信息网络系统是信息应用系统的网络基础,无论是在运营商通信网络中,还是在智慧城市、智慧政务和各类行业及组织的信息化工程中,信息网络系统都为上层信息化应用和业务系统提供了基础平台。在信息系统工程建设中,信息网络系统可以作为信息系统工程的一个组成部分实施,也可以作为单独工程实施。虽然各类网络技术和业务应用不断涌现,但其基础原理和架构基本一致。本章重点阐述这些具有一致性的信息网络系统及技术。
3.1 信息网络系统体系框架和OSI 七层模型信息网络系统负责各类终端设备的接入和互联互通,负责承载各种类型的信息化应用。信息网络系统一般由某个管理者或者运营者负责进行建设或维护,不同管理者或者运营者建设或维护的信息网络系统又需要一定程度的互联互通,才能满足跨地域、跨管理域的终端用户间的互通或者应用访问,即使是一个管理域内的信息网络系统,也可能由不同厂家的不同设备(例如计算机设备、服务器设备、存储设备、路由器设备、交换机设备、各类传感器设备,以及各类应用软件等)按照一定的协议标准互联互通而成。因此,信息网络系统往往是一个复杂的系统工程,如何将复杂的系统工程进行抽象简化,业界一般采取两种做法:一是将信息网络系统按照业务功能模块进行划分;二是以网络信息流七层协议模型进行抽象。
3.1.1 信息网络系统一般体系框架模型为简化整体系统的设计,一个相对完整的信息网络系统一般由若干相对独立又相互连接的功能模块组成,如图3-1所示。
(1)网络传输平台。负责信息网络系统中的数据传输,关注点是根据最终用户和上层应用 的需要,高效、高质量、准确、安全地传输各类信息数据。网络传输平台一般包括传输、路由、 交换、有线和无线接入等设备和系统。
(2)网络和应用服务平台。负责网络管理服务和业务应用层面的管理逻辑、业务逻辑和信息数据处理,包括域名解析系统 (Domain Name System,DNS)、地址分配系统、业务应用系统(例如 OA、WWW、电子邮件、语音会议、视频会议、VOD、人脸识别等系统)。
(3)安全服务平台。负责网络、应用和用户的安全防护,包括信息加解密、防火墙、入侵检测、漏洞扫描、病毒查*、安全审计、数字证书等。
(4)网络管理和维护平台。负责整个信息网络系统的管理和维护,如果对外提供业务服务,还需要专门的运营系统。
(5)环境系统。现代信息网络系统对能源、安防等提出了更高的要求,包括机房建设、环境监控、智能安防、节能降耗、综合布线等。
3.1.2 开放系统互连(OSI) 七层模型为了简化信息网络系统的设计和实现,尽量优化和保障各相关模块之间的互联互通,使不同专业的厂商研发的不同设备可以按照特定的标准规范进行互通,信息网络系统采用了功能分层的体系架构理念,即将整个信息网络系统分为自下而上的若干层,每一层侧重完成不同的功能,下层为上层提供业务和服务,上层调用下层的业务和服务能力,处于某个层级(或者某几个层级)的业务功能模块可以只关注自己的功能实现。业界最通用的分层模型是开放系统互连 (Open System Interconnection,OSI) 通信参考模型,该模型是由国际标准化组织ISO于1984年提出的一种标准参考模型,OSI模型被公认为信息网络通信系统的一种基本结构模型。
OSI模型将信息网络系统中的通信和信息处理过程定义为上下衔接的七个层级,如图3- 2 所示,自下而上分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,各层相对独立,上下层之间和同层之间根据特定的标准规范进行相互调用和互通。
第一层:物理层 (Physical Layer)。物理层是OSI 七层模型的最底层,规定了承载其上的各层发送和接收具体数据的物理硬件方法。信息网络中各个节点模块之间,包括路由器、交换机、各种传输设备、服务器、计算机、移动基站、手机等设备之间,需要特定的物理信道进行 基本数据的发送和接收。物理信道包括光纤、同轴电缆、双绞线、无线电信道等,信道两端的连接器包括光收发模块、以太网卡、各类无线收发模块等。物理层规定了相关设备、模块的机械特性、电气特性、功能特性和规程特性,各设备厂商按照这些特征标准进行模块和设备开发,相关设备之间才能进行物理层的互联互通。
第二层:数据链路层 (Data Link Layer)。物理层提供的仅仅是原始的信息数据比特流,没 有赋予任何意义,也没有任何差错保护机制。数据链路层负责将物理层透明传输过来的比特流 组织成有意义的数据包,规定了数据包的格式和大小,规范了发送和接收特定数据包的寻址方 式、同步控制、差错控制和流量控制机制。网络中的每个设备模块在数据链路层都会有一个地 址,称为MAC 地址(媒体访问控制地址),有了数据链路层的服务,其上层就可以认为设备节 点间链路的传输是可达并无差错的。
第三层:网络层 (Network Layer)。物理层和数据链路层负责相连两个设备节点间的数据 通信。信息网络系统由多个甚至成百上千个设备相互连接而成,多个网络(子网)相互连接组 成一个规模更大的网络。在网络设备之间、系统之间,网络层定义和规范了不同网络间的通信 规则,包括寻址和路由选择,链路连接的建立、保持和终止等。网络层提供的服务使得其上层 不需要了解网络内部的具体架构和数据传输的具体过程。
以上三层从最低的物理比特流连接(物理层),到比特流组成一定规则的数据包(数据链路 层),再到由多台物理设备及链路组网后互联互通(网络层),基本上解决了信息网络系统内外 部和与之连接的各类终端设备之间的数据通达问题。然而,当今信息终端设备,无论是计算机、 服务器、手机终端,还是各类五花八门的智能终端设备,大都会在同一台设备上安装和承载多 种类型的应用,用户往往通过同一个物理设备享用多种丰富多彩的业务应用,这些机制需要通 过OSI 第四到第七层来实现。为了便于理解,先说人们感受最为密切的第七层。
第七层:应用层 (Application Layer)。应用层是 OSI 协议的最顶层,直接向用户提供信息通信 服务,信息通信服务五花八门,例如常见的互联网网站访问服务(万维网)、邮件服务、视频会议 服务、游戏服务等,都会对应不同的应用程序和相应的服务协议,万维网服务使用的就是HTTP(超 文本传输)协议,诸如此类的应用程序和对应的应用服务协议就是在第七层进行表现和规范的。
第六层:表示层 (Presentation Layer) 。应用层要表述的应用信息和应用本身紧密相关、多种 多样,信息发布/发送端与信息接收端的技术实现很难完全一致,因此需要一种信息数据转换的 机制,这种机制被OSI 定义为信息数据的表示方法。表示层定义若干信息数据的表示方法,向应 用层的具体应用程序(计算机学科中称其为“实体”,既可能是一个具体应用程序进程,也可能 是一个特定的硬件)提供一系列信息数据转换和传输服务,以使两个不同应用系统可以用共同的 表示方法/语言进行通信。表示层的典型服务包括数据翻译(例如信息编解码、加密解密等)、格 式化(例如数据格式转换、数据压缩等)、语法选择(语法的定义及不同语言之间的翻译)等。
第五层:会话层 (Session Layer)。会话层的基本功能是向两个表示层实体提供建立、管理、 拆除和使用连接的方法,这种表示层之间的连接就叫作会话 (Session)。在网络中传输数据之前,必须先建立会话,会话层确保正确建立和维护这些会话。
第四层:传输层 (Transport Layer)。网络层解决的是由多台设备或多个子网组成的网状 连接设备节点之间互联互通的问题,传输层则是为会话层提供建立可靠的端到端的透明数据传 输机制,根据发送端和接收端的地址定义一个跨网络的多个设备甚至是跨多个网络的逻辑连接 (并非物理层所处理的物理连接),同时完成发送端和接收端的差错纠正和流量控制功能。
3.2 TCP/IP 协议族传输控制/网络协议 (Transmission Control Protocol/Internet Protocol,TCP/IP)是现代信息网络系统中最基础和通用的协议,TCP/IP 由一系列协议组成,由于TCP 和 IP 是其中最重要的两个协议,所以一般将相关的系列协议统称为TCP/P 协议族。
