第2章信息技術發展（一）

2.1 信息技術及其發展

2.1.1 計算機軟硬件

計算機硬件(Computer Hardware)是指計算機系統中由電子、機械和光電元件等組成的各種物理裝置的總稱。

計算機軟件 (Computer Software)是指計算機系統中的程序及其文檔，程序是計算任務的處理對象和處理規則的描述; 文檔是為了便于了解程序所需的闡明性資料。

在許多情況下，計算機的某些功能既可以由硬件實現，也可以由軟件來實現。因此硬件與軟件在一定意義上來說沒有絕對嚴格的界線。

1.計算機硬件

計算機硬件主要分為：控制器、運算器、存儲器、輸入設備和輸出設備。

(1)控制器(Controller)控制器根據事先給定的命令發出控制信息，使整個電腦指令執行過程一步一步地進行。控制器是整個計算機的中樞神經，其功能是對程序規定的控制信息進行解釋并根據其要求進行控制，調度程序、數據和地址，協調計算機各部分的工作及內存與外設的訪問等。

(2)運算器(Arithmetic Unit)運算器的功能是對數據進行各種算術運算和邏輯運算，即對數據進行加工處理。計算機運行時，運算器的操作和操作種類由控制器決定，運算器接受控制器的命令而進行動作，即運算器所進行的全部操作都是由控制器發出的控制信號來指揮的。

(3)存儲器(Memory)存儲器的功能是存儲程序、數據和各種信號、命令等信息并在需要時提供這些信息。存儲器分為：內存和外存。內存儲器從功能上可以分為讀寫存儲器RAM、只讀存儲器ROM兩大類，計算機的外存儲器一般有: 軟盤和軟驅硬盤、光盤等，以及基于USB接口的移動硬盤、可擦寫電子硬盤(優盤) 等。

(4)輸入設備(Input Device)，簡稱外設。輸入設備的作用是將程序、原始數據文字、字符、控制命令或現場采集的數據等信息輸入計算機。常見的輸入設備有鍵盤、鼠標、麥克風等。

(5)輸出設備(Output Device)它把計算機的中間結果或最后結果、計算機內的各種數據符號及文字或各種控制信號等信息輸出出來。計算機常用的輸出設備有顯示器、打印機、激光印字機和繪圖儀等。

2.計算機軟件

計算機軟件分為系統軟件、應用軟件和中間件。

(1)系統軟件(System Software)是指控制和協調計算機及外部設備，支持應用軟件開發和運行的系統，是無須用戶干預的各種程序的集合，主要功能是調度、監控和維護計算機系統；負責管理計算機系統中各種獨立的硬件，使得它們可以協調工作。

(2)應用軟件(Application Software)是用戶可以使用的各種程序設計語言以及用各種程序設計語言編制的應用程序的集合，分為應用軟件包和用戶程序。

(3)中間件(Middleware)中間件是處于操作系統和應用程序之間的軟件。它使用系統軟件所提供的基礎服務 (功能)，街接網絡上應用系統的各個部分或不同的應用，能夠達到資源共享和功能共享的目的。中間件是位于平臺(硬件和操作系統)和應用之間的通用服務，這些服務具有標準的程序接口和協議。

2.1.2 計算機網絡

在計算機領域中，網絡就是用物理鏈路將各個孤立的工作站或主機連接在一起，組成數據鏈路，從而達到資源共享和通信的目的。

1.通信基礎

1) 通信系統和模型

一個通信系統包括三大部分：源系統（發送端或發送方)、傳輸系統(傳輸網絡) 和目的系統(接收端或接收方)。

2)現代通信的關鍵技術

現代的關鍵通信技術有數字通信技術、信息傳輸技術、通信網絡技術等。

2.網絡基礎

從網絡的作用范圍可將網絡類別劃分為個人局域網 (Personal Area NetworkPAN)、局域網(Local Area Network, LAN)、城域網 (Metropolitan AreaNetwork,MAN)廣域網 (Wide Area Network, WAN)。

從網絡的使用者角度可以將網絡分為公用網(Public Network)與專用網(Private Network)。

3. 網絡設備

信息在網絡中的傳輸主要有以太網技術和網絡交換技術。網絡交換是指通過一定的設備 (如交換機等)將不同的信號或者信號形式轉換為對方可識別的信號類型，從而達到通信目的的一種交換形式，常見的有數據交換、線路交換、報文交換和分組交換。

在計算機網絡中，按照交換層次的不同，網絡交換可以分為

在網絡互連時，各節點一般不能簡單地直接相連，而是需要通過一個中間設備來實現。

市面上基于無線網絡的產品非常多，主要有無線網卡、無線AP、無線網橋和無線路由器等。

4.網絡標準協議

1）OSI開放系統互聯參考模型

2）IEEE 802協議族

IEEE 802規范定義了網卡如何訪問傳輸介質 (如光纜、雙絞線、無線等)，

以及如何在傳輸介質上傳輸數據的方法，還定義了傳輸信息的網絡設備之間連

接的建立、維護和拆除的途徑。

IEEE 802規范包括一系列標準的協議族，其中以太網規范IEEE 802.3是重要的局域網協議，內容包括：

802.11(無線局域網 WLAN 標準協議)

3）ICP/IP

TCP/IP 協議是互聯網協議的核心。?

