第4章 信息系统架构

文章目录

  • [4.1 架构基础](#4.1 架构基础)
  • [4.2 系统架构](#4.2 系统架构)
  • [4.3 应用架构](#4.3 应用架构)
    • [4.3.1 基本原则](#4.3.1 基本原则)
    • [4.3.2 分层分组](#4.3.2 分层分组)
  • [4.4 数据架构](#4.4 数据架构)
    • [4.4.1 发展演进](#4.4.1 发展演进)
    • [4.4.2 基本原则](#4.4.2 基本原则)
  • [4.5 技术架构](#4.5 技术架构)
    • [4.5.1 基本原则](#4.5.1 基本原则)
  • [4.6 网络架构](#4.6 网络架构)
    • [4.6.1 基本原则](#4.6.1 基本原则)
    • [4.6.2 局域网架构](#4.6.2 局域网架构)
    • [4.6.3 广域网架构](#4.6.3 广域网架构)
    • [4.6.4 移动通信网架构](#4.6.4 移动通信网架构)
  • [4.7 安全架构](#4.7 安全架构)
    • [4.7.1 安全威胁](#4.7.1 安全威胁)
    • [4.7.2 定义和范围](#4.7.2 定义和范围)
    • [4.7.3 整体架构设计](#4.7.3 整体架构设计)
    • [4.7.4 网络安全架构设计](#4.7.4 网络安全架构设计)
    • 4.7.5数据库系统安全设计
  • [4.8 云原生架构](#4.8 云原生架构)
    • [4.8.1 发展概述](#4.8.1 发展概述)
    • [4.8.2 架构定义](#4.8.2 架构定义)
    • [4.8.3 基本原则](#4.8.3 基本原则)
    • 4.8.4常用架构模式

4.1 架构基础

架构的本质是决策 ,是在权衡方向、结构、关系 以及原则各方面因素后进行的决策。信息系统项目可基于项目建设的指导思想、设计原则和建设目标等展开各类架构的设计。

框架是一个用于规划、开发、实施、管理和维持架构的概念性结构,框架对架构设计是至关重要的。框架是将组织业务内容的关注度进行了合理的分离,以角色为出发点从不同视角展示组织业务的内容。框架为架构设计提供了一张路线图,引导和帮助架构设计达到建设起一个先进、高效且适用架构的目标。

信息系统体系架构总体参考框架由四个部分组成,即战略系统、业务系统、应用系统信息基础设施

1.战略系统

战略系统是指组织中与战略制定、高层决策有关的管理活动和计算机辅助系统。在信息系统架构( Information System Architecture,ISA) 中战略系统由两个部分组成,其一是以信息技术为基础的高层决策支持系统,其二是组织的战略规划体系。在ISA 中设立战略系统有两重含义:一是它表示信息系统对组织高层管理者的决策支持能力;二是它表示组织战略规划对信息系统建设的影响和要求。通常组织战略规划分成长期规划和短期规划两种,长期规划相对来说比较稳定,如调整产品结构等;短期规划一般是根据长期规划的目的而制订,相对来说,容易 根据环境、组织运作情况而改变,如决定新产品的类型等。

2.业务系统

业务系统是指组织中完成一定业务功能的各部分(物质、能量、信息和人)组成的系统。 组织中有许多业务系统,如生产系统、 销售系统、采购系统、人事系统、会计系统等,每个业务系统由一些业务过程来完成该业务系统的功能;例如会计系统常包括应付账款、应收账款、开发票、审计等业务过程。业务过程可以分解成一系列逻辑上相互依赖的业务活动,业务活动的完成有先后次序,每个业务活动都有执行的角色,并处理相关数据。当组织调整发展 战略为了更好地适应内外部发展环境(如部署使用信息系统)等的时候,往往会开展业务过程重组。业务过程重组是以业务流程为中心,打破组织的职能部门分工,对现有的业务过程进行 改进或重新组织,以求在生产效率、成本、质量、交货期等方面取得明显改善,提高组织的竞争力。

业务系统在ISA 中的作用是:对组织现有业务系统、业务过程和业务活动进行建模,并在组织战略的指导下,采用业务流程重组( Business Process Reengineering,BPR) 的原理和方法进行业务过程优化重组,并对重组后的业务领域、业务过程和业务活动进行建模,从而确定出相对稳定的数据,以此相对稳定的数据为基础,进行组织应用系统的开发和信息基础设施的建设。

3.应用系统

应用系统即应用软件系统 ,指信息系统中的应用软件部分。对于组织信息系统中的应用软件(应用系统),一般按完成的功能可包含:事务处理系统( Transaction Processing System,TPS) 、 管理信息系统( Management Information System,MIS)、决策支持系统( Decision Support System,DSS)、专家系统( Expert System,ES)、办公自动化系统(Office Automation System,OAS) 、计算机辅助设计/计算机辅助工艺设计/计算机辅助制造、制造执行系统 (Manufacturing Execution System,MES) 等 。对于其中的MIS 又可按所处理的业务再细分为子系统:销售管理子系统、采购管理子系统、库存管理子系统、运输管理子系统、财务管理子系统、人事管理子系统等。

无论哪个层次上的应用系统,从架构的角度来看,都包含两个基本组成部分:内部功能实现部分和外部界面部分。这两个基本部分由更为具体的组成成分及组成成分之间的关系构成。 界面部分是应用系统中相对变化较多的部分,主要由用户对界面形式要求的变化引起。在功能实现部分中,相对来说,处理的数据变化较小,而程序的算法和控制结构的变化较多,主要由用户对应用系统功能需求的变化和对界面形式要求的变化引起。

4.信息基础设施

组织信息基础设施是指根据组织当前业务和可预见的发展趋势及对信息采集、处理、存储和流通的要求,构筑由信息设备、通信网络、数据库、系统软件和支持性软件等组成的环境。 这里可以将组织信息基础设施分成三部分:技术基础设施、信息资源设施和管理基础设施。

(1)技术 基础设施。技术基础设施由计算机设备、网络、系统软件、支持性软件、数据交换协议等组成。

(2)信息资源 设施。信息资源设施由数据与信息本身、数据交换的形式与标准、信息处理方法等组成。

(3)管理 基础设施。管理基础设施指组织中信息系统部门的组织架构、信息资源设施管理人员的分工、组织信息基础设施的管理方法与规章制度等。

技术基础设施由于技术的发展和组织系统需求的变化,在信息系统的设计、开发和维护中面临的变化因素较多,并且由于实现技术的多样性,完成同一功能有多种实现方式。信息资源设施在系统建设中的相对变化较小,无论组织完成何种功能,业务流程如何变化,都要对数据和信息进行处理,它们中的大部分不随业务改变而改变。管理基础设施相对变化较多,这是组织为了适应环境的变化和满足竞争的需要,尤其在我国向市场经济转型升级的阶段,经济政策 的出台或改变、业务模式改革等,将在很大程度上造成组织规章制度、管理方法、人员分工以 及组织架构的改变。

上面只是对信息基础设施中的三个基本组成部分的相对稳定与相对变化程度的总体说明, 在技术基础设施、信息资源设施、管理基础设施中都有相对稳定的部分和相对易变的部分,不能一概而论。

4.2 系统架构

信息系统架构是一种体系结构,它反映了一个组织信息系统的各个组成部分之间的关系,以及信息系统与相关业务、信息系统与相关技术之间的关系。

4.2.1 架构定义

对信息系统架构的定义描述,可以从以下6个方面进行理解:

(1)架构是对系统的抽象 ,它通过描述元素、元素的外部可见属性及元素之间的关系来反映这种抽象。因此,仅与内部具体实现有关的细节是不属于架构的,即定义强调元素的"外部可见"属性。

(2)架构由多个结构组成,结构是从功能角度来描述元素之间的关系的,具体的结构传达了架构某方面的信息,但是个别结构一般不能代表大型信息系统架构。

(3)任何软件都存在架构,但不一定有对该架构的具体表述文档。即架构可以独立于架构的描述而存在。如文档已过时,则该文档不能反映架构。

(4)元素及其行为的集合构成架构的内容。体现系统由哪些元素组成,这些元素各有哪些功能(外部可见),以及这些元素间如何连接与互动。即在两个方面进行抽象:在静态方面,关注系统的大粒度(宏观)总体结构(如分层);在动态方面,关注系统内关键行为的共同特征。

(5)架构具有"基础"性:它通常涉及解决各类关键重复问题的通用方案(复用性),以及系统设计中影响深远(架构敏感)的各项重要决策(一旦贯彻,更改的代价昂贵)。

(6)架构隐含有"决策",即架构是由架构设计师根据关键的功能和非功能性需求(质量属性及项目相关的约束)进行设计与决策的结果。不同的架构设计师设计出来的架构是不一样的,为避免架构设计师考虑不周,重大决策应经过评审。特别是架构设计师自身的水平是一种约束, 不断学习和积累经验才是摆脱这种约束走向优秀架构师的必经之路。

4.2.2 架构分类

信息系统架构通常可分为物理架构与逻辑架构两种,物理架构是指不考虑系统各部分的实际工作与功能架构,只抽象地考察其硬件系统的空间分布情况。逻辑架构是指信息系统各种功能子系统的综合体。

1.物理架构

按照信息系统在空间上的拓扑关系,其物理架构一般分为集中式与分布式两大类。

1)集中式架构

集中式架构是指物理资源在空间上集中配置。早期的单机系统是最典型的集中式架构,它将软件、数据与主要外部设备集中在一套计算机系统之中。由分布在不同地点的多个用户通过终端共享资源组成的多用户系统,也属于集中式架构。

集中式架构的优点是资源集中,便于管理,资源利用率较高。但是随着系统规模的扩大,以及系统的日趋复杂,集中式架构的维护与管理越来越困难,常常也不利于调动用户在信息系统建设过程中的积极性、主动性和参与感。此外,资源过于集中会造成系统的脆弱, 一旦核心资源出现异常,容易使整个系统瘫痪。

2)分布式架构

随着数据库技术与网络技术的发展,分布式架构的信息系统开始产生,分布式系统是指通过计算机网络把不同地点的计算机硬件、软件、数据等资源联系在一起,实现不同地点的资源共享。各地的计算机系统既可以在网络系统的统一管理下工作,也可以脱离网络环境利用本地资源独立运作。由于分布式架构适应了现代组织管理发展的趋势,即组织架构朝着扁平化、网络化方向发展,分布式架构成为信息系统的主要模式。

分布式架构的主要特征是:可以根据应用需求来配置资源,提高信息系统对用户需求与外部环境变化的应变能力,系统扩展方便,安全性好,某个节点所出现的故障不会导致整个系统停止运作。然而由于资源分散,且又分属于各个子系统,系统管理的标准不易统一,协调困难,不利于对整个资源的规划与管理。

分布式架构又可分为一般分布式与客户端/服务器模式。一般分布式 系统中的服务器只提供软件、计算与数据等服务,各计算机系统根据规定的权限存取服务器上的数据与程序文件。 客户端/服务器架构中,网络上的计算机分为客户端与服务器两大类。服务器包括文件服务器、 数据库服务器、打印服务器等;网络节点上的其他计算机系统则称为客户端。用户通过客户端向服务器提出服务请求,服务器根据请求向用户提供经过加工的信息。

