数 |
| 时延 | 数据(一个报文、分组甚至比特)从网络(或链路)的一端传送到另一端所需的时间。网络中的时延由发送时延、传播时延、处理时延、排队时延等组成。(国外直播视频时卡卡的,或者电视台连线后过一段时间才能接收到) | |
| 往返时间 | 从发送方发送数据开始,到发送方收到来自接收方的确认(接受方收到数据后便立即发送确认)总共经历的时间。 | |
| 利用率 | 有信道利用率和网络利用率两种。信道利用率指信道被利用的概率(即有数据通过),通常以百分数表示。完全空闲的信道利用率是零(可以类比为交通,公路繁忙堵塞说明利用率高)。网络利用率是全网络信道利用率的加权平均值。 | |
我们可以从速率、带宽、吞吐量、时延、往返时间、利用率等不同方面来度量计算机网络的性能。
除此以外,费用、标准化、可靠性、可扩展性、可升级性、易管理性和可维护性等非性能指标也与前面介绍的性能指标有很大的相关性。
2. 软件定义网络
软件定义网络(Software Defined Network,SDN)是一种新型网络创新架构,是网络虚拟化的一种实现方式,它可通过软件编程的形式定义和控制网络,其通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络变得更加智能,为核心网络及应用的创新提供了良好的平台。
SDN 的整体架构由下到上(由南到北)分为数据平面、控制平面和应用平面。
数据平面由交换机等网络通用硬件组成,各个网络设备之间通过不同规则形成的 SDN 数据通路连接。
控制平面包含了逻辑上为中心的 SDN 控制器,它掌握着全局网络信息,负责各种转发规则的控制。
应用平面包含着各种基于 SDN 的网络应用,用户无须关心底层细节就可以编程、部署新应用。(API接口直接提供给用户)
SDN 中的接口具有开放性,以控制器为逻辑中心,南向接口负责与数据平面进行通信,北向接口负责与应用平面进行通信,东西向接口负责多控制器之间的通信。
最主流的南向控制数据平面接口(Control Data Plane Interface, CDPI)(连接控制平面和数据平面)采用的是OpenFlow 协议(智能的规则制动器)。OpenFlow 最基本的特点是基于流(Flow)的概念来匹配转发规则,每一个交换机都维护一个流表(FlowTable),依据流表中的转发规则进行转发,而流表的建立、维护和下发都是由控制器完成的。针对北向接口,应用程序通过北向接口编程来调用所需的各种网络资源,实现对网络的快速配置和部署。东西向接口使控制器具有可扩展性,为负载均衡和性能提升提供了技术保障。
3. 第五代移动通信技术(5G)
第五代移动通信技术(5th Generation Mobile Communication Technology, 5G)是具有高速率、低时延和大连接特点的新一代移动通信技术。5G 重点满足灵活多样的物联网需要。在正交频分多址(Orthogonal Frequency Division MultipleAccess, OFDMA)和多入多出(Multiple Input Multiple Output,MIMO)基础技术上,5G 为支持二大应用场景,采用了灵活的全新系统设计。
在频段方面,5G 同时支持中低频和高频频段,支持百兆赫兹的基础带宽。为了支持高速率传输和更优覆盖,5G 采用 LDPC (一种具有稀疏校验矩阵的分组纠错码)、Polar (一种基于信道极化理论的线性分组码)新型信道编码方案、性能更强的大规模天线技术等。为了支持低时延、高可靠,5G 采用短帧、快速反馈、多层/多站数据重传等技术。
国际电信联盟(ITU)定义了 5G 的三大类应用场景,即增强移动宽带(eMBB)(大型游戏、虚拟现实、高清视频)、超高可靠低时延通信(uRLLC)(自动驾驶)和海量机器类通信(mMTC)(大规模物联网连接,京东无人化物流,智能家电远程控制)。
三、数据存储和数据库
1. 数据存储技术
数据存储技术架构从底层到上层,由存储介质(硬盘)、组网方式、存储协议和类型(网络连接与存储介质间通信协议)、存储结构(集中式和分布式)和连接方式五个部分组成。
按连接方式的不同,存储系统可以划分为 SAN 存储、NAS 存储 DAS 存储。 SAN:存储区域网络,指通过光纤通道交换机、以太网交换机等连接设备将磁盘阵列与相关服务器连接起来的高速专用存储网络。(速度快,贵)
NAS:网络接入存储,是一种专业的网络文件存储及文件备份设备,对不同主机和应用服务器提供文件访问服务。(企业用的多,主流)
DAS:直接附加存储,将存储设备通过小型计算机系统接口(Small Computer System Interface, SCSI)或光纤通道直接连接到一台主机上,主机管理其本身的文件系统,不能实现与其他主机的资源共享。(直接挂在服务器上的)
表:存储模式之间的技术与应用对比
| 对比项 | DAS | NAS | SAN |
| 安装难易度 | 不一定 | 简单 | 复杂 |
| 数据传输协议 | SCSI/FC/ATA | TCP/IP | FC |