TCP/IP应用层的主要协议有网络远程访问协议(Telnet)、文件传输协议 (File Transfer Protocol,FTP)、简单电子邮件传输协议(Simple Mail Transfer Protocol,SMTP) 等,用来接收来自传输层的数据,或按不同的应用要求与方式将数据传输至传输层;传输层的主要协议有用户数据报协议(User Datagram Protocol,UDP)、TCP, 负责上面应用层协议发送和接收具体数据的机制和过程;互联网络层的主要协议有 Internet控制报文协议 (Internet Control Message Protocol,ICMP) 、IP、Internet组管理协议 (Internet Group Management Protocol,IGMP), 主要负责网络中数据包的具体传输等;而物理和数据链路层(也叫网络接口层或网络访问层)的主要协议有地址解析协议 (Address Resolution Protocol,ARP)、反向地址转换协议(Reverse Address Resolution Protocol,RARP),主要功能是提供链路管理错误检测、对不同通信媒介的有关信息细节问题进行有效处理等。
3.2.1 TCP/IP 协议层级结构TCP/IP协议定义了四个相对独立的层级,自上而下分别是应用层、传输层、互联网络层、 物理和数据链路层 。TCP/IP协议栈和OSI模型的对应关系如图3 - 3 所示。
1)应用层
应用层负责处理特定的应用程序细节,对应OSI 七层模型中的应用层、表示层和会话层的部分功能,定义了与应用程序自身业务逻辑密切相关的全部规则(包括本地或异地属于一个应用的不同模块之间的情形),以及利用下一层传输层进行业务数据传输的具体机制。TCP/IP协议栈中,应用层以不同的协议规范实现不同的具体应用,例如 SMTP、FTP、Telnet、DNS、HTTP 、NAT 等。应用程序的功能越来越多, 一个应用程序可能会用到多个协议。
2)传输层
传输层负责应用层协议发送和接收具体数据的机制和过程,包括逻辑连接的建立、维护和 拆除等,还包括可靠性传输和拥塞控制机制等。TCP/IP 协议栈中的传输层对应OSI 模型中的传输层和会话层的部分功能。传输层主要包含TCP 和 UDP 协 议 。TCP 是面向连接的协议,在收发数据前,必须和对方建立可靠的连接;UDP 是非连接协议,传输数据之前源端和终端不建立连接,并不保证数据一定能传送到,也不保证按顺序传输。
3)互联网络层
互联网络层负责基本的数据封装和全网传输,是整个网络内部、不同网络之间数据互联互 通最重要的一层,对应OSI 模型中的网络层。互联网络层最基本的协议是IPv4 和 IPv6。
4)物理和数据链路层
物理和数据链路层是 TCP/IP 协议栈的最底层,对应OSI 的下两层,基于各种物理介质实现 对上层数据的成帧传输。局域网、城域网、广域网都在这一层定义。
3.2.2 IPv4协议和IPv6协议1.IPv4 协议
IPv4 是互联网协议 (Internet Protocol,IP) 的第四版,也是第一个被广泛使用、构筑当今互联网基石的协议。主要技术概念包括IPv4数据包、IPv4地址、IPv4 路由。
1)IPv4数据包
IPv4协议对在网络层传输的数据包进行了严格定义,如图3-4所示。
IPv4 数据包由IPv4 包头 (Header)和实际的数据部分组成。包头由固定格式和顺序的长度为20个字节的固定字段加上长度可变的选项字段组成,固定字段部分一般表示为上图的5行,每行4个字节。其中:
●版本号。4比特,定义协议版本,IPv4 协议中版本号为4。
●包头长度。4比特,定义整个 IP数据包包头的长度。
●服务类型。8比特,定义供相关路由设备数据处理方式的基本服务类型。
●总长度。16比特,表示整个IP数据包长度,表示的最大字节为65535字节。
●标识(16比特)、标志位(3比特)、片偏移(13比特)。用于IP数据包的分片与*。
●生存时间 (Time To Live,TTL)。8比特,表示数据包在网络中的生命周期,用通过路 由器的数量来计量,即跳数(每经过一个路由器会减1), TTL 指示数据包在网络中可 通过的路由器数的最大值。
●协议。8比特,定义该数据包所携带的协议类型,协议类型包括TCP、UDP、ICMP、IGMP、开放最短路径优先 (Open Shortest Path First,OSPF) 协议等。
●包头校验和。16比特,对数据包包头本身的数据信息进行校验,不包括数据部分。
●源地址。32比特(4字节),标识IP 数据包的发送源IP 地址。
●目的地址。32比特,标识IP 数据包的目的IP地址。
●选项字段。可扩充部分,具有可变长度,定义了安全性、严格源路由、松散源路由、记 录路由、时间戳等选项。
●填充。用全0的填充字段补齐为4字节的整数倍。
2)IPv4地址
IP地址用来标识互联网中数据传输的发送方(源IP 地址)和接收方(目的IP 地址),任何 设备想接入IPv4 网络,都要申请一个IPv4 地 址 。IPv4 地址由32位二进制数组成,即由4个字节组成,为便于阅读和分析,通常称其为点分十进制表示法(例如192.121.123.56)。出于网络规划、全网路由、地址匮乏、网络安全等考虑,IPv4 地址有严格的规划格式,也有公网地址和私网地址之分。公网地址的管理和分发由互联网数字分配机构 (The Internet Assigned Numbers Authority,IANA)的互联网号码分配局负责(地址为http://www.iana.org/)。
IPv4 地址由网络位和主机位两大部分组成,前者用于标识网络,后者用于标识网络内部不 同主机。为了便于规划管理,又将 IPv4 地址分为A、B、C、D、E 五类,如图3-5所示,A、B、C 类地址用于不同类型的网络规模,D 类地址专门用于组播地址。
A类地址适用于大型网络建设,支持126个网络,每个网络最多支持16777214个主机地址:B类地址适用于中型网络建设,支持16384个网络,每个网络最多支持65534个主机地址;C类地址适用于小型网络建设,支持209万余个网络,每个网络最多支持254个主机地址。
理论上,IPv4 地址长度为32位,有超过42亿(2的32次方)个地址可用,但实际上,一些地址是为特殊用途保留的(例如多播地址等),能够真正拿来使用的IPv4 地址远少于42亿。 2011年2月3日,在最后5个地址块被分配给5个区域互联网注册管理机构之后, IANA 的主要地址池已经用尽。
实际规划操作中,IPv4 地址还有一个重要的概念,即私网地址。公网地址是全球唯一 分配的地址,私网地址则是可以在多个内部局域网里重复使用的地址,例如甲单位可以使用 192.168.0.234作为私网地址,乙单位也可以使用这个私网地址。
在IPv4的 A 类、B 类和C 类地址池中,都有一部分预留给了私网地址:A 类地址中私 网地址可用范围是10.0.0.0到10.255.255.255,B 类地址中私网地址可用范围是172.16.0.0到 172.31.255.255,C类地址中私网地址可用范围是192.168.0.0到192.168.255.255。注意这些私网 地址仅可以在内部网络中使用,不可以在公网中使用。
用户可以依据自己组织规模的大小,酌情选择使用哪类私网地址。家庭网络以及小规模的 组织,通常设备数量比较少,使用C 类私网地址即可,大中型组织在IP 地址规划时,可以考虑使用A 类或B 类私网地址,能够支持更多的主机地址。使用私网地址的主机需要通过地址转换技术 (Network Address Translation,NAT) 与公网IPv4 地址的主机进行通信。NAT一般在家庭网关、企业网关或者接口路由器等设备上实现。通信前,NAT将内部私网地址和端口号转换成家庭网关或者企业网关申请的公网地址,再与外部网络中的主机进行通信,实现数据转发,如图3 - 6所示。
3)IPv4路由
路由 (Routing)是指路由器从一个接口上收到数据包,根据数据包的目的地址进行定向并转发到另一个接口的过程。TCP/IP的互联网络层实现不同网络中两个主机设备之间的数据传输,路由发挥了重要的作用,每一个IP数据包从发送端源头到接收端目的地,中间要经过若干路由 器(或其他互联网络层设备)。每台路由器都会在本地建立和维护一个路由表,路由表中装载 着路由器通过各种途径获知的路由条目(Routes),每一条路由条目由路由前缀(路由所关联的 目的网络号及掩码长度)、路由信息来源、出接口或下一跳 IP、优先级、开销等信息元素构成。 路由器获取路由条目并维护自己的路由表,路由表是每台支持路由功能的设备进行数据转发的 依据和基础,任何一台支持路由功能的设备要执行数据转发或路由的动作,就必须拥有及维护 一张路由表。当路由器每收到一个IP 数据包,便会查找IP 包头里的目的IP 地址,然后根据目的IP地址到自己的路由表中进行匹配,找到“最匹配”的路由条目后,将数据包根据路由条目所指示的出接口或下一跳IP 转发出去,这就是路由的概念。