2.逻辑架构

信息系统的逻辑架构是其功能综合体和概念性框架。由于信息系统种类繁多,规模不一, 功能上存在较大差异,其逻辑架构也不尽相同。

对于一个生产组织的管理信息系统,从管理职能角度划分,包括采购、生产、销售、人力资源、财务等主要功能的信息管理子系统。 一个完整的信息系统支持组织的各种功能子系统,使得每个子系统可以完成事务处理、操作管理、管理控制与战略规划等各个层次的功能。在每个子系统中可以有自己的专用文件,同时可以共享信息系统中各类数据,通过网络与数据等规范接口实现子系统之间的联系。与之相类似,每个子系统有各自的应用程序,也可以调用服务于各种功能的公共程序以及系统模型库中的模型等。

3.系统融合

从不同的角度,人们可对信息系统进行不同的分解。在信息系统研制和集成建设的过程中,最常见的方法是将信息系统按职能划分成一个个职能子系统,然后逐个研制、开发和建设。显然,即使每个子系统的性能均很好,并不能确保系统的优良性能,切不可忽视对整个系统的全盘考虑,尤其是对各个子系统之间的相互关系应做充分的考虑。因此,在信息系统开发与集成 建设中,强调各子系统之间的协调一致性和整体性。要达到这个目的,就必须在构造信息系统 时注意对各种子系统进行统一规划,并对各子系统进行整体融合。常见的融合方式包括横向融 合、纵向融合和纵横融合。

(1)横向融合。横向融合是指将同一层次 的各种职能与需求融合在一起,例如,将运行控制层的人事和工资子系统综合在一起,使基层业务处理一体化。

(2)纵向融合。纵向融合是指把某种职能和需求的各个层次的业务组织在一起,这种融合沟通了上下级之间的联系,如组织分支机构会计系统和整体组织会计系统融合在一起,它们都有共同之处,能形成一体化的处理过程。

(3)纵横融合。纵横融合是指主要是从信息模型处理模型两个方面来进行综合,做到信息集中共享,程序尽量模块化,注意提取通用部分,建立系统公用数据体系和一体化的信息处理系统。

4.2.3 一般原理

架构包含两个基本部分:组成成分和组成成分之间的关系。在外界环境方 式变化时架构中组成成分和关系有些可能是不变的,有些则可能要产生很大的变化。在信息系 统中,析出相对稳定的组成成分与关系,并在相对稳定部分的支持下,对相对变化较多的部分 进行重新组织,以满足变化的要求,就能够使得信息系统对环境的变化具有一定的适应能力, 即具有一定的柔性,这就是信息系统架构的基本原理。

4.2.4 常用架构模型

常用架构模型主要有单机应用模式、客户端/服务器模式、面向服务架构( SOA) 模式、 组织级数据交换总线等。

1.单机应用模式

准确地讲,单机应用( Standalone)系统是最简单的软件结构,是指运行在一台物理机器上的独立应用程序。当然,该应用可以是多进程或多线程的。

在信息系统普及之前的时代,大多数软件系统其实都是单机应用系统。这并不意味着它们 简单,实际情况是这样的系统有时更加复杂,因为软件技术最初普及时,多数行业只是将软件 技术当作辅助手段来解决自己专业领域的问题,其中大多都是较深入的数学问题或图形图像处 理算法的实现。

有些系统非常庞大,可多达上百万行代码,而这些程序当时可都是一行行写出来的。这样 一个大型的软件系统,要有许多个子系统集成在一个图形界面上执行,并可在多种平台下运行, 如 Linux 、UNIX 、Windows 等。而这些软件系统,从今天的软件架构上来讲,是很简单、很标 准的单机系统。当然至今,这种复杂的单机系统还有很多,它们大多都是专业领域的产品,如 计算机辅助设计领域的CATIA 、Pro/Engineer,AutoCAD, 还有在图片处理与编辑领域大家熟悉 的 Photoshop 、CorelDRAW 等 。

软件架构设计较为重要的应用领域就是信息系统领域,即以数据处理(数据存储、传输、 安全、查询、展示等)为核心的软件系统。

2.客户端/服务器模式

客户端/服务器模式(Client/Server) 是信息系统中最常见的一种。C/S 概念可理解为基于 TCP/IP 协议的进程间通信IPC 编程的"发送"与"反射"程序结构,即Client 方向Server 方发 送一个TCP 或 UDP 包,然后Server 方根据接收到的请求向Client 方回送TCP 或 UDP 数据包, 目前C/S 架构非常流行,下面介绍四种常见的客户端/服务器的架构。

1)两层C/S

两层C/S, 其实质就是IPC客户端/服务器结构的应用系统体现。两层C/S 结构通俗地说就是人们常说的"胖客户端 "模式。在实际的系统设计中,该类结构主要是指前台客户端+后台数据库管理系统

在两层 C/S 结构中,前台界面+后台数据库服务的模式最为典型,传统的很多数据库前端开发工具(如 PowerBuilder、Delphi 、VB) 等都是用来专门制作这种结构的软件工具。两层C/S 结构实际上就是将前台界面与相关的业务逻辑处理服务的内容集成在一个可运行单元中了。

2)三层C/S与B/S结构

三层C/S结构,其前台界面送往后台的请求中,除了数据库存取操作以外,还有很多其他业务逻辑需要处理。三层C/S的前台界面与后台服务之间必须通过一种协议(自开发或采用标准协议)来通信(包括请求、回复、远程函数调用等),通常包括以下几种:

● 基于TCP/IP 协议,直接在底层Socket API基础上自行开发。这样做一般只适合需求与功能简单的小型系统。

●首先建立自定义的消息机制(封装TCP/IP 与Socket 编程),然后前台与后台之间的通信通过该消息机制来实现。消息机制可以基于XML, 也可以基于字节流(Stream)定义。 虽然是属于自定义通信,但是它可以基于此构建大型分布式系统。

● 基于RPC编程。

● 基于CORBA/IIOP 协议。

● 基于Java RMI。

● 基于J2EE JMS。

● 基于HTTP协议,比如浏览器与Web服务器之间的信息交换。这里需要指出的是HTTP不是面向对象的结构,面向对象的应用数据会被首先平面化后进行传输。

目前最典型的基于三层C/S结构的应用模式便是人们最熟悉、较流行的B/S(Brower/ Server, 浏览器/服务器)模式

Web浏览器是一个用于文档检索和显示的客户应用程序,并通过超文本传输协议HTTP(Hyper Text Transfer Protocol) 与Web服务器相连。 该模式下,通用的、低成本的浏览器节省了两层结构的C/S 模式客户端软件的开发和维护费用。这些浏览器大家都很熟悉,包括MS Internet Explorer、Mozilla FireFox等 。

Web服务器是指驻留于因特网上某种类型计算机的程序。当Web浏览器(客户端)连到服 务器上并请求文件或数据时,服务器将处理该请求并将文件或数据发送到该浏览器上,附带的信息会告诉浏览器如何查看该文件(即文件类型)。服务器使用HTTP 进行信息交流,可称为HTTP服务器

人们每天都在Web 浏览器上进行各种操作,这些操作中绝大多数其实都是在Web 服务器上 执行的,Web浏览器只是将人们的请求以HTTP 协议格式发送到Web服务器端或将返回的查询结果显示而已。当然,驻留Web浏览器与服务器的硬件设备可以是位于Web网络上的两台相距千里的计算机。

应该强调的是B/S 模式的浏览器与Web 服务器之间的通信仍然是TCP/IP,只是将协议格式在应用层进行了标准化。实际上B/S是采用了通用客户端界面的三层C/S结构。

3)多层C/S 结构

多层C/S 结构一般是指三层以上的结构,在实践中主要是四层,即前台界面(如浏览器)、Web服务器、中间件(或应用服务器)及数据库服务器 。多层客户端/服务器模式主要用于较有规模的组织信息系统建设,其中中间件一层主要完成以下几个方面的工作:

●提高系统可伸缩性,增加并发性能。在大量并发访问发生的情况下,Web服务器处理的并发请求数可以在中间件一层得到更进一步的扩展,从而提高系统整体并发连接数。

●中间件/应用层专门完成请求转发或一些与应用逻辑相关的处理,具有这种作用的中间件一般可以作为请求代理,也可作为应用服务器。中间件的这种作用在J2EE的多层结构中比较常用,如BEA WebLogic 、IBM WebSphere等提供的EJB容器,就是专门用以处理复杂组织逻辑的中间件技术组成部分。

●增加数据安全性。在网络结构设计中,Web服务器一般都采用开放式结构,即直接可以被前端用户访问,如果是一些在公网上提供服务的应用,则Web服务器一般都可以被所有能访问与联网的用户直接访问。因此,如果在软件结构设计上从Web服务器就可以直接访问组织数据库是不安全的。因此,中间件的存在,可以隔离Web服务器对组织数据库的访问请求:Web服务器将请求先发给中间件,然后由中间件完成数据库访问处理后返回。

4)模型-视图-控制器模式

模型-视图-控制器(Model-View-Controller,MVC)的概念在目前信息系统设计中非常流 行,严格来讲,MVC实际上是上述多层C/S 结构的一种常用的标准化模式 ,或者可以说是从另 一个角度去抽象这种多层C/S 结构。

在J2EE 架构中,View表示层指浏览器层 ,用于图形化展示请求结果;Controller控制器指Web服务器层 ,Model模型层指应用逻辑实现及数据持久化 的部分。目前流行的J2EE开发框架,如JSF、Struts 、Spring、Hibernate等及它们之间的组合,如Struts+Spring+Hibernate(SSH)、JSP+Spring+Hibernate等都是面向MVC架构的。另外,PHP、Perl、MFC等语言都有MVC的实现模式。

MVC主要是要求表示层 (视图)与数据层(模型)的代码分开,而控制器则可以用于连接不同的模型和视图来完成用户的需求。从分层体系的角度来讲,MVC的层次结构,其控制器与视图通常处于Web服务器一层,而根据"模型"有没有将业务逻辑处理分离成单独服务处理,MVC 可以分为三层或四层体系。

3.面向服务架构(SOA)模式

上面所论述的客户端/服务器模式,无论多少层的C/S 软件结构,对外来讲,都只是一个单结点应用(无论它由多个不同层的"服务"相互配合来完成其功能),具体表现为一个门户网站、一个应用系统等。而多个单点应用 相互通信的多服务结构也是一种信息系统常用的架构模式。

1)面向服务架构

如果两个多层C/S结构的应用系统之间需要相互进行通信,那么就产生了面向服务架构 (Service Oriented Architecture,SOA) 。在SOA的概念中,将由多层服务组成的一个结点应用看作是一个单一的服务。在SOA的定义里,对"服务"的概念进行的广义化,即它不是指计算机层面的一个Daemon(守护进程),而是指向提供一组整体功能的独立应用系统。所谓独立应用系统是指无论该应用系统由多少层服务组成,去掉任何一层,它都将不能正常工作,对外可以是一个提供完整功能的独立应用。这个特征便可以将面向服务架构与多层单服务体系完全区分开来。