| 传输对象 | 数据块 | 文件 | 数据块 |
| 使用标准文件共享协议 | 否 | 是(NFS/CIFS…) | 否 |
| 异种操作系统文件共享 | 否 | 是 | 需要转换设备 |
| 集中式管理 | 不一定 | 是 | 需要管理工具 |
| 管理难易度 | 不一定 | 以网络为基础,容易 | 不一定,但通常很难 |
| 提高服务器效率 | 否 | 是 | 是 |
| 灾难忍受度 | 低 | 高 | 高,专有方案 |
| 适合对象 | 中小组织服务器捆绑磁盘(JBOD) | 中小组织、SOHO 族组织部门 | 大型组织数据中心 |
| 应用环境 | 局域网 文档共享程度低 独立操作平台服务器数量少 | 局域网 文档共享程度高 异质格式存储需求高 | 光纤通道 存储区域网络环境复杂 文档共享程度高 异质操作系统平台服务器数量多 |
| 业务模式 | 一般服务器 | Web 服务器 多媒体资料存储 文件资料共享 | 大型资料库数据库等 |
| 档案格式复杂度 | 低 | 中 | 高 |
| 容量扩充能力 | 低 | 中 | 高 |
2. 数据结构模型
数据结构模型是数据库系统的核心,描述了在数据库中结构化和操纵数据的方法。模型的结构部分规定了数据如何被描述(例如树、表等)。模型的操纵部分规定了数据的添加、删除、显示、维护、打印、查找、选择、排序和更新等操作。
常见的数据结构模型有三种:层次模型、网状模型和关系模型,层次模型和网状模 型又统称为格式化数据模型,关系模型则是非格式化数据模型。
层次模型:最早使用的模型。用“树”结构表示实体集之间的关联。每个节点表示一个记录类型。记录类型之间的联系是父子之间的一对多的联系。只能处理一对多的实体联系。
网状模型:用有向图结构表示实体类型及实体间联系的数据结构模型。突破了层次模型不能表示非树状结构的限制,两个或两个以上的节点都可以有多个双亲节点,将有向树变成了有向图。
关系模型:用二维表格的形式表示实体以及实体之间联系。无论是实体还是实体间的联系均由单一的结构类型关系来表示。其基本原理是信息原理,即所有信息都表示为关系中的数据值。(关系型数据库,多表联动)
3. 常用数据库类型
数据库根据存储方式可以分为关系型数据库(SQL)和非关系型数据库(NoSQL)。关系型数据库采用了关系模型作为数据的组织方式。是在一个给定的应用领域中,所有实体及实体之间联系的集合。关系型数据库支持事务的 ACID 原则,即原子性(Atomicity)、一致性(Consistency)、隔离性(Isolation)、持久性(Durability),这四种原则保证在事务过程当中数据的正确性。
非关系型数据库是分布式的、非关系型的、不保证遵循 ACID 原则的数据存储系统。 NoSQL 数据存储不需要固定的表结构,通常也不存在连接操作。在大数据存取上具备关系型数据库无法比拟的性能优势。常见的 NoSQL 分为键值数据库、列存储数据库、面向文档数据库和图形数据库四种。常用存储数据库的优缺点见表。
| 数据库类型 | 特点类型 | 描述 |
| 关系型数据库 | 优点 |
|
| 缺点 |
| |
| 非关系型数据库 | 优点 |
|
| 缺点 |
|
4. 数据仓库
数据仓库是一个面向主题的、集成的、非易失的且随时间变化的数据集合,用于支持管理决策。
① 数据源。数据源是数据仓库系统的基础,是整个系统的数据源泉。
② 数据的存储与管理。数据的存储与管理是整个数据仓库系统的核心。
③ 联机分析处理(On-Line Analytical Processing,OLAP),OLAP 对分析需要的数据进行有效集成,按多维模型予以组织,以便进行多角度、多层次的分析,并发现趋势。(对海量数据进行分析)
④ 前端工具。前端工具主要包括各种查询工具、报表工具、分析工具、数据挖掘工具以及各种基于数据仓库或数据集市的应用开发工具。其中数据分析工具主要针对OLAP服务器,报表工具、数据挖掘工具主要针对数据仓库。
联机分析处理(OnLine Analytical Processing, OLAP)服务器。OLAP 服务器对分析需要的数据进行有效集成,按多维模型予以组织,以便进行多角度、多层次的分析,并发现趋势。
其具体实现可以分为:基于关系数据库的 OLAP(Relational OLAP, ROLAP)、基于多维数据组织的 OLAP(Multidimensional OLAP, MOLAP)和基于混合数据组织的 OLAP(Hybrid OLAP, HOLAP)。
ROLAP 基本数据和聚合数据均存放在 RDBMS 之中;
MOLAP基本数据和聚合数据均存放于多维数据库中;
HOLAP 基本数据存放于关系数据库管理系统(RDBMS)之中,
聚合数据存放于多维数据库中。
四、信息安全
1. 信息安全基础
信息安全被定义为保护信息的保密性、完整性、可用性及其他属性,即为数据处理系统建立和采用的技术、管理上的安全保护,目的是保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。信息必须依赖其存储、传输、处理及应用的载体(媒介)而存在,因此信息安全可以划分为四个层次:设备安全、数据安全、内容安全(是否发布可公开的内容)和行为安全(用户行为规范)。常见的信息安全问题包括:计算机病毒泛滥、恶意软件的入侵、黑客攻击、利用计算机犯罪、网络有害信息泛滥、个人隐私泄露等。