4）ICP和UDP

5.軟件定義網絡

軟件定義網絡 (Software Defined Network,SDN) 是一種新型網絡創新架構，是網絡虛擬化的一種實現方式，它可通過軟件編程的形式定義和控制網絡，其通過將網絡設備的控制面與數據面分離開來，從而實現了網絡流量的靈活控制，使網絡變得更加智能，為核心網絡及應用的創新提供了良好的平臺。

利用分層的思想，SDN 將數據與控制相分離。

在控制層，包括具有邏輯中心化和可編程的控制器，可掌握全局網絡信方便運營商和科研人員管理配置網絡和部署新協議等。

在數據層，包括啞交換機 (與傳統的二層交換機不同，專指用于轉發數據的設備)僅提供簡單的數據轉發功能，可以快速處理匹配的數據包，適應流量日益增長的需求。兩層之間采用開放的統一接口 (如OpenFlow等)進行交互。

SDN 的整體架構由下到上 (由南到北)分為數據平面、控制平面和應用平面。其中，數據平面由交換機等網絡通用硬件組成，各個網絡設備之間通過不同規則形成的 SDN 數據通路連接；控制平面包含了邏輯上為中心的 SDN 控制器，它掌握著全局網絡信息，負責各種轉發規則的控制;應用平面包含著各種基于 SDN 的網絡應用用戶無須關心底層細節就可以編程、部署新應用。

①SDN中的接口具有開放性，以控制器為邏輯中心。

②南向接口負責與數據平面進行通信，采用的是openFlow協議?(基于流(Flow)的概念來匹配轉發規則則)。

③北向接口負責與應用平面進行通信，通過北向接口編程來調用所需的各種網絡資源，實現對網絡的快速配置和部署。

④東西向接口負責多控制器之間的通信。東西向接口使控制器具有可擴展性為負載均衡和性能提升提供了技術保障。

6.第五代移動通信技術

第五代移動通信技術(5G)是具有高速率、低時延等特點的新一代移動通信技術。

國際電信聯盟(ITU) 定義了5G的八大指標，與4G的對比：

5G 國際技術標準重點滿足靈活多樣的物聯網需要。在正交頻分多址(Orthogonal Frequency Division Multiple Access, OFDMA) 和多入多出(Multiple Input Multiple Output,MIMO) 基礎技術上，5G為支持三大應用場景，采用了靈活的全新系統設計。

在頻段方面，與4G支持中低頻不同，考慮到中低頻資源有限，5G同時支持中低頻和高頻頻段，其中中低頻滿足覆蓋和容量需求，高頻滿足在熱點區域提升容量的需求。

為了支持低時延、高可靠，5G采用短幀、快速反饋、多層/多站數據重傳等技術。

5G采用全新的服務化架構，支持靈活部署和差異化業務場景。

5G采用全服務化設計和模塊化網絡功能，支持按需調用，實現功能重構；采用服務化描述，易于實現能力開放，有利于引入IT開發實力，發揮網絡潛力。

5G支持靈活部署，基于NFV/SDN技術實現硬件和軟件解耦、控制和轉發分離；采用通用數據中心的云化組網，網絡功能部署靈活，資源調度高效；支持邊緣計算，云計算平臺下沉到網絡邊緣，支持基于應用的網關靈活選擇和邊緣分流。

通過網絡切片滿足5G差異化需求，網絡切片是指從一個網絡中選取特定的特性和功能，定制出的一個邏輯上獨立的網絡，它使得運營商可以部署功能、特性服務各不相同的多個邏輯網絡，分別為各自的目標用戶服務，目前定義了 3種網絡切片類型，即增強移動寬帶、低時延高可靠、大連接物聯網。

5G的三大應用場景：增強移動寬帶(eMBB)、超高可靠低時延通信(uRLLC)、海量機器類通信(mMTC)。

增強移動寬帶主要面向移動互聯網流量爆炸式增長，為移動互聯網用戶提供更加極致的應用體驗；

超高可靠低時延通信主要面向工業控制、遠程醫療、自動駕駛等對時延和可靠性具有極高要求的垂直行業應用需求；

海量機器類通信主要面向智慧城市、智能家居、環境監測等以傳感和數據采集為目標的應用需求。

2.1.3 存儲與數據庫

1.存儲技術

存儲分類根據服務器類型分為：封閉系統的存儲和開放系統的存儲。封閉系統主要指大型機等服務器。開放系統指基于包括麒麟、歐拉、 UNIX、Linux等操作系統的服務器。