两个应用之间一般通过消息来进行通信,可以互相调用对方的内部服务、模块或数据交换和驱动交易等。在实践中,通常借助中间件来实现SOA的需求,如消息中间件、交易中间件等。面向服务架构在实践中又可以具体分为异构系统集成、同构系统聚合、联邦体系结构等。

2)Web Service

面向服务架构体现在Web应用之间,就成为了Web Service,即两个互联网应用之间可以相互向对方开放一些内部"服务"(这种服务可以理解为功能模块、函数、过程等)。目前,Web 应用对外开放其内部服务的协议主要有SOAP 与 WSDL,具体资料可以查阅相关标准。

Web Service是面向服务架构的一个最典型、最流行的应用模式,但除了由Web 应用为主而组成的特点以外,Web Service最主要的应用是一个Web 应用向外提供内部服务,而不像传统意义上SOA 那样有更加丰富的应用类型。

3)面向服务架构的本质

面向服务架构的本质是消息机制远程过程调用( RPC )。虽然其具体的实现底层并不一定是采用RPC编程技术,但两个应用之间的相互配合确实是通过某种预定义的协议来调用对方的"过程"实现的,这与前节所讲多层架构的单点应用系统中,两个处于不同层的运行实例相互之间通信的协议类型基本是相同的。

4.组织级数据交换总线

实践中,还有一种较常用的架构,即组织级数据交换总线,即不同的组织应用之间进行信息交换的公共通道。这种架构在大型组织不同应用系统进行信息交换时使用较普遍,在国内,主要是信息化、数字化程度较高的组织采用此种结构,其他的许多组织虽然也有类似的需求,但大多都仍处于局部信息化、数字化阶段,没有达到"组织数据交换总线"的层次。

关于数据总线本身,其实质应该是一个称之为连接器的软件系统(Connector),它可以基于中间件(如:消息中间件或交易中间件)构建,也可以基于CORBA/IIOP 协议开发,主要功能是按照预定义的配置或消息头定义,进行数据(data)、请求(request)或回复(response)的接收与分发。

从理论上来讲,组织级数据交换总线可以同时具有实时交易与大数据量传输的功能,但在实践中,成熟的企业数据交换总线主要是为实时交易而设计的,而对可靠的大数据量级传输需求往往要单独设计。如果采用CORBA为通信协议,交换总线就是对象请求代理(ORB),也被称为"代理(Agent)体系"。另外,在交换总线上挂接的软件系统,有些也可以实现代理的功能,各代理之间可以以并行或串行的方式进行工作,通过挂接在同一交换总线上的控制器来协调各代理之间的活动。

4.2.5 规划与设计

TOGAF (The Open Group Architecture Framework) 是一种开放式企业架构框架标准,它为标准、方法论和企业架构专业人员之间的沟通提供一致性保障。

架构开发方法(ADM) 为开发企业架构所需要执行的各个步骤以及它们之间的关系进行了 详细的定义,同时它也是TOGAF 规范中最为核心的内容。

4.2.6 价值驱动的体系结构

价值模型核心的特征可以简化为三种基本形式:价值期望值、反作用力和变革催化剂。

(1) 价值期望值 。价值期望值表示对某一特定功能的需求,包括内容(功能)、满意度(质量)和不同级别质量的实用性。例如,汽车驾驶员对汽车以60公里每小时的速度进行急刹车的快慢和安全性有一种价值期望值。

(2)反作用力 。系统部署实际环境中,实现某种价值期望值的难度,通常期望越高难度越大 ,即反作用力。例如,汽车以60公里每小时的速度进行紧急刹车的结果如何取决于路面类型、路面坡度和汽车重量等。

(3) 变革催化剂 。变革催化剂表示环境中导致价值期望值发生变化的某种事件,或者是导致不同结果的限制因素。

反作用力和变革催化剂称为限制因素 ,这三个统称为价值驱动因素。如果系统旨在有效满足其利益相关者的价值模型要求,那么它就需要能够识别和分析价值模型。

一般方法,如用例方案和业务/营销需求,都是通过聚焦于与系统进行交互的参与者的类型开始的,这种方法有如下4个突出的局限性。

(1) 对参与者的行为模型关注较多,而对其中目标关注较少。

(2)往往将参与者固化地分成几种角色,其中每个角色所在的个体在本质上都是相同的 (例如,商人、投资经理或系统管理员)。

(3)往往忽略限制因素之间的差别(例如,纽约的证券交易员和伦敦的证券交易员是否相同,市场开放交易与每天交易是否相同)。

(4)结果简单。要求得到满足或未得到满足,用例成功完成或未成功完成。

这种方法有一个非常合乎逻辑的实际原因,它使用顺序推理和分类逻辑,因此易于教授和讲解,并能生成一组易于验证的结果。

4.3 应用架构

4.3.1 基本原则

常用的应用架构规划与设计的基本原则有:业务适配性原则、应用聚合化原则、功能专业化原则、风险最小化原则和资产复用化原则。

(1)业务适配性原则。应用架构应服务和提升业务能力,能够支撑组织的业务或技术发展战略目标,同时应用架构要具备一定的灵活性和可扩展性,以适应未来业务架构发展所带来的变化。

(2)应用聚合化原则。基于现有系统功能,通过整合部门级应用,解决应用系统多、功能分散、重叠、界限不清晰等问题,推动组织集中的"组织级"应用系统建设。

(3)功能专业化原则。按照业务功能聚合性进行应用规划,建设与应用组件对应的应用系统,满足不同业务条线的需求,实现专业化发展。

(4)风险最小化原则。降低系统间的耦合度,提高单个应用系统的独立性,减少应用系统间的相互依赖,保持系统层级、系统群组之间的松耦合,规避单点风险,降低系统运行风险,保证应用系统的安全稳定。

(5)资产复用化原则。鼓励和推行架构资产的提炼和重用,满足快速开发和降低开发与维护成本的要求。规划组织级共享应用成为基础服务,建立标准化体系,在组织内复用共享。同时,通过复用服务或者组合服务,使架构具有足够的弹性以满足不同业务条线的差异化业务需求,支持组织业务持续发展。

4.3.2 分层分组

对应用架构进行分层的目的是要实现业务与技术分离 ,降低各层级之间的耦合性,提高各层的灵活性,有利于进行故障隔离,实现架构松耦合。应用分层可以体现以客户为中心的系统服务和交互模式,提供面向客户服务的应用架构视图。对应用分组的目的是要体现业务功能的分类和聚合,把具有紧密关联的应用或功能内聚为一个组,可以指导应用系统建设,实现系统内高内聚,系统间低耦合,减少重复建设。

4.4 数据架构

数据架构描述了组织的逻辑和物理数据资产以及相关数据管理资源的结构。数据架构的主要内容涉及数据全生命周期之下的架构规划,包括数据的产生、流转、整合、应用、归档和消亡。数据架构关注数据所处的生命周期环节中数据被操作的特征和数据类型、数据量、数据技术处理的发展、数据的管控策略等数据领域的概念相关。

4.4.1 发展演进

作为信息系统架构的组成,数据架构在不同时代其形态也是不一样,它是随着信息技术的不断发展而向前演进,主要经历了单体应用架构时代、数据仓库时代和大数据时代 等。

1.单体应用架构时代

在信息化早期(20世纪80年代),信息化初步建设,信息系统以单体应用为主,例如:早 期的财务软件、OA 办公软件等。这个时期数据管理的概念还在萌芽期,数据架构比较简单,主要就是数据模型、数据库设计,满足系统业务使用即可。

2.数据仓库时代

随着信息系统的使用,系统的数据也逐步积累起来。这时候,人们发现数据对组织是有价 值的,但是割裂的系统导致了大量信息孤岛的产生,严重影响了组织对数据的利用。于是,一种面向主题的、集成的、用于数据分析的全新架构诞生了,它就是数据仓库。

与传统关系数据库不同,数据仓库系统的主要应用是OLAP, 支持复杂的分析操作,侧重决策支持,并且提供直观易懂的查询结果。这个阶段,数据架构不仅关注数据模型,还关注数据的分布和流向。

  1. 大数据时代

大数据技术的兴起,让组织能够更加灵活高效地使用自己的数据,从数据中提取出更多重要的价值。与此同时,在大数据应用需求的驱动下,各类大数据架构也在不断发展和演进着, 从批处理到流处理,从大集中到分布式,从批流一体到全量实时。

4.4.2 基本原则

数据架构的设计原则是在遵循架构设计通用原则的情况下,有数据架构自身的特殊考虑。 合理的数据架构设计应该是解决以下问题:功能定位合理性问题,面向未来发展的可扩展性问题,处理效率高效或者说高性价比的问题;数据合理分布和数据一致性问题

1.数据分层原则

首先,组织数据按照生命周期就是分层次的,因此数据分层原则更多应该解决的是层次定位合理性的问题。在给每个层次进行定位的同时,对每个层次的建设目标、设计方法、模型、 数据存储策略及对外服务原则进行一定的约束性定义和控制。

2.数据处理效率原则

合理的数据架构需要解决数据处理效率的问题。所谓的数据处理效率并不是追求高效率, 而是追求合理,因为所有的数据存储和处理都是有代价的。换句话讲:数据处理效率的问题也可以说是解决满足数据处理效率要求的成本合理化的问题。

数据处理的代价主要就是数据存储与数据变迁的成本,在实践中,真正影响数据处理效率的是大规模的原始数据的存储与处理。在这些原始明细数据的加工、处理、访问的过程中,尽量减少明细数据的冗余存储和大规模的搬迁操作,可以提升数据处理效率。

3.数据一致性原则

合理的数据架构能够有效地支持数据管控体系,很多的数据不一致性是因为数据架构不合理所导致的。其中,最大的原因就是数据在不同层次分布中的冗余存储以及按照不同业务逻辑 的重复加工。因此,如何在数据架构中减少数据重复加工和冗余存储,是保障数据一致性的关键所在。

4.数据架构可扩展性原则

数据架构设计的可扩展性原则可以从以下角度来保障:

①基于分层定位的合理性原则之上。只有清晰的数据层次定位,以及每个数据层次合理的模型和存储技术策略,才能更好地保证数据架构在未来支持新增业务类型、新增数据整合要求、新增数据应用要求的过程中的可扩展性。

②架构的可扩展性需要对数据存储模型和数据存储技术也进行考虑。

5.服务于业务原则

合理的数据架构、数据模型、数据存储策略,最终目标都是服务于业务。例如,社会保险快速的业务流程运转以及高效而且精准的业务决策支持,是社会保险行业两方面的业务目标。 因此,有时候在面临满足某种业务特殊目标的时候,可以为了业务的体验放弃之前的某些原则。

