一、信息网络系统体系框架和OSI七层模型
1.信息网络系统一般体系框架模型
一个相对完整的信息网络系统一般由若干相对独立又相互连接的功能模块组成。
-
网络传输平台。负责信息网络系统中的数据传输,关注点是根据最终用户和上层应用的需要,高效、高质量、准确、安全地传输各类信息数据。网络传输平台一般包括传输、路由、交换、有线和无线接入等设备和系统。
-
网络和应用服务平台。负责网络管理网络管理服务和业务应用层面的管理逻辑、业务逻辑和信息数据处理,包括域名解析系统(DNS)、地址分配系统、业务应用系统(例如OA、WWW、电子邮件、语音会议、视频会议、VOD、人脸识别等系统)。
-
安全服务平台。负责网络、应用和用户的安全防护,包括信息加解密、防火墙、入侵检测、漏洞扫描、病毒查杀、安全审计、数字证书等。
-
网络管理和维护平台。负责整个信息网络系统的管理和维护,如果对外提供业务服务,还需要专门的运营系统。
-
环境系统。现代信息网络系统对能源、安防等提出了更高的要求,包括机房建设、环境监控、智能安防、节能降耗、综合布线等。
2. 开放系统互连(OSI)七层模型
OSI模型将信息网络系统中的通信和信息处理过程定义为上下衔接的七个层级,自下而上分别是、物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,各层相对独立,上下层之间和同层之间根据特定的标准规范进行项目调用和互通。
| 主题 | 内容 | 通俗理解 | 考点 |
|---|---|---|---|
| 物理层 | 物理层是 OSI 七层模型的最底层,规定了承载其上的各层发送和接收具体数据的物理硬件方法。 | 相当于 “网线、接口” 这类硬件的 “沟通规则”,负责把数据变成电信号 / 光信号传出去。 | ①OSI 最底层;②功能:定义物理硬件的通信方式。 |
| 数据链路层 | 物理层提供的仅是原始的信息数据比特流,无意义、无差错保护。数据链路层负责将比特流组织成有意义的数据包,规定格式、大小,规范寻址、同步、差错、流量控制。 | 给 “杂乱的电信号” 打包、贴标签(地址),还能检查 “包有没有传错 / 传丢”。 | ①功能:封装比特流为数据包、差错控制、流量控制;②核心:给数据加 “链路层地址(MAC 地址)”。 |
| 网络层 | 物理层、数据链路层负责相邻设备通信;网络层定义不同网络间的通信规则,包括寻址、路由选择,链路连接的建立、保持和终止。 | 相当于 “快递的物流系统”,负责跨网络找 “目的地”(比如从手机连的 WiFi,把数据传到另一个城市的服务器),选最快的路径送。 | ①功能:跨网络通信、路由选择;②核心:IP 地址(网络层地址)、路由协议。 |
| 传输层 | 网络层解决跨设备 / 子网互通;传输层为会话层提供端到端的透明数据传输机制,定义跨网络的逻辑连接,完成差错纠正、流量控制。 | 相当于 “快递的配送员”,负责把 “包裹” 从 “发件人 APP” 直接送到 “收件人 APP”,还能保证 “包裹没丢、没坏”。 | ①功能:端到端通信、可靠传输;②核心:TCP(可靠)、UDP(不可靠)协议。 |
| 会话层 | 向两个表示层实体提供建立、管理、拆除和使用连接的方法,这种连接称为会话。 | 相当于 “打电话时的‘接通 - 聊天 - 挂电话’流程”,负责控制 “通信的开始、中间暂停 / 恢复、结束”。 | ①功能:建立、管理、终止会话连接;②场景:比如视频通话的 “呼叫 - 应答 - 挂断”。 |
| 表示层 | 典型服务包括数据翻译(编解码、加解密)、格式化(格式转换、压缩)、语法选择(不同语言翻译)。 | 相当于 “翻译 + 包装员”:把数据翻译成双方能懂的格式(比如加密、压缩文件)。 | ①功能:数据格式转换、加解密、压缩;②场景:文件压缩、HTTPS 加密。 |
| 应用层 | 是 OSI 协议的最顶层,直接向用户提供信息通信服务。 | 相当于 “手机里的 APP”,比如微信、浏览器,直接给用户提供聊天、上网的服务。 | ①OSI 最顶层;②常见协议:HTTP(网页)、FTP(传文件)、SMTP(发邮件)。 |