開放系統的存儲分為：內置存儲和外掛存儲。

外掛存儲根據連接的方式分為直連式存儲 (Direct-Attachedstorage，DAS)和網絡化存儲 (Fabric-Attached storage，FAS)。

網絡化存儲根據傳輸協議又分為網絡接入存儲 (Network-AttachedStorage，NAS) 和存儲區域網絡 (Storage Area Network，SAN) 。

4）存儲虛擬化

存儲虛擬化 (storage Virtualization) 是”云存儲”的核心技術之一，它

把來自一個或多個網絡的存儲資源整合起來，向用戶提供一個抽象的邏輯視圖，用戶可以通過這個視圖中的統一邏輯接口來訪問被整合的存儲資源。用戶在訪問數據時并不知道真實的物理位置。它帶給人們直接的好處是提高了存儲利用率，降低了存儲成本，簡化了大型、復雜、異構的存儲環境的管理工作。

存儲虛擬化使存儲設備能夠轉換為邏輯數據存儲。

5）綠色存儲

綠色存儲 (Green storage) 技術是指從節能環保的角度出發，用來設計生產能效更佳的存儲產品，降低數據存儲設備的功耗，提高存儲設備每瓦性能的技術。

綠色存儲技術的核心是設計運行溫度更低的處理器和更有效率的系統，生產更低能耗的存儲系統或組件，降低產品所產生的電子碳化合物，其最終目的是提高所有網絡存儲設備的能源效率，用最少的存儲容量來滿足業務需求，從而消耗最低的能源。

以綠色理念為指導的存儲系統最終是存儲容量、性能、能耗三者的平衡。

2.數據結構模型

數據結構模型是數據庫系統的核心。描述了在數據庫中結構化和操縱數據的方法。

常見的數據結構模型有三種：層次模型、網狀模型和關系模型，層次模型和網狀模型又統稱為格式化數據模型。

3.常用數據庫類型

數據庫根據存儲方式可以分為關系型數據庫(SQL) 和非關系型數據庫(NoSQL)。

(1)關系型數據庫

關系數據庫是在一個給定的應用領域中，所有實體及實體之間聯系的集合。關系型數據庫支持事務的 ACID原則，即原子性(Atomicity)、一致性（Consistency)、隔離性 (lsolation)、持久性(Durability)?這四種原則保證在事務過程當中數據的正確性。

(2)非關系型數據庫

非關系型數據庫是分布式的、非關系型的、不保證遵循ACID原則的數據

存儲系統。NoSQL 數據存儲不需要固定的表結構，通常也不存在連接操作。在大數據存取上具備關系型數據庫無法比擬的性能優勢。

常見的非關系數據庫分為:

·鍵值數據庫：類似傳統語言中使用的哈希表。可以通過key來添加、查詢或者刪除數據庫，因為使用key主鍵訪問，會獲得很高的性能及擴展性。

Key/Value模型對于信息系統來說，其優勢在于簡單、易部署、高并發。

·列存儲 (Column-oriented) 數據庫：將數據存儲在列族中，一個列族存儲經常被一起查詢，比如人們經常會查詢某個人的姓名和年齡，而不是薪資。這種情況下姓名和年齡會被放到一個列族中，薪資會被放到另一個列族中。這種數據庫通常用來應對分布式存儲海量數據。

·面向文檔 (Document-Oriented) 數據庫：文檔型數據庫可以看作是鍵值數據庫的升級版，許之間嵌套鍵值，而且文檔型數據庫比鍵值數據庫的查詢效率更高。面向文檔數據庫會將數據以文檔形式存儲。

·圖形數據庫：允許人們將數據以圖的方式存儲。實體會作為頂點，而實體之間的關系則會作為邊。比如有三個實體: Steve Jobs、Apple和Next，則會有兩個Founded by的邊將Apple和Next連接到steve Jobs。

4.數據倉庫

為了滿足人們對預測、決策分析的需要在傳統數據庫的基礎上產生了能夠滿足預測、決策分析需要的數據環境一數據倉庫。

數據倉庫是一個面向主題的、集成的、非易失的且隨時間變化的數據集合，用于支持管理決策。

2.1.4 信息安全

1.信息安全基礎

CIA三要素是保密性 (Confidentiality)、完整性 (Integrity) 和可用性(Availability)?三個詞的縮寫。CIA是系統安全設計的目標。保密性、完整性