4.5 技术架构

技术架构是承载组织应用架构和数据架构的基础,它是一个由多个功能模块组成的整体, 描述组织业务应用实现所采用的技术体系或组合,以及支持应用系统部署所需的基础设施和环境等。技术架构需要统筹考虑和统一规划,缺乏总体策略和思路的IT技术架构会导致投资的严重浪费和建设的时间延误等,总体功能败于最弱的环节,使IT成为业务发展的瓶颈。

4.5.1 基本原则

在构建信息系统技术架构时,组织需要充分考虑技术及其应用创新的各类关联因素,选择或组合使用最合适的技术组合,并充分考虑组织现状、IT 现状、组织战略、IT 治理等各类因素。 技术架构的设计往往需要遵循以下原则。

  1. 成熟度控制原则
    一直以来,信息技术都是高速发展和快速迭代的,新型信息技术及其应用模式层出不穷, 组织在选择使用何种技术及其组合作为技术架构的主要组成部分时,需要充分考虑信息技术的生命周期,优先使用成熟度较高但还处在活跃期的信息技术。如果需要使用新型信息技术,就需要组织相关技术人员持续跟踪这些技术,包括技术及其应用的成熟情况,以及新技术可能带 来的安全漏洞和结构性风险等。
  2. 技术一致性原则
    信息系统技术架构设计过程中,应尽量减少技术异构,充分发挥技术及其组合的一致性, 比如统一使用云环境(云开发、云中间件、云安全等)。在运用技术一致性原则时,也包括同一 类型技术的版本控制问题,尽量在所有信息系统中,只用相同的技术版本。
  3. 局部可替换原则
    考虑到信息系统的发展与演进等,我们在迭代更新信息技术架构时,需要考虑既有技术的使用、重用或再创新等情况,但这些技术需要进行标记和特殊关注,明确这些技术在组织信息系统环境中的生命周期管理与控制等。即使是利用新技术开展技术架构设计的时候,也要考虑某种技术是 否长期使用,如果这些技术退役,对信息系统会造成什么影响,哪些技术可以用于替代该技术等。
  4. 人才技能覆盖原则
    信息技术的价值发挥离不开相关人力资源的配合,需要组织相关技术人员能够对信息技术充分掌握,方可将信息技术进行最优化应用。因此,组织在开展信息技术架构设计时,关注组织可用信息技术人才对各类技术的驾驭能力,尤其是需要利用相关技术进行应用创新的领域。 这里的人才可以是组织本身的人才,也可以是组织相关合作伙伴的人才(这类人才需要组织关 注其可用性情况)。
  5. 创新驱动原则
    组织在设计信息系统架构时,要充分挖掘技术的创新价值,重点是对组织发展(包括治理、 管理、业务等)能够形成促进乃至引领作用的技术,要将这些技术作为技术架构的关键纽带或骨架,完善周边技术或技术组合等。

4.6 网络架构

网络是信息技术架构中的基础,不仅是用户请求和获取IT信息资源服务的通道,同时也是信息系统架构中各类资源融合和调度的枢纽。特别是云计算、大数据和移动互联网技术飞速发展的今天,网络更加成为实现这些技术跨越的重要环节。因此网络架构的设计在信息系统架构中有着举足轻重的地位。

4.6.1 基本原则

整个基础架构的设计原则都是围绕基础架构本身能够提供更加高质量的服务,为应用系统减轻定制化负担和实现更优的商用化选型灵活性。网络作为整个基础架构的基础,这些设计原则更强调突出高可靠性、高安全性、高性能、可管理性、平台化和架构化等方面。

(1)高可靠性。网络作为底层资源调度和服务传输的枢纽和通道,其对高可靠性的要求自然不言而喻。

(2)高安全性。信息系统的安全性不能仅靠应用级的安全保障,网络也必须能够提供基础的安全防护,底层的身份鉴别、访问控制、入侵检测能力等需要能够为应用提供重要的安全保障。

(3)高性能。随着云计算和虚拟化技术等的发展,网络不仅仅是服务传递的通道,更是提供服务所需资源调度的枢纽,因此网络性能和效率是提供更优服务质量的保证。

(4)可管理性。随着互联网思维深入到各个IT 发展领域,能够提供良好用户体验的敏捷开发方式逐渐在各行业系统占据主流,这对底层基础架构的快速部署、辅助业务上线提出了挑战, 因此网络的可管理性不仅是指网络自身管理,更指基于业务部署策略的网络快速调整和管控。

(5)平台化和架构化。作为底层基础资源的网络需要以开阔的视野,适应未来应用架构的变化,网络自身能够更加弹性,做到按需扩展,以适应未来不同业务规模的变化和发展。

4.6.2 局域网架构

局域网指计算机局部区域网络,是一种为单一组织所拥有的专用计算机网络。其特点包括:①覆盖地理范围小,通常限定在相对独立的范围内,如一座建筑或集中建筑群内(通常在2.5km内);②数据传输速率高(一般在10Mb/s以上,典型1Gb/s, 甚至10Gb/s);③ 低误码率(通常在10⁻⁹ 以下),可靠性高;④支持多种传输介质,支持实时应用。就网络拓扑而言,有总线、环形、星形、树状等类型。从传输介质来说,包含有线局域网和无线局域网等。局域网通常由计算机、交换机、路由器等设备组成。

从计算机诞生出现局域网到今天,局域网经历了若干年的演进。随着业务场景的多样化, 以及业务对网络要求的不断提升,局域网已从早期只提供二层交换功能的简单网络发展到如今不仅提供二层交换功能,还提供三层路由功能的复杂网络。

1.单核心架构

单核心局域网通常由一台核心二层或三层交换设备充当网络的核心设备,通过若干台接入交换设备将用户设备(如用户计算机、智能设备等)连接到网络中。

此类局域网可通过连接核心网交换设备与广域网之间的互联路由设备(边界路由器或防火墙)接入广域网,实现业务跨局域网的访问。单核心网具有如下特点:

●核心交换设备通常采用二层、三层及以上交换机;如采用三层以上交换机可划分成VLAN, VLAN内采用二层数据链路转发,VLAN 之间采用三层路由转发;

●接入交换设备采用二层交换机,仅实现二层数据链路转发;

●核心交换设备和接入设备之间可采用100M/GE/10GE(1GE=1Gb/s)等以太网连接。

用单核心构建网络,其优点是网络结构简单,可节省设备投资。需要使用局域网的分项组织接入较为方便,直接通过接入交换设备连接至核心交换设备空闲接口即可。其不足是网络地理范围受限,要求使用局域网的分项组织分布较为紧凑;核心网交换设备存在单点故障,容易 导致网络整体或局部失效;网络扩展能力有限;在局域网接入交换设备较多的情况下,对核心交换设备的端口密度要求高。

作为一种变通,对于较小规模的网络,采用此网络架构的用户设备也可直接与核心交换设备互联,进一步减少投资成本。

2.双核心架构

双核心架构通常是指核心交换设备采用三层及以上交换机。核心交换设备和接入设备之间可采用100M/GE/10GE等以太网连接。

网络内划分VLAN 时,各VLAN之间访问需通过两台核心交换设备来完成。网络中仅核心交换设备具备路由功能,接入设备仅提供二层转发功能。

核心交换设备之间互联,实现网关保护或负载均衡。核心交换设备具备保护能力,网络拓扑结构可靠。在业务路由转发上可实现热切换。接入网络的各部门局域网之间互访,或访问核 心业务服务器,有一条以上条路径可选择,可靠性更高。

需要使用局域网的专项组织接入较为方便,直接通过接入交换设备连接至核心交换设备空闲接口即可。设备投资相比单核心局域网高。对核心交换设备的端口密度要求较高。所有业务服务器同时连接至两台核心交换设备,通过网关保护协议进行保护,为用户设备提供高速访问。

3.环形架构

环形局域网是由多台核心交换设备连接成双RPR(Resilient Packet Ring,弹性分组环) 动态弹性分组环,构建网络的核心。核心交换设备通常采用三层或以上交换机提供业务转发功能。

典型环形局域网网络内各VLAN之间通过RPR环实现互访。RPR具备自愈保护功能,节省光纤资源;具备MAC层50ms自愈时间的能力,提供多等级、可靠的QoS服务、带宽公平机制和拥塞控制机制等。RPR环双向可用。网络通过两根反向光纤组成环形拓扑结构,节点在环上可从两个方向到达另一节点。每根光纤可同时传输数据和控制信号。RPR 利用空间重用技术,使得环上的带宽得以有效利用。

通过RPR 组建大规模局域网时,多环之间只能通过业务接口互通,不能实现网络直接互通。环形局域网设备投资比单核心局域网的高。核心路由冗余设计实施难度较高,且容易形成环路。此网络通过与环上的交换设备互联的边界路由设备接入广域网。

4.层次局域网架构

层次局域网(或多层局域网)由核心层 交换设备、汇聚层 交换设备和接入层 交换设备以及用户设备 等组成。

层次局域网模型中的核心层设备提供高速数据转发功能;汇聚层设备提供的充足接口实现了与接入层之间的互访控制,汇聚层可提供所辖的不同接入设备(部门局域网内)业务的交换功能,减轻对核心交换设备的转发压力;接入层设备实现用户设备的接入。层次局域网网络拓扑易于扩展。网络故障可分级排查,便于维护。通常,层次局域网通过与广域网的边界路由设备接入广域网,实现局域网和广域网业务的互访。

4.6.3 广域网架构

通俗来讲,广域网是将分布于相比局域网络更广区域的计算机设备连接起来的网络。广域网由通信子网与资源子网组成。通信子网可以利用公用分组交换网、卫星通信网和无线分组交换网来构建,将分布在不同地区的局域网或计算机系统互连起来,实现资源子网的共享。

广域网属于多级网络,通常由骨干网、分布网、接入网组成。在网络规模较小时,可仅由骨干网和接入网组成。在广域网规划时,需要根据业务场景及网络规模来进行三级网络功能的选择。例如规划某省银行广域网,设计骨干网,如支持数据、语音、图像等信息共享,为全银行系统提供高速、可靠的通信服务;设计分布网,提供数据中心与各分行、支行的数据交换,提供长途线路复用和主干访问;设计接入网,提供各分支行与各营业网点的数据交换时采用访问路由方式,实现网点线路复用和终端访问。

1、单核心广域网

单核心广域网通常由一台核心路由设备和各局域网组成。核心路由设备采用三层及以上交换机。网络内各局域网之间访问需要通过核心路由设备。

网络中各局域网之间不设立其他路由设备。各局域网至核心路由设备之间采用广播线路,路由设备与各局域网互联接口属于对应局域网子网。核心路由设备与各局域网可采用 10M/100M/GE 以太接口连接。该类型网络结构简单,节省设备投资。各局域网访问核心局域网以及相互访问的效率高。新的部门局域网接入广域网较为方便,只要核心路由设备留有端口即可。不过,核心路由设备存在单点故障容易导致整网失效的风险。网络扩展能力欠佳,对核心路由设备端口密度要求较高。