信息安全的基本属性包括如下五个方面:
① 保密性:信息不被未授权者知晓的属性。
② 完整性:信息是正确的、真实的、未被篡改的、完整无缺的属性。
③ 可用性:信息可以随时正常使用的属性。
④ 可控性:出于国家和机构的利益和社会管理的需要,保证管理者能够对信息实施必要的控制管理,以对抗社会犯罪和外敌侵犯。
⑤ 不可否认性:人们要为自己的信息行为负责。
2. 信息安全技术和措施
信息安全的主要技术和措施包括:身份认证、访问控制、入侵检测系统、防火墙、网闸、防病毒和数据加密技术等。
| 技术和措施 | 概念 | 分类/作用 |
| 身份认证 | 在网络中确认操作者身份的过程。 | 虚拟身份电子标识、静态密码、智能卡、短信密码、动态口令、USB Key、公钥基础设施(PKI)、生物识别和虹膜认证。 |
| 访问控制 | 防止对任何资源进行未授权的访问,从而使计算机系统在合法范围内使用。 | 自主访问控制、基于角色的访问控制、基于规则的访问控制、强制访问控制。 |
| 入侵检测系统 | 依照一定安全策略,通过软硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,保证网络系统资源的机密性、完整性和可用性。 | 实时入侵检测、事后入侵检测。 |
| 防火墙 | 及时发现并处理网络运行时潜在的安全风险、数据传输风险等问题,同时可以对网络安全中各项操作进行记录与检测。 | 由服务访问规则、验证工具、包过滤和应用网关四部分组成。 |
| 网闸 | 使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。 | 从逻辑上隔离、阻断了外部网和公共网等对内部网、专用网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。 |
| 防病毒 | 是指用户主动防范计算机等电子设备不受病毒入侵,从而避免出现用户资料泄露、设备程序被破坏等情况。 | 病毒防护策略准则包括:拒绝访问能力、病毒检测能力、控制病毒传播能力、清除病毒能力、恢复能力、提供替代操作等。 |
| 数据加密 | 采用信息加密技术对信息进行伪装,使得信息非法窃取者无法理解信息的真实含义,信息的合法拥有者可以利用特征码对信息的完整性进行校验。 | 对称加密:DES 算法为代表,加密密钥和解密密钥相同; 非对称加密:RSA 算法为代表,加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。 |
3. 安全行为分析技术
用户和实体行为分析(User and Entity Behavior Analytics, UEBA)提供了用户画像及基于各种分析方法的异常检测,结合基本分析方法(利用签名的规则、模式匹配、简单统计、阈值等)和高级分析方法(监督和无监督的机器学习等),用打包分析来评估用户和其他实体(主机、应用程序、网络、数据库等),发现与用户或实体标准画像或行为异常的活动相关的潜在事件。
UEBA 是一个完整的系统,涉及算法、工程等检测部分以及用户与实体风险评分排序、调查等用户交换、反馈。
从架构来看,UEBA 系统通常包括数据获取层、算法分析层和场景应用层。
4. 网络安全态势感知
安全态势感知的前提是安全大数据,其在安全大数据的基础上进行数据整合、特征提取等,然后应用一系列态势评估算法生成网络的整体态势状况,应用态势预测算法预测态势的发展状况,并使用数据可视化技术,将态势状况和预测情况展示给安全人员,方便安全人员直观便捷地了解网络当前状态及预期的风险。它是一种基于环境的、动态的、整体的洞悉安全风险的能力。
网络安全态势感知的关键技术主要包括:海量多元异构数据的汇聚融合技术、面向多类型的网络安全威胁评估技术、网络安全态势评估与决策支撑技术、网络安全态势可视化等。
五、信息技术发展
在计算机软件方面,软件开发逐渐成为支撑数字化世界的基石;“软件定义一切”的概念成为当前发展的主流。
在计算机硬件方面,将向超高速、超小型、平行处理、智能化的方向发展,计算机硬件设备的体积越来越小、速度越来越高、容量越来越大、功耗越来越低、可靠性越来越高。
在网络技术方面,计算机网络在全球范围内得到了普及;5G通信技术进一步加快了网络速度,降低了延迟,为物联网和工业互联网的发展奠定了基础。
在数据存储和数据库方面,云存储作为分布式存储系统的代表,为用户提供了安全、便捷的数据备份和访问服务;日益变革的新兴业务需求推动数据库技术不断向着模型拓展、架构解耦、存算分离的方向演进。
在信息安全方面,信息安全问题日益凸显;网络的普及推动信息安全网络化关键技术的创新。传统计算机安全理念将过渡到以可信计算理念为核心的计算机安全,信息安全产品和服务的集成与融合,正引领着当前信息安全技术朝着标准化和集成化的方向发展。