二、TCP/IP协议族
1. TCP/IP协议层级结构
传输控制/网络协议(TCP/IP)是现代信息网络系统中最基础和通用的协议,TCP/IP由一系列协议组成,由于TCP和IP是其中最重要的两个协议,所以一般将相关的系列协议统称为TCP/IP协议族。
| 主题 | 内容 | OSI 模型 | 主要协议 |
|---|---|---|---|
| 应用层 | 应用层定义了与应用程序自身业务逻辑密切相关的全部规则,以及利用下一层传输层进行业务数据传输的具体机制。负责接收来自传输层的数据,或按不同应用要求与方式将数据传输至传输层。 | 应用层、表示层和会话层 | SMTP、FTP、Telnet、DNS、HTTP、NAT |
| 传输层 | 传输层负责应用层协议发送和接收具体数据的机制和过程,包括逻辑连接的建立、维护和拆除等,还包括可靠性传输和拥塞控制机制等。 | 传输层和会话层的部分功能 | TCP(面向连接协议);UDP(非连接协议) |
| 互联网络层 | 互联网络层负责基本的数据封装和全网传输,是整个网络内部、不同网络之间数据互联互通最重要的一层。 | 网络层 | ICMP、IGMP、IPv4 和 IPv6 |
| 物理和数据链路层 | 物理和数据链路层是 TCP/IP 协议栈的最底层,对应 OSI 的下两层,基于各种物理介质实现对上层数据的成帧传输。主要功能是提供链路管理错误检测、对不同通信媒介的有关信息细节问题进行有效处理等。 | 物理层、数据链路层 | ARP、RARP |
2. IPv4协议和IPv6协议
2.1 IPv4 协议
IPv4 是互联网协议第四版,是构建当今互联网的基础协议,核心技术概念包括IPv4 数据包、IPv4 地址、IPv4 路由。
2.1.1. IPv4 数据包
IPv4 数据包由包头和数据部分组成:
- 包头包含 20 字节固定字段 + 可变长度的选项字段,固定字段每行 4 字节(共 5 行),关键字段:
- 版本号:4 比特,IPv4 对应版本号为 4;
- 包头长度:4 比特,定义包头总长度;
- 总长度:16 比特,最大表示 65535 字节(整个数据包长度);
- 生存时间(TTL):8 比特,记录数据包可经过的路由器最大数量(每过一个路由器减 1);
- 协议:8 比特,标识数据包携带的上层协议(如 TCP、UDP);
- 源 / 目的地址:各 32 比特,标识数据包的发送 / 接收端 IP 地址;
- 标识、标志位、片偏移:用于数据包的分片与重组;
- 包头检验和:16 比特,仅校验包头数据。
2.1.2. IPv4 地址
- 由 32 位二进制数组成,采用点分十进制表示法(如 192.121.123.56),分为网络位和主机位。
- 地址分类(共 A、B、C、D、E 五类):
- A 类地址:适用于大型网络,支持 126 个网络,每个网络最多 16777214 个主机(地址范围:1.0.0.0-126.255.255.255);
- B 类地址:适用于中型网络,支持 16384 个网络,每个网络最多 65534 个主机(地址范围:128.0.0.0-191.255.255.255);
- C 类地址:适用于小型网络,支持 209 万余个网络,每个网络最多 254 个主机(地址范围:192.0.0.0-223.255.255.255);
- D 类地址:专门用于组播地址(地址范围:224.0.0.0-239.255.255.255);
- E 类地址:保留地址(地址范围:240.0.0.0-255.255.255.255)。
2.1.3. IPv4 路由
路由是路由器根据数据包目的地址转发数据包的过程,路由类型包括:
- 直连路由:设备物理端口直连自动获取的路由;
- 静态路由:管理员手动配置的固定路径路由;
- 动态路由:路由器通过交换路由信息自动生成路由表的路由。
2.2 IPv6 协议