2、双核心广域网

双核心广域网通常由两台核心路由设备和各局域网组成。

双核心广域网模型,其主要特征是核心路由设备通常采用三层及以上交换机。核心路由设备与各局域网之间通常采用10M/100M/GE等以太网接口连接。网络内各局域网之间访问需经过两台核心路由设备,各局域网之间不存在其他路由设备用于业务互访。核心路由设备之间实现网关保护或负载均衡。各局域网访问核心局域网以及它们相互访问可有多条路径选择,可靠性更高,路由层面可实现热切换,提供业务连续性访问能力。在核心路由设备接口有预留情况 下,新的局域网可方便接入。不过,设备投资较单核心广域网高。核心路由设备的路由冗余设计实施难度较高,容易形成路由环路。网络对核心路由设备端口密度要求较高。

3、环形广域网

环形广域网通常是采用三台以上核心路由器设备 构成路由环路,用以连接各局域网,实现广域网业务互访。

环形广域网的主要特征是核心路由设备通常采用三层或以上交换机。核心路由设备与各局域网之间通常采用10M/100M/GE 等以太网接口连接。网络内各局域网之间访问需要经过核心路由设备构成的环。各局域网之间不存在其他路由设备进行互访。核心路由设备之间具备网关保护或负载均衡机制,同时具备环路控制功能。各局域网访问核心局域网或互相访问有多条路径可选择,可靠性更高,路由层面可实现无缝热切换,保证业务访问连续性。

在核心路由设备接口有预留情况下,新的部门局域网可方便接入。不过,设备投资比双核心广域网高,核心路由设备的路由冗余设计实施难度较高,容易形成路由环路。环形拓扑结构需要占用较多端口,网络对核心路由设备端口密度要求较高。

4、半冗余广域网

半冗余广域网是由多台核心路由设备连接各局域网而形成的。其中,任意核心路由设备至少存在两条以上 连接至其他路由设备的链路。如果任何两个核心路由设备之间均存在链接 ,则属于半冗余广域网特例,即全冗余广域网

半冗余广域网的主要特征是结构灵活、扩展方便。部分网络核心路由设备可采用网关保护或负载均衡机制或具备环路控制功能。网络结构呈网状,各局域网访问核心局域网以及相互访问存在多条路径,可靠性高。路由层面的路由选择较为灵活。网络结构适合于部署OSPF(Open Shortest Path First,开放式最短路径优先)等链路状态路由协议 。不过,网络结构零散,不便于管理和排障。

5、对等子域广域网

对等子域网络是通过将广域网的路由设备划分成两个独立的子域 ,每个子域路由设备采用半冗余 方式互连。两个子域之间通过一条或多条链路互连,对等子域中任何路由设备都可接入局域网络。

对等子域广域网的主要特征是对等子域之间的互访以对等子域之间互连链路为主。对等子域之间可做到路由汇总或明细路由条目匹配,路由控制灵活。通常,子域之间 链路带宽应高于 子域 链路带宽。域间路由冗余设计实施难度较高,容易形成路由环路,或存在发布非法路由风险。对域边界路由设备的路由性能要求较高。网络中路由协议主要以动态路由为主。对等子域适合于广域网可以明显划分为两个区域且区域内部访问较为独立的场景。

6、层次子域广域网

层次子域广域网结构是将大型广域网路由设备划分成多个 较为独立的子域,每个子域内路由设备采用半冗余方式互连,多个子域之间存在层次关系,高层次子域连接多个低层次子域。 层次子域中任何路由设备都可以接入局域网。

层次子域的主要特征是层次子域结构具有较好扩展性。低层次子域之间互访需要通过高层次子域完成。域间路由冗余设计实施难度较高,容易形成路由环路,存在发布非法路由的风险。

子域之间链路带宽须高于子域内链路带宽。对用于域互访的域边界路由设备的路由转发性能要求较高。路由设备路由协议主要以动态路由为主, 如 OSPF 协议。层次子域与上层外网互连, 主要借助高层子域完成;与下层外网互连,主要借助低层子域完成。

4.6.4 移动通信网架构

移动通信网为移动互联网提供了强有力的支持,尤其是5G网络为个人用户、垂直行业等提供了多样化的服务。5G常用业务应用方式包括: 5GS(5G System)与DN(Data Network,数据网络)互联、5G网络边缘计算等。

1、5GS与DN互连

5GS在为移动终端用户(User Equipment,UE)提供服务时,通常需要DN网络,如 Internet 、IMS(IP Media Subsystem,IP多媒体子系统)、专用网络等互连来为UE提供所需的业务。各式各样的上网、语音、AR/VR、工业控制和无人驾驶等5GS中UPF(User Plane Function,用户面功能)网元作为DN的接入点。5GS和DN之间通过5GS定义的N6接口互连。

5G Network 属于5G范畴,包括若干网络功能实体,如AMF/SMF/PCF/NRF/NSSF等。简洁起见,图中仅标示出了与用户会话密切相关的网络功能实体。

在 5GS 和 DN 基于IPv4/IPv6互连时, 从 DN 来看 ,UPF可看作是普通路由器。相反从 5GS 来看,与UPF通过N6接口互连的设备,通常也是路由器。换言之,5GS 和 DN 之间是一种路由 关系。UE访问DN的业务流在它们之间通过双向路由配置 实现转发。就5G网络而言, 把从UE流向DN的业务流称之为上行 ( UL,UpLink) 业务流;把从DN流向UE的业务流称为下行 ( DL,DownLink) 业务流。UL业务流通过UPF 上配置的路由转发至DN;DL业务流通过与UPF邻近的路由器上配置的路由转发至UPF。

此外,从UE通过5GS接入DN的方式来说,存在两种模式:透明模式和非透明模式。

1)透明模式

在透明模式下,5GS 通过UPF的N6接口直接连至运营商特定的IP网络,然后通过防火墙 (Firewall) 或代理服务器连至DN ( 即外部IP网络),如 Internet 等 。UE分配由运营商规划的网络地址空间的IP地址。UE在向5GS发起会话建立请求时,通常5GS不触发向外部DN-AAA 服务器发起认证过程,如图4-20所示。

在此模式下,5GS至少为UE提供一个基本ISP(网络业务提供商,Internet Service Provider)服务。对于5GS 而言,它只需提供基本的隧道QoS流服务即可。UE 访问某个Intranet 网络时,UE级别的配置仅在UE和Intranet网络之间 独立完成,这对5GS而言是透明的

2)非透明模式

在非透明模式下,5GS可直接接入Intranet/ISP 或通过其他IP网络(如Internet) 接入Intranet/ISP 。如5GS通过Internet方式接入Intranet/ISP,通常需要在UPF和Intranet/ISP之间建立专用隧道来转发UE访问Intranet/ISP的业务。UE被指派属于Intranet/ISP 地址空间的IP地址。 此地址用于UE业务在UPF 、Intranet/ISP中转发,如图4-21所示。

综上所述,UE通过5GS访问Intranet/ISP的业务服务器,可基于任何网络如Internet 等来进行,即使不安全也无妨,在UPF 和 Intranet/ISP 之间可基于某种安全协议进行数据通信保护。至于采用何种安全协议,由移动运营商和Intranet/ISP 提供商之间协商确定。

作为UE 会话建立的一部分,5GS中 SMF(Session Management Function,会话管理功能)通常通过向外部DN-AAA 服务器(如Radius,Diameter 服务器)发起对UE 进行认证。在对UE 认证成功后,方可完成UE 会话的建立,之后UE才可访问Intemet/ISP 的服务。

2、5G网络边缘计算

5G 网络改变以往以设备、业务为中心的导向,倡导以用户为中心的理念。5G 网络在为用户提供服务的同时,更注重用户的服务体验QoE(Q uality of Experience)。其中 5G 网络边缘计算能力的提供正是为垂直行业赋能、提升用户QoE 的重要举措之一。

5G 网络的边缘计算( Mobile Edge Computing,MEC) 架构如图4-22所示,支持在靠近终端用户UE的移动网络边缘部署5G UPF网元,结合在移动网络边缘部署边缘计算平台( Mobile Edge Platform,MEP),为垂直行业提供诸如以时间敏感、高带宽为特征的业务就近分流服务。

于是,一来为用户提供极佳服务体验,二来降低了移动网络后端处理的压力。

运营商自有应用或第三方应用AF(Application Function,应用功能) 通过5GS提供的能力开放功能网元NEF(Network Exposure Function,网络开放功能),触发5G网络为边缘应用动态地生成本地分流策略,由 PCF(Policy Charging Function) 将这些策略配置给相关SMF,SMF根据终端用户位置信息或用户移动后发生的位置变化信息动态实现UPF( 即移动边缘云中部署的UPF) 在用户会话中插入或移除,以及对这些UPF 分流规则的动态配置,达到用户访问所需业务的极佳效果。

另外,从业务连续性来说,5G 网络可提供SSC模式1(在用户移动过程中用户会话的IP 接入点始终保持不变),SSC 模式2(用户移动过程中网络触发用户现有会话释放并立即触发新会话建立),SSC 模式3(用户移动过程中在释放用户现有会话之前先建立一个新的会话)供业务提供者ASP( Application Service Provider) 或运营商选择。

4.6.5 软件定义网络

见第2章2.1.2节的第5小节。

4.7 安全架构

4.7.1 安全威胁

常见的安全威胁有:

(1)信息泄露。信息被泄露或透露给某个非授权的实体。

(2)破坏信息的完整性。数据被非授权地进行增删、修改或破坏而受到损失。

(3)拒绝服务。对信息或其他资源的合法访问被无条件地阻止。

(4)非法访问(非授权访问)。某一资源被某个非授权的人或非授权的方式使用。

(5)窃听。用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号进行搭线监听,或者利用通信设备在工作过程中产生的电磁泄漏截取有用信息等。

(6)业务流分析。通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等态势进行研究,从而发现有价值的信息和规律。

(7)假冒。通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击。

(8)旁路控制。攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段,发现原本应保密但是却又暴露出来的一些系统"特性"。 利用这些"特性",攻击者可以绕过 防线守卫者侵入系统的内部。

(9)授权侵犯。被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作"内部攻击 "。

(10)特洛伊木马。软件中含有一个察觉不出的或者无害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马( Trojan Horse)。

(11)陷阱门 。在某个系统或某个部件中设置了"机关 ",使得当提供特定的输入数据 时,允许违反安全策略

(12)抵赖。这是一种来自用户的攻击,例如,否认自己曾经发布过的某条消息或伪造一份对方来信等。

(13)重放。所截获的某次合法的通信数据备份,出于非法的目的而被重新发送

(14)计算机病毒。所谓计算机病毒,是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。一种病毒通常含有两个功能:一种功能是对其他程序产生"感染";另外一种是引发损坏功能或者是一种植入攻击的能力。

(15)人员渎职。一个授权人为了钱或利益、或由于粗心而将信息泄露给一个非授权的人。

(16)媒体废弃。信息被从废弃的磁盘或打印过的存储介质中获得。

(17)物理侵入。侵入者通过绕过物理控制 而获得对系统的访问。

(18)窃取。重要的安全物品,如令牌或身份卡被盗。

(19)业务欺骗。某一伪系统或系统部件欺骗合法用户或系统自愿地放弃敏感信息。

4.7.2 定义和范围

安全架构是在架构层面聚焦信息系统安全方向上的一种细分。安全性体现在信息系统上,通常的系统安全架构、安全技术体系架构和审计架构可组成三道安全防线。

(1)系统 安全架构。系统安全架构指构建信息系统安全质量属性的主要组成部分以及它们之间的关系。系统安全架构的目标是如何在不依赖外部防御系统的情况下,从源头打造自身的安全。