路由器获得路由条目的方式(即路由的类型)包括:
●直连路由。由设备物理端口直接相连而获取的路由,设备自动获取。
●静态路由。由管理员亲自配置的路由,用于固定路径的流量转发。
●动态路由。与静态路由相对的概念,指路由器能够根据路由器之间交换的特定路由信息 自动地建立自己的路由表,并且能够根据链路和节点的变化适时地进行自动调整。动 态路由需要路由器之间可以互认的路由协议支持,主要有两大类路由协议:一是距离 矢量路由协议,主要依据从源网络到目标网络所经过的路由器的个数来选择路由,包括路由信息协议 (Routing Information Protocol,RIP)、边界网关协议 (Border Gateway Protocol,BGP);二是链路状态路由协议,综合考虑从源网络到目标网络的各条路 径的情况选择路由,包括 OSPF 协议、中间系统到中间系统 (Intermediate System to Intermediate System,ISIS)协议。
2.IPv6 协议
2011年IANA 正式宣布分配完最后的468万个公网IPv4 地址,然而随着互联网、物联网、移动通信等的蓬勃发展,全世界对IP 地址的需求愈加强烈,IPv6的部署应用步伐也逐步加快,IPv6 被公认为下一代互联网的核心。
1)IPv6地址
IPv6地址由128位二进制数组成,是IPv4 地址长度的4倍,前64比特为网络前缀,主 要用于寻址和路由,后64比特为接口标识,主要用于标识主机。理论上, IPv6 地址总数共 计2128个,几乎可以为地球上每一粒沙子分配一个地址。IPv6 地址由国际组织互联网数字 分配机构(IANA)/互联网名称与数字地址分配机构 (The Internet Corporation for Assigned Names and Numbers,ICANN) 统一管理,采用分级管理架构,首先由IANA/ICANN 分配给大区一级的管理机构,再由各大区管理机构分配给各会员国。与IPv4 地址表示方法不同,IPv6 地址采用点分十六进制形式,分为8段,每段16位,例如 ABCD:EF01:2345:6789:ABCD:EF01:2345:6789。
2)IPv6数据包
IPv6数据包的整体结构分为IPv6 包头、扩展包头和上层协议数据三大部分。IPv6包头是必选数据包头部,长度固定为40个字节,包含该数据包的基本信息;扩展包头是可选包,可能存在0个、1个或多个, IPv6协议通过扩展包头实现各种丰富的功能;上层协议数据是该IPv6 数据包携带的上层数据,可能是ICMPv6 数据包、TCP数据包、UDP数据包或其他可能数据包。IPv6数据包格式如图3-7所示。
●版本。该字段的长度与IPv4 相同,版本号4(二进制0100)、版本号6(二进制0110) 分别代表IPv4和IPv6数据包。
●传输等级。8位传输等级字段用于源节点或路由器识别和区分不同级别的IPv6 信息包。
●流标签。源节点用20位流标签字段来标识一系列属于同一流的信息包。一个流可以由源IPv6 地址和非空的流标签唯一地标识,属于同一个流的信息包必须由IPv6 路由器 做专门的处理,至于做何种处理则由信息包本身或资源预留协议(Resource Reservation Protocol,RSVP) 所给的信息来决定。
●载荷长度。16位载荷长度字段,指出IPv6 信息包除去报头之后的数据字段的长度,以字节为单位,IPv6 数据包的最大载荷长度为65535个字节。
●下一个包头。8位下一个包头字段指出IPv6 包头之后的包头类型。
●路程段限制。8位路程段限制字段。数据包每向前经过一个转发节点(通常为路由器), 路程段限制减1,当路程段限制减至0,则丢弃该数据包。
●源地址。128位IPv6 源地址。
●目的地址。128位IPv6 目的地址。
3.3 网络传输平台网络传输平台负责信息的传输, 一般由传输媒介、传输设备、路由设备、交换设备、有线接入设备、无线接入设备和相关系统组成。传统的网络传输设备是软件和硬件一体,当前的趋势是软件和硬件分离,例如软件定义网络 (Software Defined Network,SDN) 技术就是将传统的路由、交换设备中的控制功能分离出来,专门设置SDN 控制器系统,统一控制基于路由或者交换设备的数据转发。
3.3.1 网络传输平台的一般架构和主要技术网络传输平台的一般架构如图3-8所示。
1)网络传输媒介
网络传输媒介是指在传输系统中,借助电磁波能量承载的信号将数据由发送端传输到接 收端的媒介,处于OSI 的物理层。传输媒介一般分为有线和无线两大类,有线媒介包括光 纤、双绞线、同轴电缆等;无线媒介 一般按照波长来区分,包括长波(3~30kHz)、中波 (0.03~3MHz) 、短波( 3~3 0MHz)、超短波(30~300MHz)、微波(0 . 3~300GHz)等。
2)网络传输技术
网络传输数据带宽、传输线路调度的灵活性、传输故障响应和切换的时效等,都反映通信 网络的最底层承载能力。目前常用的网络传输技术包括基于光纤的同步数字序列(Synchronous Digital Hierarchy,SD)、准同步数字序(Plesiochronous Digital Hierarchy,PDH)、密集波分复用 (Dense Wavelength Division Multiplexer,DWDM) 等,基于同轴电缆的混合光纤同轴电缆 (Hybrid Fiber-Coaxial,HFC), 基于无线媒介的Wi-Fi 、数字微波通信 (Digital Microwave Communication,DMC) 、卫星小数据站 (Very Small Aperture Terminal,VSAT)、数字卫星通信系统、2G/3G/4G/5G/6G 移动通信系统等。
3)网络路由、交换和组网技术
网络路由组网有一个重要概念,即路由域,也叫自治系统,是一个有权自主决定在本系统中应采用何种路由协议的小型网络单位。遍布全球的互联网系统由多个各自独立又相互连接的自治系统组成,有的自治系统由运营商或某机构建设和运营(例如运营商网络),用于其他自治系统的互联互通;有的自治系统由某个组织建设(例如企业网),通过路由器或网关设备接入运营商网络,进而与整个互联网连通。在一个自治系统中的所有路由器相互连接,运行相同的路由协议(例如RIP、OSPF、ISIS等),同时分配同一个自治系统编号。自治系统之间的连接使用外部路由协议,例如 BGP。
从组网规模(自治系统规模)、数据转发效率、管理范围等多方面考虑,不可能在任何范围内都建设三层的路由网络,在一定的覆盖区域范围内或一定的管理范围内建设二层的交换网络 更为普遍,业务能力也更强大。这里所指的二层交换网络更多是指基于MAC 地址实现数据交 换转发的设备组建的网络,此类设备一般被称为二层交换机(可以无路由功能),三层路由网络 则是指由支持路由功能的路由器设备组建的网络。
按照物理覆盖和管理范畴划分组网,可以分为局域网 (Local Area Network,LAN)、城域网 (Metropolitan Area Network,MAN)和广域网 (Wide Area Network,WAN)。
(1)局域网 (LAN)。
局域网是在比较小的管理范围或地理范围内(例如企业单位内部、家庭内部)组建的网络。 早期的局域网技术包括以太网 (Ethernet)、令牌环网 (Token Ring)、光纤分布式数据网 (Fiber Distributed Data Internet,FDDI) 等。目前基本采用各类以太网交换机组建局域网,包括百兆、 千兆、万兆以太网交换机,物理层通常用光纤或双绞线相连,无线局域网Wi-Fi作为局域网的无线接入,例如手机、计算机等各类终端设备可以通过Wi-Fi接入局域网。
局域网中的一个重要技术是虚拟局域网 (Virtual Local Area Network,VLAN),VLAN 是一 种将局域网设备从逻辑上划分成一个个虚拟网段(更小的局域网),从而实现局域网内虚拟工作组(单元)的数据交换技术。 一个VLAN 内部的广播和单播流量都不会转发到其他VLAN 中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
(2)城域网 (MAN)。