IPv6 是 IPv4 的升级协议,解决了 IPv4 地址不足等问题。
2.2.1. IPv6 地址
- 由 128 位二进制数组成,是 IPv4 地址长度的 4 倍,采用点分十六进制表示法(分为 8 段,如 ABCD:EF01:2345:6789:ABCD:EF01:2345:6789)。
- 结构:前 64 比特为网络前缀(用于寻址 / 路由),后 64 比特为接口标识(用于标识主机)。
2.2.2. IPv6 数据包
结构分为IPv6 包头、扩展包头、上层协议数据三部分:
- IPv6 包头:必选,长度固定 40 字节,包含版本、传输等级、流标签、载荷长度等基础信息;
- 扩展包头:可选(0 个 / 1 个 / 多个),实现丰富功能;
- 上层协议数据:携带的上层数据(如 ICMPv6、TCP、UDP 数据包)。
2.3 IPv4 与 IPv6 核心差异对比表
| 对比维度 | IPv4 | IPv6 |
|---|---|---|
| 地址长度 | 32 位二进制数 | 128 位二进制数 |
| 地址表示法 | 点分十进制,格式为 4 段十进制数(如 192.168.1.1) | 冒分十六进制,格式为 8 段十六进制数(如 2001:0db8:85a3:0000:0000:8a2e:0370:7334) |
| 地址数量 | 约 43 亿个,地址资源枯竭 | 理论上约 2128 个,能满足海量设备联网需求 |
| 地址结构 | 分为网络位和主机位,需借助子网掩码划分 | 分为64 位网络前缀(路由寻址)和64 位接口标识(主机标识) |
| 数据包结构 | 包头包含 20 字节固定字段 + 可变长度选项字段,总长度可变 | 包头固定 40 字节,可选扩展包头实现额外功能,结构更简洁高效 |
| 关键包头字段 | 包含生存时间(TTL)、包头检验和、协议字段等 | 包含流标签(支持 QoS)、有效载荷长度,无包头检验和 |
| 路由方式 | 支持直连路由、静态路由、动态路由(如 OSPF、RIP) | 兼容 IPv4 路由逻辑,新增针对大地址空间优化的路由协议(如 OSPFv3) |
| 主要优势 | 技术成熟,部署广泛,设备兼容性高 | 地址充足,支持即插即用,安全性与 QoS 能力更强 |
| 主要缺陷 | 地址短缺,需 NAT(网络地址转换)扩展公网地址 | 部署成本较高,部分老旧设备暂不兼容 |
三、网络传输平台
1.网络传输平台的一般架构和主要技术
1.1 网络传输媒介
网络传输媒介:处于 OSI 物理层,是借助电磁波信号传输数据的载体,分有线、无线两类:
- 有线媒介:光纤、双绞线、同轴电缆等。
- 无线媒介(按波长分):
- 长波(3~30kHz)、中波(0.03~3MHz)、短波(3~30MHz)
- 超短波(30~300MHz)、微波(0.3~300GHz)
通俗解释:传输媒介就是 “数据的运输通道”,有线是 “实体管道”(比如网线),无线是 “空气里的信号通道”(比如手机信号)。
1.2 网络传输技术
反映通信网络底层承载能力(带宽、故障切换等),常用技术:
- 基于光纤:同步数字序列(SDH)、准同步数字(PDH)、密集波分复用(DWDM)
- 基于同轴电缆:混合光纤同轴电缆(HFC)
- 基于无线媒介:Wi-Fi、数字微波通信(DMC)、卫星小数据站(VSAT)、2G/3G/4G/5G/6G 移动通信系统
通俗解释:传输技术是 “通道的‘运输规则’”,不同媒介对应不同规则,比如光纤用 SDH 规则、无线用 Wi-Fi 规则。
1.3 网络路由、交换和组网技术
按物理覆盖 / 管理范畴,组网分局域网(LAN)、城域网(MAN)、广域网(WAN)。
1.3.1 局域网(LAN)
定义:小范围(企业、家庭)的网络。
- 早期技术:以太网(Ethernet)、令牌环网(Token Ring)、光纤分布式数据网(FDDI)
- 核心技术:虚拟局域网(VLAN)通俗解释:VLAN 是把一个物理局域网 “逻辑拆分” 成多个小网段,比如公司里 “市场部网段” 和 “技术部网段” 互不干扰,能减少网络拥堵、提升安全性。