(2)安全技术体系 架构。安全技术体系架构指构建安全技术体系的主要组成部分以及它们之间的关系。安全技术体系架构的任务是构建通用的安全技术基础设施,包括安全基础设施、 安全工具和技术、安全组件与支持系统等,系统性地增强各部分的安全防御能力。

(3)审计架构。审计架构指独立的审计部门或其所能提供的风险发现能力,审计的范围主要包括安全风险在内的所有风险。

人们在系统设计时,通常要识别系统可能会遇到的安全威胁,通过对系统面临的安全威胁和实施相应控制措施进行合理的评价,提出有效合理的安全技术,形成提升信息系统安全性的安全方案,是安全架构设计的根本目标。在实际应用中,安全架构设计可以从安全技术的角度考虑,如加密解密、网络安全技术等。

4.7.3 整体架构设计

构建信息安全保障体系框架应包括技术体系、组织机构体系管理体系等三部分。也就是说,人、管理和技术手段是信息安全架构设计的三大要素,而构建动态的信息与网络安全保障体系框架是实现系统安全的保障。

1.WPDRRC模型

针对网络安全防护问题,各个国家曾提出了多个网络安全体系模型和架构,比如PDRR (Protection/Detection/Reaction/Recovery,防护/检测/响应/恢复)模型、P2DR模型 (Policy/Protection/Detection/Response, 安全策略/防护/检测/响应)。 WPDRRC(Waring/Protect/Detect/ React/Restore/Counterattack) 是我国信息安全专家组提出的信息系统安全保障体系建设模型。 WPDRRC 是在PDRR 信息安全体系模型的基础上前后增加了预警反击 功能。

在PDRR模型中,安全的概念已经从信息安全扩展到了信息保障,信息保障内涵已超出传统的信息安全保密,它是保护( Protect) 、 检测 ( Detect)、 反应( React) 、 恢复( Restore) 的有机结合。PDRR 模型把信息的安全保护作为基础,将保护视为活动过程,用检测手段来发现安 全漏洞,及时更正。同时采用应急响应措施对付各种入侵,在系统被入侵后,要采取相应的措施将系统恢复到正常状态,这样才能使信息的安全得到全方位的保障,该模型强调的是自动故障恢复能力。

WPDRRC 模型有六个环节和三大要素。六个环节 包括:预警(W) 、保护§ 、检测§、响应® 、恢复®和反击©,它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。三大要素 包括:人员、策略和技术。人员是核心,策略是桥梁,技术是保证。落实在WPDRRC的六个环节的各个方面,将安全策略变为安全现实。

(1)预警(W) 。预警主要是指利用远程安全评估系统提供的模拟攻击技术,来检查系统可能存在的被利用的薄弱环节,收集和测试网络与信息的安全风险所在,并以直观的方式进行报告,提供解决方案的建议。在经过分析后,分解网络与信息的风险变化趋势和严重风险点,从而有效降低网络与信息的总体风险,保护关键业务和数据。

(2)防护§ 。 防护通常是通过采用成熟的信息安全技术及方法,来实现网络与信息的安全。主要内容有加密机制、数字签名机制、访问控制机制、认证机制、信息隐藏和防火墙技术等。

(3)检测(D) 。检测是通过检测和监控网络以及系统,来发现新的威胁和弱点,强制执行安全策略。在这个过程中采用入侵检测、恶意代码过滤 等技术,形成动态检测的制度、奖励报告协调机制,提高检测的实时性。主要内容有入侵检测、系统脆弱性检测、数据完整性检测和攻击性检测等。

(4)响应®。响应是指在检测到安全漏洞和安全事件之后必须及时做出正确的响应,从而把系统调整到安全状态。为此需要相应的报警、跟踪和处理系统,其中处理包括了封堵、隔离、报告等能力。主要内容有应急策略、应急机制、应急手段、入侵过程分析和安全状态评估等。

(5)恢复®。恢复是指当前网络、数据、服务受到黑客攻击并遭到破坏或影响后,通过必要技术手段,在尽可能短的时间内使系统恢复正常。主要内容有容错、冗余、备份、替换、 修复和恢复等。

(6)反击©。反击是指采用一切可能的高新技术手段,侦察、提取计算机犯罪分子的作案线索与犯罪证据,形成强有力的取证能力和依法打击手段。

2.架构设计

信息系统的安全需求是任何单一安全技术都无法解决的,要设计一个信息安全体系架构,应当选择合适的安全体系结构模型。信息系统安全设计重点考虑两个方面:一是系统安全保障体系;二是信息安全体系架构。

1)系统安全保障体系

安全保障体系是由安全服务、协议层次和系统单元三个层面组成,且每层都涵盖了安全管理的内容。系统安全保障体系设计工作主要考虑以下几点:

●安全区域策略的确定。根据安全区域的划分,主管部门应制定针对性的安全策略。如定时审计评估、安装入侵检测系统、统一授权、认证等。

●统一配置和管理防病毒系统。主管部门应当建立整体防御策略,以实现统一的配置和管理。网络防病毒的策略应满足全面性、易用性、实时性和可扩展性等方面要求。

●网络与信息安全管理。在网络安全中,除了采用一些技术措施之外,还需加强网络与信息安全管理,制定有关规章制度。在相关管理中,任何的安全保障措施,最终要落实到具体的管理规章制度以及具体的管理人员职责上,并通过管理人员的工作得到实现。详见本书8.1节。

2)信息安全体系架构

通过对信息系统应用的全面了解,按照安全风险、需求分析结果、安全策略以及网络与信息的安全目标等方面开展安全体系架构的设计工作。具体在安全控制系统,可以从物理安全、系统安全、网络安全、应用安全和安全管理等5个方面开展分析和设计工作。

●物理安全。保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免受地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。物理安全主要包括:环境安全、设备安全、媒体安全等。

●系统安全。系统安全主要是指对信息系统组成中各个部件的安全要求。系统安全是系统整体安全的基础。它主要包括网络结构安全、操作系统安全和应用系统安全等。

●网络安全。网络安全是整个安全解决方案的关键。它主要包括访问控制、通信保密、入侵检测、网络安全扫描和防病毒等。

●应用安全。应用安全主要是指多个用户使用网络系统时,对共享资源和信息存储操作所带来的安全问题。它主要包括资源共享和信息存储两个方面。

●安全管理。安全管理主要体现在三个方面:制定健全的安全管理体制,构建安全管理平台,增强人员的安全防范意识。

3.设计要点

网络与信息安全架构设计可以参照各类架构模型,结合组织的具体战略、实际现状和预期目标等,细致开展相关工作。

1)系统安全设计要点

系统安全设计要点主要包括以下几个方面。

●网络结构安全领域重点关注网络拓扑结构是否合理,线路是否冗余,路由是否冗余和防止单点失败等。

●操作系统安全重点关注两个方面:①操作系统的安全防范可以采取的措施,如:尽量采用安全性较高的网络操作系统并进行必要的安全配置,关闭一些不常用但存在安全隐患的应用,使用权限进行限制或加强口令的使用等。②通过配备操作系统安全扫描系统对操作系统进行安全性扫描,发现漏洞,及时升级等。

●应用系统安全方面重点关注应用服务器,尽量不要开放一些不经常使用的协议及协议端口,如文件服务、电子邮件服务器等。可以关闭服务器上的如HTTP、FTP、Telnet等服务。可以加强登录身份认证,确保用户使用的合法性。

2)网络安全设计要点

网络安全设计要点主要包括以下几个方面。

●隔离与访问控制要有严格的管制制度,可制定比如《用户授权实施细则》《口令及账户管理规范》《权限管理制定》等一系列管理办法。

●通过配备防火墙实现网络安全中最基本、最经济、最有效的安全措施。通过防火墙严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制,防火墙可以实现单向或双向控制,并对一些高层协议实现较细粒度的访问控制。

●入侵检测需要根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实施响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎),控制台用作制定及管理所有探测器(网络引擎),网络引擎用作监听进出网络的访问行为,根据控制台的指令执行相应行为。

病毒防护是网络安全的必要手段,由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。网络系统中使用的操作系统(如Windows系统),容易感染病毒,因此计算机病毒的防范也是网络安全建设中应该考虑的重要环节之一,反病毒技术包括预防病毒、检测病毒和杀毒三种。

3)应用安全设计要点

应用安全设计要点主要包括以下两个方面。

●资源共享要严格控制内部员工对网络共享资源的使用,在内部子网中一般不要轻易开放共享目录,否则会因为疏忽而在员工间交换信息时泄露重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才能允许访问数据。

●信息存储是指对于涉及秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据服务器中的数据库做安全备份。通过网络备份系统可以对数据库进行远程备份存储。

4)安全管理设计要点

安全管理设计要点主要包括以下几个方面。

●制定健全安全管理体制将是网络安全得以实现的重要保证,可以根据自身的实际情况制定如安全操作流程、安全事故的奖罚制度以及任命安全管理人员全权负责监督和指导。

●构建安全管理平台将会降低许多因为无意的人为因素而造成的风险。构建安全管理平台可从技术上进行防护,如组成安全管理子网、安装集中统一的安全管理软件、网络设备管理系统以及网络安全设备统一管理软件等,通过安全管理平台实现全网的安全管理。应该经常对单位员工进行网络安全防范意识的培训,全面提高员工的整体安全方法意识。

4.7.4 网络安全架构设计

建立信息系统安全体系的目的,就是将普遍性安全原理与信息系统的实际相结合,形成满足信息系统安全需求的安全体系结构,网络安全体系是信息系统体系的核心之一。

1.OSI安全架构

OSI(Open System Interconnection/Reference Mode,OSI/RM)是由国际化标准组织制定的开放式通信系统互联模型(ISO7498-2),国家标准GB/T9387.2《信息处理系统开放系统互联基本参考模型第2部分:安全体系结构》等同于ISO7498-2。OSI目的在于保证开放系统进程与进程之间远距离安全交换信息。这些标准在参考模型的框架内建立起一些指导原则与约束条件,从而提供了解决开放互联系统中安全问题的一致性方法。

OSI定义了7层协议,其中除第5层(会话层)外,每一层均能提供相应的安全服务。实际上,最适合配置安全服务的是在物理层、网络层、传输层及应用层上,其他层都不宜配置安全服务。OSI开放系统互联安全体系的5类安全服务包括鉴别、访问控制、数据机密性、数据完整性和抗抵赖性 。OSI定义分层多点安全技术体系架构,也称为深度防御安全技术体系架构,它通过以下三种方式将防御能力分布至整个信息系统中。

1)多点技术防御

在对手可以从内部或外部多点攻击一个目标的前提下,多点技术防御通过对以下多个核心区域的防御达到抵御所有方式攻击的目的。

●网络和基础设施;为了确保可用性,局域网和广域网需要进行保护以抵抗各种攻击,如拒绝服务攻击等。为了确保机密性和完整性,需要保护在这些网络上传送的信息以及流量的特征以防止非故意的泄露。

●边界:为了抵御主动的网络攻击,边界需要提供更强的边界防御,例如流量过滤和控制以及入侵检测。

●计算环境:为了抵御内部、近距离的分布攻击,主机和工作站需要提供足够的访问控制

2)分层技术防御

即使最好的可得到的信息保障产品也有弱点,其最终结果将使对手能找到一个可探查的脆弱性,一个有效的措施是在对手和目标间使用多个防御机制。为了减少这些攻击成功的可能性和对成功攻击的可承担性,每种机制应代表一种唯一的障碍,并同时包括保护和检测方法。例如,在外部和内部边界同时使用嵌套的防火墙并配合以入侵检测就是分层技术防御的一个实例。

3)支撑性基础设施

支撑性基础设施为网络、边界和计算环境中信息保障机制运行基础的支撑性基础设施,包括公钥基础设施以及检测和响应基础设施。

●公钥基础设施:提供一种通用的联合处理方式,以便安全地创建、分发和管理公钥证书和传统的对称密钥,使它们能够为网络、边界和计算环境提供安全服务。这些服务能够对发送者和接收者的完整性进行可靠验证,并可以避免在未获授权的情况下泄露和更改信息。公钥基础设施必须支持受控的互操作性,并与各用户团体所建立的安全策略保持一致。

●检测和响应基础设施:能够迅速检测并响应入侵行为。它也提供便于结合其他相关事件观察某个事件的"汇总"功能。另外,它也允许分析员识别潜在的行为模式或新的发展趋势。

这里必须注意的是,信息系统的安全保障不仅仅依赖于技术,还需要非技术防御手段。一个可接受级别的信息保障依赖于人员、管理、技术和过程的综合。

2.认证框架

鉴别(Authentication)的基本目的是防止其他实体占用和独立操作被鉴别实体的身份。鉴别提供了实体声称其身份的保证,只有在主体和验证者的关系背景下,鉴别才是有意义的。鉴别有两个重要的关系背景:①实体由申请者来代表,申请者与验证者之间存在着特定的通信关系(如实体鉴别);②实体为验证者提供数据项来源。鉴别的方式主要基于以下5种。

●已知的,如一个秘密的口令。

●拥有的,如IC卡、令牌等。

●不改变的特性,如生物特征。

●相信可靠的第三方建立的鉴别(递推)。

●环境(如主机地址等)。

鉴别信息是指申请者要求鉴别到鉴别过程结束所生成、使用和交换的信息。鉴别信息的类型有交换鉴别信息、申请鉴别信息和验证鉴别信息。在某些情况下,为了产生交换鉴别信息,申请者需要与可信第三方进行交互。类似地,为了验证交换鉴别信息,验证者也需要同可信第三方进行交互。在这种情况下,可信第三方持有相关实体的验证AI,也可能使用可信第三方来传递交换鉴别信息,实体也可能需要持有鉴别可信第三方中所使用的鉴别信息。

鉴别服务分为以下阶段;安装阶段、修改鉴别信息阶段、分发阶段、获取阶段、传送阶段、验证阶段、停活阶段、重新激活阶段、取消安装阶段。

(1)在安装阶段,定义申请鉴别信息和验证鉴别信息。

(2)修改鉴别信息阶段,实体或管理者申请鉴别信息和验证鉴别信息变更(如修改口令)。

(3)在分发阶段,为了验证交换鉴别信息,把验证鉴别信息分发到各实体(如申请者或验证者)以供使用。

(4)在获取阶段,申请者或验证者可得到为鉴别实例生成特定交换鉴别信息所需的信息,通过与可信第三方进行交互或鉴别实体间的信息交换可得到交换鉴别信息。例如,当使用联机密钥分配中心时,申请者或验证者可从密钥分配中心得到一些信息,如鉴别证书。

(5)在传送阶段,在申请者与验证者之间传送交换鉴别信息。

(6)在验证阶段,用验证鉴别信息核对交换鉴别信息。

(7)在停活阶段,将建立一种状态,使得以前能被鉴别的实体暂时不能被鉴别。

(8)在重新激活阶段,使在停活阶段建立的状态将被终止。

(9)在取消安装阶段,实体从实体集合中被拆除。

3.访问控制框架

访问控制(Access Control)决定开放系统环境中允许使用哪些资源,在什么地方适合阻止未授权访问的过程。在访问控制实例中,访问可以是对一个系统(即对一个系统通信部分的一个实体)或对一个系统内部进行的。图4-25和图4-26说明了访问控制的基本功能。

ACI(访问控制信息 )是用于访问控制目的的任何信息,其中包括上下文信息。ADI(访问控制判决信息 )是在做出一个特定的访问控制判决时可供ADF使用的部分(或全部)ACI。ADF(访问控制判决功能 ,Access Control Decision Function)是一种特定功能,它通过对访问请求、ADI以及该访问请求的上下文使用访问控制策略规则而做出访问控制判决。AEF(访问控制实施功能 )确保只有对目标允许的访问才由发起者执行。

涉及访问控制的有发起者、AEF、ADF和目标。发起者代表访问或试图访问目标的人和基于计算机的实体。目标代表被试图访问或由发起者访问的,基于计算机或通信的实体。例如,目标可能是OSI实体、文件或者系统。访问请求代表构成试图访问部分的操作和操作数。

当发起者请求对目标进行特殊访问时,AEF就通知ADF需要一个判决来做出决定。为了作出判决,给ADF提供了访问请求(作为判决请求的一部分)和下列几种访问控制判决信息(ADI)。

●发起者ADI(ADI由绑定到发起者的ACI导出);

●目标ADI(ADI由绑定到目标的ACI导出);

●访问请求ADI(ADI由绑定到访问请求的ACI导出)。

ADF的其他输入是访问控制策略规则(来自ADF的安全域权威机构)和用于解释ADI或策略的必要上下文信息。上下文信息包括发起者的位置、访问时间或使用中的特殊通信路径等。基于这些输入,以及可能还有以前判决中保留下来的ADI信息,ADF可以做出允许或禁止发起者试图对目标进行访问的判决。该判决传递给AEF,然后AEF允许将访问请求传给目标或采取其他合适的行动。

在许多情况下,由发起者对目标的逐次访问请求是相关的。应用中的一个典型例子是在打开与同层目标的连接应用进程后,试图用相同(保留)的ADI执行几个访问,对一些随后通过连接进行通信的访问请求,可能需要给ADF提供附加的ADI以允许访问请求,在另一些情况下,安全策略可能要求对一个或多个发起者与一个或多个目标之间的某种相关访问请求进行限制,这时,ADF可能使用与多个发起者和目标有关的先前判决中所保留的ADI来对特殊访问请求作出判决。

如果得到AEF的允许,访问请求只涉及发起者与目标的单一交互。尽管发起者和目标之间的一些访问请求是完全与其他访问请求无关的,但常常是两个实体进入一个相关的访问请求集合中,如质询应答模式。在这种情况下,实体根据需要同时或交替地变更发起者和目标角色,可以由分离的AEF组件、ADF组件和访问控制策略对每一个访问请求执行访问控制功能。

4.机密性框架

机密性(Confidentiality)服务的目的是确保信息仅仅是对被授权者可用。由于信息是通过数据表示的,而数据可能导致关系的变化(如文件操作可能导致目录改变或可用存储区域的改变),因此信息能通过许多不同的方式从数据中导出。例如,通过理解数据的含义(如数据的值)导出;通过使用数据相关的属性(如存在性、创建的数据、数据大小、最后一次更新的日期等)进行导出:通过研究数据的上下文关系,即通过那些与之相关的其他数据实体导出;通过观察数据表达式的动态变化导出。

信息的保护是确保数据被限制于授权者获得,或通过特定方式表示数据来获得,这种保护方式的语义是,数据只对那些拥有某种关键信息的人才是可访问的。有效的机密性保护,要求必要的控制信息(如密钥和RCI等)是受到保护的,这种保护机制和用来保护数据的机制是不同的(如密钥可以通过物理手段保护等)。

在机密性框架中用到被保护的环境和被交叠保护的环境两个概念。在被保护环境中的数据,可通过使用特别的安全机制(或多个机制)保护,在一个被保护环境中的所有数据以类似方法受到保护。当两个或更多的环境交叠的时候,交叠中的数据能被多重保护。可以推断,从一个环境移到另一个环境的数据的连续保护必然涉及交叠保护环境。

数据的机密性可以依赖于所驻留和传输的媒体,因此,存储数据的机密性能通过使用隐藏数据语义(如加密)或将数据分片的机制来保证。数据在传输中的机密性能通过禁止访问的机制,通过隐藏数据语义的机制或通过分散数据的机制得以保证(如跳频等)。这些机制类型能被单独使用或者组合使用。

1)通过禁止访问提供机密性

通过禁止访问的机密性能通过在ITU-TRec.812或ISO/IEC10181-3中描述的访问控制获得,以及通过物理媒体保护和路由选择控制获得。通过物理媒体保护的机密性保护,可以采取物理方法,保证媒体中的数据只能通过特殊的有限设备才能检测到,数据机密性只有通过确保授权的实体才能有效实现这种机制。通过路由选择控制的机密性保护目的是防止被传输数据项表示的信息未授权而泄露,在这一机制下只有可信和安全的设施才能路由数据,以达到支持机密性服务的目的。

2)通过加密提供机密性

这种机制的目的是防止在传输或存储中的数据泄露。加密机制分为基于对称的加密机制和基于非对称加密的机密机制。除了以上两种机密性机制外,还可以通过数据填充、通过虚假事件(如把在不可信链路上交换的信息流总量隐藏起来),通过保护PDU头和通过时间可变域提供机密性。

5.完整性框架

完整性(Integrity)框架的目的是通过阻止威胁或探测威胁,保护可能遭到不同方式危害的数据完整性和数据相关属性完整性。所谓完整性,就是数据不以未经授权方式进行改变或损毁的特征。

完整性服务有几种分类方式:根据防范的违规分类,违规操作分为未授权的数据修改、未授权的数据创建、未授权的数据删除、未授权的数据插入和未授权的数据重放。依据提供的保护方法分为阻止完整性损坏和检测完整性损坏。依据是否支持恢复机制,分为具有恢复机制的和不具有恢复机制的。

由于保护数据的能力与正在使用的媒体有关,对于不同的媒体,数据完整性保护机制是有区别的,可概括为以下两种情况。

(1)阻止对媒体访问的机制。包括物理隔离的不受干扰的信道、路由控制、访问控制。

(2)用以探测对数据或数据项序列的非授权修改的机制。未授权修改包括未授权数据创建、数据删除以及数据重放。而相应的完整性机制包括密封、数字签名,数据重复(作为对抗其他类型违规的手段)、与密码变换相结合的数字指纹和消息序列号。

按照保护强度,完整性机制可分为:

●不做保护;

●对修改和创建的探测;

●对修改、创建、删除和重复的探测;

●对修改和创建的探测并带恢复功能;

●对修改、创建、删除和重复的探测并带恢复功能。

6.抗抵赖性框架

抗抵赖(Non-repudiation)服务包括证据的生成、验证和记录,以及在解决纠纷时随即进行的证据恢复和再次验证。框架所描述的抗抵赖服务的目的是提供有关特定事件或行为的证据。事件或行为本身以外的其他实体可以请求抗抵赖服务。抗抵赖服务可以保护的行为实例有发送X.400消息、在数据库中插入记录、请求远程操作等。

当涉及消息内容的抗抵赖服务时,为提供原发证明,必须确认数据原发者身份和数据完整性。为提供递交证明,必须确认接收者身份和数据完整性。在某些情况下,还可能需要涉及上下文信息(如日期、时间、原发者/接收者的地点等)的证据。抗抵赖服务提供下列可在试图抵赖的事件中使用的设备:证据生成、证据记录、验证生成的证据、证据的恢复和重验。纠纷可以在纠纷两方之间直接通过检查证据解决,也可能不得不通过仲裁者解决,由仲裁者评估并确定是否发生过有纠纷的行为或事件。

抗抵赖由4个独立的阶段组成,分别为:证据生成,证据传输、存储及恢复,证据验证解决纠纷

(1)证据生成。在这个阶段中,证据生成请求者请求证据生成者为事件或行为生成证据。卷入事件或行为中的实体称为证据实体,其卷入关系由证据建立。根据抗抵赖服务的类型,证据可由证据实体,或与可信第三方的服务一起生成,或者单独由可信第三方生成。

(2)证据传输、存储及恢复。在这个阶段,证据在实体间传输或从存储器取出来或传到存储器。

(3)证据验证。在这个阶段,证据在证据使用者的请求下被证据验证者验证。本阶段的目的是在出现纠纷的事件中,让证据使用者确信被提供的证据确实是充分的。可信第三方服务也可参与,以提供验证该证据的信息。

(4)解决纠纷。在解决纠纷阶段,仲裁者有解决双方纠纷的责任。

4.7.5数据库系统安全设计

数据库完整性约束可以通过数据库管理系统(Database Management System,DBMS)或应用程序来实现,基于DBMS的完整性约束作为模式的一部分存入数据库中。

4.8 云原生架构

"云原生"来自于Cloud Native的直译,拆开来看,Cloud就是指其应用软件和服务是在云端而非传统意义上的数据中心。Native代表应用软件从一开始就是基于云环境,专门为云端特性而设计,可充分利用和发挥云环境的弹性与分布式优势,最大化释放云环境生产力。

4.8.1 发展概述

云原生与商业场景的深度融合,不仅为各行业注入了发展与创新的新动能,也促使云原生技术更快发展、生态更加成熟,主要表现为以下几点。

(1)从为组织带来的价值来看,云原生架构通过对多元算力的支持,满足不同应用场景的个性化算力需求,并基于软硬协同架构,为应用提供极致性能的云原生算力;基于多云治理和边云协同,打造高效、高可靠的分布式泛在计算平台,并构建包括容器、裸机、虚机、函数等多种形态的统一计算资源;以"应用"为中心打造高效的资源调度和管理平台,为企业提供一键式部署、可感知应用的智能化调度,以及全方位监控与运维能力。

(2)通过最新的DevSecOps应用开发模式,实现了应用的敏捷开发 ,提升业务应用的迭代速度,高效响应用户需求,并保证全流程安全。对于服务的集成提供侵入和非侵入两种模式辅助企业应用架构升级,同时实现新老应用的有机协同,立而不破。

(3)帮助企业管理好数据,快速构建数据运营能力,实现数据的资产化沉淀和价值挖掘,并借助一系列AI技术,再次赋能给企业应用,结合数据和AI的能力帮助企业实现业务的智能升级。

(4)结合云平台全方位组织级安全服务和安全合规能力,保障组织应用在云上安全构建,业务安全运行。

4.8.2 架构定义

1.代码结构发生巨大变化

2.非功能性特性大量委托

任何应用都提供两类特性:功能性特性和非功能性特性。功能性特性是真正为业务带来价值的代码,比如建立客户资料、处理订单、支付等。即使是一些通用的业务功能特性,比如组织管理、业务字典管理、搜索等也是紧贴业务需求的。非功能性特性是没有给业务带来直接业务价值,但通常又是必不可少的特性,比如高可用能力、容灾能力、安全特性、可运维性、易用性、可测试性、灰度发布能力等。

云计算虽然没有解决所有非功能性问题,但确实有大量非功能性,特别是分布式环境下复杂非功能性问题,被云计算解决了。以大家最头疼的高可用为例,云计算在多个层面为应用提供了解决方案等,如虚拟机、容器和云服务等。

(1)虚拟机。当虚拟机检测到底层硬件发生异常时,自动帮助应用做热迁移,迁移后的应用不需重新启动而仍然具备对外服务的能力,应用本身及其使用用户对整个迁移过程都不会有任何感知。

(2)容器。有时应用所在的物理机是正常的,只是应用自身的问题(比如bug、资源耗尽等)而无法正常对外提供服务。容器通过监控检查探测到进程状态异常,从而实施异常节点的下线、新节点上线和生产流量的切换等操作,整个过程自动完成而无须运维人员干预。

(3)云服务。如果应用把"有状态"部分都交给了云服务(如缓存、数据库、对象存储等),加上全局对象的持有小型化或具备从磁盘快速重建能力,由于云服务本身是具备极强的高可用能力,那么应用本身会变成更薄的"无状态"应用,高可用故障带来的业务中断会降至分钟级;如果应用是N:M(N台客户端中的每一台都可以访问到M台服务器)的对等架构模式,那么结合负载均衡产品可获得很强的高可用能力。

3.高度自动化的软件交付

4.8.3 基本原则

原则主要包括服务化、弹性、可观测、韧性、所有过程自动化、零信任、架构持续演进等原则。

4.8.4常用架构模式

常用的架构模式主要有服务化架构、Mesh化架构、Serverless、存储计算分离、分布式事务、可观测、事件驱动等。

4.9本章练习

1.选择题

(1)信息系统架构通常有

A.系统架构、数据架构、技术架构、应用架构、网络架构、安全架构

B.系统架构、数据架构、技术架构、网络架构、安全架构、云原生架构

C.系统架构、数据架构、技术架构、应用架构、网络架构、安全架构、云原生架构

D.数据架构、技术架构、应用架构、网络架构、安全架构、云原生架构

参考答案:C

(2)常用的应用架构设计原则有

A.业务适配性原则、应用企业化原则、IT专业化原则、风险最小化原则和资产复用化原则

B.业务适配性原则、应用企业化原则、IT专业化原则、风险最小化原则

C.业务适配性原则、应用企业化原则、IT专业化原则和资产复用化原则

D.业务适配性原则、IT专业化原则、风险最小化原则和资产复用化原则

参考答案:A

(3)常用的数据架构设计原则有。

A.数据分层原则、数据处理效率原则、保障数据一致性原则、服务于业务原则

B.数据分层原则、保障数据一致性原则、保证数据架构可扩展性原则

C.数据分层原则、数据处理效率原则、保障数据一致性原则

D.数据分层原则、数据处理效率原则、保障数据一致性原则、保证数据架构可扩展性原则、服务于业务原则

参考答案:D

(4)WPDRRC信息安全体系架构模型有 个环节和 大要素。

A.6,3B.5,3C.4,3D.6,2

参考答案:A

(5)云原生架构原则有_

A.弹性原则、可观测原则、所有过程自动化原则、零信任原则、架构持续演进原则

B.服务化原则、弹性原则、所有过程自动化原则、零信任原则、架构持续演进原则

C.服务化原则、弹性原则、可观测原则、韧性原则、所有过程自动化原则、零信任原则、架构持续演进原则

D.服务化原则、弹性原则、可观测原则、韧性原则、零信任原则、架构持续演进原则

参考答案:C

(6)框架是一个用于 架构的概念结构。

A.规划、开发、实施、管理和维持

B.规划、开发、实施和管理

C.规划、实施、管理和维持

D.开发、实施、管理和维持

参考答案:A

(7)云原生的主要架构模式有

A.服务化架构模式、存储计算分离模式、分布式事务模式、可观测架构、事件驱动架构

B.服务化架构模式、Mesh化架构模式、Serverless模式、存储计算分离模式、分布式事务模式

C.服务化架构模式、Mesh化架构模式、Serverless模式、分布式事务模式、可观测架构、事件驱动架构

D.服务化架构模式、Mesh化架构模式、Serverless模式、存储计算分离模式、分布式事务模式、可观测架构、事件驱动架构

参考答案:D

(8)OSI开放系统互联安全体系包括以下类安全服务。

A.访问控制、数据机密性、数据完整性和抗抵赖性

B.鉴别、访问控制、数据机密性和数据完整性

C.鉴别、访问控制、数据机密性、数据完整性和抗抵赖性

D.鉴别、数据机密性、数据完整性和抗抵赖性

参考答案:C

OSI开放系统互联安全体系的5类安全服务包括鉴别、访问控制、数据机密性、数据完整性和抗抵赖性

(9)架构的本质是决策,是在权衡_____等各方面因素后进行的决策。信息系统项目可基于项目建设的指导思想、设计原则和建设目标展开各类架构的设计。

A.方向、策略、关系以及原则

B.方向、结构、关系以及原则

C.方向、结构、方针以及原则

D.方向、结构、关系以及文化

参考答案:B

2.思考题

(1)云原生架构原则有哪些,请简述?

参考答案:略

(2)常用的数据架构设计原则有哪些,请简述?

参考答案:略

相关推荐
AI 小老六2 小时前
Agent 评测系统架构:从指标分层到 GT/Judge 闭环的工程化落地
人工智能·ai·架构·系统架构·可用性测试
小帽子_1232 小时前
大型储能液冷温控系统原理:散热架构、流道设计与温控精准控制逻辑
架构·系统架构
LONGZETECH3 小时前
新能源汽车动力电池检测仿真教学系统:C/S 分层架构与数字化实训落地全解析
大数据·c语言·开发语言·人工智能·架构·系统架构·汽车
Token炼金师7 小时前
服务的骨架:网关、负载均衡、容灾、弹性与多机房 —— 推理系统架构五柱
人工智能·系统架构·llm·负载均衡·容灾·kv cache·prefix cache
言乐61 天前
Python快速生成工作报告
python·系统架构·html·交互·软件构建
qzhqbb1 天前
Agent 系统架构与核心技术要点
人工智能·系统架构
张琦-Q2 天前
【RTOS】上下文切换原理
系统架构
开发小程序的之朴3 天前
认识安企CMS-安装安企CMS的环境要求
nginx·golang·系统架构
小短腿的代码世界3 天前
Qt WebEngine多进程架构与IPC通信:从Chromium多进程到Qt信号槽融合
qt·架构·系统架构