城域网,顾名思义,就是在一个城市范围内建设的网络。在运营商等的网络规划中,为 便于管理,很多业务需要在一个城市范围内向用户提供(例如IPTV 业务、城市内的企业上网 和互连、家庭上网业务等),因此城域网的规划建设越来越引起重视。早期的城域网组网技术 包括 FDDI 、分布式队列双总线 (Distributed Queue Dual Bus,DQDB)、交换多兆位数据服务 (Switched Multimegabit Data Service,SMDS) 等。目前普遍应用的城域网组网技术是以太网技 术和IP 城域网技术。以太网是当下城域网组网普遍采用的二层传输技术,虚拟局域网 (VLAN) 和虚拟扩展局域网 (Virtual extensible Local Area Network,VxLAN)技术也得到普遍应用,用来 区分城域网中的用户和应用。专门的国际组织城域以太网论坛研究解决和规范定义相关技术问 题,包括城域以太网的架构、城域以太网提供的业务、城域以太网的保护和服务质量 (Quality of Service,QoS)、城域以太网的管理等。随着城域网规模不断扩大和承载业务类型不断增加,城域网的结构也逐步演进,引入各类IP路由设备,二层组网和三层组网有机结合,层级关系更加科学的IP城域网建设越来越引起重视,并在实际组网中获得应用。
虚拟扩展局域网主要在城域网范围内规划网络应用,在传统的VLAN 网络中,标准定义所 支持的可用VLAN 数量只有4094个。VxLAN在其帧头中引入了类似VLAN ID 的网络标识, 称为VxLAN 网络标识VNI(VxLAN Network ID), 由24比特组成,理论上可支持多达16M 的 VxLAN段,满足了大规模不同用户之间的标识和隔离需求。
(3)广域网 (WAN)。
广域网是跨地区、跨省市、跨国家的更大规模网络的统称,用来连接地区的城域网、省 网和各个国家的网络,在运营商的网络规划中,连接城域网的省网以上均属广域网的范畴, Internet 是全球最大的广域网,它覆盖的范围遍布全世界。
早期的广域网组网技术包括数字数据网(Digital Data Network,DDN) 、X.25分组交换数据 网、公共交换电话网(Public Switched Telephone Network,PSTN)、综合业务数据网(Integrated Services Digital Network,ISDN)、帧中继(Frame Relay,FR)、异步传输模式 (Asynchronous Transfer Mode,ATM)等,当前广域网技术主要集中在TCP/IP 领域,以及基于TCP/IP的多协议标记交换(Multi-Protocol Label Switching,MPLS)技术、虚拟专用网络(Virtual Private Network,VPN)技术等。
MPLS 在IP数据包基础上,增加了一个标签 (Lable),基于这个标签进行路由选择和数据 转发。在基于TCP/IP 的广域网中,要支持MPLS 功能,需要将传统路由器升级为MPLS标记交换路由器,以支持MPLS 的标记分发协议 (Label Distribution Protocol,LDP), 按照它们在 MPLS 网络中所处位置的不同,可划分为MPLS标记边缘路由器 (Label Edge Router,LER)和 MPLS标记核心路由器 (Label Switching Router,LSR)。MPLS支持流量工程、服务级别(Class of Service,CoS) 、QoS 和 MPLS VPN 等应用。
VPN, 即虚拟专用网,指通过VPN 技术在运营商等公有网络中构建专用的虚拟网络,主 要用于将企业的分支机构网络通过城域网和广域网实现互连,或个人用户终端通过VPN 接入远程的企业网络,通过VPN 可有效解决互通、安全、成本等问题;实现VPN 的关键技术包括隧道 (Tunneling)技术、认证协议、密钥交换技术等,隧道技术除了MPLS外,点对点隧道协议(Point-to-Point Tunneling Protocol,PPTP)、第二层隧道协议 (Layer2 Tunneling Protocol, L2TP) 、互联网安全协议 (Internet Protocol Security,IPSec)、通用路由封装 (Generic Routing Encapsulation,GRE)和GPRS隧道协议 (GPRS Tunneling Protocol,GTP) 等也被广泛应用。
4)有线、无线接入技术
网络接入是整个信息网络系统的重要组成部分,根据用户的不同需求,有不同的接入技术和设备供选择。早期的有线接入技术包括电话线调制解调器 (Modem)、非对称数字用户环路 (Asymmetric Digital Subscriber Line,ADSL)、高速数字用户环路 (High-speed Digital Subscriber Line,HDSL)、电缆调制解调器 (Cable Modem)。现阶段,随着光纤接入网(Optical Access Network,OAN)的部署和应用的普及,无源光网络 (Passive Optical Network,PON) 逐步获得广泛应用,PON 有几种类型,包括以太网无源光网络 (EPON)、千兆无源光网络(GPON) 和10G无源光网络(10G-PON)。无线接入技术包括 Wi-Fi和蓝牙等。
3.3.2 运营商网络架构传统的运营商网络会按照不同的业务功能分别建设,例如 PSTN 网、DDN网 、FR 网、IP 网等,当前运营商网络建设已经走向融合,即建设支持多种业务能力的融合IP网络,来统一承载数据、语音、流媒体等多种业务应用。典型的运营商网络由全国骨干网、省级骨干网、城域 网和接入网组成,如图3-9所示。
全国骨干网负责省级骨干网的互联互通,以及与国内其他运营商网络、国际运营商网络的 互联互通,省级骨干网负责省内各城域网之间的互联互通,业务量大的城域网之间也会设置直 达路由线路进行互联互通。
当前的IP 城域网已演变成以IP 技术为基础,以光纤为传输媒介,集数据、语音、流媒体等业务服务于一体的高带宽、多功能、多业务接入的多媒体通信网络。将承载综合业务,特别是快速发展起来的互联网用户群对宽带高速上网的需求,承载各类宽带用户接入和互连、IPTV、内容分发网络(Content Delivery Network,CDN)、互联网数据中心(Intermet Data Center, IDC)、组播、游戏、AR等宽带网络业务,满足政府机构、金融保险、大中小学校、公司企业等组织对高速率、高质量数据通信业务日益旺盛的需求。IP城域网作为一个综合性多业务平台,提供多种宽带接入手段,并能提供城域内乃至连接国内外的IP-VPN业务。
典型的城域网一般由核心层、汇聚层和接入层三层架构组成。
(1)核心层部署核心路由器设备,提供本城域网的互联网出口,与省级骨干网相连,同时作为本城域网内的 IDC、CDN等中心节点的接入;
(2)汇聚层部署汇聚交换机设备,作为本城域网的区域性汇接点,上联核心层设备,下接光纤线路终端 (Optical Line Termination,OLT) 等接入设备,同时作为各类边缘IDC 节点、边缘计算节点的接入;
(3)接入层面向各类园区、楼宇、住宅小区等商业、家庭和个人用户,提供各种有线、无线接入方式。
3.3.3 企业网和家庭网络组网随着企业内部应用越来越丰富、企业分支之间互联互通、企业与外部应用对接的需求越来 越多,以及企业内部人员移动办公、家庭办公等情况越来越普及,对网络和数据安全性的要求 越来越高,企业网的组建愈发受到重视。
企业组网根据企业规模、是否有分支、企业信息化部署要求等方面的不同,实际部署网络 架构会有所差异。对于中小型企业网,一般设置企业网关/企业接口路由器设备,核心层设置,若干台二层或者三层交换机设备,相关应用服务器、接入点 (Access Point,AP) 、PC、手机等设备通过光线、双绞线、Wi-Fi 等手段接入交换机设备即可;对于大中型企业网,尤其有多个分支的企业网络,组网就比较复杂,一般也会分为核心层、汇聚层、接入层三层部署架构,分支之间会租用运营商等的VPN 通道进行互联互通,核心层主要是路由器设备,汇聚层主要是三层交换机设备,接入层主要是二层交换机设备。
随着家庭宽带业务应用的丰富多彩,特别是智慧家庭应用的普及,家庭宽带组网也逐渐受 到重视,家庭网络的概念也愈发成熟。家庭网络 (Home Network) 是融合家庭控制网络和多媒体信息网络于一体的家庭信息化平台,是在家庭范围内实现信息设备、通信设备、娱乐设备、家用电器、自动化设备、照明设备、安防(监控)装置及水电气热表设备、家庭求助报警等设备互连和管理,以及数据和多媒体信息共享的系统。
