Придерживайтесь идеи развития, ориентированного на людей, внимательно следите за потребностями людей в услугах и их опытом обслуживания, а также учитывайте удовлетворенность, неудовлетворенность, неудовлетворенность и неудовлетворенность людей в качестве целей работы посредством строительства центра умного управления социального страхования в определенном городе. , мы поддерживаем создание массовой и удовлетворительной системы социального страхования в определенном городе.

Комплексное использование основных технологий, таких как Интернет, большие данные, интеллект, Интернет вещей, 5G, искусственный интеллект и ГИС, а также благодаря реформе механизмов, инновациям моделей, накоплению данных и расширению возможностей технологий, позволит создать центр интеллектуального управления социального страхования и способствовать модернизации системы социального страхования в определенном городе. Модернизация систем управления и возможностей управления.

Мы сосредоточимся на решении ключевых, сложных и болевых точек, которые ограничивают развитие социального страхования в определенном городе, в качестве фокуса на создании умного центра управления социальным страхованием в определенном городе, выявлении прорывов, повышении актуальности, освещении общей ситуации. и улучшить стандартизацию услуг, специализацию и сотрудничество. Уровень управления и управления должен быть разумным, точным и научным.

Строительство городского центра интеллектуального управления социальным страхованием должно быть сосредоточено на общей работе городской системы социального страхования, начиная с различных аспектов подключения системы, поддержки политики, связи между департаментами, делового сотрудничества и обмена данными, для создания бизнеса и технологий. Внутреннее, внешнее и горизонтальное Новая интеллектуальная система управления социальным страхованием, которая интегрируется вертикально, онлайн и офлайн, сформировала новую движущую силу для поддержки высококачественного развития социального страхования в новую эпоху.

Строительство центра интеллектуального управления социальным страхованием в определенном городе должно правильно регулировать взаимосвязь между инновационным развитием и безопасностью, усиливать информационную безопасность и защиту личной конфиденциальности, совершенствовать многоуровневую систему предотвращения и контроля рисков социального страхования, а также консолидировать надежные, доступные и устойчивая способность информационной поддержки.

В соответствии с общим планом планирования и строительства интеллектуального центра социального страхования определенного города проясните границы, взаимосвязи и приоритеты между строительством интеллектуального центра социального страхования и общим строительством проекта финансового страхования, в полной мере используйте существующие информационная инфраструктура и прикладные системы, координировать планирование и тщательное внедрение должно быть сосредоточено на том, чтобы быть реализуемым, работоспособным и поддающимся оценке, чтобы гарантировать, что эффективность строительства центра умного управления социального страхования в определенном городе может быть полностью реализована.

Система стратегии относится к управленческой деятельности и компьютерным системам, связанным с формулированием стратегии и принятием решений на высоком уровне в организации.

В архитектуре информационных систем (ISA) стратегическая система состоит из двух частей.

Создание стратегической системы в ISA имеет два значения:

Обычно стратегическое планирование организации делится на два типа: долгосрочное планирование и краткосрочное планирование. Долгосрочное планирование является относительно стабильным, например, корректировка структуры продукта и т. д., краткосрочное планирование обычно формулируется на основе цели долгосрочного; -срочное планирование, и его относительно легко адаптировать к окружающей среде и организационным операциям и изменениям, таким как принятие решения о типе нового продукта и т. д.

Бизнес-система — это система, состоящая из различных частей (материальных, энергетических, информационных и человеческих) в организации, которые выполняют определенные бизнес-функции.

В организации существует множество бизнес-систем, таких как производственные системы, системы продаж, системы закупок, кадровые системы, системы бухгалтерского учета и т. д. Каждая бизнес-система состоит из некоторых бизнес-процессов, выполняющих функции бизнес-системы. часто включают в себя кредиторскую задолженность, кредиторскую задолженность и системы бухгалтерского учета, выставление счетов, аудит и другие бизнес-процессы.

Бизнес-процессы можно разложить на ряд логически взаимозависимых бизнес-операций, которые выполняются последовательно. Каждое бизнес-действие выполняет свою роль и обрабатывает связанные данные. Когда организации корректируют свои стратегии развития, чтобы лучше адаптироваться к внутренней и внешней среде разработки (например, при развертывании и использовании информационных систем), они часто проводят реорганизацию бизнес-процессов. Реорганизация бизнес-процессов сосредоточена на бизнес-процессах, разрыве разделения труда между функциональными подразделениями организации, а также улучшении или реорганизации существующих бизнес-процессов с целью достижения значительного повышения эффективности производства, стоимости, качества, сроков поставки и т. д., а также улучшения конкурентоспособность организации.

Роль бизнес-системы в ISA:

Прикладная система — это система прикладного программного обеспечения, которая относится к части прикладного программного обеспечения информационной системы.

Для прикладного программного обеспечения (прикладных систем) в информационных системах организации обычно завершенные функции могут включать:

Независимо от того, на каком уровне находится прикладная система, с архитектурной точки зрения она содержит два основных компонента: часть реализации внутренних функций и часть внешнего интерфейса. Эти две основные части состоят из более конкретных компонентов и связей между ними. Интерфейсная часть — это часть прикладной системы, которая изменяется относительно часто, в основном из-за изменения требований пользователя к форме интерфейса. В части реализации функций, условно говоря, обрабатываемые данные изменяются меньше, тогда как алгоритм и структура управления программой меняются больше, что в основном вызвано изменениями функциональных требований пользователя к прикладной системе и изменениями требований к форме интерфейса.

Под информационной инфраструктурой организации понимается построение среды, состоящей из информационного оборудования, сетей связи, баз данных, системного и вспомогательного программного обеспечения, исходя из текущего бизнеса организации и прогнозируемых тенденций развития, а также требований к сбору, обработке, хранению и обращению информации.

Информационная инфраструктура организации делится на три части:

Из-за развития технологий и изменений в требованиях к организационным системам техническая инфраструктура сталкивается со многими меняющимися факторами при проектировании, разработке и обслуживании информационных систем, а из-за разнообразия технологий реализации существует множество способов достижения одной и той же функции. В средствах информационных ресурсов относительно мало изменений в построении системы. Независимо от того, какие функции выполняет организация или как изменяются бизнес-процессы, данные и информация должны обрабатываться, и большинство из них не меняются вместе с изменениями в бизнесе. В инфраструктуре управления происходит относительно много изменений. Это связано с тем, что организациям необходимо адаптироваться к изменениям в окружающей среде и удовлетворять потребности конкуренции, особенно на этапе преобразования моей страны и перехода к рыночной экономике, введения или изменения экономической политики. , реформы бизнес-модели и т. д. окажут большое влияние. Это приводит к изменениям в организационных правилах и положениях, методах управления, разделении труда между персоналом и организационной структуре. Вышеизложенное представляет собой лишь общее описание относительной стабильности и относительных изменений трех основных компонентов информационной инфраструктуры. В технической инфраструктуре, информационных ресурсах и инфраструктуре управления есть относительно стабильные и относительно нестабильные части. Это не может быть обобщено.

Заинтересованные стороны проекта программной системы (заказчики, пользователи, менеджеры проектов, программисты, тестировщики, маркетологи и т. д.) предъявляют разные требования к программной системе, организация-разработчик (проектная команда) имеет различную структуру знаний персонала, качество дизайнеры-архитекторы. Такие аспекты, как опыт и текущая техническая среда, являются факторами, влияющими на архитектуру. Эти факторы влияют на архитектуру, влияя на решения архитектора через функциональные требования, нефункциональные требования, ограничения и конфликтующие требования.

Архитектура описывает крупнозернистую (макро) общую структуру системы, поэтому рабочую силу можно разделить в соответствии с архитектурой, а проектную группу разделить на несколько рабочих групп, тем самым делая разработку упорядоченной, влияя на цели организации разработки; то есть успешная архитектура предоставляет организации-разработчику новые возможности для бизнеса благодаря наглядности системы, возможности повторного использования архитектуры и улучшению опыта разработки команды. В то же время успешная система будет создана. повлиять на требования клиентов к следующей системе.

Под физической архитектурой подразумевается не рассмотрение фактической работы и функциональной архитектуры каждой части системы, а лишь абстрактное исследование пространственного распределения ее аппаратной системы.

По топологическому взаимосвязи информационных систем в пространстве их принято делить на

Логическая архитектура относится к синтезу различных функциональных подсистем информационной системы.

Логическая архитектура информационной системы – это ее функциональный комплекс и концептуальная основа.

Для информационной системы управления производственной организации она разделена с точки зрения функций управления, включая подсистемы управления информацией с основными функциями, такими как закупки, производство, продажи, человеческие ресурсы и финансы. Полная информационная система поддерживает различные функциональные подсистемы организации, позволяя каждой подсистеме выполнять функции на различных уровнях, таких как обработка транзакций, управление операциями, управленческий контроль и стратегическое планирование. Каждая подсистема может иметь свои собственные выделенные файлы и в то же время может совместно использовать различные типы данных в информационной системе и реализовывать связь между подсистемами через стандартизированные интерфейсы, такие как сеть и данные. Точно так же каждая подсистема имеет свою собственную прикладную программу и может также вызывать общедоступные программы, которые обслуживают различные функции и модели в библиотеке системных моделей.

Горизонтальная интеграция означает интеграцию различных функций и потребностей на одном уровне. Например, интеграция подсистем управления персоналом и заработной платой уровня управления операциями для интеграции низовой бизнес-обработки.

Вертикальная интеграция подразумевает организацию бизнеса на всех уровнях с определенными функциями и требованиями. Эта интеграция обеспечивает связь между начальниками и подчиненными. Например, система бухгалтерского учета филиала и система бухгалтерского учета всей организации чем-то интегрированы. в общем, где может быть сформирован интегрированный процесс обработки.

Вертикальная и горизонтальная интеграция относится к синтезу, главным образом, из двух аспектов информационной модели и модели обработки для достижения централизованного обмена информацией, сделать программу максимально модульной, обратить внимание на извлечение общих частей и создать систему общих данных и интегрированную информацию. система обработки.

1. Двухслойный К/С

2. Трехслойная структура C/S и B/S

3. Многослойная структура C/S

4. Шаблон Модель-Представление-Контроллер

Если двум прикладным системам с многоуровневой структурой C/S необходимо взаимодействовать друг с другом, то будет создана сервис-ориентированная архитектура. (Сервис-ориентированная архитектура, SOA)

Независимая система приложений означает, что независимо от того, из скольких уровней сервисов состоит система приложений, если какой-либо уровень будет удален, он не будет работать должным образом. Это может быть независимое приложение, предоставляющее полные функции внешнему миру.

Используйте промежуточное программное обеспечение для реализации требований SOA, например промежуточное программное обеспечение для сообщений, промежуточное программное обеспечение для транзакций и т. д.

На практике сервис-ориентированную архитектуру можно разделить на интеграцию гетерогенных систем, агрегацию гомогенных систем, федеративную архитектуру и т. д.

Сервис-ориентированная архитектура отражается между веб-приложениями и становится веб-сервисом, то есть два интернет-приложения могут открывать друг другу некоторые внутренние «сервисы» (под такими сервисами можно понимать функциональные модули, функции, процессы и т. д.). В настоящее время протоколы веб-приложений, позволяющие открывать свои внутренние службы внешнему миру, в основном включают SOAP и WSDL. Для получения более подробной информации обратитесь к соответствующим стандартам.

Веб-сервис — один из наиболее типичных и популярных шаблонов приложений сервис-ориентированной архитектуры.

Суть заключается в механизме сообщений или удаленном вызове процедур (RPC).

Для малых и средних промышленных предприятий или промышленных предприятий, находящихся на начальном этапе информатизации и цифровизации, основной целью построения интеграции информационных систем является повышение эффективности работы и снижение бизнес-рисков. В то же время из-за недостатков собственных команд по информатизации и талантов, а также отсутствия глубокого понимания информатизации и цифровизации в своих бизнес-системах, предприятия часто применяют «доктрину заимствования» для построения своих информационных систем. то есть напрямую приобретать полные комплекты зрелого прикладного программного обеспечения и создавать соответствующую инфраструктуру на основе эксплуатационных требований прикладного программного обеспечения.

На этом этапе развития предприятия основное внимание уделяется детальному разделению организационных функций и внедрению лучших отраслевых практик. Таким образом, информационная структура организации часто основывается на отделах или функциях. Основное внимание уделяется программным функциям информационной системы, таким как управление финансами, управление оборудованием, управление активами и т. д., чтобы осуществлять информационную систему. планирование, проектирование, развертывание и эксплуатация. В то же время за счет внедрения полных комплектов программного обеспечения компания может укрепить свой собственный уровень управления или процессов. Интеграция и объединение прикладного программного обеспечения или модулей в основном осуществляется через программный интерфейс системы. Предприятия часто применяют единое планирование и поэтапное внедрение, то есть какие функции необходимы и какие функции развертываются онлайн.

Архитектура системной интеграции с возможностями платформы в качестве основной линии возникла в результате развития технологии облачных вычислений и постепенного развития облачных сервисов. Его основная концепция заключается в преобразовании каждого компонента «разрозненной» информационной системы в «плоский» метод построения, включая плоский сбор данных, плоскую передачу по сети, плоское промежуточное программное обеспечение приложений, плоскую разработку приложений и т. д., а также через стандартизированные интерфейсы. и новые информационные технологии могут обеспечить гибкость и гибкость информационных систем. Приложения информационных систем, поддерживаемые архитектурой платформы, могут быть объединены со специальной конструкцией или независимой конфигурацией (или мелкомасштабной разработкой) для быстрого получения функций прикладной системы, необходимых предприятию, тем самым преодолевая недостатки поставщиков комплексного программного обеспечения в персонализированной настройке программного обеспечения.

В конкретной практике архитектурная трансформация предприятий представляет собой непрерывный процесс. Предприятия будут продолжать использовать полную модель развертывания программного обеспечения для приложений с высокой зрелостью и небольшим количеством изменений, а также внедрять архитектуру платформы для новых и меняющихся приложений и в конечном итоге поддерживать сосуществование двух архитектур (также известных как ИТ с двойным состоянием, т.е. интеграция в чувствительном и устойчивом состоянии) или все преобразовано в архитектуру платформы.

Когда предприятие развивается до стадии промышленной цепочки или экологической цепочки или становится сложным и диверсифицированным групповым предприятием, предприятие начинает стремиться к переходу или переходу к архитектуре системной интеграции с Интернетом в качестве основной линии.

Архитектура системной интеграции с Интернетом в качестве основной линии, подчеркивающая максимальное применение (микросервисы) каждой функции информационной системы.

Архитектура системной интеграции с Интернетом в качестве основной линии объединяет и применяет больше информационных технологий нового поколения и инноваций в их применении.

TOGAF разработан международной организацией The Open Group.

Организация начала разрабатывать стандарты системной архитектуры в 1993 году в ответ на требования клиентов и опубликовала структуру архитектуры TOGAF в 1995 году. Основой TOGAF является Техническая архитектура управления информацией (TAFIM) Министерства обороны США. Он основан на итеративной модели процесса, которая поддерживает лучшие практики и многократно используемый набор существующих архитектурных активов. Его можно использовать для проектирования, оценки и создания подходящей архитектуры предприятия. На международном уровне было доказано, что TOGAF способен гибко и эффективно создавать корпоративную ИТ-архитектуру.

Эта структура призвана помочь предприятиям организовать и удовлетворить все критически важные потребности бизнеса посредством достижения следующих четырех целей:

TOGAF отражает структуру и содержание возможностей внутренней архитектуры предприятия. Версия TOGAF9 включает шесть компонентов:

Основная идея структуры TOGAF заключается в следующем:

Метод разработки архитектуры (ADM) описывает различные шаги, необходимые для разработки архитектуры предприятия, и взаимосвязи между ними. Подробное определение также является основным содержанием спецификации TOGAF.

Подход ADM состоит из набора этапов, расположенных в виде кольца в порядке развития архитектуры в области архитектуры.

Эта модель делит полный жизненный цикл ADM на десять этапов, включая этап подготовки, управление спросом, архитектурное видение, бизнес-архитектуру, архитектуру информационной системы (приложение и данные), техническую архитектуру, возможности и решения, планирование миграции, управление внедрением и управление изменениями архитектуры. Этапы, эти десять этапов представляют собой итеративный процесс.

Подход ADM применяется итеративно на протяжении всего процесса разработки архитектуры, между этапами и внутри каждого этапа. В полном жизненном цикле ADM на каждом этапе необходимо подтвердить результаты проектирования на основе исходных бизнес-требований, что также включает в себя некоторые этапы, уникальные для бизнес-процесса. Проверка требует пересмотра охвата предприятия, сроков, уровня детализации, планов и этапов. Каждый этап должен позволять повторное использование архитектурных активов.

ADM сформировала трехуровневую концепцию итерации:

Основные виды деятельности на каждом этапе развития ADM

（1） ожидание ценности

（2） сила реакции

（3） катализатор перемен

（1） Уделяйте больше внимания моделям поведения участников, а не целям внутри них.

（2） Участники часто жестко делятся на несколько ролей, где лица в каждой роли по сути одни и те же (например, бизнесмены, инвестиционные менеджеры или системные администраторы).

（3） Различия в ограничивающих факторах часто игнорируются (например, являются ли трейдеры ценными бумагами в Нью-Йорке такими же, как в Лондоне, открыт ли рынок для торговли по сравнению с ежедневной торговлей).

（4） Результат прост. Требования выполняются или не выполняются, сценарии использования выполняются успешно или нет.

（1） Какие ограничения влияют на одно или несколько желаемых значений.

（2） Если последствия известны, будет ли им легче (положительное воздействие) или сложнее (негативное воздействие) оправдать ожидания?

（3） Насколько серьезны различные последствия; в этом случае обычно достаточно простых уровней низкого, среднего и высокого уровня.

（1） Определите и расставьте приоритеты подходящих ценностных контекстов.

（2） Определите кривые полезности и расставьте приоритеты ожидаемых значений в каждом контексте.

（3） Определите и проанализируйте противодействующие силы и катализаторы изменений в каждом контексте.

（4） Выявляйте области, в которых ограничения мешают оправдать ожидания.

（1） важность

（2） степень

（3） в результате

（4） изоляция

（1） организовать

（2） действовать

（3） изменчивость

（4） эволюция

（1） Программно-интенсивные продукты и системы существуют для того, чтобы приносить пользу.

（2） Ценность — это скалярная величина, которая сочетает в себе понимание предельной полезности с относительной важностью множества различных целей. Компромисс между целями — чрезвычайно важный вопрос.

（3） Ценность существует на нескольких уровнях, некоторые из которых включают целевую систему в качестве поставщика ценности. Модели стоимости, используемые в этих областях, охватывают ключевые факторы архитектуры программного обеспечения.

（4） Модели стоимости на более высоких уровнях иерархии могут вызвать изменения в моделях стоимости ниже них. Это важная основа для формулирования принципов эволюции систем.

（5） Для каждой группы ценностей модель ценностей однородна. Ценностные контексты, подверженные различным условиям окружающей среды, имеют разные ожидаемые ценности.

（6） Спонсоры разработки системы имеют разные приоритеты для удовлетворения потребностей разных ценностных контекстов.

（7） Архитектурные проблемы возникают из-за влияния факторов окружающей среды на ожидания в контексте.

（8） Архитектурный подход пытается максимизировать ценность за счет решения в первую очередь наиболее приоритетных архитектурных задач.

（9） Архитектурная стратегия синтезируется из архитектурного подхода с наивысшим приоритетом путем обобщения общих правил, политик и организационных принципов, операций, изменений и эволюции.

（1） Каналы управления

（2） Система Центра управления

（3） Система поддержки управления

（4） Соответствующие модификации системы

（1） Основан на принципе рациональности иерархического позиционирования.

（2） Масштабируемость архитектуры требует рассмотрения модели хранения данных и технологии хранения данных.

Исходная база данных является источником данных, необходимых городскому центру интеллектуального управления социального страхования.

Используйте инструменты синхронизации, такие как OGG, или синхронизируйте исходную базу данных с помощью синхронизации данных, сервисных вызовов и т. д. Войдите в базу данных Exchange и используйте синхронизацию или зеркалирование данных, чтобы уменьшить влияние на исходную базу данных.

Данные в библиотеке обмена извлекаются через OGG For Bigdata для извлечения переменных данных, извлечения Sqoop, отправки, импорта и т. д. и сохраняются в библиотеке переходов на платформе Hadoop для повышения производительности обработки больших пакетных данных.

Сравнивайте, преобразуйте, очищайте и агрегируйте данные в базе данных перехода и сохраняйте их в единой структуре таблиц базы данных. В интегрированной базе данных для каждой предметной базы данных предусмотрены дополнительные источники данных и полные источники данных.

То есть библиотека служб извлекает необходимые данные из интегрированной библиотеки в соответствии с требованиями приложения темы управления, чтобы обеспечить управление. Обеспечить поддержку теоретических приложений и визуальной презентации.

Следуйте международным и национальным стандартам, таким как J2EE, HTML5, CSS3, SQL, Shell, XML/JSON, HTTP, FTP, SM2, SM3, JavaScript и т. д.

1||| Использование сети 5G и Интернета вещей для обеспечения базовой сетевой поддержки этого проекта;

2||| Использование промежуточного программного обеспечения приложений для обеспечения поддержки развертывания приложений для этого проекта;

3||| Использование распределенного кэша, базы данных памяти, базы данных MPP и базы данных транзакций для обеспечения базовой поддержки хранения данных для этого проекта;

4||| Использование платформы Hadoop для обеспечения поддержки распределенной среды хранения и вычислений для этого проекта;

5||| Использование компонентов поисковой системы и системы правил для обеспечения технической поддержки компонентов приложений управления.

Это технология, которой необходимо строго следовать и применять при разработке прикладных систем.

Платформа приложения имеет многоуровневую структуру, включающую уровень доступа, уровень управления взаимодействием, уровень бизнес-компонентов и уровень доступа к ресурсам.

Включая единый вход, сервисную шину (ESB), механизм процессов, очередь сообщений и другие технологии для поддержки интеграции между различными прикладными системами.

Включая инструменты ETL, инструменты репликации синхронизации данных, индексирование данных, SQL/хранимые процедуры, вычислительные механизмы MapReduce/Spark и другие технологии, он обеспечивает сбор данных, очистку данных, преобразование данных, обработку данных, интеллектуальный анализ данных и т. д. для городского социального страхования. центр умного управления. Обеспечиваем техническую поддержку для работы.

Включая механизм BI, механизм отчетов, механизм ГИС, компонент диаграммы, механизм 3D, механизм многомерного моделирования, пакет алгоритмов искусственного интеллекта, пакет алгоритмов интеллектуального анализа данных и другие технологии больших данных, предоставление карт социального обеспечения, удаленное управление и диспетчеризацию, панорамный анализ, макросы принятие решений, мониторинг и контроль. Обеспечиваем техническую поддержку для визуализации других приложений.

Включая отслеживание операций, предупреждение о сбоях, мониторинг энергоэффективности, сбор журналов, сканирование уязвимостей, приложение Используйте мониторинг, сетевой анализ и другие технологии для поддержки стандартизированной работы и обслуживания прикладных систем.

Одноядерная локальная сеть обычно состоит из коммутационного устройства уровня 2 или уровня 3 в качестве основного устройства сети, а пользовательские устройства (такие как пользовательские компьютеры, интеллектуальные устройства и т. д.) подключаются к сети через несколько устройств коммутации доступа. .

Этот тип локальной сети можно подключить к глобальной сети через оборудование маршрутизации (пограничный маршрутизатор или межсетевой экран), соединяющее коммутационное оборудование базовой сети и глобальную сеть для обеспечения доступа к услугам между локальными сетями.

Одноядерная сеть имеет следующие характеристики:

Преимущество использования одного ядра для построения сети заключается в том, что структура сети проста и можно сэкономить инвестиции в оборудование. Это более удобно для подразделений, которым необходимо использовать локальную сеть для доступа. Они могут напрямую подключаться к неактивному интерфейсу основного коммутационного устройства через устройство коммутации доступа. Его недостатки заключаются в том, что географический охват сети ограничен, а подразделения, которым требуется использование локальной сети, относительно компактны; коммутационное оборудование базовой сети имеет единую точку отказа, что может легко привести к полному или частичному отказу всей сети; сеть; возможности расширения сети ограничены; к локальной сети подключено много коммутационных устройств. В этом случае плотность портов основного коммутационного оборудования должна быть высокой.

В качестве альтернативы для сетей меньшего масштаба пользовательское оборудование, использующее эту сетевую архитектуру, также может быть напрямую соединено с основным коммутационным оборудованием, что еще больше снижает инвестиционные затраты.

Двухъядерная архитектура обычно относится к основному коммутационному оборудованию, использующему трехуровневые и выше коммутаторы.

Соединения Ethernet, такие как 100M/GE/10GE, могут использоваться между основным коммутационным оборудованием и оборудованием доступа. При разделении VLAN внутри сети доступ между каждой VLAN должен осуществляться через два основных коммутационных оборудования. Только основное коммутационное оборудование в сети имеет функцию маршрутизации, а оборудование доступа обеспечивает только функцию пересылки уровня 2.

Устройства коммутации ядра соединяются между собой для обеспечения защиты шлюза или балансировки нагрузки. Основное коммутационное оборудование имеет возможности защиты, а топология сети надежна. Горячее переключение может быть реализовано при маршрутизации и пересылке услуг. Для взаимного доступа между локальными сетями различных отделов, подключенных к сети, или для доступа к основным бизнес-серверам, существует более одного пути на выбор с более высокой надежностью.

Это более удобно для специальных организаций, которым необходимо использовать локальную сеть для доступа. Они могут напрямую подключаться к неактивному интерфейсу основного устройства коммутации через устройство коммутации доступа. Инвестиции в оборудование выше, чем в одноядерную локальную сеть. Требования к плотности портов для базового коммутационного оборудования относительно высоки. Все бизнес-серверы подключены к двум основным коммутационным устройствам одновременно и защищены протоколом защиты шлюза, обеспечивающим высокоскоростной доступ к пользовательскому оборудованию.

Кольцевая локальная сеть состоит из нескольких основных коммутационных устройств, соединенных в двойные динамические эластичные пакетные кольца RPR (Resilient Packet Ring), образующие ядро ​​сети.

Базовое коммутационное оборудование обычно использует трехуровневые или вышепереключатели для обеспечения функций пересылки бизнеса.

Каждая VLAN в типичной кольцевой сети LAN реализует взаимный доступ через кольцо RPR. RPR имеет функцию защиты самовосстановления для экономии ресурсов оптического волокна; он имеет время самовосстановления 50 мс на уровне MAC и обеспечивает многоуровневые надежные услуги QoS, механизм равноправия полосы пропускания и механизм контроля перегрузки. Кольцо RPR доступно в обоих направлениях. Сеть образует кольцевую топологию через два обратных оптических волокна, и узлы кольца могут достигать другого узла с двух направлений. Каждое волокно может передавать данные и сигналы управления одновременно. RPR использует технологию пространственного повторного использования для эффективного использования пропускной способности кольца.

При построении крупномасштабной локальной сети с помощью RPR несколько колец могут взаимодействовать друг с другом только через сервисные интерфейсы и не могут обеспечить прямую сетевую связь. Инвестиции в оборудование кольцевой локальной сети выше, чем в одноядерную локальную сеть. Проект резервирования базовой маршрутизации сложно реализовать, и он может легко образовывать петли. Эта сеть получает доступ к глобальной сети через устройства пограничной маршрутизации, которые соединяют коммутационные устройства в кольце.

Иерархическая локальная сеть (или многоуровневая локальная сеть) состоит из коммутационного оборудования базового уровня, коммутационного оборудования уровня агрегации, коммутационного оборудования уровня доступа и Пользовательское оборудование и другие компоненты

Оборудование базового уровня в иерархической модели локальной сети обеспечивает функции высокоскоростной пересылки данных; достаточные интерфейсы, предоставляемые оборудованием уровня агрегации, реализуют взаимное управление доступом с уровнем доступа, а уровень агрегации может предоставлять различные устройства доступа, находящиеся под его юрисдикцией (в пределах ЛВС отдела) Функция переключения услуг снижает нагрузку на основное коммутационное оборудование уровня доступа, реализующее доступ к пользовательскому оборудованию; Иерархическую топологию сети LAN легко расширить. Сетевые неисправности можно классифицировать и устранять для облегчения обслуживания. Обычно иерархическая локальная сеть подключается к глобальной сети через устройство пограничной маршрутизации с глобальной сетью для реализации взаимного доступа к службам локальной и глобальной сети.

Одноядерная глобальная сеть обычно состоит из основного устройства маршрутизации и каждой локальной сети, как показано на рисунке 4-13. Основное оборудование маршрутизации использует коммутаторы уровня 3 и выше. Для доступа между локальными сетями внутри сети требуется основное оборудование маршрутизации.

Других устройств маршрутизации между локальными сетями в сети нет. Линии широковещательной передачи используются между каждой локальной сетью и основным оборудованием маршрутизации. Интерфейсы межсоединения между оборудованием маршрутизации и каждой локальной сетью принадлежат соответствующей подсети локальной сети. Основное оборудование маршрутизации и каждая локальная сеть могут быть подключены с помощью интерфейсов Ethernet 10M/100M/GE. Этот тип сети имеет простую структуру и экономит инвестиции в оборудование. Каждая локальная сеть имеет доступ к основной локальной сети и друг к другу с высокой эффективностью. Новой локальной сети отдела удобнее подключаться к глобальной сети, если основное оборудование маршрутизации имеет порты. Однако существует риск того, что одна-единственная точка отказа основного оборудования маршрутизации может легко привести к выходу из строя всей сети. Возможности расширения сети недостаточны, а плотность портов основного оборудования маршрутизации должна быть высокой.

Двухъядерная глобальная сеть обычно состоит из двух основных устройств маршрутизации и каждой локальной сети, как показано на рисунке 4-14.

Основная особенность двухъядерной модели глобальной сети заключается в том, что в основном оборудовании маршрутизации обычно используются трехуровневые и выше коммутаторы. Основное оборудование маршрутизации обычно подключается к каждой локальной сети через интерфейсы Ethernet, такие как 10M/100M/GE. Для доступа между локальными сетями в сети требуется два основных устройства маршрутизации. Других устройств маршрутизации между локальными сетями для доступа к бизнесу нет. Внедрите защиту шлюза или балансировку нагрузки между основными устройствами маршрутизации. Для каждой локальной сети существует несколько вариантов доступа к основной локальной сети и друг к другу, причем более высокая надежность может быть достигнута на уровне маршрутизации, обеспечивая возможности доступа к непрерывности бизнеса. Когда основной интерфейс оборудования маршрутизации зарезервирован, к новой локальной сети можно легко получить доступ. Однако инвестиции в оборудование выше, чем в одноядерной глобальной сети. Проект резервирования маршрутизации основного оборудования маршрутизации сложно реализовать, и он может легко образовывать петли маршрутизации. В сети предъявляются более высокие требования к плотности портов для основного оборудования маршрутизации.

Кольцевая глобальная сеть обычно использует более трех основных маршрутизаторов для формирования петли маршрутизации для соединения различных локальных сетей и реализации взаимного доступа к сервисам WAN.

Основная особенность кольцевой глобальной сети заключается в том, что в основном оборудовании маршрутизации обычно используются трехуровневые или вышеуровневые коммутаторы. Основное оборудование маршрутизации и каждая локальная сеть обычно соединяются через интерфейсы Ethernet, такие как 10M/100M/GE. Доступ между локальными сетями внутри сети должен проходить через кольцо, образованное основными устройствами маршрутизации. Других устройств маршрутизации для взаимного доступа между локальными сетями нет. Устройства базовой маршрутизации оснащены механизмами защиты шлюза или балансировки нагрузки, а также функциями управления шлейфом. Каждая локальная сеть имеет несколько путей доступа к основной локальной сети или друг к другу, при этом на уровне маршрутизации можно обеспечить плавное горячее переключение, чтобы обеспечить непрерывность бизнес-доступа.

Когда основной интерфейс оборудования маршрутизации зарезервирован, можно легко получить доступ к новой локальной сети отдела. Однако инвестиции в оборудование выше, чем в двухъядерной глобальной сети, а схему резервирования маршрутизации основного оборудования маршрутизации трудно реализовать, и петли маршрутизации легко формируются. Кольцевая топология должна занимать больше портов, а сеть предъявляет более высокие требования к плотности портов для основного оборудования маршрутизации.

Полурезервированная глобальная сеть формируется из нескольких основных устройств маршрутизации, соединяющих различные локальные сети, как показано на рисунке 4-16. Среди них любое базовое устройство маршрутизации имеет по крайней мере два или более каналов, подключенных к другим устройствам маршрутизации. Особым случаем полурезервированной глобальной сети является полностью резервированная глобальная сеть, если между любыми двумя основными устройствами маршрутизации существует связь.

Основными особенностями полурезервированной глобальной сети являются гибкая структура и простота расширения. Некоторые устройства маршрутизации ядра сети могут использовать механизмы защиты шлюза или балансировки нагрузки или иметь функции управления шлейфом. Сетевая структура является ячеистой, и для каждой локальной сети существует несколько путей доступа к базовой локальной сети и друг к другу с высокой надежностью. Выбор маршрутизации на уровне маршрутизации является более гибким. Сетевая структура подходит для развертывания протоколов маршрутизации по состоянию канала, таких как OSPF. Однако структура сети фрагментирована, ею сложно управлять и устранять неполадки.

Одноранговая сеть поддоменов делит оборудование маршрутизации глобальной сети на два независимых поддомена, и каждое оборудование маршрутизации поддомена соединено между собой полурезервированным образом. Два субдомена соединены между собой посредством одного или нескольких каналов, и любое устройство маршрутизации в одноранговом субдомене может получить доступ к локальной сети, как показано на рисунке 4-17.

Основная особенность однорангового поддомена WAN заключается в том, что во взаимном доступе между одноранговыми поддоменами преобладают межсетевые каналы между одноранговыми поддоменами. Между одноранговыми поддоменами можно получить сводку маршрутов или подробное сопоставление записей маршрутов, а управление маршрутами является гибким. Как правило, пропускная способность ссылок между поддоменами должна быть выше, чем пропускная способность ссылок внутри поддоменов. Проект резервирования междоменной маршрутизации сложно реализовать, и он может легко образовывать петли маршрутизации или создавать риск публикации незаконных маршрутов. Требования к производительности оборудования маршрутизации на границе домена относительно высоки. Протоколы маршрутизации в сети в основном представляют собой динамическую маршрутизацию. Одноранговые поддомены подходят для сценариев, в которых глобальную сеть можно четко разделить на две области, а доступ внутри этих областей относительно независим.

Иерархическая структура WAN поддоменов делит большое оборудование маршрутизации WAN на несколько относительно независимых поддоменов. Оборудование маршрутизации в каждом поддомене взаимосвязано полурезервным образом. Между несколькими поддоменами высокого уровня соединяются несколько поддоменов. субдомены уровня. Любое устройство маршрутизации в иерархическом поддомене может получить доступ к локальной сети, как показано на рисунке 4-18.

Основная особенность иерархических субдоменов заключается в том, что иерархическая структура субдоменов обладает лучшей масштабируемостью. Взаимный доступ между поддоменами низкого уровня должен осуществляться через поддомены высокого уровня. Реализация избыточности междоменной маршрутизации сложна, легко сформировать петли маршрутизации, и существует риск публикации незаконных маршрутов. Пропускная способность канала между субдоменами должна быть выше, чем пропускная способность канала внутри субдомена. Требования к производительности маршрутизации и пересылки устройств пограничной маршрутизации, используемых для взаимного доступа к домену, относительно высоки. Протоколы маршрутизации устройств маршрутизации в основном представляют собой динамическую маршрутизацию, например протокол OSPF. Взаимосвязь между иерархическими поддоменами и внешней сетью верхнего уровня в основном осуществляется с помощью поддоменов верхнего уровня;

Когда 5GS предоставляет услуги пользователям мобильных терминалов (пользовательское оборудование, UE), для предоставления необходимых услуг для UE обычно требуется сеть DN, такая как Интернет, IMS (подсистема IP-медиа), частная сеть и другие соединения. Сетевые элементы UPF в 5GS служат точкой доступа DN для различных услуг Интернета, голосовой связи, AR/VR, промышленного управления и беспилотных услуг. 5GS и DN соединены между собой через интерфейс N6, определенный 5GS, как показано на рисунке 4-19.

Сеть 5G относится к категории 5G и включает в себя несколько функциональных объектов сети, таких как AMF/SMF/PCF/NRF/NSSF и т. д. Для простоты на рисунке отмечены только функциональные объекты сети, тесно связанные с сеансами пользователей.

Когда 5GS и DN соединены между собой на основе IPv4/IPv6, с точки зрения DN UPF можно рассматривать как обычный маршрутизатор. Напротив, с точки зрения 5GS устройства, связанные с UPF через интерфейс N6, обычно являются маршрутизаторами. Другими словами, между 5GS и DN существует связь маршрутизации. Поток услуг UE, обращающегося к DN, пересылается между ними посредством конфигурации двунаправленной маршрутизации. Что касается сети 5G, поток услуг, проходящий от UE к DN, называется потоком услуг восходящей линии связи (UL, UpLink); поток услуг, проходящий от DN к UE, называется потоком услуг нисходящей линии связи (DL, DownLink). Поток услуг UL пересылается в DN через маршрут, настроенный на UPF; поток услуг DL пересылается на UPF через маршрут, настроенный на маршрутизаторе, соседнем с UPF.

Кроме того, с точки зрения того, как UE получает доступ к DN через 5GS, существует два режима:

Сети 5G меняют прежнюю ориентацию, ориентированную на устройства и бизнес, и продвигают концепцию, ориентированную на пользователя. Хотя сети 5G предоставляют услуги пользователям, они также уделяют больше внимания качеству обслуживания пользователей QoE (качество опыта). Среди них предоставление возможностей периферийных вычислений сети 5G является одной из важных мер по расширению возможностей вертикальных отраслей и улучшению качества обслуживания пользователей.

Архитектура мобильных периферийных вычислений (MEC) сети 5G показана на рисунке 4-22. Она поддерживает развертывание сетевых элементов 5G UPF на границе мобильной сети рядом с пользовательским оборудованием конечного пользователя в сочетании с развертыванием периферии. вычислительная платформа (Mobile Edge Platform) на границе мобильной сети (MEP) предоставляет вертикальным отраслям услуги по разгрузке бизнеса поблизости, характеризующиеся чувствительностью ко времени и высокой пропускной способностью. Таким образом, с одной стороны, он предоставляет пользователям превосходное качество обслуживания, а с другой стороны, снижает нагрузку на внутреннюю обработку мобильной сети.

Собственное приложение оператора или стороннее приложение AF (функция приложения) запускает сеть 5G для динамического создания политик локальной разгрузки для периферийных приложений с помощью сетевого элемента NEF (функции раскрытия сети), предоставляемого 5GS, который контролируется PCF ( Функция взимания платы за политику) Настройте эти политики для соответствующего SMF. SMF динамически реализует UPF (то есть UPF, развернутый в мобильном периферийном облаке) для вставки или удаления в сеансе пользователя на основе информации о местоположении конечного пользователя или изменения местоположения. информация, которая возникает после перемещения пользователя, и разгружает эти UPF. Динамическая настройка правил обеспечивает отличные результаты для доступа пользователей к необходимым услугам.

Кроме того, с точки зрения непрерывности бизнеса сеть 5G может обеспечивать режим SSC 1 (точка IP-доступа сеанса пользователя остается неизменной во время движения пользователя), режим SSC 2 (сеть инициирует освобождение существующего сеанса пользователя во время движение пользователя) и немедленно запускает установление нового сеанса), режим SSC 3 (устанавливает новый сеанс перед завершением существующего сеанса пользователя во время перемещения пользователя) по выбору поставщика услуг ASP (поставщика услуг приложений) или оператора.

Информация просачивается или раскрывается неавторизованному лицу.

Данные теряются из-за несанкционированного добавления, удаления, изменения или уничтожения.

Законный доступ к информации или другим ресурсам безоговорочно блокируется.

Ресурс используется неавторизованным лицом или несанкционированным образом.

Используйте все возможные законные или незаконные способы для кражи информационных ресурсов и конфиденциальной информации в системе. Например, мониторинг сигналов, передаваемых в линиях связи, или использование электромагнитных утечек, генерируемых оборудованием связи во время работы, для перехвата полезной информации.

Благодаря долгосрочному мониторингу системы методы статистического анализа используются для анализа таких факторов, как частота общения и качество связи. Проведите исследование изменений в информационных потоках и общем объеме коммуникаций, чтобы обнаружить ценную информацию и закономерности.

Целью обмана системы связи (или пользователя) является достижение цели: незаконные пользователи выдают себя за законных пользователей или пользователи с низкими привилегиями выдают себя за пользователей с высокими привилегиями. Хакеры в основном используют выдачу себя за другое лицо для атаки.

Злоумышленник пользуется недостатками безопасности или уязвимостями системы для получения несанкционированных прав или привилегий. Например, злоумышленники используют различные методы атаки, чтобы обнаружить некоторые «функции» системы, которые должны храниться в секрете, но становятся открытыми. Используя эти «возможности», злоумышленники могут обойти защитников и проникнуть в систему.

Лицо, которому разрешено использовать систему или ресурс для определенной цели, использует это разрешение для других несанкционированных целей, также известных как «инсайдерская атака».

Программное обеспечение содержит необнаружимый или безвредный сегмент программы, который при выполнении уничтожает Безопасность пользователя. Такое приложение называется «Троянский конь».

В системе или компоненте устанавливается «шасси», позволяющее нарушать политику безопасности при предоставлении определенных входных данных.

Это атака со стороны пользователя, например, отрицание опубликованного им сообщения или подделка письма от другой стороны.

Резервная копия законных данных связи, которая была перехвачена и повторно передана в незаконных целях.

Так называемый компьютерный вирус – это функциональная программа, способная заражать и посягать на работу компьютерной системы. Вирус обычно имеет две функции: одна — «заразить» другие программы, другая — нанести ущерб или возможность внедрить атаку;

Уполномоченное лицо раскрывает информацию неуполномоченному лицу ради денег или выгоды или по неосторожности.

Информация получается с выброшенных дисков или распечатанных носителей информации.

Злоумышленники получают доступ к системе, минуя физические средства контроля.

Похищаются важные предметы безопасности, такие как жетоны или удостоверения личности.

Поддельная система или компонент системы, которая обманом заставляет законных пользователей или системы добровольно передавать конфиденциальную информацию.

Архитектура безопасности системы относится к основным компонентам, которые создают атрибуты качества безопасности информационных систем и отношения между ними.

Цель архитектуры безопасности системы состоит в том, чтобы построить собственную безопасность с самого начала, не полагаясь на внешние системы защиты.

Архитектура технологии безопасности относится к основным компонентам построения системы технологий безопасности и связям между ними.

Задача архитектуры технологий безопасности состоит в том, чтобы построить общую инфраструктуру технологий безопасности, включая инфраструктуру безопасности, инструменты и технологии безопасности, компоненты безопасности и системы поддержки и т. д., чтобы систематически повышать возможности защиты безопасности каждой части.

Структура аудита относится к независимому отделу аудита или возможностям обнаружения рисков, которые он может предоставить. Объем аудита в основном включает все риски, включая риски безопасности.

Когда люди проектируют систему, им обычно необходимо определить угрозы безопасности, с которыми может столкнуться система. Путем проведения разумной оценки угроз безопасности, с которыми сталкивается система, и реализации соответствующих мер контроля предлагаются эффективные и разумные технологии безопасности для формирования безопасности. Метод, повышающий безопасность информационной системы. Решение является фундаментальной целью проектирования архитектуры безопасности. В практических приложениях проектирование архитектуры безопасности можно рассматривать с точки зрения технологий безопасности, таких как шифрование и дешифрование, технология сетевой безопасности и т. д.

（1） Раннее предупреждение(W)

（2） Защитить(П)

（3） Обнаружение(Д)

（4） Ответ(R)

（5） Восстановление(R)

（6） Контратака(С)

1. Система безопасности системы

2. Архитектура информационной безопасности

В области безопасности сетевой структуры основное внимание уделяется тому, является ли топология сети разумной, избыточны ли линии, избыточна ли маршрутизация и предотвращению единых точек отказа.

Безопасность операционной системы фокусируется на двух аспектах: ① Меры, которые можно предпринять для предотвращения безопасности операционной системы, например: попытаться использовать более безопасную сетевую операционную систему и выполнить необходимые настройки безопасности, закрыть некоторые приложения, которые не используются обычно, но представляют угрозу безопасности. , Используйте разрешения для ограничения или усиления использования паролей и т. д. ② Оборудуйте систему сканирования безопасности операционной системы для проведения сканирования безопасности операционной системы, обнаружения уязвимостей и своевременного обновления.

С точки зрения безопасности системы приложений сосредоточьтесь на сервере приложений и постарайтесь не открывать некоторые редко используемые протоколы и порты протоколов, такие как файловые службы, серверы электронной почты и т. д. Вы можете отключить на сервере такие службы, как HTTP, FTP, Telnet и т. д. Аутентификация личности при входе может быть усилена, чтобы гарантировать законность использования пользователя.

Изоляция и контроль доступа должны иметь строгую систему контроля, и может быть сформулирован ряд мер управления, таких как «Правила реализации авторизации пользователей», «Спецификации управления паролями и учетными записями» и «Формулировка управления разрешениями».

Установка брандмауэра является самой простой, экономичной и эффективной мерой безопасности сети. Изоляция и контроль доступа между внутренней и внешней сетями или различными доменами доверия во внутренней сети достигаются за счет строгой политики безопасности брандмауэра. Брандмауэр может реализовывать односторонний или двусторонний контроль, а также реализовывать более детальный контроль доступа для некоторых целей. протоколы уровня.

Обнаружение вторжений требует мониторинга в реальном времени и регистрации всех операций в сегменте сети и за его пределами на основе информационных кодов существующих и новейших методов атаки, а также реализации ответных мер (блокировка, тревога и отправка электронных писем) в соответствии с установленными стратегиями. Это предотвращает атаки и преступления против сети. Системы обнаружения вторжений обычно включают в себя консоль и детекторы (сетевые механизмы). Консоль используется для формирования и управления всеми детекторами (сетевыми механизмами). Сетевой механизм используется для мониторинга поведения доступа в сеть и из нее и выполнения соответствующих действий в соответствии с ними. инструкции консоли.

Защита от вирусов является необходимым средством сетевой безопасности, поскольку в сетевой среде компьютерные вирусы обладают неизмеримой угрозой и разрушительной силой. Операционная система (например, система Windows), используемая в сетевых системах, подвержена заражению вирусами. Поэтому предотвращение компьютерных вирусов также является одним из важных аспектов, которые следует учитывать при построении сетевой безопасности. Антивирусные технологии включают три типа: предотвращение вирусов, обнаружение вирусов и антивирус.

Совместное использование ресурсов должно строго контролировать использование общих сетевых ресурсов внутренними сотрудниками. Как правило, общие каталоги не должны легко открываться во внутренних подсетях, иначе возможна утечка важной информации из-за халатности при обмене информацией между сотрудниками. Для пользователей, которым необходимо часто обмениваться информацией, при совместном использовании необходимо добавить необходимый механизм аутентификации по паролю, то есть только посредством аутентификации по паролю можно разрешить доступ к данным.

Хранилище информации относится к пользовательским хостам, которые содержат секретную информацию. Пользователи должны стараться открывать как можно меньше необычных сетевых служб в процессе подачи заявки. Сделайте безопасную резервную копию базы данных на сервере данных. Резервное копирование базы данных может быть выполнено и сохранено удаленно через сетевую систему резервного копирования.

Создание и совершенствование системы управления безопасностью станет важной гарантией реализации сетевой безопасности. Вы можете сформулировать процедуры обеспечения безопасности, системы вознаграждения и наказания за инциденты безопасности в соответствии с вашей реальной ситуацией и назначить менеджеров по безопасности, которые будут нести полную ответственность за надзор и контроль. руководство.

Создание платформы управления безопасностью позволит снизить многие риски, вызванные непреднамеренным человеческим фактором. Создание платформы управления безопасностью может обеспечить техническую защиту, такую ​​как формирование подсети управления безопасностью, установка централизованного и унифицированного программного обеспечения для управления безопасностью, систем управления сетевым оборудованием, а также единого программного обеспечения для управления оборудованием сетевой безопасности и т. д., чтобы обеспечить управление безопасностью всей сети. через платформу управления безопасностью.

Для сотрудников подразделения следует часто проводить обучение по вопросам предотвращения сетевой безопасности, чтобы всесторонне повысить осведомленность сотрудников об общих методах безопасности.

OSI (Open System Interconnection/Reference Mode, OSI/RM) — это модель взаимодействия открытых систем связи (ISO 7498-2), разработанная международной организацией по стандартизации, в национальном стандарте GB/T9387.2 «Базовый справочник по открытой системе системы обработки информации». Модель межсоединения, часть 2: Архитектура безопасности» эквивалентна ISO 7498-2.

Целью OSI является обеспечение безопасного обмена информацией на больших расстояниях между процессами открытой системы. Эти стандарты устанавливают некоторые руководящие принципы и ограничения в рамках эталонной модели, тем самым обеспечивая последовательный подход к решению проблем безопасности в открытых взаимосвязанных системах.

OSI определяет семиуровневый протокол, в котором каждый уровень, кроме уровня 5 (сеансового уровня), может предоставлять соответствующие услуги безопасности.

Наиболее удобно настраивать службы безопасности на физическом уровне, сетевом уровне, транспортном уровне и уровне приложений. Настраивать службы безопасности на других уровнях нецелесообразно.

Пять типов услуг безопасности системы безопасности межсетевых соединений открытой системы OSI включают аутентификацию, контроль доступа, конфиденциальность данных, целостность данных и невозможность отказа от авторизации.

OSI определяет многоуровневую многоточечную архитектуру технологии безопасности, также известную как архитектура технологии глубокоэшелонированной защиты, которая распределяет возможности защиты по всей информационной системе следующими тремя способами.

Безопасность информационных систем зависит не только от технологий, но и требует нетехнических методов защиты. Приемлемый уровень информационной безопасности зависит от сочетания людей, менеджмента, технологий и процессов.

Основная цель аутентификации — не допустить, чтобы другие объекты занимали и независимо управляли личностью аутентифицированного объекта.

Аутентификация обеспечивает уверенность в том, что объект заявляет о своей личности и имеет смысл только в контексте отношений между субъектом и проверяющим лицом.

Есть два важных реляционных контекста для идентификации:

Методы идентификации в основном основаны на следующих пяти методах:

Информация аутентификации относится к информации, генерируемой, используемой и передаваемой от запроса заявителя на аутентификацию до завершения процесса аутентификации.

Типами аутентификационной информации являются обменная аутентификационная информация, запрос аутентификационной информации и проверка аутентификационной информации.

В некоторых случаях заявителю необходимо взаимодействовать с доверенной третьей стороной для создания информации для аутентификации обмена. Аналогичным образом, чтобы проверить обмен аутентификационной информацией, проверяющему также необходимо взаимодействовать с доверенной третьей стороной. В этом случае доверенная третья сторона хранит проверочный AI соответствующего объекта и может также использовать доверенную третью сторону для передачи и обмена аутентификационной информацией. Объекту также может потребоваться хранить аутентификационную информацию, используемую при аутентификации доверенной третьей стороны.

Услуга аутентификации разделена на следующие этапы:

Контроль доступа — это процесс определения того, какие ресурсы разрешено использовать в среде открытой системы и где целесообразно предотвратить несанкционированный доступ.

В случае управления доступом доступ может осуществляться к системе (то есть к объекту, который является взаимодействующей частью системы) или внутри системы.

На рисунках 4-25 и 4-26 показаны основные функции контроля доступа.

ACI (Информация контроля доступа) — это любая информация, используемая в целях контроля доступа, включая контекстную информацию. ADI (Информация о решении по управлению доступом) — это часть (или вся) ACI, доступная ADF при принятии конкретного решения по управлению доступом.

ADF (функция принятия решения по управлению доступом) — это специальная функция, которая принимает решения по управлению доступом, используя правила политики управления доступом для запроса доступа, ADI и контекста запроса доступа. AEF (функция контроля доступа) гарантирует, что инициатором осуществляется только доступ, разрешенный к цели.

В контроле доступа участвуют инициатор, AEF, ADF и цель. Инициаторы представляют собой людей и компьютерные объекты, которые получают доступ или пытаются получить доступ к цели. Цель представляет собой компьютер или объект связи, к которому пытается получить доступ или к которому обращается инициатор. Например, целью может быть объект OSI, файл или система. Запрос доступа представляет собой операции и операнды, которые составляют часть попытки доступа.

Когда инициатор запрашивает специальный доступ к цели, AEF уведомляет ADF, что для принятия решения необходимо решение. Для принятия решения ADF предоставляется запрос доступа (как часть запроса решения) и следующая информация о решении управления доступом (ADI).

Другими входными данными для ADF являются правила политики контроля доступа (от органа безопасности ADF) и необходимая контекстная информация, используемая для интерпретации ADI или политики. Контекстная информация включает в себя местоположение отправителя, время доступа или используемые специальные пути связи. На основе этих входных данных и, возможно, информации ADI, сохраненной из предыдущих решений, ADF может принять решение, которое разрешает или запрещает попытку инициатора доступа к цели. Решение передается в AEF, который затем разрешает передать запрос доступа к цели или предпринимает другие соответствующие действия.

Во многих случаях последовательные запросы инициатора доступа к цели связаны между собой. Типичным примером в приложении является то, что после открытия соединения с одним и тем же целевым слоем процесс приложения пытается выполнить несколько доступов с одним и тем же (зарезервированным) ADI. Для некоторых запросов доступа, которые впоследствии передаются через соединение, это может быть необходимо. для предоставления дополнительных запросов доступа к ADF. В других случаях политики безопасности могут требовать ограничения определенных связанных запросов доступа между одним или несколькими инициаторами и одной или несколькими целями. В этом случае ADF может использовать несколько специальных инициаторов. запросы на доступ рассматриваются с использованием ADI, сохраненного из предыдущих решений относительно цели.

Если это разрешено AEF, запрос доступа включает только одно взаимодействие между инициатором и целью. Хотя некоторые запросы доступа между инициатором и целью совершенно не связаны с другими запросами доступа, часто эти два объекта входят в связанный набор запросов доступа, такой как шаблон «запрос-ответ». В этом случае сущность меняет роли инициатора и цели одновременно или поочередно по мере необходимости, а функция управления доступом может выполняться для каждого запроса доступа с помощью отдельных компонентов AEF, компонентов ADF и политик управления доступом.

Целью услуг конфиденциальности (Confidentiality) является обеспечение доступности информации только уполномоченным лицам. Поскольку информация представлена ​​данными, а данные могут вызывать изменения во взаимоотношениях (например, файловые операции могут вызывать изменения в каталоге или в доступных областях хранения), информацию можно получить из данных разными способами. Например, вывод путем понимания значения данных (например, значения данных) путем использования атрибутов, связанных с данными (таких как существование, созданные данные, размер данных, дата последнего обновления и т. д.): путем изучения. контекст данных, то есть полученный с помощью других объектов данных, связанных с ним; полученный путем наблюдения за динамическими изменениями выражений данных.

Защита информации заключается в том, чтобы гарантировать, что данные доступны только уполномоченным лицам или получены путем представления данных определенным образом. Семантика этого метода защиты заключается в том, что данные доступны только тем, кто владеет определенной ключевой информацией. Эффективная защита конфиденциальности требует, чтобы необходимая управляющая информация (например, ключи, RCI и т. д.) была защищена. Этот механизм защиты отличается от механизма, используемого для защиты данных (например, ключи могут быть защищены физическими средствами и т. д.).

В рамках конфиденциальности используются две концепции защищенной среды и перекрывающейся защищенной среды. Данные в защищенной среде могут быть защищены с помощью специального механизма (или механизмов) безопасности. Все данные в защищенной среде защищаются аналогичным образом. Когда две или более среды перекрываются, данные в перекрывающихся средах могут быть защищены несколько раз. Можно сделать вывод, что непрерывная защита данных, перемещаемых из одной среды в другую, обязательно предполагает перекрытие сред защиты.

Конфиденциальность данных может зависеть от среды, на которой они находятся и передаются, поэтому конфиденциальность хранимых данных гарантируется за счет использования механизмов, которые скрывают семантику данных (например, шифрование) или сегментируют данные. Конфиденциальность данных при передаче обеспечивается механизмами, запрещающими доступ, скрывающими семантику данных или рассеивающими данные (например, скачкообразная перестройка частоты и т. д.). Эти типы механизмов можно использовать по отдельности или в комбинации.

Тип механизма

Целью структуры целостности (Integrity) является защита целостности данных и целостности связанных с данными атрибутов, которые могут быть скомпрометированы различными способами путем предотвращения или обнаружения угроз. Целостность означает, что данные не изменяются и не уничтожаются несанкционированным образом.

Услуги по обеспечению добросовестности классифицируются по нескольким признакам:

Поскольку возможность защиты данных зависит от используемого носителя, механизмы защиты целостности данных различны для разных носителей и могут быть резюмированы как следующие две ситуации.

По интенсивности защиты механизмы целостности можно разделить на:

Услуги неотказуемости (Non-repudiation) включают в себя формирование, проверку и запись доказательств, а также последующее восстановление и повторную проверку доказательств при разрешении споров. Целью служб неотказуемости, описанных в Платформе, является предоставление доказательств о конкретных событиях или действиях. Субъекты, помимо самого мероприятия или поведения, могут запросить услуги по обеспечению неотказуемости. Примеры поведения, которые могут быть защищены службой неотказуемости, включают отправку сообщений X.400, вставку записей в базу данных, запрос удаленных операций и т. д.

Когда речь идет об услугах неотказуемости содержимого сообщений, для обеспечения доказательства происхождения необходимо подтвердить личность отправителя данных и целостность данных. Для подтверждения доставки необходимо подтвердить личность получателя и целостность данных. В некоторых случаях также могут потребоваться доказательства, включающие контекстную информацию (например, дату, время, местонахождение отправителя/получателя и т. д.). Служба неопровержения предоставляет следующие возможности, которые можно использовать в случае попытки отказа: сбор доказательств, запись доказательств, проверка полученных доказательств, восстановление и повторное исследование доказательств. Споры могут разрешаться непосредственно между сторонами спора посредством изучения доказательств или же их, возможно, придется разрешать через арбитра, который оценит и определит, имело ли место рассматриваемое поведение или событие.

Неотказывание состоит из 4 независимых этапов, а именно:

（1） этап анализа требований

（2） этап концептуального структурного проектирования

（3） Этап проектирования логической структуры

Относится к коду, реализующему бизнес-логику.

Бизнес-код зависит от всех сторонних библиотек, включая бизнес-библиотеки и Базовая библиотека

Относится к коду, который реализует нефункциональные возможности, такие как высокая доступность, безопасность и наблюдаемость.

1. Функциональные особенности

2. нефункциональные функции

1. виртуальная машина

2. контейнер

3. облачный сервис

1||| Повышение устойчивости услуг

2||| CQRS (разделение ответственности за командный запрос, разделение ответственности за командный запрос)

3||| Уведомление об изменении данных

4||| Создавайте открытые интерфейсы

5||| обработка потока событий

6||| Реакции, инициированные событиями

Благодаря внедрению баз данных OLTP и OLAP онлайн-данные и логика автономного анализа разделены на две базы данных, что меняет прежний статус-кво, когда всецело полагались на базы данных Oracle. Устраните недостатки реальных бизнес-требований, поддерживаемых базой данных Oracle, в сценарии обработки запроса исторических данных.

С внедрением технологии контейнеризации проблема несогласованности сред была эффективно решена за счет контейнеризации приложений, обеспечивающей согласованность приложений в средах разработки, тестирования и производства. По сравнению с виртуальными машинами контейнеризация обеспечивает двойное повышение эффективности и скорости, делая приложения более подходящими для сценариев микросервисов и эффективно повышая эффективность производства и исследований.

Поскольку в прошлом многие предприятия выполнялись на основе хранимых процедур и триггеров Oracle, зависимости сервисов между системами также требовали одновременного выполнения базы данных Oracle OGG (Oracle Golden Gate). Проблема, вызванная этим, заключается в том, что обслуживание системы затруднено, а стабильность низкая. Внедрив обнаружение сервисов Kubernetes, мы можем создать микросервисное решение и разделить бизнес по бизнес-доменам, упрощая обслуживание всей системы.

（1） инфраструктура

（2） Доступ к трафику

（3） слой платформы

（4） уровень обслуживания приложений

（5） Управление эксплуатацией и техническим обслуживанием

Все облачные продукты размещаются в облаке без необходимости эксплуатации и обслуживания, что эффективно экономит затраты на ручную эксплуатацию и обслуживание и позволяет предприятиям больше сосредоточиться на основном бизнесе.

Облачные продукты предоставляют не менее пяти 9 (99,999%) услуг SLA для обеспечения стабильности системы, при этом стабильность самостоятельно построенных систем значительно выше. С точки зрения безопасности данных, данные в облаке можно легко создавать резервные копии за пределами площадки. Продукты архивного хранения в системе хранения данных поставщика облачных услуг обладают характеристиками высокой надежности, низкой стоимости, безопасности и неограниченного хранилища, что позволяет создавать корпоративные данные. безопаснее.

Благодаря глубокой интеграции с облачными продуктами сотрудники, занимающиеся исследованиями и разработками, могут выполнять НИОКР, эксплуатацию и техническое обслуживание в одном месте. От установления бизнес-требований до разработки филиалов, проверки регрессии функций тестовой среды и, наконец, развертывания до проверки перед выпуском и в режиме онлайн — весь процесс непрерывной интеграции можно сократить до минут. Что касается устранения неполадок, сотрудники отдела исследований и разработок напрямую выбирают приложение, за которое они отвечают, и быстро получают журналы исключений программы через встроенную консоль журналов SLS, чтобы определить проблему, устраняя необходимость входа в систему для проверки журналов.

Поставщики облачных услуг предоставляют более 300 типов облачных компонентов, охватывающих вычисления, искусственный интеллект, большие данные и Интернет вещей. и многие другие области. Персонал, занимающийся исследованиями и разработками, может использовать его прямо из коробки, что эффективно экономит технические затраты, связанные с бизнес-инновациями.