和可用性是信息安全最為關注的三個屬性，因此這三個特性也經常被稱為信息安全三元組，這也是信息安全通常所強調的目標。

(1)保密性是指“信息不被泄露給未授權的個人、實體和過程，或不被其使用的特性”。加密、訪問控制、信息隱寫都是實現保密性的方式。

(2)完整性是指“保護資產的正確和完整的特性”。完整性保證沒有未授權的用戶修改數據，可以從以下3個方面檢驗完整。

·阻止未授權主體作出的修改；

·阻止授權主體可以做未授權的修改，比如誤操作；

·確保數據沒有被改變，這需要某種方法去進行驗證。

(3)可用性是指“需要時，授權實體可以訪問和使用的特性”。可用性確保數據在需要時可以使用。

針對信息系統安全可以劃分為以下四個層次：設備安全、數據安全、內容安全和行為安全。

(1)設備安全

信息系統設備的安全是信息系統安全的首要問題，主要包括三個方面：

·設備的穩定性。設備在一定時間內不概率。

·設備的可靠性。設備能在一定時間內正常執行任出故障的務的概率。

·設備的可用性。設備隨時可以正常使用的概率。

(2)數據安全

數據安全屬性包括秘密性、完整性和可用性。

(3)內容安全

內容安全是信息安全在政治、法律、道德層次上的要求。

(4)行為安全

數據安全本質上是一種靜態的安全，而行為安全是一種動態安全，主要包括：

①行為的秘密性。②行為的完整性。③行為的可控性。

2.加密解密

為了保證信息的安全性，就需要采用信息加密技術對信息進行偽裝，使得信息非法竊取者無法理解信息的真實含義，信息的合法擁有者可以利用特征碼對信息的完整性進行校驗。采用加密算法對信息使用者的身份進行認證、識別和確認，以對信息的使用進行控制。

加密技術包括兩個元素：算法和密鑰。

3.信息系統安全

信息系統安全主要包括計算機設備安全、網絡安全、操作系統安全、數據庫系統安全和應用系統安全等。

4.網絡安全技術

網絡安全技術主要包括：防火墻、入侵檢測與防護、VPN、安全掃描、網絡蜜罐技術、用戶和實體行為分析技術等。

5.Web威脅防護技術

Web威脅防護技術主要包括：Web訪問控制技術、單點登錄技術、網頁防篡改技術和Web內容安全等。

6.下一代防火墻

下一代防火墻 (NGFW)是一種可以全面應對應用層威脅的高性能防火墻。通過深入洞察網絡流量中的用戶、應用和內容，并借助全新的高性能單路徑異構并行處理引擎，NGFW能夠為組織提供有效的應用層一體化安全防護，幫助組織安全地開展業務并簡化組織的網絡安全架構。

NGFW在傳統防火墻數據包過濾、網絡地址轉換 (NAT)、協議狀態檢查以及VPN功能的基礎上，新增如下功能：

·入侵防御系統(IPS)。

·基于應用識別的可視化。NGFW根據數據包的去向，阻止或允許數據包。它們通過分析第7層(應用程序層)的流量來做到這一點。傳統的防火墻不具備這種能力，因為它們只分析第3層和第4層的流量。

·智能防火墻。可收集防火墻外的各類信息，用于改進阻止決策或作為優化阻止規則的基礎。

7.安全行為分析技術

大部分造成嚴重損壞的攻擊往往來源于內部，只有管理好內部威脅，才能保證信息和網絡安全。

用戶和實體行為分析(UEBA) 提供了用戶畫像及基于各種分析方法的異常檢測，結合基本分析方法?(利用簽名的規則模式匹配、簡單統計、閱值等)和高級分析方法(監督和無監督的機器學習等)，用打包分析來評估用戶和其他實體?(主機、應用程序、網絡、數據庫等)，發現與用戶或實體標準畫像或行為異常的活動所相關的潛在事件。

UEBA是一個完整的系統，涉及算法、工程等檢測部分以及用戶與實體風

險評分排序、調查等用戶交換、反饋。

從架構上來看，UEBA系統通常包括數據獲取層、算法分析層和場景應用層。

8.網絡安全態勢感知

網絡安全態勢感知?(Network Security Situation Awareness) 是在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示，并據此預測未來的網絡安全發展趨勢。安全態勢感知不僅是一種安全技術，也是一種新興的安全概念。它是一種基于環境的、動態的、整體的洞悉安全風險的能力。安全態勢感知的前提是安全大數據，其在安全大數據的基礎上進行數據整合、特征提取等，然后應用一系列態勢評估算法生成網絡的整體態勢狀況，應用態勢預測算法預測態勢的發展狀況，并使用數據可視化技術，將態勢狀況和預測情況展示給安全人員，方便安全人員直觀便捷地了解網絡當前狀態及預期的風險。

網絡安全態勢感知的關鍵技術主要包括：海量多元異構數據的匯聚融合技術、面向多類型的網絡安全威脅評估技術、網絡安全態勢評估與決策支撐技術、網絡安全態勢可視化等。