3.3.4 4G/5G 移动通信20世纪70年代到21 世纪初,移动通信的发展历经三代:
●第1代,模拟蜂窝通信系统;
●第2代,数字蜂窝移动通信系统,即2G 系统,包括全球移动通信系统 (Global System for Mobile Communications,GSM)、码分多址(Code Division Multiple Access, CDMA)等;
●第3代,数字移动通信系统,即3G 系统,包括宽带码分多址(Wide band Code Division Multiple Access,W-CDMA)、CDMA2000、时分同步码分多址(Time Division- Synchronous Code Division Multiple Access,TD-SCDMA)等。
1.4G 移动通信
2013年12月4日,我国正式向三大运营商发布4G 牌照,标志着第4代移动通信系统建设的开启。相比3G 系统,4G 移动通信采用了正交频分复用(Orthogonal Frequency Division Multiplexing,OFDM)技术、软件无线电技术、智能天线技术、多输入多输出 (Multiple Input Multiple Output,MIMO)技术、基于IP的核心网等技术,以提高无线通信网络效率和功能。
(1)4G移动通信的优势包括:
●高速率、高容量。4G拥有比3G 更快的通信传输速率,理论上最高下行速率可达 100Mb, 上行速率可达50Mb, 当然这与用户的移动特征有关,移动越快,速率越低。
●网络频谱更宽。每个4G信道将占100MHz 频谱,相当于W-CDMA3G网络的20倍。
●智能性能更高。4G 采用智能技术,使得终端设备具有智能化,同时系统可自适应地进行资源分配。
●兼容性能更平滑。4G 系统具备全球漫游功能,接口开放,能与多种网络互连,终端多样化,在不同系统间能够无缝切换、传输高速多媒体业务数据。
●实现更高质量、更低费用的通信。4G 系统可以提供良好的覆盖性、高速数据和高分辨率的多媒体服务,因此4G 系统也可以称为“多媒体移动通信”。
●更好的安全性。4G 安全已经与计算机网络安全、终端安全与认证系统安全融为一体, 4G系统充分共享并利用计算机安全管理机制与技术加强4G 移动通信的安全。
(2)4G网络架构模型如图3-10所示。
分组核心演进(Evolved Packet Core,EPC)核心网主要由移动性管理设备(Mobility Management Entity,MME)、服务网关(Serving GateWay,S-GW)、分组数据网关(PDN GateWay,P-GW)等组成。EPC秉承了控制与承载分离的理念,将分组域中服务GPRS支持节点 (Serving GPRS Support Node,SGSN) 的移动性管理、信令控制功能和媒体转发功能分离出来,MME负责移动性管理、信令处理等功能,S-GW负责媒体流处理及转发等功能。P-GW 承接原3G 网络中网关支持节点 (Gateway General Support Node,GGSN)网元的功能,S-GW 和 P-GW 可以合设,也可以分设。
演进的通用地面无线电接入网(Evolved Universal Terrestrial Radio Access Network, E-UTRAN)中,eNodeB之间底层采用IP传输,在逻辑上互相连接形成Mesh型网络,支持UE 在整个网络内的移动性,保证用户的无缝切换。
4G用户设备包括4G手机或携带4G 卡的PAD、笔记本、物联网等终端设备。
2.5G 移动通信
2019年6月,工信部正式向中国电信、中国移动、中国联通、中国广电发放5G 商用牌照,中国进入第5代移动通信系统商用元年。
国际电信联盟(ITU)定义了5G 的三大类应用场景,即增强移动宽带 (Enhanced Mobile Broadband,eMBB)、超高可靠低时延通信(Ultra Reliable Low Latency Communication,
uRLLC)和海量机器类通信 (Massive Machine Type Communication,mMTC)。eMBB主要面向 移动互联网流量爆炸式增长,为移动互联网用户提供更加极致的应用体验;uRLLC主要面向工 业控制、远程医疗、自动驾驶等对时延和可靠性具有极高要求的垂直行业应用需求;mMTC 主要面向智慧城市、智能家居、环境监测等以传感和数据采集为目标的应用需求。
1)5G系统主要性能指标
5G系统主要性能指标包括:峰值速率达到10~20Gbit/s, 以满足高清视频、虚拟现实等大数据量传输;空中接口时延低至1ms, 满足自动驾驶、远程医疗等实时应用;具备百万连接/平方公里的设备连接能力,满足物联网通信;频谱效率比4GLTE提升3倍以上;连续广域覆盖和高移动性下,用户体验速率达到100Mbit/s; 流量密度达到10Mbps/m²以上;移动性支持500km/h 的高速移动。
5G 系统采用了更多的创新技术以实现上述功能和性能指标,包括网络功能虚拟化、控制 面与用户面分离、网络切片、边缘计算、网络功能重构等新型网络技术和架构,以及极化码 (Polar code) 编码、毫米波、小基站、MIMO等新型空中接口技术。
2)5G系统网络架构
5G系统采用总线式的微服务架构,将大型服务分解为若干个小型独立的服务,每个服务可以独立运行、扩展、开发和演化。微服务架构的采用为5G 核心网的维护和扩展提供了极大的便利性,也利于切片技术的实现。5G 网络架构模型如图3-11 所示。
●用户设备 (User Equipment,UE),包括手机、计算机、各类物联网终端在内的各种接入终端设备。
●接入网(Access Network,AN), 指由业务节点接入到用户网络接口间的传输网络。
●应用功能(Application Function,AF), 指应用层的各种服务功能, AF 与核心网交互以提供各种服务。
●数据网络 (Data Network,DN),指 5G 系统可以对接的其他运营商网络、企业网或者互联网上的网络服务。
●接入及移动性管理功能 (Access and Mobility Management Function,AMF),实现终端用户的接入和移动性管理,类似4G核心网中的MME (移动性管理实体)。
●会话管理功能 (Session Management Function,SMF), 用以实现会话管理,支持会话的建立、修改和释放,UE IP地址的分配和管理等,其作用相当于4G核心网中MME、S-GW和P-GW的会话管理功能。
●用户面功能 (User Plane Function,UPF),5G核心网中所有的用户面功能都由UPF完成, 包括分组路由和转发、外部PDU与数据网络互连的会话点等,相当于4G 核心网 S-GW和P-GW 中的用户面功能。
●统一数据管理功能 (Unified Data Management,UDM),用于管理用户数据,相当于4G核心网归属用户服务器 (Home Subscriber Server,HSS)中的用户数据管理功能。
●鉴权服务功能 (Authentication Server Function,AUSF),用于实现用户鉴权,相当于4G核心网中MME 和 HSS 的用户鉴权功能,包括3GPP 接入鉴权和非3GPP 接入鉴权。
●策 略 控 制 功 能 (Policy Control Function,PCF),相当于 4G 核心网PCRF中的策略控制部分,支持管控网络行为的统一策略框架,为控制面提供策略规则等。
●网络开放功能 (Network Exposure Function,NEF),提供对外开放网络数据的功能,使非3GPP网络能够接入5G 核心网。
●网络切片选择功能 (Network Slice Selection Function,NSSF),用以实现网络切片功能,网络切片技术可以把网络切成多个虚拟的子网,以满足不同业务的个性化需求。
●网 络 功 能 存 储 功 能 (NF Repository Function,NRF),用于网络功能 (NF)的注册、存储、管理和状态检测,实现所有NF的自动化管理。