1.3.2 城域网(MAN)
定义:覆盖一个城市范围的网络(比如城市内的企业 / 家庭上网)。
- 早期技术:FDDI、分布式队列双总线(DQDB)、交换多兆位数据服务(SMDS)
- 当前技术:以太网技术、IP 城域网技术
1.3.3 广域网(WAN)
定义:跨地区 / 省市 / 国家的网络(比如连接多个城市的网络,Internet 是全球最大的广域网)。
- 早期技术:数字数据网(DDN)、X.25 分组交换网、公共交换电话网(PSTN)、综合业务数据网(ISDN)、帧中继(FR)、异步传输模式(ATM)
- 当前技术:
- TCP/IP 领域
- 多协议标记交换(MPLS):在 IP 数据包上加 “标签”,按标签转发数据(类似快递贴 “分拣标签”,更快找到配送路径)
- 虚拟专用网络(VPN):在公共网络里建 “专用虚拟网络”,比如企业分店通过 VPN 连总部网络(类似在公共公路上开 “专属车道”,安全又省钱)
1.4 有线、无线接入技术
网络接入:用户 / 设备连入网络的方式。
- 有线接入:
- 早期:电话线调制解调器(Modem)、ADSL、HDSL、Cable Modem
- 当前:无源光网络(PON)(包括 EPON、GPON、10G-PON,是光纤入户的主流技术)
- 无线接入:Wi-Fi、蓝牙等
通俗解释:接入技术是 “设备连网的‘接口方式’”,比如家里用光纤(PON)连网是有线接入,手机连 Wi-Fi 是无线接入。
2.运营商网络架构
2.1 核心层
- 部署设备:核心路由器
- 作用:
- 提供本城域网的互联网出口,与省级骨干网相连;
- 作为本城域网内 IDC(数据中心)、CDN(内容分发网络)等中心节点的接入点。
- 通俗解释:相当于城域网的 “总指挥部 + 对外大门”—— 既负责和更大范围的网络(比如全省网络)连通,也管着城市里最重要的网络节点(像存数据、分发内容的中心)。
2.2 汇聚层
- 部署设备:汇聚交换机
- 作用:
- 作为本城域网的区域汇接点,上联核心层设备,下接光纤线路终端(OLT)等接入设备;
- 作为各类边缘 IDC 节点、边缘计算节点的接入点。
- 通俗解释:是 “区域中转站”—— 把一片区域内的用户 / 设备数据汇总后,再传给核心层;同时也接一些靠近用户的小型数据节点。
2.3 接入层
- 服务对象:各类园区、楼宇、住宅小区等商业、家庭和个人用户
- 作用:提供各种有线、无线接入方式(比如宽带、Wi-Fi)。
- 通俗解释:是 “用户家门口的接口”—— 直接对接普通用户 / 企业,让大家能连入城域网。
3.企业网和家庭网络组网(非重点)
1)企业网组网
- 特点:覆盖企业办公区域,需满足多设备、多部门的联网 + 数据共享需求,通常会搭配交换机、路由器等设备,部分企业会部署局域网(LAN)或虚拟局域网(VLAN)来划分网络区域。
2)家庭网络组网
- 特点:覆盖家庭住宅,一般通过路由器(含 Wi-Fi 功能)实现手机、电脑、智能家电等设备的联网,接入方式多为宽带(比如光纤入户后接路由器)。
4. 4G/5G移动通信
4.1. 4G 移动通信
4G 的核心优势:
- 高速率、高容量
- 网络频谱更宽
- 智能性能更高
- 兼容性能更平滑
- 更高质量、更低费用的通信
- 更好的安全性
| 4G 核心优势 | 说明 |
|---|---|
| 高速率、高容量 | 数据传输速度和承载量提升 |
| 网络频谱更宽 | 可用通信频段范围更大 |
| 智能性能更高 | 网络智能化调度能力增强 |
| 兼容性能更平滑 | 与前代网络衔接更顺畅 |
| 高质量低费用 | 通信体验更好、成本更低 |
| 更好的安全性 | 数据传输安全保障更强 |
4.2. 5G 移动通信
4.2.1 5G 商用与应用场景
- 商用时间:2019 年 6 月,工信部向中国电信、中国移动、中国联通、中国广电发放 5G 商用牌照。
- 三大应用场景(ITU 定义):
- 增强移动宽带(eMBB):对应 “高速上网”,满足高清视频、VR 等大流量需求(比如刷超高清视频不卡顿)。
- 超高可靠低时延通信(uRLLC):对应 “实时响应”,支持工业控制、远程医疗、自动驾驶(比如远程手术时信号延迟极短)。
- 海量机器类通信(mMTC):对应 “万物互联”,支持智慧城市、智能家居(比如一栋楼里上千个传感器同时联网)。
| 场景类型 | 英文缩写 | 核心特点 | 典型应用 |
|---|---|---|---|
| 增强移动宽带 | eMBB | 大流量、高速率 | 超高清视频、VR/AR |
| 超高可靠低时延通信 | uRLLC | 低延迟、高可靠 | 远程医疗、自动驾驶、工业控制 |
| 海量机器类通信 | mMTC | 多设备、广连接 | 智慧城市、智能家居、环境监测 |
4.2.2 5G 系统主要性能指标
(核心是 “更快、更稳、连更多”)
- 峰值速率:10~20Gbit/s(下一部电影几秒完成)
- 空中接口时延:低至 1ms(比眨眼还快的响应)
- 设备连接能力:百万连接 / 平方公里(能连整个小区的智能设备)
- 频谱效率:比 4G 提升 3 倍以上
- 用户体验速率:连续覆盖下 100Mbit/s(移动中也能高速上网)
- 流量密度:10Mbps/m² 以上
- 移动性:支持 500km/h 高速移动(高铁上也能稳定联网)
实现技术:网络功能虚拟化、网络切片、毫米波、MIMO 等。
| 指标类型 | 具体参数 | 作用 |
|---|---|---|
| 峰值速率 | 10~20Gbit/s | 满足大流量传输(如 VR) |
| 空中接口时延 | 低至 1ms | 支持实时应用(如远程手术) |
| 设备连接能力 | 百万连接 / 平方公里 | 适配物联网海量设备 |
| 频谱效率 | 比 4G 提升 3 倍以上 | 更高效利用通信频段 |
| 用户体验速率 | 连续覆盖下 100Mbit/s | 移动场景下高速上网 |
| 流量密度 | 10Mbps/m² 以上 | 高密集区域网络承载 |
| 移动性 | 支持 500km/h 高速移动 | 高铁等高速场景稳定联网 |
4.2.3 5G 系统网络架构
采用总线式微服务架构:把大型网络服务拆成多个独立小服务,每个服务可单独运行 / 升级,方便维护扩展,也支持 “网络切片”(给不同场景分配专属网络资源)。
5.物联网组网技术
物联网从技术角度分为 感知层、网络层、应用层 三层架构,同时各层存在不同安全威胁。
5.1、物联网三层架构核心信息
| 层级 | 角色定位 | 核心功能 | 典型设备 / 技术 | 通俗类比 |
|---|---|---|---|---|
| 感知层 | 物联网的 “感官” | 1. 感知物品信息2. 传递信息3. 执行指令 | 传感器、摄像头、GPS、NFC、二维码 | 眼睛 / 耳朵 |
| 网络层 | 物联网的 “通道” | 连通感知层 & 应用层,传输数据 / 指令 | Bluetooth、ZigBee、LoRa、NB-IoT | 快递员 |
| 应用层 | 物联网的 “大脑” | 1. 处理数据2. 下达指令 | 智慧城市系统、智能家居 App | 指挥中心 |
5.1.1. 感知层
- 定位:物联网的 “感官”,负责感知现实世界的 “物”。
- 核心功能:
- 感知各类物品的信息(比如温度、位置);
- 本地处理并传递信息;
- 根据应用层指令执行操作。
- 设备 / 技术:传感器(温 / 压 / 湿度)、摄像头、二维码设备、GPS、NFC 等;技术包括传感器技术、RFID、二维码技术等。
- 通俗解释:相当于物联网的 “眼睛、耳朵”,比如智能家居里的温湿度传感器,负责 “感知房间温度”。
5.1.2. 网络层
- 定位:物联网的 “通信通道”,负责连通感知层和应用层。
- 核心功能:安全、顺畅地传输数据和指令。
- 适配技术:
- 短距离:Bluetooth(蓝牙)、ZigBee(低功耗、短距,适用于工业设备控制);
- 长距离:LoRa、NB-IoT(低功耗、长距,适用于智慧城市、农业)。
- 通俗解释:相当于物联网的 “快递员”,把感知层的信息传给应用层,再把应用层的指令发回感知层。
| 技术类型 | 特点 | 适用场景 |
|---|---|---|
| Bluetooth | 短距离、低功耗 | 个人电子产品互联 |
| ZigBee | 短距离、低功耗 | 工业设备控制 |
| LoRa | 长距离、低功耗 | 智慧城市、智慧农业 |
| NB-IoT | 长距离、低功耗 | 物联网大规模设备联网 |
5.1.3. 应用层
- 定位:物联网的 “大脑”,负责数据处理和提供服务。
- 核心功能:处理感知层收集的数据,向感知层下达处置指令。
- 典型应用:智慧城市、智能家居、工业控制、智能交通等。
- 通俗解释:相当于物联网的 “指挥中心”,比如智能家居 App,接收传感器的温度数据后,下达 “打开空调” 的指令。
5.2、物联网各层安全威胁
| 层级 | 安全威胁核心风险 |
|---|---|
| 感知层 | 设备数量多、易被入侵:可能被偷数据、被控制发动网络攻击,甚至破坏现实世界(比如篡改传感器指令)。 |
| 网络层 | 因互联互通(如连互联网),易引入外部攻击,成为威胁物联网的 “攻击源头”。 |
| 应用层 | 需处理海量数据,易混入恶意数据:可能被偷数据、被夺取控制权,同时面临传统网络的安全威胁。 |
| 层级 | 威胁来源 | 核心风险 |
|---|---|---|
| 感知层 | 设备数量多、易入侵 | 1. 数据被盗2. 被控制发动攻击3. 破坏现实世界(篡改指令) |
| 网络层 | 互联互通(如连互联网) | 成为外部攻击的 “入口”,威胁物联网整体安全 |
| 应用层 | 海量数据 + 传统网络风险 | 1. 恶意数据混入2. 数据 / 控制权被窃3. 遭遇内 / 外部恶意破坏 |
5.3、物联网三层架构总结表
| 层级 | 角色 | 核心功能 | 典型设备 / 技术 |
|---|---|---|---|
| 感知层 | 感官 | 感知信息、传递 + 执行指令 | 传感器、GPS、NFC、RFID |
| 网络层 | 通信通道 | 传输数据 / 指令 | Bluetooth、ZigBee、LoRa、NB-IoT |
| 应用层 | 大脑 | 处理数据、下达指令 | 智慧城市 App、智能家居系统 |
四、网络和应用服务平台
| 服务类型 | 核心功能 | 关键技术 / 协议 | 通俗解释 |
|---|---|---|---|
| E-mail 电子邮件服务 | 互联网邮件收发 | SMTP(发邮件)、POP3(下载邮件)、IMAP(在线管理邮件) | 网络版 “邮局” |
| WWW 万维网服务 | 超文本方式浏览 / 查询互联网信息 | HTTP(通信协议)、HTML(网页格式) | 我们日常用的 “网页 / 浏览器” |
| DNS 域名解析服务 | 将易记的域名(如www.baidu.com)转换为网络识别的 IP 地址 | — | 网络世界的 “地址簿” |
| FTP 文件传输服务 | 与远程主机进行文件增 / 删 / 改 / 传等操作 | FTP 协议(客户端 / 服务器模式) | 网络版 “文件管理器” |
| Telnet 远程登录服务 | 连接远程主机,作为其终端使用并共享资源(CPU、存储等) | — | 远程 “操控别人电脑” 的工具 |
五、安全服务平台
信息网络安全需覆盖 物理安全、网络安全、主机安全、应用安全、数据安全、安全管理 六大层面,同时需适配云计算等场景的特殊风险。
1、六大安全层面核心信息表
| 安全层面 | 核心关注点 | 关键设备 / 技术 | 通俗解释 |
|---|---|---|---|
| 物理安全 | 机房及设施安全,含环境 / 供配电 / 安防 / 消防 4 部分 | 温湿度调节设备、UPS 电源、门禁系统、烟感 / 灭火设备 | 保护服务器 “生存环境” 的安全 |