3.3.5 物联网组网技术物联网(Internet of Things,IoT)泛指物与物、物与人之间通过通信网络实现的互联网,这里的“物”可以是大家想象得到的各种物品,例如各种生活娱乐设施、工业生产设备,甚至是各种动植物,当然也包括人类自身。这些“物”通过各类传感器设备,或者附着二维码、射频识别(Radio Frequency Identification,RFID)等标签,可以感知和反映相关“物”内在某些特征要素的信息数据,通过通信网络传递到物联网业务平台,按照设定的业务逻辑进行处理,将结果反馈给“物”本身,或传递给其他的“物”或者人,进行相应处置和展示。从技术角度看,物联网一般由三层组成,分别是由负责感知“物”的传感器组成的感知层、负责进行信息数据传递的网络层、负责相关数据处置和提供服务的应用层,如图3- 12所示。
1)感知层
感知层承担着物联网应用对现实世界的“物”进行感知和交互的任务,收集信息数据或获取指令对现实世界进行交互。
感知层包括各类感知和处置设备,主要负责:
(1)感知各类物品的信息;
(2)将信息进行本地处理和传递;
(3)根据应用层的指令进行下一步处置。
各式各样的温度、压力、湿度、色彩等的传感器,各类摄像头、条码设备、二维码设备、 GPS设备、NFC设备等,都是感知层设备。感知层的关键技术包括各种传感器技术、射频识别技术、条码、二维码技术、GPS 技术、NFC技术、微机电系统技术等。
2)网络层
网络层负责连通感知层和应用层,安全、顺畅地传输数据和指令。
在实际信息系统工程建设中有以下几种方式:一种方式是由用户自行组建网络进行数据传输,相关应用服务系统也自行建设;另一种方式是租用运营商等的通信网络(运营商有线网络、移动网络或专门服务于物联网数据传输的网络)以及互联网进行数据传输。也可以将上述两种方式混合使用,即一部分自己建设,一部分租用运营商等的网络。
组建网络层系统,除了之前提及的各种互联网技术和设备外,根据大多数物联网传感设 备数据量小、时延敏感等特点,又开发出特别适合物联网数据传输的若干无线传输技术,例如Bluetooth(IEEE 802.15.1标准)、ZigBee(IEEE 802.15.4标准)无线传输技术,其特点是低 功耗、低传输速率、短距离, 一般用作个人电子产品互连、工业设备控制等领域; LoRa 、NB-IoT等无线传输技术,其特点是低功耗、低传输速率、长距离,适用于智慧城市、智慧农业等诸多应用场景。不同类型的无线传输技术适用于不同的使用环境和场景。
3)应用层
应用层承载着物联网应用的信息数据和业务处置逻辑,对感知层收集到的信息数据进行处理,对感知层下达相关处置指令。应用层由一系列满足特定用户业务需求、安全需求、运营需求的应用和服务模块组成。物联网应用包括各类智慧城市、智慧校园、智慧矿山、智能交通、智能办公、智能家居、工业控制等应用。
物联网已经融入国计民生、衣食住行的各个方面。随着近年来不断爆发的令世人瞩目的安全事故,物联网应用为人们的生产生活带来诸多便利的同时,其安全威胁也逐渐进入了大众的视野。不同于传统的网络安全威胁,物联网应用场景强调的是与现实世界的感知和交互,物联网产生的安全威胁会对现实世界造成直接的威胁。无论是车辆、摄像头、心脏起搏器,还是工业物联网中的各类工业控制系统, 一旦被入侵和攻击,都会直接对人身安全、个人隐私和工业生产安全带来极大威胁。
物联网的三个层面均会受到不同程度的安全威胁:
●感知层各类传感设备数量庞大,受攻击面较大较广。如果感知节点或感知网关被入侵、 被控制,攻击者可以偷窃感知数据,或者借由控制的传感网络培养为僵尸网络对外发动DDoS攻击,甚至可能直接对感知节点下达指令,对现实世界造成破坏。
●物联网需要网络层处理应用层和感知层之间的安全互连,但是由于网络层的互联互通 (尤其是互联网),也带来了外部的安全威胁,成为威胁物联网应用场景的攻击源。
●应用层承载着物联网应用智能处理的任务,是物联网应用的核心。应用层需要接收来自网络层的海量数据,其中除了来自感知层的数据外,也许还会混杂着恶意的流量和数 据。可能是为了偷窃数据,也可能是为了获取对整个物联网应用的控制权,甚至可能是 出于经济目的、政治目的进行恶意破坏。同时,应用层还需要面对传统网络应用场景下 的安全威胁,包括来自内部和外部的各类会话对网络、主机、应用和数据的威胁。
对物联网的安全防护,不应是各个层面单独布防,而应以点带面,将物联网应用场景作为整体,按照纵深防御、安全措施互补、保证一致性强度、建立统一支撑平台、实现集中安全管理的等级保护2.0思想,构建物联网安全保障体系。
3.4 网络和应用服务平台网络传输平台负责数据在各设备和系统之间的传输,数据资源平台负责存储和处理各类信息数据,网络和应用服务平台则负责服务于整个网络业务应用正常运行的各类通用的业务逻辑的实现。网络和应用服务平台由众多相互独立又有关联关系的网络服务协议组成和实现,只有遵守这些网络服务协议和功能,才能真正基于互联网实现和享受相关应用服务。常见的互联网服务有E-mail 电子邮件服务、WWW 万维网服务、DNS 域名解析服务、FTP文件传输服务、Telnet远程登录服务等。
1)E-mail电子邮件服务
E-mail 是互联网中最常见的服务,常见的电子邮件协议包括 SMTP 、邮局协议 (Post Office Protocol Version 3,POP3)、互联网邮件访问协议(Internet Message Access Protocol,IMAP), 这几种协议都是由前述的TCP/IP协议族定义的。SMTP主要负责底层的邮件系统,将邮件从一 台机器传至另外一台机器:POP3 是将邮件从电子邮箱中传输到本地计算机的协议;IMAP提供 邮件检索和邮件处理的新功能,用户可以不必下载邮件正文就看到邮件的标题摘要,从邮件客 户端软件即可对服务器上的邮件和文件夹目录等进行操作。
E-mail系统采用客户端/服务器模式,在客户端或运营商数据资源平台的服务器中部署 E-mail系统,用户使用专业的客户端或Web 界面登录即可链接和访问E-mail系统,每个客户有一个 E-mail 账号地址,就像每家的门牌号码地址一样,根据该地址就可以进行邮件的收发工作。
2)WWW万维网服务
可以说,真正带来互联网革命的是万维网 (World Wide Web,WWW)服务。WWW服务是一种建立在超文本基础上的浏览、查询互联网信息的方式,以交互方式查询并访问存放于远 程计算机的信息,为多种互联网信息浏览与检索访问提供一个单独一致的访问机制。网页将文本、超媒体、图形和声音结合在一起,WWW服务给个人、家庭和企业带来了通信与获取信息资源的便利条件。
WWW服务技术包括HTTP和 HTML。其中,HTTP是WWW服务使用的应用层协议,用于实现 WWW 客户机与WWW 服务器之间的通信:HTML语言是WWW 服务的信息组织形式,用于定义在WWW服务器中存储的信息格式,2008年发布的HTML5 版本对视频、音频、图像、动画以及与设备的交互都进行了规范。
3)DNS域名解析服务
互联网是基于IP 地址进行数据收发的,但是在E-mail 、WWW 等众多服务中,让每个人都记住对方和己方的IP 地址显然是不现实的,这里就用到了域名服务 (Domain Name Service,DNS),DNS就是将容易记忆的域名(例如www.baidu.com)转换为网络可以识别的 IP 地址。
域名是互联网上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子 方位(有时也指地理位置)。域名是由一串用点分隔的名字组成的,通常包含组织名,以指明 组织的类型或该域所在的国家或地区。DNS 系统的本质是一个将域名和 IP 地址相互映射的分 布式数据库,以及保存、更新、解析、遍历这种对应数据的方式方法。存储该数据库的服务 器叫DNS 服务器,一般由相关机构和运营商进行部署,为企业、家庭和个人客户提供域名解 析服务。
域名由ICANN 进行管理,中国的顶级域名.cn 就是由其分配的。.cn下的域名(如 www. baidu.cn中的.cn 之前的部分)由中国互联网络信息中心(China Internet Network Information Center,CNNIC) 进行管理。
4)FTP文件传输服务
FTP允许用户以文件操作的方式(例如文件的增、删、改、查、传输等)与另一主机相互通信。FTP采用客户端/服务器模式,FTP客户端软件必须与远程FTP 服务器建立连接和登录后,才能进行文件传输操作。
5)Telnet远程登录服务
Telnet 远程登录服务用于将用户计算机与远程主机连接起来,并可作为该远程主机的一个访问终端使用,共享远程主机的 CPU、硬件、存储、应用等资源,例如进行远程计算和远程事务处理等操作。
3.5 安全服务平台在信息网络系统的规划建设中,安全已经成为不可或缺的一部分。一方面要从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理等相关层面进行考量;另一方面应结合特定的网络业务场景,例如云计算、物联网、人工智能等特定场景考虑安全风险和防护。随着社会分工的细化,出现了专门从事安全业务运营的公司,将安全服务本身的安全功能云化,即基于云计算资源平台,采用云计算SaaS 模式提供安全服务。
信息网络系统安全体系框架如图3-13所示。
1.物理安全
物理安全是网络和上层系统应用及数据安全的基础,包括机房和相关设施的安全。机房是网络设备、安全设备、服务器设备、存储设备和存储介质,以及供电和通信用线缆等实体的物理存放场所,机房环境除了物理场地外,还包括确保机房安全及维护机房正常运转的配电、照明、供水、制冷等各类系统、设备及措施等支撑设施。
物理安全主要包括环境安全、供配电系统、安防系统和消防系统四个部分。
●环境安全主要包括防水、防尘、防静电、防电磁干扰、防雷击、防震动、防生物和有害气体等。相关设备包括相关专业传感器、专业防控设备、温湿度调节设备等。
●供配电系统主要为机房提供可用的电源,并确保供电动力安全。相关设备包括配电柜、 不间断电源系统 (UPS)、交直流电源等,还包括应急响应设备,例如发电机组等。
● 安防系统为机房提供基本的物理访问控制安全保护,例如各类门禁系统、红外传感 器等。
●消防系统为机房提供防火的安全保护,消防设备主要包括烟感器、火焰传感器、触发设备、排烟设备、灭火设备等。
2.网络安全
网络安全关注的重点包括:网络结构,包括网络结构合理性、安全域划分合理性等;访问控制,包括网络边界部署访问控制设备,是否制定了用户和系统之间的允许访问规则,访问控制策略和粒度是否合理等;网络入侵防护,包括拒绝服务攻击的监控和防御能力,对于端口扫描、 IP碎片攻击、网络蠕虫等网络攻击的监控能力等;网络安全审计,包括对网络设备运行状况、网络流量、用户行为等进行日志审计的能力等。
网络安全设备和手段主要包括但不限于:
●防火墙是基本的网络层安全防护设备,目前基本上所有业务平台都部署了硬件防火墙。 通过防火墙可以实现系统内外网边界的访问控制,对进出的网络数据包进行过滤和检测,并可实现对网络层分布式拒绝服务 (Distributed Denial of Service,DDoS)攻击的防御功能。
●利用Vlan 等技术进行安全域划分是实现网络安全域结构优化的主要技术手段,目前大多数业务平台都进行了相应的Vlan 网段划分,能够按照不同功能、级别、安全要求等对网络系统划分不同的安全域。
●网络入侵检测和防护主要通过入侵检测系统/入侵防御系统 (Intrusion Detection Systems,Intrusion Prevention Systems,IDS/IPS)安全设备进行,通过部署IDS/IPS, 能够对已知的网络攻击进行监控和报警。
●网络安全审计主要通过统一日志管理系统或安全运营中心 (Security Operations Center, SOC)实现,通过部署SOC系统或统一的日志服务器,能够对网络安全日志进行统一 管理和分析。
3.主机安全
主机安全关注的重点包括:身份鉴别,包括用户身份标识和鉴别,用户或用户组的权限管理,用户口令策略等;访问控制,包括特权用户的权限分离,主机设备的网络访问限制和物理访问限制,主机端口和服务控制等;安全漏洞和攻击防御,包括操作系统和数据库系统的补丁更新,操作系统和数据库系统的安全漏洞管理,病毒、木马等恶意代码的防范能力等;主机安全审计,包括操作系统和数据库系统运行状况、用户行为等的日志审计能力等。
主机安全设备和手段主要包括但不限于:
●身份鉴别,主要通过主机操作系统和数据库系统自身的安全机制和安全配置来实现, 如活动目录 (Active Directory,AD)域、安全模板配置、数据库配置文件安全配置等,相关的安全设备包括堡垒主机和认证、授权、计费 (Authentication Authorization Accounting,AAA) 系统。
●主机层的访问控制,主要通过主机防火墙实现,如Windows系统防火墙,Unix/Linux 的IP tables等。
●主机安全漏洞的发现,主要通过相关主机层漏洞扫描系统工具来实现,能够发现操作系统、数据库系统、应用中间件系统等存在的安全漏洞,安全漏洞修补主要通过安全补丁更新和安全配置加固等技术手段来实现。
●病毒、木马防护,主要通过部署防病毒网关或单机版防病毒系统进行防护。
4.应用安全
应用安全关注的重点包括:身份和访问控制,包括应用层用户身份识别、认证、权限管理,口令策略和传输,端口控制,敏感信息访问等;应用安全漏洞,防范应用层存在的安全漏洞,如SQL注入、跨站脚本编制、上传漏洞、命令注入、应用中间件漏洞等;会话管理,包括会话标识、cookie 管理等。
应用层安全设备和技术包括但不限于:
●应用层安全漏洞检测,主要通过相关应用漏洞扫描系统工具来实现,还包括渗透测试、 代码审计等技术手段。应用层的安全漏洞修补主要通过应用中间件安全配置和应用程序 安全代码整改来实现。
●应用层的安全防护设备,主要通过Web 防火墙对 SQL 注入、XSS 等已知应用漏洞攻击以及应用层DoS 攻击起到防护作用。
5.数据安全
数据安全关注的重点包括:机密数据保护,包括数据加密传输、数据加密存储、敏感资源控制等;数据备份恢复,包括重要信息的冗余备份机制和恢复机制等。
数据安全设备和技术包括但不限于:
●数据安全传输设备和技术,包括VPN设备 (IPSECVPN、SSLVPN等),可以使用防火
墙的 VPN功能模块或单独的 VPN 设备或者软件来实现。
●数据加密技术,将数据信息(或称明文)经过加密钥匙(Encryption Key)及加密函数 转换,变成无意义的密文,而接收方则将此密文经过解密函数、解密钥匙 (Decryption Key) 还原成明文。
●数据备份和恢复,包括自动化备份系统和手工备份等方式,如定期将数据库文件备份到磁带库或磁盘阵列等。数据备份的目的是防止发生数据灾难。数据恢复是在数据发生灾难时能及时有效地恢复,数据备份是恢复的基础。
6.安全管理
安全管理的重点内容包括:安全组织和责任,包括建立安全工作组织架构,设置安全分管领导和安全管理专员,明确人员的安全责任等;风险管理工作机制,包括实施定期的安全评估、漏洞管理、安全加固、残余风险评价等工作;应急处理工作机制,包括安全风险监控、定期安全通告、安全紧急事件处理措施等;容灾备份工作机制,包括制定完善的灾难恢复方案并制定定期的灾难恢复演练计划等;制定系统上线、切换办法、安全运维方案等。
7.云计算安全
当业务平台迁移到云计算环境后,由于虚拟化技术的引入,原本运行在物理服务器上的业务系统转而运行在虚拟机上,因此出现了新的安全问题和需求。
云化业务平台和传统业务平台相比,新增的主要安全问题包括:
●主机安全方面。基于以虚拟化技术为核心的云资源池,需要重新审视主机层安全问题。 一方面要考虑运行在虚拟机之上的操作系统、数据库系统等的安全问题,同时还要考虑 虚拟机管理程序的安全问题,包括虚拟机管理程序 (Virtual Machine Manager,VMM)安全问题和用户虚拟机 (Guest OS) 安全问题。VMM安全是云化系统的新增安全问题,主要包括VMM 安全漏洞检测、VMM用户身份鉴别、VMM 物理和网络访问控制、 VMM安全审计等问题;Guest OS 安全与传统的主机安全需求基本一致。
●网络安全方面。虚拟化技术的引入使得传统的基于物理服务器为单元划分网络安全域的方法发生了改变,与传统的基于安全域隔离的模型不同,云计算模型不再有物理机的隔 离,测试虚拟机可能与生产虚拟机在同一台物理机上,相应的网络隔离也不存在。除传 统的安全问题之外,云化业务系统在网络层上还需要重点考虑如何设置虚拟安全域,包 括虚拟安全域划分方式、虚拟安全域访问控制,以及相应的虚拟防火墙部署和配置等。
●数据安全方面。在虚拟化环境中,由于云计算平台的多租户特性,数据安全将更为复 杂。除了传统业务平台的机密数据保护和数据备份恢复之外,还需要考虑虚拟环境中的 用户数据隔离、镜像文件存储、残留数据处理等安全问题。
● DDoS攻击。云计算环境中,DDoS 攻击将更加集中化和多样化,除了传统的网络层DDoS攻击 (如Syn Flooding)之外,还需要着重关注近年来成为趋势的应用层 DDoS 攻击和云计算环境中特有的EDoS(Economic DoS) 攻击。