| 网络安全 | 网络结构、访问控制、入侵防护、安全审计 | 防火墙、VLAN(安全域划分)、IDS/IPS(入侵检测)、SOC(日志审计) | 保障 “网络传输通道” 的安全 |
| 主机安全 | 身份鉴别、访问控制、漏洞防护、安全审计 | 堡垒机、主机防火墙(如 Windows 防火墙)、漏洞扫描工具、防病毒系统 | 保护单台电脑 / 服务器的安全 |
| 应用安全 | 身份 / 访问控制、漏洞防护(如 SQL 注入)、会话管理 | Web 防火墙、应用漏洞扫描工具、渗透测试 / 代码审计 | 保障 App / 网站等 “程序” 的安全 |
| 数据安全 | 机密数据保护(加密)、数据备份恢复 | VPN(安全传输)、数据加密技术、自动化备份系统 | 确保数据不丢、不泄露 |
| 安全管理 | 安全组织 / 责任、风险管理、应急处理、容灾备份等机制 | 安全评估、漏洞管理、灾难恢复方案 & 演练 | 安全体系的 “总调度” |
2、物理安全细分模块表
| 物理安全模块 | 核心防护内容 | 典型设备 |
|---|---|---|
| 环境安全 | 防水、防尘、防静电、防电磁干扰、防雷击等 | 温湿度传感器、防静电设备 |
| 供配电系统 | 提供稳定电源,保障供电安全 | UPS 电源、配电柜、发电机组 |
| 安防系统 | 控制物理访问权限 | 门禁系统、红外传感器 |
| 消防系统 | 防火保护 | 烟感传感器、灭火设备 |
3、云计算安全新增风险表
(云环境相比传统环境的特殊安全问题)
| 风险维度 | 核心问题 | 通俗解释 |
|---|---|---|
| 主机安全 | 需同时关注虚拟机系统 + 虚拟机管理程序(VMM)的安全 | 云服务器的 “虚拟系统” 和 “管理工具” 都要防入侵 |
| 网络安全 | 物理隔离消失,测试 / 生产虚拟机可能共物理机,需重新划分虚拟安全域 | 云里的 “不同服务器” 可能在同一台物理机上,得重新做隔离 |
| 数据安全 | 多租户特性导致数据隔离复杂,需关注用户数据隔离、残留数据处理 | 云平台多人共用,得防止你的数据被别人看到 |
| DDoS 攻击 | 攻击更集中多样,需关注应用层 DDoS、云特有 EDoS 攻击 | 云环境下网络攻击的 “破坏力” 更强,要防新攻击类型 |
六、网络管理和维护平台
1、网络管理的五大功能(ISO 定义)
国际标准化组织(ISO)明确了网络管理的五大核心功能:
- 故障管理:通过收集网络设备的告警信息,判定、定位故障,为快速排除故障、恢复网络提供支撑。
- 配置管理:配置网络设备以提供服务,同时采集设备配置数据并优化,让网络整体运行状态达到最优。
- 性能管理:采集、分析网络性能数据,帮助掌握整个网络及设备的运行状况。
- 计费管理:记录网络资源的使用情况,用于控制、监测网络运营的费用与成本。
- 安全管理:提供网络设备及管理层面的安全管理功能,保障网络安全运行。
| 功能分类 | 核心作用 | 通俗解释 |
|---|---|---|
| 故障管理 | 收集设备告警、判定 / 定位故障,支撑故障排除与网络恢复 | 网络的 “故障维修工”,负责找问题、修问题 |
| 配置管理 | 配置网络设备、采集配置数据并优化,使网络运行状态最优 | 网络的 “参数调试员”,调设备参数让网络更顺畅 |
| 性能管理 | 采集、分析网络性能数据,掌握网络 / 设备运行状况 | 网络的 “体检员”,监控网速、设备负载等状态 |
| 计费管理 | 记录网络资源使用情况,控制 / 监测网络运营成本 | 网络的 “记账员”,统计谁用了多少网络资源、花了多少钱 |
| 安全管理 | 管理网络设备 / 管理层面的安全,保障网络安全运行 | 网络的 “保安”,负责网络安全防护 |
2、网络管理和维护系统的功能体系结构
网络管理系统根据网络规模、性质(局域网 / 运营商网络)等需求搭建,功能体系自下而上分为三层:
- 网元 / 网络层:是网管系统的最底层,包含所有被管理的网元设备(如路由器、交换机)和网络系统。
- 管理应用层:核心功能层,实现 “五大管理功能”,还可扩展辅助决策、资源管理、测试评估等子系统。
- 表示层:人机交互层,提供直观友好的界面(支持图形、文字、表格等形式),可通过大屏、PC、手机等终端访问。
| 层级 | 定位 | 核心内容 |
|---|---|---|
| 网元 / 网络层 | 网管系统的最底层 | 包含所有被管理的网络设备(如路由器、交换机)和网络系统 |
| 管理应用层 | 功能实现层 | 承载 “五大管理功能”,可扩展辅助决策、资源管理等子系统 |
| 表示层 | 人机交互层 | 提供可视化界面(图形 / 文字 / 表格),支持大屏、PC、手机等终端访问 |
七、环境系统建设
1. 机房建设
机房建设涵盖的核心系统包括:机房装修、空调系统、电气系统、接地和防雷系统、消防系统、环境监控系统、节能降耗系统。
| 机房建设系统 | 说明 |
|---|---|
| 机房装修 | 机房物理空间的装修施工 |
| 空调系统 | 保障机房温湿度稳定 |
| 电气系统 | 提供机房设备电力支持 |
| 接地和防雷系统 | 防止雷击、保障设备用电安全 |
| 消防系统 | 火灾预警与扑救设施 |
| 环境监控系统 | 监测机房环境参数 |
| 节能降耗系统 | 降低机房能耗的配套措施 |
2.综合布线
2.1 定义
综合布线系统是按标准化、结构化方式,布置建筑物(群)内通信线路(含网络、电话、监控等系统)的通用信息传输系统。
2.2 基本构成(自建筑群到终端)
| 子系统 | 对应设备 | 说明 |
|---|---|---|
| 建筑群子系统 | 建筑群配线设备(CD) | 连接不同建筑的布线设备 |
| 干线子系统 | 建筑物配线设备(BD) | 建筑内垂直布线的设备 |
| 配线子系统 | 楼层配线设备(FD)、集合点(CP) | 楼层内水平布线的设备 |
| (终端) | 信息插座模块(TO)、终端设备(TE) | 连接用户终端的接口 |
2.3规划依据
需结合建筑性质、业务带宽需求、终端类型、成本、安装条件等因素,符合国家相关标准。
3.监控系统
机房监控包含 4 大核心子系统:
- 动力环境系统监控:实时监控动力、环境、消防、安保系统,保障机房稳定运行。
- 系统 / 网络设备监控:监控服务器(CPU / 内存)、网络设备(端口流量)等运行参数,辅助分析处置。
- 门禁监控:通过摄像头、门禁设备,管控机房人员进出,保障安全与保密。
- 环境消防监控:监测温湿度、粉尘、气体,配套消防措施,避免火灾等事故。
| 监控子系统 | 核心监控内容 |
|---|---|
| 动力环境系统监控 | 机房动力系统、环境参数、消防系统、安保系统的实时状态 |
| 系统 / 网络设备监控 | 服务器(CPU / 内存)、网络设备(端口流量)等的运行参数 |
| 门禁监控 | 机房出入口人员进出记录、权限管控(通过摄像头、门禁设备) |
| 环境消防监控 | 机房温湿度、粉尘、气体浓度,及消防设施状态 |
4.节能降耗
机房节能需从多维度推进:
- 选址 / 规划建设:选节能区位,优化机房密封、绝热、气流设计,降低空调成本。
- 内部布局:合理规划机柜排列,分隔冷热气流,提升空调效率。
- 设备本身:选用带节能措施的机柜、服务器等设备。
- 智能技术:基于 AI 分析环境 / 能耗数据,按需动态调节制冷等系统,降低整体能耗。
| 节能维度 | 具体措施 |
|---|---|
| 选址 / 规划建设 | 选节能区位;优化机房密封、绝热、气流设计,降低空调能耗 |
| 内部布局 | 合理排列机柜,分隔冷热气流,提升空调使用效率 |
| 设备本身 | 选用带节能设计的机柜、服务器等设备 |
| 智能技术应用 | 基于 AI 分析环境 / 能耗数据,按需动态调节制冷系统,降低整体能耗 |
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