云化业务平台在物理安全、应用安全、安全管理方面与传统的业务平台安全需求和处置方法基本相同。
3.6 网络管理和维护平台随着网络规模的不断扩大,需要建设专门的网络管理和维护系统来管理、监测和控制网络的运行。一方面,通过网络业务流量、流向等监测,可以有效优化和利用网络资源;另一方面,在网络发生故障时能够利用相关技术手段及时检测、排查和修复故障,甚至要求在故障未发生前就进行故障预警,以保障信息网络系统的正常运行。
1.网络管理的五大功能
国际标准化组织 (ISO)定义了网络管理的五大功能,分别是故障管理、配置管理、性能管理、计费管理和安全管理。
(1)故障管理。通过收集网络中各类设备告警信息,通过各种技术手段,进行网络故障的判定和定位,为快速完成故障排除和网络恢复打下基础。
(2)配置管理。配置网络以使其提供网络服务,同时采集网络中相关设备的配置数据,对其进行管理和分析,以便使网络整体运行状态达到最优。
(3)性能管理。通过对网络各类性能数据的采集、分析和处理,更好地了解整个网络和其中设备的运行状况。
(4)计费管理。记录各类网络业务资源的使用情况,目的是控制和监测网络操作的费用和代价。
(5)安全管理。提供网络中各类设备和网络管理层面的安全性管理功能,目的是保障网络安全运行。
2.网络管理和维护系统
现代信息网络系统中, 一般会根据网络规模、网络性质(自建自用的局域网,或向外界用户提供业务服务运营的运营商网络)、网络管理维护运营需求来建设不同规模架构和功能定位的网络管理系统。
网络管理系统的功能体系结构从下至上可以分为网元/网络层、管理应用层和表示层。
(1)网元/网络层。网管系统的最底层,包括被管理的所有网元设备和网络系统。被管理 的设备会按照一定的规范定义自身的管理信息,包括各种操作信息、告警信息、设备状态信 息等。最著名的是TCP/IP 网络管理协议标准框架定义的管理信息库(Management Information Base,MIB)规范和简单网络管理协议(Simple Network Management Protocol,SNMP)。MIB定义了受管设备必须保存的数据项、允许对每个数据项进行的操作及其含义,管理系统可访问的受管设备的控制和状态信息等数据变量都保存在MIB中;SNMP主要涉及与信息通信相关 的关系和消息流,定义了管理系统上运行的管理软件如何与被管设备中的代理模块通信,包括 两者之间交换的消息分组的格式、含义及名字与值的表示等,此外也定义了被管设备间的管理关系。
(2)管理应用层。主要实现网络管理五大功能,并可以根据实际管理需求和扩展接口实现附加的功能模块或相关子系统,例如辅助决策子系统、资源管理子系统、测试评估子系统等。
(3)表示层。提供用户直观、友好的人机交互界面,可以支持图形、文字、表格等多种形式,支持本地大屏显示、办公室PC 展示以及远程手机接入等多种接入和展现手段。
3.7 环境系统建设环境系统是指承载信息网络系统相关设备的物理机房场地,以及确保机房安全及维护机房正常运转的配电、照明、供水、制冷等各类系统、设备及措施等支撑设施,在保障信息网络系统正常运转的同时,需要充分考虑节能降耗,降低运行成本,提高运行效率。
3.7.1 机房建设现代机房建设工程充分体现了新技术、新材料、新工艺、新设备的特点。 一方面,网络机房运转是否正常将会影响信息网络系统的日常经营业务的正常运行,所以对机房的安全性、可靠性和可管理性提出了很高的要求,机房建设要符合国家各项有关标准的规定,机房建设也为机房工作人员提供了一个舒适的工作环境;另一方面,现代机房建设越来越需要考虑建设、维护的性价比,有效降低运行功耗,提升机房本身、机房环境系统、机房内承载的各类设备的故障处理能力,对机房建设和运行维护提出了更高的要求。
机房的建设工程是一项综合性的专业技术系统工程,它具有建筑设计、空调、通风、给排水、强电、弱电等各个专业所特有的专业技术要求,同时又具有建筑装饰的关于美学、光学、色彩学等专业的技术要求。因此,机房建设常常需要专业技术单位来完成,从而在设计施工中 确保机房先进、可靠、安全、精致。既满足机房专业的各项技术条件,又具有建筑装饰现代艺术风格的机房,才能充分满足业主的使用要求。
机房建设包括机房装修、空调系统、电气系统、接地和防雷系统、消防系统、环境监控系统、节能降耗系统等。
3.7.2 综合布线综合布线系统是指按标准的、统一的和简单的结构化方式编制和布置各种建筑物(或建筑群)内各种系统的通信线路,包括网络系统、电话系统、监控系统、电源系统和照明系统等。因此,综合布线系统是一种标准通用的信息传输系统。
综合布线系统设施的建设应纳入建筑与建筑群相应的规划设计之中,根据工程项目的性质、功能、环境条件和近、远期用户需求进行设计,应考虑施工和维护是否方便,确保综合布线系统工程的质量和安全,做到技术先进、经济合理。综合布线系统宜与信息网络系统、安全防护系统、建筑设备监控系统等的配线做统筹规划,同步设计,并应按照各系统对信息传输的具体要求,做到合理优化设计。
综合布线系统的基本构成应包括建筑群子系统、干线子系统和配线子系统,如图3-14所示。图中CD代表建筑群配线设备;BD 代表建筑物配线设备;FD代表楼层配线设备;CP代表集合点,是综合布线系统中所规定的在水平电缆中的一个连接点;TO代表信息插座模块;TE代表终端设备。
综合布线系统工程中的产品类别及链路、信道等级的确定应综合考虑建筑物的性质、功能、应用网络和业务对传输带宽及缆线长度的要求、业务终端的类型、业务的需求及发展、性能价格、现场安装条件等因素,并应符合国家相关标准规范的规定。
3.7.3 监控系统机房监控系统主要是对机房环境自身和所承载的信息网络设备进行集中监控和管理,通过监控系统收集机房运行的各种参数数据,进行实时分析和研判,当出现问题时或者有潜在隐患时,及时或者预先通知机房及专业维护人员,做出判断和进行相关处置动作。
机房监控系统自身也经历了从简单到复杂、从分专业独立到综合、从功能性监测到基于人工智能的智能化监控的转变。
机房监控对象可涵盖机房环境、承载设备和运行所涉及的方方面面,包括内部各类动力设备、各类环境设施、消防设施、安防设施、所承载的信息网络设备等。机房监控的具体作用包括:自动预警、报警,使机房故障能及时处置,避免扩大故障影响;让运维人员从烦琐、复杂的运维工作中解脱出来,做到机房智能运维管理模式;机房得到有效的管理,防护效果提升,业务系统能长期运行,为企业创造直接、间接的利益。
典型的机房监控功能系统(子系统)包括但不限于:
(1)机房动力环境系统监控。为保障机房安全正常运行,与之配套的机房动力系统、环境系统、消防系统、安保系统必须时刻稳定协调工作。如果机房动力及环境设备出现故障,轻则影响相关系统的运行,重则造成系统相关设备的报废,后果不堪设想。因此对通信机房的环境系统进行实时集中地监控极其必要。
(2)机房系统/网络设备监控。机房里有成千上万的设备,监控这些设备的运行是非常必 要的,如服务器运行中的CPU/ 内存等参数、网络设备的端口流量、业务运行层面的监控等, 设备运行的有关参数需要清晰呈现并进行必要的分析处置。
(3)机房门禁监控。为保障业务保密和机房安全运行,防止无关人员进入,要监控进出机房的人员,如在机房出入口部署摄像头、门禁等监控设备。
(4)机房环境消防监控。机房内存放的是精密电子设备,一旦发生火灾,对于机房就是 毁灭性的打击。应时刻注意机房的温湿度、粉尘、气体和消防,最大程度避免机房发生火灾等事故。
3.7.4 节能降耗随着信息通信系统规模的不断扩大,以及人们对温室气体排放、节能减排的愈发重视,各类机房设施尤其是数据中心等高能耗机房的节能降耗问题日益引发关注,绿色节能机房、绿色数据中心建设已经成为必选项。
机房的节能降耗是多方面的,包括:
(1)在机房选址和规划建设方面,就应考虑选址是否有利于节能和降低能源成本,机房的密封、绝热、配风、气流组织等设计是否合理,是否能降低空调等成本;
(2)机房内部的规划布局、机柜的布局排列是否能分隔冷热气流,形成良好的气流组织, 提高空调使用效率;
(3)各种设备本身,例如机柜、服务器本身等是否具备一定的节能降耗措施;
(4)基于人工智能等技术手段,根据对机房内部实时环境监测结果和各类设备系统的能 源消耗情况进行智能分析和决策,例如采取按需调节动态制冷的手段,以整体降低机房的能耗水平。
Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved