Adherirse a la idea de desarrollo centrado en las personas, seguir de cerca las necesidades de servicio y la experiencia de servicio de las personas, y tomar la satisfacción, la insatisfacción, la insatisfacción y la insatisfacción de las personas como objetivos de trabajo mediante la construcción de un centro de gobernanza inteligente de seguro social en una determinada ciudad. , apoyamos la construcción de un sistema de servicio público de seguro social masivo y satisfactorio en una determinada ciudad.

Uso integral de tecnologías convencionales como Internet, big data, inteligencia, Internet de las cosas, 5G, IA y SIG, e impulsado por la reforma de mecanismos, la innovación de modelos, el impulso de datos y el empoderamiento tecnológico, construir un centro de gobernanza inteligente del seguro social y promover la modernización del seguro social en una determinada ciudad. Modernización de los sistemas de gobernanza y de las capacidades de gobernanza.

Nos centraremos en resolver los puntos clave, difíciles y débiles que restringen el desarrollo del seguro social en una determinada ciudad como objetivo de construir un centro inteligente de gobernanza del seguro social en una determinada ciudad, identificar avances, mejorar la pertinencia y resaltar la situación general. y mejorar la estandarización, especialización y colaboración de los servicios. El nivel de gestión y gestión debe ser inteligente, preciso y científico.

La construcción del centro de gobernanza inteligente del seguro social de una ciudad debe centrarse en el trabajo general del sistema de seguro social de una ciudad, comenzando desde múltiples dimensiones de conexión del sistema, apoyo a políticas, vinculación de departamentos, colaboración empresarial e intercambio de datos, para crear negocios y tecnología. interno, externo y horizontal. Un nuevo sistema de gobernanza inteligente para el seguro social que se integra verticalmente, en línea y fuera de línea ha formado una nueva fuerza impulsora para apoyar el desarrollo de alta calidad del seguro social en la nueva era.

La construcción de un centro de gobernanza inteligente del seguro social en una determinada ciudad debe abordar correctamente la relación entre el desarrollo innovador y la seguridad, fortalecer la seguridad de la información y la protección de la privacidad personal, mejorar el sistema de control y prevención de riesgos del seguro social multinivel y consolidar un centro confiable y disponible. y capacidad de soporte de información sostenible.

De acuerdo con el plan general de planificación y construcción del centro inteligente de seguro social de una determinada ciudad, aclarar los límites, relaciones y prioridades entre la construcción del centro de gobernanza inteligente del seguro social y la construcción general del proyecto de seguro financiero, aprovechar al máximo los recursos existentes. La infraestructura de información y los sistemas de aplicación, la planificación coordinada y la implementación cuidadosa deben centrarse en ser implementables, operables y evaluables para garantizar que la eficacia de la construcción de un centro de gobernanza inteligente del seguro social en una determinada ciudad pueda liberarse por completo.

El sistema estratégico se refiere a las actividades de gestión y los sistemas asistidos por computadora relacionados con la formulación de estrategias y la toma de decisiones de alto nivel en una organización.

En la Arquitectura de Sistemas de Información (ISA), el sistema estratégico consta de dos partes

Establecer un sistema estratégico en ISA tiene dos significados:

Por lo general, la planificación estratégica organizacional se divide en dos tipos: planificación a largo plazo y planificación a corto plazo, la planificación a largo plazo es relativamente estable, como el ajuste de la estructura del producto, etc., que generalmente se formula con fines a largo plazo; -Planificación a plazo, y es relativamente fácil de adaptar al entorno y a las operaciones y cambios organizacionales, como decidir el tipo de nuevo producto, etc.

El sistema empresarial se refiere al sistema compuesto por varias partes (material, energía, información y personas) de la organización que completan determinadas funciones comerciales.

Hay muchos sistemas comerciales en una organización, como sistemas de producción, sistemas de ventas, sistemas de compras, sistemas de personal, sistemas de contabilidad, etc. Cada sistema comercial consta de algunos procesos comerciales para completar las funciones del sistema comercial. A menudo incluyen cuentas por pagar, cuentas por pagar y sistemas de contabilidad, facturación, auditoría y otros procesos comerciales.

Los procesos comerciales se pueden descomponer en una serie de actividades comerciales lógicamente interdependientes. Las actividades comerciales se completan en secuencia. Cada actividad comercial tiene una función que realizar y procesa datos relacionados. Cuando las organizaciones ajustan sus estrategias de desarrollo para adaptarse mejor a los entornos de desarrollo internos y externos (como la implementación y el uso de sistemas de información), a menudo llevan a cabo una reorganización de los procesos de negocio. La reorganización de procesos de negocio se centra en los procesos de negocio, rompiendo la división del trabajo entre departamentos funcionales de la organización y mejorando o reorganizando los procesos de negocio existentes para lograr mejoras significativas en la eficiencia de producción, costos, calidad, tiempo de entrega, etc., y mejorar la competitividad de la organización.

El papel del sistema empresarial en ISA es:

El sistema de aplicación es el sistema de software de aplicación, que se refiere a la parte de software de aplicación del sistema de información.

Para el software de aplicación (sistemas de aplicación) en sistemas de información organizacional, generalmente las funciones completadas pueden incluir:

No importa en qué nivel se encuentre el sistema de aplicación, desde una perspectiva arquitectónica, contiene dos componentes básicos: la parte de implementación de la función interna y la parte de interfaz externa. Estas dos partes básicas constan de componentes más específicos y las relaciones entre ellos. La parte de la interfaz es la parte del sistema de aplicación que cambia con relativa frecuencia, principalmente debido a cambios en los requisitos del usuario para la forma de la interfaz. En la parte de implementación de la función, en términos relativos, los datos procesados ​​cambian menos, mientras que el algoritmo y la estructura de control del programa cambian más, principalmente debido a cambios en los requisitos funcionales del usuario para el sistema de aplicación y cambios en los requisitos de forma de la interfaz.

La infraestructura de información organizacional se refiere a la construcción de un entorno que consta de equipos de información, redes de comunicación, bases de datos, software de sistema y software de soporte basado en el negocio actual de la organización y las tendencias y requisitos de desarrollo previsibles para la recopilación, procesamiento, almacenamiento y circulación de información.

La infraestructura de información organizacional se divide en tres partes:

Debido al desarrollo de la tecnología y los cambios en los requisitos del sistema organizacional, la infraestructura técnica enfrenta muchos factores cambiantes en el diseño, desarrollo y mantenimiento de los sistemas de información y, debido a la diversidad de tecnologías de implementación, existen múltiples formas de lograr la misma función. Las instalaciones de recursos de información tienen relativamente pocos cambios en la construcción del sistema, sin importar qué funciones complete la organización o cómo cambien los procesos comerciales, los datos y la información deben procesarse, y la mayoría de ellos no cambian con los cambios comerciales. Hay relativamente muchos cambios en la infraestructura de gestión. Esto se debe a que las organizaciones necesitan adaptarse a los cambios en el entorno y satisfacer las necesidades de la competencia, especialmente en la etapa de transformación de mi país y su actualización a una economía de mercado, la introducción o cambios de políticas económicas. , las reformas del modelo de negocio, etc. tendrán un gran impacto en Esto conduce a cambios en las reglas y regulaciones organizacionales, los métodos de gestión, la división del trabajo del personal y la estructura organizacional. Lo anterior es solo una descripción general de la estabilidad relativa y el cambio relativo de los tres componentes básicos de la infraestructura de la información. Hay partes relativamente estables y partes relativamente volátiles en la infraestructura técnica, las instalaciones de recursos de información y la infraestructura de gestión. No se puede generalizar.

Las partes interesadas del proyecto del sistema de software (clientes, usuarios, gerentes de proyecto, programadores, evaluadores, comercializadores, etc.) tienen diferentes requisitos para el sistema de software, la organización de desarrollo (equipo del proyecto) tiene diferentes estructuras de conocimiento del personal y la calidad del diseñadores de arquitectura Aspectos como la experiencia y el entorno técnico actual son factores que afectan la arquitectura. Estos factores afectan la arquitectura al influir en las decisiones del arquitecto a través de requisitos funcionales, requisitos no funcionales, restricciones y requisitos conflictivos.

La arquitectura describe la estructura general de gran escala (macro) del sistema, por lo que el trabajo se puede dividir de acuerdo con la arquitectura y el grupo del proyecto se divide en varios grupos de trabajo, lo que hace que el desarrollo sea ordenado y afecte los objetivos de la organización de desarrollo; es decir, una arquitectura exitosa proporciona a la organización de desarrollo Se han creado nuevas oportunidades comerciales gracias a la demostrabilidad del sistema, la reutilización de la arquitectura y la mejora de la experiencia de desarrollo del equipo. influir en los requisitos de los clientes para el próximo sistema.

La arquitectura física se refiere a no considerar el trabajo real y la arquitectura funcional de cada parte del sistema, sino solo examinar de manera abstracta la distribución espacial de su sistema de hardware.

Según la relación topológica de los sistemas de información en el espacio, generalmente se dividen en

La arquitectura lógica se refiere a la síntesis de varios subsistemas funcionales de un sistema de información.

La arquitectura lógica de un sistema de información es su marco conceptual y complejo funcional.

Para el sistema de información de gestión de una organización de producción, se divide desde la perspectiva de las funciones de gestión, incluidos los subsistemas de gestión de la información con funciones principales como adquisiciones, producción, ventas, recursos humanos y finanzas. Un sistema de información completo soporta varios subsistemas funcionales de una organización, permitiendo que cada subsistema complete funciones en varios niveles, como procesamiento de transacciones, gestión de operaciones, control de gestión y planificación estratégica. Cada subsistema puede tener sus propios archivos dedicados y, al mismo tiempo, puede compartir varios tipos de datos en el sistema de información y realizar la conexión entre subsistemas a través de interfaces estandarizadas como redes y datos. De manera similar, cada subsistema tiene su propio programa de aplicación y también puede llamar a programas públicos que cumplen diversas funciones y modelos en la biblioteca de modelos del sistema.

La integración horizontal se refiere a la integración de varias funciones y necesidades al mismo nivel, por ejemplo, integrando los subsistemas de personal y nómina de la capa de control de operaciones para integrar el procesamiento empresarial de base.

La integración vertical se refiere a la organización de negocios en todos los niveles con ciertas funciones y requisitos. Esta integración comunica las conexiones entre superiores y subordinados. Por ejemplo, el sistema de contabilidad de una rama de la organización y el sistema de contabilidad de la organización en general están integrados. en común donde se puede formar un proceso de procesamiento integrado.

La integración vertical y horizontal se refiere a la síntesis principalmente de los dos aspectos del modelo de información y el modelo de procesamiento para lograr el intercambio centralizado de información, hacer que el programa sea lo más modular posible, prestar atención a extraer partes comunes y establecer un sistema de datos común e información integrada. sistema de procesamiento.

1. C/S de dos capas

2. Estructura de tres capas C/S y B/S

3. Estructura C/S multicapa

4. Patrón modelo-vista-controlador

Si dos sistemas de aplicación de estructura C/S multicapa necesitan comunicarse entre sí, entonces se producirá una arquitectura orientada a servicios. (Arquitectura Orientada a Servicios,SOA)

Un sistema de aplicación independiente significa que no importa cuántas capas de servicios conste el sistema de aplicación, si se elimina alguna capa, no funcionará correctamente. Puede ser una aplicación independiente que proporciona funciones completas al mundo exterior.

Utilice middleware para cumplir con los requisitos de SOA, como middleware de mensajes, middleware de transacciones, etc.

En la práctica, la arquitectura orientada a servicios se puede dividir específicamente en integración de sistemas heterogéneos, agregación de sistemas homogéneos, arquitectura federada, etc.

La arquitectura orientada a servicios se refleja entre las aplicaciones web y se convierte en un servicio web, es decir, dos aplicaciones de Internet pueden abrir algunos "servicios" internos entre sí (dichos servicios pueden entenderse como módulos funcionales, funciones, procesos, etc.). Actualmente, los protocolos para que las aplicaciones web abran sus servicios internos al mundo exterior incluyen principalmente SOAP y WSDL. Para obtener información específica, consulte los estándares pertinentes.

El servicio web es uno de los patrones de aplicación más típicos y populares de la arquitectura orientada a servicios.

La esencia es el mecanismo de mensaje o llamada a procedimiento remoto (RPC).

Para las pequeñas y medianas empresas industriales o las empresas industriales en la etapa inicial de informatización y digitalización, el objetivo principal de la construcción de integración de sistemas de información es mejorar la eficiencia del trabajo y reducir los riesgos comerciales. Al mismo tiempo, debido a las deficiencias de sus propios equipos y talentos de informatización, así como a la falta de una comprensión profunda de la informatización y la digitalización en sus sistemas comerciales, las empresas a menudo adoptan la "doctrina del préstamo" para construir sus sistemas de información. es decir, comprar directamente conjuntos completos de software de aplicación maduro y construir una infraestructura relevante en función de los requisitos operativos del software de aplicación.

En esta etapa del desarrollo empresarial, la atención se centra en la división detallada de las funciones organizativas y la introducción de las mejores prácticas de la industria. Por lo tanto, la construcción de información de una organización a menudo se basa en departamentos o funciones, y el enfoque principal está en las funciones de software del sistema de información, como la gestión financiera, la gestión de equipos, la gestión de activos, etc., para llevar a cabo el sistema de información. planificación, diseño, implementación y operación. Al mismo tiempo, mediante la implementación de conjuntos completos de software, puede fortalecer su propio nivel de gestión o proceso. La integración y fusión entre software o módulos de aplicación se completa principalmente a través de la interfaz de software del sistema. Las empresas a menudo adoptan una planificación unificada y una implementación paso a paso, es decir, qué funciones se necesitan y qué funciones se implementan en línea.

La arquitectura de integración de sistemas con capacidades de plataforma como línea principal se originó a partir del desarrollo de la tecnología de computación en la nube y la madurez gradual de los servicios en la nube. Su concepto central es transformar cada componente del sistema de información "estilo silo" en un método de construcción "aplanado", que incluye recopilación de datos aplanados, transmisión de red aplanada, middleware de aplicaciones aplanados y desarrollo de aplicaciones aplanadas, etc., y a través de interfaces estandarizadas. y las nuevas tecnologías de la información, se puede construir la elasticidad y agilidad de los sistemas de información. Las aplicaciones de sistemas de información respaldadas por la arquitectura de la plataforma se pueden combinar con una construcción especial o una configuración independiente (o desarrollo a pequeña escala) para obtener rápidamente las funciones del sistema de aplicaciones requeridas por la empresa, superando así las deficiencias de los proveedores de software completos en la personalización de software personalizado.

En la práctica específica, la transformación arquitectónica de las empresas es un proceso continuo. Las empresas seguirán utilizando el modelo de implementación de software completo para aplicaciones con alta madurez y pocos cambios, y adoptarán una arquitectura de plataforma para aplicaciones nuevas y cambiantes y, en última instancia, mantendrán la coexistencia de las dos arquitecturas (también conocida como TI de estado dual, es decir, estado sensible y estado estable integración) o todos convertidos a una arquitectura de plataforma.

Cuando una empresa se desarrolla hasta la etapa de cadena industrial o cadena ecológica, o se convierte en una empresa grupal compleja y diversificada, la empresa comienza a buscar una transferencia o transición a una arquitectura de integración de sistemas con Internet como línea principal.

Una arquitectura de integración de sistemas con Internet como línea principal, enfatizando la máxima aplicación (microservicios) de cada función del sistema de información.

La arquitectura de integración de sistemas con Internet como línea principal integra y aplica más tecnologías de la información de nueva generación y sus innovaciones de aplicación.

TOGAF es desarrollado por la organización internacional The Open Group.

La organización comenzó a desarrollar estándares de arquitectura de sistemas en 1993 en respuesta a los requisitos de los clientes y publicó el marco de arquitectura TOGAF en 1995. La base de TOGAF es la Arquitectura Técnica para la Gestión de la Información (TAFIM) del Departamento de Defensa de EE. UU. Se basa en un modelo de proceso iterativo que respalda las mejores prácticas y un conjunto reutilizable de activos arquitectónicos existentes. Puede utilizarse para diseñar, evaluar y establecer una arquitectura empresarial adecuada. A nivel internacional, se ha demostrado que TOGAF puede crear una arquitectura de TI empresarial de manera flexible y eficiente.

El marco está diseñado para ayudar a las empresas a organizar y abordar todas las necesidades comerciales críticas a través de los siguientes cuatro objetivos:

TOGAF refleja la estructura y el contenido de las capacidades de la arquitectura interna de una empresa. La versión TOGAF9 incluye seis componentes:

La idea central del marco TOGAF es:

El Método de Desarrollo de Arquitectura (ADM) describe los diversos pasos necesarios para desarrollar una arquitectura empresarial y las relaciones entre ellos. Definición detallada, también es el contenido central de la especificación TOGAF.

El enfoque ADM consta de un conjunto de fases dispuestas en un anillo en el orden de desarrollo de la arquitectura en el dominio de la arquitectura.

Este modelo divide el ciclo de vida completo de ADM en diez fases que incluyen la fase de preparación, la gestión de la demanda, la visión arquitectónica, la arquitectura empresarial, la arquitectura del sistema de información (aplicaciones y datos), la arquitectura técnica, las oportunidades y soluciones, la planificación de la migración, la gobernanza de la implementación y la gobernanza del cambio de arquitectura. Etapas, estas diez etapas son un proceso iterativo.

El enfoque ADM se aplica de forma iterativa durante todo el proceso de desarrollo de la arquitectura, entre fases y dentro de cada fase. En el ciclo de vida completo de ADM, cada etapa debe confirmar los resultados del diseño en función de los requisitos comerciales originales, que también incluyen algunas etapas exclusivas del proceso comercial. La validación requiere una revisión de la cobertura, el cronograma, el nivel de detalle, los planes y los hitos de la empresa. Se debe considerar la reutilización de activos arquitectónicos en cada etapa.

ADM ha formado un concepto de iteración de tres niveles:

Principales actividades en cada etapa de desarrollo de ADM

（1） expectativa de valor

（2） fuerza de reacción

（3） catalizador para el cambio

（1） Preste más atención a los modelos de comportamiento de los participantes y menos a las metas dentro de ellos.

（2） Los participantes suelen estar rígidamente divididos en varios roles, donde los individuos en cada rol son esencialmente los mismos (por ejemplo, empresarios, administradores de inversiones o administradores de sistemas).

（3） A menudo se ignoran las diferencias en los factores limitantes (por ejemplo, si los operadores de valores en Nueva York son los mismos que los de Londres, si el mercado está abierto a la negociación versus la negociación diaria).

（4） El resultado es sencillo. Los requisitos se cumplen o no, los casos de uso se completan con éxito o no.

（1） Qué restricciones afectan uno o más valores deseados.

（2） Si se conocen los impactos, ¿sería más fácil (impactos positivos) o más difícil (impactos negativos) cumplir con las expectativas?

（3） Qué tan severos son los diversos efectos, en cuyo caso los niveles simples de bajo, medio y alto suelen ser suficientes.

（1） Identificar y priorizar contextos de valor apropiados.

（2） Definir curvas de utilidad y valores esperados priorizados en cada contexto.

（3） Identificar y analizar fuerzas contrarias y catalizadores de cambio en cada contexto.

（4） Detectar áreas donde las limitaciones dificultan el cumplimiento de las expectativas.

（1） importancia

（2） grado

（3） como resultado de

（4） aislamiento

（1） organizar

（2） funcionar

（3） variabilidad

（4） evolución

（1） Los productos y sistemas intensivos en software existen para proporcionar valor.

（2） El valor es una cantidad escalar que combina la comprensión de la utilidad marginal con la importancia relativa de muchos objetivos diferentes. El equilibrio entre objetivos es una cuestión extremadamente importante.

（3） El valor existe en múltiples niveles, algunos de los cuales incluyen al sistema objetivo como proveedor de valor. Los modelos de valor utilizados en estas áreas abarcan los impulsores clave de la arquitectura de software.

（4） Los modelos de valor en niveles superiores de la jerarquía pueden provocar cambios en los modelos de valor que se encuentran debajo de ellos. Esta es una base importante para formular principios de evolución de sistemas.

（5） Para cada grupo de valores, el modelo de valor es homogéneo. Los contextos de valores expuestos a diferentes condiciones ambientales tienen diferentes valores esperados.

（6） Los patrocinadores del desarrollo del sistema tienen diferentes prioridades para satisfacer las necesidades de diferentes contextos de valor.

（7） Los desafíos arquitectónicos surgen del impacto de los factores ambientales en las expectativas dentro de un contexto.

（8） Un enfoque arquitectónico intenta maximizar el valor superando primero los desafíos arquitectónicos de mayor prioridad.

（9） La estrategia arquitectónica se sintetiza a partir del enfoque arquitectónico de mayor prioridad al resumir reglas, políticas y principios organizacionales, operaciones, cambios y evolución comunes.

（1） Canales de gobernanza

（2） Sistema de centro de gobernanza

（3） Sistema de apoyo a la gobernanza

（4） Modificaciones relevantes del sistema

（1） Basado en el principio de racionalidad del posicionamiento jerárquico.

（2） La escalabilidad de la arquitectura requiere la consideración del modelo de almacenamiento de datos y la tecnología de almacenamiento de datos.

La base de datos de origen es la fuente de datos requerida por el centro de gobernanza inteligente del seguro social de una ciudad.

Utilice herramientas de sincronización como OGG o sincronice la base de datos de origen con sincronización de datos, llamadas de servicio, etc. Ingrese a la base de datos de Exchange y utilice la sincronización o duplicación de datos para reducir el impacto en la base de datos de origen.

Los datos en la biblioteca de intercambio se extraen a través de OGG For Bigdata para extraer datos variables, extracción, inserción, importación, etc. de Sqoop, y se almacenan en la biblioteca de transición en la plataforma Hadoop para mejorar el rendimiento del procesamiento de datos por lotes grandes.

Compare, convierta, limpie y agregue los datos en la base de datos de transición y guárdelos en una estructura de tabla de base de datos unificada. En la base de datos integrada, se proporcionan fuentes de datos incrementales y fuentes de datos completas para cada base de datos temática.

Es decir, la biblioteca de servicios extrae los datos requeridos de la biblioteca integrada de acuerdo con los requisitos de la aplicación del tema de gobernanza para proporcionar gobernanza. Brindar soporte para aplicaciones teóricas y presentación visual.

Siga estándares nacionales e internacionales como J2EE, HTML5, CSS3, SQL, Shell, XML/JSON, HTTP, FTP, SM2, SM3, JavaScript, etc.

1||| Confiar en la red 5G y el Internet de las cosas para proporcionar soporte de red básico para este proyecto;

2||| Confiar en el middleware de aplicaciones para proporcionar soporte de implementación de aplicaciones para este proyecto;

3||| Confiar en el caché distribuido, la base de datos de memoria, la base de datos MPP y la base de datos de transacciones para proporcionar soporte básico de almacenamiento de datos para este proyecto;

4||| Confiar en la plataforma Hadoop para proporcionar soporte de entorno informático y almacenamiento distribuido para este proyecto;

5||| Depender de los componentes del motor de búsqueda y del motor de reglas para proporcionar soporte de componentes técnicos para aplicaciones de gobernanza.

Es una tecnología que debe seguirse y adoptarse estrictamente en el desarrollo de sistemas de aplicaciones.

El marco de la aplicación adopta un diseño en capas, que incluye una capa de acceso, una capa de control de interacción, una capa de componentes comerciales y una capa de acceso a recursos.

Incluyendo inicio de sesión único, bus de servicio (ESB), motor de proceso, cola de mensajes y otras tecnologías para soportar la integración entre varios sistemas de aplicaciones.

Incluyendo herramientas ETL, herramientas de replicación de sincronización de datos, indexación de datos, procedimientos almacenados/SQL, motores informáticos MapReduce/Spark y otras tecnologías, proporciona recopilación de datos, limpieza de datos, conversión de datos, procesamiento de datos, extracción de datos, etc. para el seguro social de una ciudad. Centro de gobernanza inteligente. Proporcionar soporte técnico para el trabajo.

Incluye motor de BI, motor de informes, motor GIS, componente de gráficos, motor 3D, motor de modelado multidimensional, paquete de algoritmos de IA, paquete de algoritmos de minería de datos y otras tecnologías de big data, que proporcionan mapas de seguridad social, comando y despacho remotos, análisis panorámico, macro toma de decisiones, seguimiento y supervisión Proporcionar soporte técnico para la visualización de otras aplicaciones.

Incluyendo seguimientos de operación, advertencia de fallas, monitoreo de eficiencia energética, recopilación de registros, escaneo de vulnerabilidades, aplicación. Utilice monitoreo, análisis de red y otras tecnologías para respaldar la operación y el mantenimiento estandarizados de los sistemas de aplicaciones.

Una LAN de un solo núcleo generalmente consta de un dispositivo de conmutación central de capa 2 o capa 3 como dispositivo central de la red, y los dispositivos de usuario (como computadoras de usuario, dispositivos inteligentes, etc.) están conectados a la red a través de varios dispositivos de conmutación de acceso. .

Este tipo de LAN se puede conectar a la WAN a través del equipo de enrutamiento de interconexión (enrutador de frontera o firewall) que conecta el equipo de conmutación de la red central y la WAN para lograr el acceso a los servicios entre LAN.

La red de núcleo único tiene las siguientes características:

La ventaja de utilizar un único núcleo para construir una red es que la estructura de la red es simple y se puede ahorrar la inversión en equipos. Es más conveniente para las suborganizaciones que necesitan utilizar la LAN para acceder. Pueden conectarse directamente a la interfaz inactiva del dispositivo de conmutación central a través del dispositivo de conmutación de acceso. Sus deficiencias son que el alcance geográfico de la red es limitado y las suborganizaciones que requieren el uso de LAN son relativamente compactas. El equipo de conmutación de la red central tiene un único punto de falla, lo que fácilmente puede provocar fallas totales o parciales; la red; la capacidad de expansión de la red es limitada; hay muchos dispositivos de conmutación conectados a la LAN. En este caso, se requiere que la densidad de puertos del equipo de conmutación central sea alta.

Como alternativa, para redes de menor escala, los equipos de usuario que utilizan esta arquitectura de red también pueden interconectarse directamente con equipos de conmutación centrales, lo que reduce aún más los costos de inversión.

La arquitectura de doble núcleo generalmente se refiere al equipo de conmutación central que utiliza conmutadores de tres capas o más.

Se pueden utilizar conexiones Ethernet como 100M/GE/10GE entre el equipo de conmutación central y el equipo de acceso. Al dividir las VLAN dentro de la red, el acceso entre cada VLAN debe completarse a través de dos equipos de conmutación central. Solo el equipo de conmutación central de la red tiene la función de enrutamiento y el equipo de acceso solo proporciona la función de reenvío de Capa 2.

Los dispositivos de conmutación centrales están interconectados para lograr protección de puerta de enlace o equilibrio de carga. El equipo de conmutación central tiene capacidades de protección y la topología de la red es confiable. La conmutación en caliente se puede implementar en el enrutamiento y reenvío de servicios. Para el acceso mutuo entre las LAN de varios departamentos conectados a la red, o para acceder a los servidores centrales del negocio, hay más de una ruta para elegir, con mayor confiabilidad.

Es más conveniente para organizaciones especiales que necesitan utilizar la LAN para acceder. Pueden conectarse directamente a la interfaz inactiva del dispositivo de conmutación central a través del dispositivo de conmutación de acceso. La inversión en equipos es mayor que la de una LAN de un solo núcleo. Los requisitos de densidad de puertos para los equipos de conmutación central son relativamente altos. Todos los servidores empresariales están conectados a dos dispositivos de conmutación centrales al mismo tiempo y protegidos mediante el protocolo de protección de puerta de enlace para proporcionar acceso de alta velocidad al equipo del usuario.

Una LAN en anillo se compone de múltiples dispositivos de conmutación centrales conectados en anillos de paquetes elásticos dinámicos RPR (Resilient Packet Ring) duales para construir el núcleo de la red.

Los equipos de conmutación central suelen utilizar conmutadores de tres capas o más para proporcionar funciones de reenvío empresarial.

Cada VLAN en una red LAN en anillo típica realiza acceso mutuo a través del anillo RPR. RPR tiene una función de protección de autorreparación para ahorrar recursos de fibra óptica; tiene la capacidad de un tiempo de autorreparación de 50 ms en la capa MAC y proporciona servicios QoS confiables de múltiples niveles, mecanismo de equidad de ancho de banda y mecanismo de control de congestión. El anillo RPR está disponible en ambas direcciones. La red forma una topología de anillo a través de dos fibras ópticas inversas, y los nodos del anillo pueden llegar a otro nodo desde dos direcciones. Cada fibra puede transmitir datos y señales de control simultáneamente. RPR utiliza tecnología de reutilización espacial para utilizar eficazmente el ancho de banda del anillo.

Al construir una LAN a gran escala a través de RPR, varios anillos solo pueden comunicarse entre sí a través de interfaces de servicio y no pueden lograr una comunicación de red directa. La inversión en equipos LAN en anillo es mayor que la de una LAN de un solo núcleo. El diseño de redundancia de enrutamiento central es difícil de implementar y puede formar bucles fácilmente. Esta red accede a la WAN a través de dispositivos de enrutamiento fronterizo que interconectan dispositivos de conmutación en el anillo.

La LAN jerárquica (o LAN multicapa) consta de equipos de conmutación de capa central, equipos de conmutación de capa de agregación, equipos de conmutación de capa de acceso y Equipos de usuario y otros componentes.

El equipo de la capa central en el modelo LAN jerárquico proporciona funciones de reenvío de datos de alta velocidad; las interfaces suficientes proporcionadas por el equipo de la capa de agregación logran un control de acceso mutuo con la capa de acceso, y la capa de agregación puede proporcionar diferentes dispositivos de acceso bajo su jurisdicción (dentro de la red). departamento LAN) La función de conmutación de servicio reduce la presión de reenvío sobre el equipo de conmutación central para que el equipo de la capa de acceso realice el acceso al equipo del usuario. La topología de red LAN jerárquica es fácil de ampliar. Las fallas de la red se pueden clasificar y solucionar para facilitar el mantenimiento. Por lo general, la LAN jerárquica está conectada a la WAN a través del dispositivo de enrutamiento fronterizo con la WAN para realizar el acceso mutuo de los servicios LAN y WAN.

Una WAN de un solo núcleo generalmente consta de un dispositivo de enrutamiento central y cada LAN, como se muestra en la Figura 4-13. El equipo de enrutamiento central utiliza conmutadores de capa 3 y superiores. El acceso entre LAN dentro de la red requiere equipo de enrutamiento central.

No hay otros dispositivos de enrutamiento entre las LAN de la red. Se utilizan líneas de transmisión entre cada red de área local y el equipo de enrutamiento central. Las interfaces de interconexión entre los equipos de enrutamiento y cada LAN pertenecen a la subred LAN correspondiente. El equipo de enrutamiento central y cada red de área local se pueden conectar mediante interfaces Ethernet de 10M/100M/GE. Este tipo de red tiene una estructura sencilla y ahorra inversión en equipos. La eficiencia de cada LAN para acceder a la LAN central y el acceso mutuo es alta. Es más conveniente que la nueva LAN del departamento se conecte a la WAN, siempre que el equipo de enrutamiento central tenga puertos. Sin embargo, existe el riesgo de que un único punto de falla en el equipo de enrutamiento central pueda provocar fácilmente la falla de toda la red. La capacidad de expansión de la red es deficiente y requiere una alta densidad de puertos del equipo de enrutamiento central.

Una WAN de doble núcleo generalmente consta de dos dispositivos de enrutamiento centrales y cada LAN, como se muestra en la Figura 4-14.

La característica principal del modelo WAN de doble núcleo es que el equipo de enrutamiento central generalmente utiliza conmutadores de tres capas o más. El equipo de enrutamiento central generalmente está conectado a cada red de área local a través de interfaces Ethernet como 10M/100M/GE. El acceso entre las LAN de la red requiere dos dispositivos de enrutamiento centrales. No existen otros dispositivos de enrutamiento entre las LAN para el acceso empresarial. Implemente protección de puerta de enlace o equilibrio de carga entre dispositivos de enrutamiento centrales. Hay múltiples opciones de ruta para que cada LAN acceda a la LAN central y entre sí, y se puede lograr una mayor confiabilidad en el nivel de enrutamiento, brindando capacidades de acceso de continuidad del negocio. Cuando la interfaz del equipo de enrutamiento central está reservada, se puede acceder fácilmente a la nueva LAN. Sin embargo, la inversión en equipos es mayor que la de una WAN de un solo núcleo. El diseño de redundancia de enrutamiento del equipo de enrutamiento central es difícil de implementar y puede formar fácilmente bucles de enrutamiento. La red tiene requisitos de densidad de puertos más altos para los equipos de enrutamiento central.

Una red de área amplia en anillo generalmente utiliza más de tres dispositivos enrutadores centrales para formar un bucle de enrutamiento para conectar varias redes de área local y lograr el acceso mutuo de los servicios WAN.

La característica principal de una red de área amplia en anillo es que el equipo de enrutamiento central generalmente utiliza conmutadores de tres capas o más. El equipo de enrutamiento central y cada red de área local generalmente se conectan a través de interfaces Ethernet como 10M/100M/GE. El acceso entre LAN dentro de la red debe pasar a través de un anillo formado por dispositivos de enrutamiento centrales. No existen otros dispositivos de enrutamiento para el acceso mutuo entre las LAN. Los dispositivos de enrutamiento central están equipados con protección de puerta de enlace o mecanismos de equilibrio de carga, así como funciones de control de bucle. Cada LAN tiene múltiples rutas para elegir para acceder a la LAN central o entre sí, y se puede lograr una mayor confiabilidad en el nivel de enrutamiento para garantizar la continuidad del acceso comercial.

Cuando la interfaz del equipo de enrutamiento central está reservada, se puede acceder fácilmente a la nueva LAN del departamento. Sin embargo, la inversión en equipos es mayor que la de la WAN de doble núcleo, y el diseño de redundancia de enrutamiento del equipo de enrutamiento central es difícil de implementar y los bucles de enrutamiento se forman fácilmente. La topología de anillo necesita ocupar más puertos y la red tiene requisitos de densidad de puertos más altos para los equipos de enrutamiento central.

Una WAN semiredundante está formada por múltiples dispositivos de enrutamiento centrales que conectan varias LAN, como se muestra en la Figura 4-16. Entre ellos, cualquier dispositivo de enrutamiento central tiene al menos dos o más enlaces conectados a otros dispositivos de enrutamiento. Un caso especial de WAN semiredundante es una WAN totalmente redundante si existe un enlace entre dos dispositivos de enrutamiento centrales.

Las principales características de la WAN semiredundante son su estructura flexible y su fácil expansión. Algunos dispositivos de enrutamiento del núcleo de la red pueden adoptar protección de puerta de enlace o mecanismos de equilibrio de carga o tener funciones de control de bucle. La estructura de la red es similar a una malla y existen múltiples rutas para que cada LAN acceda a la LAN central y entre sí, con alta confiabilidad. La selección de ruta a nivel de ruta es más flexible. La estructura de red es adecuada para implementar protocolos de enrutamiento de estado de enlace como OSPF. Sin embargo, la estructura de la red está fragmentada y es difícil de gestionar y solucionar problemas.

La red de subdominios peer-to-peer divide el equipo de enrutamiento de la WAN en dos subdominios independientes, y cada equipo de enrutamiento de subdominio está interconectado de manera semiredundante. Los dos subdominios están interconectados a través de uno o más enlaces y cualquier dispositivo de enrutamiento en el subdominio par puede acceder a la LAN, como se muestra en la Figura 4-17.

La característica principal de la WAN de subdominio de igual a igual es que el acceso mutuo entre subdominios de igual a igual está dominado por enlaces de interconexión entre subdominios de igual a igual. Se puede lograr un resumen de ruta o una coincidencia detallada de entradas de ruta entre subdominios de pares, y el control de ruta es flexible. Generalmente, el ancho de banda de los enlaces entre subdominios debe ser mayor que el ancho de banda de los enlaces dentro de los subdominios. El diseño de redundancia de enrutamiento entre dominios es difícil de implementar y puede formar fácilmente bucles de enrutamiento o correr el riesgo de publicar rutas ilegales. Los requisitos de rendimiento de enrutamiento de los equipos de enrutamiento de límites de dominio son relativamente altos. Los protocolos de enrutamiento en la red son principalmente enrutamiento dinámico. Los subdominios peer-to-peer son adecuados para escenarios en los que la WAN se puede dividir claramente en dos áreas y el acceso dentro de las áreas es relativamente independiente.

La estructura WAN de subdominio jerárquico divide los equipos de enrutamiento WAN grandes en múltiples subdominios relativamente independientes. Los equipos de enrutamiento en cada subdominio están interconectados de manera semiredundante. Existe una relación jerárquica entre múltiples subdominios. subdominios de nivel. Cualquier dispositivo de enrutamiento en el subdominio jerárquico puede acceder a la LAN, como se muestra en la Figura 4-18.

La característica principal de los subdominios jerárquicos es que la estructura del subdominio jerárquico tiene una mejor escalabilidad. El acceso mutuo entre subdominios de bajo nivel debe completarse a través de subdominios de alto nivel. La implementación del diseño de redundancia de enrutamiento entre dominios es difícil, es fácil formar bucles de enrutamiento y existe el riesgo de publicar rutas ilegales. El ancho de banda del enlace entre subdominios debe ser mayor que el ancho de banda del enlace dentro del subdominio. Los requisitos de rendimiento de enrutamiento y reenvío de los dispositivos de enrutamiento de borde de dominio utilizados para el acceso mutuo al dominio son relativamente altos. Los protocolos de enrutamiento de los dispositivos de enrutamiento son principalmente enrutamiento dinámico, como el protocolo OSPF. La interconexión entre los subdominios jerárquicos y la red externa de nivel superior se completa principalmente con la ayuda de subdominios de alto nivel; la interconexión con la red externa de nivel inferior se completa principalmente con la ayuda de subdominios de bajo nivel.

Cuando 5GS proporciona servicios a usuarios de terminales móviles (equipo de usuario, UE), generalmente requiere una red DN, como Internet, IMS (IP Media Subsystem), red privada y otras interconexiones para proporcionar los servicios requeridos para el UE. Los elementos de red de la UPF en 5GS sirven como punto de acceso de DN para diversos servicios de Internet, voz, AR/VR, control industrial y servicios sin conductor. 5GS y DN están interconectados a través de la interfaz N6 definida por 5GS, como se muestra en la Figura 4-19.

La red 5G pertenece a la categoría 5G e incluye varias entidades funcionales de red, como AMF/SMF/PCF/NRF/NSSF, etc. En aras de la simplicidad, en la figura sólo se marcan las entidades funcionales de red estrechamente relacionadas con las sesiones de usuario.

Cuando 5GS y DN están interconectados según IPv4/IPv6, desde la perspectiva de DN, la UPF puede considerarse como un enrutador normal. Por el contrario, desde la perspectiva del 5GS, los dispositivos interconectados con la UPF a través de la interfaz N6 suelen ser routers. En otras palabras, existe una relación de enrutamiento entre 5GS y DN. El flujo de servicio del UE que accede al DN se reenvía entre ellos a través de una configuración de enrutamiento bidireccional. En lo que respecta a la red 5G, el flujo de servicio de UE a DN se denomina flujo de servicio de enlace ascendente (UL, UpLink); el flujo de servicio de DN a UE se denomina flujo de servicio de enlace descendente (DL, DownLink). El flujo de servicio UL se reenvía al DN a través de la ruta configurada en la UPF; el flujo de servicio DL se reenvía a la UPF a través de la ruta configurada en el enrutador adyacente a la UPF.

Además, desde la perspectiva de cómo el UE accede al DN a través de 5GS, existen dos modos:

Las redes 5G cambian la orientación anterior centrada en los dispositivos y los negocios y abogan por un concepto centrado en el usuario. Si bien las redes 5G brindan servicios a los usuarios, también prestan más atención a la QoE (calidad de experiencia) de la experiencia de servicio de los usuarios. Entre ellas, la provisión de capacidades informáticas de borde de red 5G es una de las medidas importantes para potenciar las industrias verticales y mejorar la QoE de los usuarios.

La arquitectura Mobile Edge Computing (MEC) de la red 5G se muestra en la Figura 4-22. Admite el despliegue de elementos de red 5G UPF en el borde de la red móvil cerca del usuario final UE, combinado con el despliegue de un borde. plataforma informática (Mobile Edge Platform) en el borde de la red móvil, MEP), proporciona a las industrias verticales servicios de descarga de negocios cercanos caracterizados por un ancho de banda elevado y urgente. Por lo tanto, por un lado, proporciona a los usuarios una excelente experiencia de servicio y, por otro lado, reduce la presión sobre el procesamiento back-end de la red móvil.

La aplicación AF (función de aplicación) del propio operador o la aplicación de terceros activa la red 5G para generar dinámicamente políticas de descarga local para aplicaciones de borde a través del elemento de red de función de apertura de capacidad NEF (función de exposición de red) proporcionado por 5GS, que está controlado por PCF ( Función de carga de políticas) Configure estas políticas en la SMF relevante. La SMF implementa dinámicamente la inserción o eliminación de UPF (es decir, la UPF implementada en la nube de borde móvil) en la sesión del usuario en función de la información de ubicación del usuario final o la información de cambio de ubicación posterior. el usuario se mueve y descarga estos UPF. La configuración dinámica de reglas logra excelentes resultados para que los usuarios accedan a los servicios requeridos.

Además, desde la perspectiva de la continuidad del negocio, la red 5G puede proporcionar el modo SSC 1 (el punto de acceso IP de la sesión del usuario permanece sin cambios durante el movimiento del usuario), el modo SSC 2 (la red activa la liberación de la sesión existente del usuario durante el movimiento del usuario) e inmediatamente activa el establecimiento de una nueva sesión), modo SSC 3 (establece una nueva sesión antes de liberar la sesión existente del usuario durante el movimiento del usuario) para que el proveedor de servicios ASP (proveedor de servicios de aplicaciones) u operador elija.

La información se filtra o se divulga a una entidad no autorizada.

Los datos se pierden debido a la adición, eliminación, modificación o destrucción no autorizada.

Se bloquea incondicionalmente el acceso legítimo a la información u otros recursos.

Un recurso es utilizado por una persona no autorizada o de manera no autorizada.

Utilizar todos los medios legales o ilegales posibles para robar recursos de información e información sensible en el sistema. Por ejemplo, monitorear señales transmitidas en líneas de comunicación o utilizar fugas electromagnéticas generadas por equipos de comunicación durante el funcionamiento para interceptar información útil.

A través del monitoreo a largo plazo del sistema, se utilizan métodos de análisis estadístico para analizar factores como la frecuencia de comunicación y la comunicación. Realizar investigaciones sobre cambios en el flujo de información y el volumen total de comunicación para descubrir información y patrones valiosos.

Al engañar al sistema de comunicación (o al usuario), el propósito es lograr el propósito de que los usuarios ilegales se hagan pasar por usuarios legítimos, o los usuarios con pocos privilegios se hagan pasar por usuarios con altos privilegios. Los piratas informáticos utilizan principalmente la suplantación de identidad para atacar.

Un atacante aprovecha las fallas o vulnerabilidades de seguridad de un sistema para obtener derechos o privilegios no autorizados. Por ejemplo, los atacantes utilizan varios métodos de ataque para descubrir algunas "características" del sistema que deberían mantenerse en secreto pero que están expuestas. Al utilizar estas "características", los atacantes pueden eludir a los defensores y penetrar en el sistema.

Una persona que está autorizada a utilizar un sistema o recurso para un determinado propósito utiliza este permiso para otros fines no autorizados, lo que también se conoce como "ataque interno".

El software contiene un segmento de programa indetectable o inofensivo que, cuando se ejecuta, destruye Seguridad del usuario. Este tipo de aplicación se llama caballo de Troya.

Se configura un "chasis" en un sistema o componente para permitir violaciones de las políticas de seguridad cuando se proporcionan datos de entrada específicos.

Se trata de un ataque del usuario, por ejemplo, negando un mensaje que ha publicado o falsificando una carta de la otra parte.

Una copia de seguridad de datos de comunicación legítima que fue interceptada y retransmitida con fines ilegales.

El llamado virus informático es un programa funcional que puede infectar e infringir el funcionamiento de un sistema informático. Un virus suele tener dos funciones: una es "infectar" otros programas; la otra es causar daño o la capacidad de implantar un ataque.

Una persona autorizada revela información a una persona no autorizada por dinero o ganancias, o por descuido.

La información se obtiene de discos desechados o medios de almacenamiento impresos.

Los intrusos obtienen acceso a un sistema eludiendo los controles físicos.

Se roban elementos de seguridad importantes, como fichas o documentos de identidad.

Un sistema o componente de sistema falso que engaña a usuarios o sistemas legítimos para que proporcionen voluntariamente información confidencial.

La arquitectura de seguridad del sistema se refiere a los componentes principales que construyen los atributos de calidad de seguridad de los sistemas de información y las relaciones entre ellos.

El objetivo de la arquitectura de seguridad del sistema es cómo construir su propia seguridad desde el origen sin depender de sistemas de defensa externos.

La arquitectura de tecnología de seguridad se refiere a los componentes principales de la construcción de un sistema de tecnología de seguridad y las relaciones entre ellos.

La tarea de la arquitectura de tecnología de seguridad es construir una infraestructura de tecnología de seguridad general, incluida la infraestructura de seguridad, herramientas y tecnologías de seguridad, componentes de seguridad y sistemas de soporte, etc., para mejorar sistemáticamente las capacidades de defensa de seguridad de cada parte.

La estructura de auditoría se refiere al departamento de auditoría independiente o las capacidades de descubrimiento de riesgos que puede proporcionar. El alcance de la auditoría incluye principalmente todos los riesgos, incluidos los riesgos de seguridad.

Cuando las personas diseñan un sistema, generalmente necesitan identificar las amenazas a la seguridad que el sistema puede encontrar. Al realizar una evaluación razonable de las amenazas a la seguridad que enfrenta el sistema e implementar las medidas de control correspondientes, se proponen tecnologías de seguridad efectivas y razonables para formar una seguridad. Un método que mejora la seguridad del sistema de información es el objetivo fundamental del diseño de la arquitectura de seguridad. En aplicaciones prácticas, el diseño de la arquitectura de seguridad se puede considerar desde la perspectiva de la tecnología de seguridad, como el cifrado y descifrado, la tecnología de seguridad de red, etc.

（1） Alerta Temprana(W)

（2） Proteger(P)

（3） Detección(D)

（4） Respuesta(R)

（5） Recuperación(R)

（6） Contraataque(C)

1. sistema de seguridad del sistema

2. Arquitectura de seguridad de la información

El campo de la seguridad de la estructura de la red se centra en si la topología de la red es razonable, si las líneas son redundantes, si el enrutamiento es redundante y si se evitan puntos únicos de falla.

La seguridad del sistema operativo se centra en dos aspectos: ① Medidas que se pueden tomar para prevenir la seguridad del sistema operativo, tales como: intentar utilizar un sistema operativo de red más seguro y realizar las configuraciones de seguridad necesarias, cerrar algunas aplicaciones que no se utilizan comúnmente pero que tienen riesgos de seguridad , Usar permisos para restringir o fortalecer el uso de contraseñas, etc. ② Equipado con un sistema de escaneo de seguridad del sistema operativo para realizar escaneos de seguridad en el sistema operativo, descubrir vulnerabilidades y actualizar de manera oportuna.

En términos de seguridad del sistema de aplicaciones, concéntrese en el servidor de aplicaciones e intente no abrir algunos protocolos y puertos de protocolo que se utilizan con poca frecuencia, como servicios de archivos, servidores de correo electrónico, etc. Puede desactivar servicios como HTTP, FTP, Telnet, etc. en el servidor. La autenticación de la identidad de inicio de sesión se puede reforzar para garantizar la legalidad del uso del usuario.

El aislamiento y el control de acceso deben tener un sistema de control estricto, y se pueden formular una serie de medidas de gestión como "Reglas de implementación de autorización de usuario", "Especificaciones de gestión de cuentas y contraseñas" y "Formulación de gestión de permisos".

Equipar un firewall es la medida de seguridad más básica, económica y eficaz en la seguridad de la red. El aislamiento y el control de acceso entre redes internas y externas o diferentes dominios de confianza en la red interna se logran mediante estrictas políticas de seguridad del firewall. El firewall puede implementar un control unidireccional o bidireccional e implementar un control de acceso más detallado para algunos niveles altos. -protocolos de nivel.

La detección de intrusiones requiere monitoreo y registro en tiempo real de todas las operaciones dentro y fuera del segmento de red en función de los códigos de información de los métodos de ataque existentes y más recientes, e implementar respuestas (bloqueo, alarmas y envío de correos electrónicos) de acuerdo con estrategias establecidas. Esto previene ataques y crímenes contra la red. Los sistemas de detección de intrusiones generalmente incluyen una consola y detectores (motores de red). La consola se usa para formular y administrar todos los detectores (motores de red). El motor de red se usa para monitorear los comportamientos de acceso dentro y fuera de la red y ejecutar los comportamientos correspondientes de acuerdo con ellos. las instrucciones de la consola.

La protección antivirus es un medio necesario para la seguridad de la red, porque en el entorno de la red, los virus informáticos tienen amenazas inconmensurables y un poder destructivo. El sistema operativo (como el sistema Windows) utilizado en los sistemas de red es propenso a la infección por virus. Por lo tanto, la prevención de virus informáticos también es uno de los aspectos importantes que se deben considerar en la construcción de seguridad de la red. La tecnología antivirus incluye tres tipos: prevención de virus, detección de virus y antivirus.

El intercambio de recursos debe controlar estrictamente el uso de los recursos compartidos de la red por parte de los empleados internos. Generalmente, los directorios compartidos no deben abrirse fácilmente en las subredes internas; de lo contrario, se puede filtrar información importante debido a negligencia al intercambiar información entre los empleados. Para los usuarios que necesitan intercambiar información con frecuencia, se debe agregar un mecanismo de autenticación de contraseña necesario al compartir, es decir, solo a través de la autenticación de contraseña se puede permitir el acceso a los datos.

El almacenamiento de información se refiere a hosts de usuarios que involucran información secreta. Los usuarios deben intentar abrir la menor cantidad posible de servicios de red poco comunes durante el proceso de solicitud. Realice una copia de seguridad segura de la base de datos en el servidor de datos. Se puede realizar una copia de seguridad de la base de datos y almacenarla de forma remota a través del sistema de copia de seguridad de la red.

Establecer y mejorar un sistema de gestión de seguridad será una garantía importante para la realización de la seguridad de la red. Puede formular procedimientos de operación de seguridad, sistemas de recompensa y castigo por incidentes de seguridad de acuerdo con su situación real, y nombrar gerentes de seguridad para que sean totalmente responsables de la supervisión y. guía.

La creación de una plataforma de gestión de seguridad reducirá muchos riesgos causados ​​por factores humanos no intencionados. La construcción de una plataforma de gestión de seguridad puede proporcionar protección técnica, como formar una subred de gestión de seguridad, instalar software de gestión de seguridad centralizado y unificado, sistemas de gestión de equipos de red y software de gestión unificada de equipos de seguridad de red, etc., para lograr la gestión de seguridad de toda la red. a través de la plataforma de gestión de seguridad.

Se debe realizar con frecuencia capacitación sobre concientización sobre la prevención de la seguridad de la red para que los empleados de la unidad mejoren de manera integral su conocimiento sobre los métodos de seguridad generales.

OSI (Open System Interconnection/Reference Mode, OSI/RM) es un modelo de interconexión de sistemas de comunicación abiertos (ISO 7498-2) formulado por una organización internacional de normalización, la norma nacional GB/T9387.2 "Referencia básica para sistemas abiertos de procesamiento de información". Modelo "Interconexión Parte 2: Arquitectura de seguridad" es equivalente a la norma ISO 7498-2.

El propósito de OSI es garantizar el intercambio seguro de información a largas distancias entre procesos de sistemas abiertos. Estos estándares establecen algunos principios rectores y restricciones dentro del marco de un modelo de referencia, proporcionando así un enfoque consistente para resolver problemas de seguridad en sistemas abiertos interconectados.

OSI define un protocolo de 7 capas, en el que cada capa, excepto la capa 5 (capa de sesión), puede proporcionar los servicios de seguridad correspondientes.

Es más adecuado configurar servicios de seguridad en la capa física, capa de red, capa de transporte y capa de aplicación. No es adecuado configurar servicios de seguridad en otras capas.

Los cinco tipos de servicios de seguridad del sistema de seguridad de interconexión del sistema abierto OSI incluyen autenticación, control de acceso, confidencialidad de datos, integridad de datos y no repudio.

OSI define una arquitectura de tecnología de seguridad multipunto en capas, también conocida como arquitectura de tecnología de seguridad de defensa en profundidad, que distribuye capacidades de defensa a todo el sistema de información de las tres formas siguientes.

La seguridad de los sistemas de información no sólo depende de la tecnología, sino que también requiere métodos de defensa no técnicos. Un nivel aceptable de aseguramiento de la información depende de una combinación de personas, gestión, tecnología y procesos.

El propósito básico de la autenticación es evitar que otras entidades ocupen y operen de forma independiente la identidad de la entidad autenticada.

La autenticación proporciona seguridad de que una entidad reivindica su identidad y es significativa sólo en el contexto de la relación entre el sujeto y el verificador.

Hay dos contextos relacionales importantes para la identificación:

Los métodos de identificación se basan principalmente en los cinco métodos siguientes:

La información de autenticación se refiere a la información generada, utilizada e intercambiada desde la solicitud de autenticación del solicitante hasta el final del proceso de autenticación.

Los tipos de información de autenticación son intercambiar información de autenticación, solicitar información de autenticación y verificar información de autenticación.

En algunos casos, el solicitante necesita interactuar con un tercero de confianza para generar información de autenticación de intercambio. De manera similar, para verificar el intercambio de información de autenticación, el verificador también necesita interactuar con un tercero de confianza. En este caso, el tercero de confianza posee la IA de verificación de la entidad relevante y también puede utilizar al tercero de confianza para transferir e intercambiar información de autenticación. Es posible que la entidad también necesite conservar la información de autenticación utilizada para autenticar al tercero de confianza.

El servicio de autenticación se divide en las siguientes etapas:

El control de acceso es el proceso de determinar qué recursos pueden usarse en un entorno de sistema abierto y dónde es apropiado evitar el acceso no autorizado.

En el caso del control de acceso, el acceso puede ser a un sistema (es decir, a una entidad que es una parte comunicante de un sistema) o dentro de un sistema.

La Figura 4-25 y la Figura 4-26 ilustran las funciones básicas del control de acceso.

ACI (Información de control de acceso) es cualquier información utilizada con fines de control de acceso, incluida la información contextual. ADI (Información de decisión de control de acceso) es parte (o la totalidad) de la ACI disponible para el ADF al tomar una decisión de control de acceso específica.

ADF (Función de decisión de control de acceso) es una función específica que toma decisiones de control de acceso utilizando reglas de política de control de acceso en la solicitud de acceso, la ADI y el contexto de la solicitud de acceso. AEF (Función de aplicación del control de acceso) garantiza que el iniciador solo realice el acceso permitido al objetivo.

En el control de acceso participan el iniciador, la AEF, el ADF y el objetivo. Los iniciadores representan personas y entidades informáticas que acceden o intentan acceder a un objetivo. El objetivo representa la computadora o entidad basada en comunicaciones a la que se intenta acceder o a la que accede el iniciador. Por ejemplo, el objetivo puede ser una entidad, un archivo o un sistema OSI. Una solicitud de acceso representa las operaciones y operandos que forman parte del intento de acceso.

Cuando el iniciador solicita acceso especial al objetivo, AEF notifica al ADF que se necesita una decisión para tomar una decisión. Para tomar una decisión, el ADF recibe una solicitud de acceso (como parte de la solicitud de decisión) y la siguiente información de decisión de control de acceso (ADI).

Otras entradas al ADF son las reglas de política de control de acceso (de la autoridad del dominio de seguridad de ADF) y la información contextual necesaria utilizada para interpretar la ADI o la política. La información contextual incluye la ubicación del originador, el tiempo de acceso o las rutas de comunicación especiales en uso. Con base en estas entradas, y posiblemente en la información ADI retenida de decisiones anteriores, el ADF puede tomar una decisión que permita o no permita el intento del iniciador de acceder al objetivo. La decisión se pasa a la AEF, que luego permite que la solicitud de acceso pase al objetivo o toma otras medidas apropiadas.

En muchos casos, las sucesivas solicitudes de acceso al objetivo por parte del iniciador están relacionadas. Un ejemplo típico en una aplicación es que después de abrir una conexión con la misma capa de destino, el proceso de la aplicación intenta realizar varios accesos con la misma ADI (reservada). Para algunas solicitudes de acceso que se comunican posteriormente a través de la conexión, puede ser necesario. para proporcionar solicitudes de acceso adicionales al ADF. ADI permite solicitudes de acceso. En otros casos, las políticas de seguridad pueden requerir restricciones en ciertas solicitudes de acceso relacionadas entre uno o más iniciadores y uno o más objetivos. las solicitudes de acceso se adjudican utilizando la ADI retenida de decisiones anteriores con respecto al objetivo.

Si la AEF lo permite, la solicitud de acceso implica solo una interacción única entre el iniciador y el objetivo. Aunque algunas solicitudes de acceso entre el iniciador y el objetivo no tienen ninguna relación con otras solicitudes de acceso, a menudo las dos entidades entran en un conjunto relacionado de solicitudes de acceso, como el patrón de desafío-respuesta. En este caso, la entidad cambia los roles de iniciador y destino simultáneamente o alternativamente según sea necesario, y la función de control de acceso se puede realizar para cada solicitud de acceso mediante componentes AEF, componentes ADF y políticas de control de acceso separados.

El propósito de los servicios de confidencialidad (Confidencialidad) es garantizar que la información solo esté disponible para personas autorizadas. Debido a que la información está representada por datos y los datos pueden causar cambios en las relaciones (por ejemplo, las operaciones de archivos pueden causar cambios de directorio o cambios en las áreas de almacenamiento disponibles), la información se puede derivar de los datos de muchas maneras diferentes. Por ejemplo, derivar comprendiendo el significado de los datos (como el valor de los datos); derivar utilizando atributos relacionados con los datos (como existencia, datos creados, tamaño de los datos, fecha de la última actualización, etc.): estudiando el contexto de los datos, es decir, derivado de otras entidades de datos relacionadas con ellos, derivados de la observación de los cambios dinámicos de las expresiones de datos;

La protección de la información consiste en garantizar que los datos estén restringidos a personas autorizadas o se obtengan representándolos de una manera específica. La semántica de este método de protección es que los datos solo son accesibles para quienes poseen cierta información clave. La protección de la confidencialidad eficaz requiere que la información de control necesaria (como claves y RCI, etc.) esté protegida. Este mecanismo de protección es diferente del mecanismo utilizado para proteger los datos (como las claves que se pueden proteger por medios físicos, etc.).

En el marco de la confidencialidad se utilizan los dos conceptos de entorno protegido y entorno protegido superpuesto. Los datos en un entorno protegido se pueden proteger mediante el uso de un mecanismo (o mecanismos) de seguridad específicos. Todos los datos en un entorno protegido están protegidos de manera similar. Cuando dos o más entornos se superponen, los datos superpuestos se pueden proteger varias veces. Se puede inferir que la protección continua de los datos trasladados de un entorno a otro implica necesariamente la superposición de entornos de protección.

La confidencialidad de los datos puede depender del medio en el que residen y se transmiten, por lo que la confidencialidad de los datos almacenados se garantiza mediante el uso de mecanismos que ocultan la semántica de los datos (como el cifrado) o los fragmentan. La confidencialidad de los datos durante la transmisión está garantizada por mecanismos que prohíben el acceso, ocultan la semántica de los datos o los dispersan (como saltos de frecuencia, etc.). Estos tipos de mecanismos se pueden utilizar individualmente o en combinación.

Tipo de mecanismo

El propósito del marco de integridad (Integridad) es proteger la integridad de los datos y la integridad de los atributos relacionados con los datos que pueden verse comprometidos de diferentes maneras al prevenir amenazas o detectar amenazas. La integridad se refiere a la característica de que los datos no sean alterados o destruidos de manera no autorizada.

Los servicios de integridad se clasifican de varias formas:

Dado que la capacidad de proteger datos está relacionada con los medios que se utilizan, los mecanismos de protección de la integridad de los datos son diferentes para los diferentes medios y se pueden resumir en las dos situaciones siguientes.

Según la intensidad de la protección, los mecanismos de integridad se pueden dividir en:

Los servicios de no repudio (No repudio) incluyen la generación, verificación y registro de evidencia, así como la posterior recuperación y reverificación de evidencia al resolver disputas. El propósito de los servicios de no repudio descritos en el Marco es proporcionar evidencia sobre eventos o acciones específicas. Pueden solicitar servicios de no repudio entidades distintas al evento o conducta en sí. Ejemplos de comportamientos que pueden ser protegidos por el servicio de no repudio incluyen el envío de mensajes X.400, la inserción de registros en la base de datos, la solicitud de operaciones remotas, etc.

Cuando se trata de servicios de no repudio para el contenido de mensajes, se debe confirmar la identidad del originador de los datos y la integridad de los datos para poder proporcionar prueba del origen. Para proporcionar prueba de entrega, se debe confirmar la identidad del destinatario y la integridad de los datos. En algunos casos, también puede ser necesaria evidencia que incluya información contextual (como fecha, hora, ubicación del originador/destinatario, etc.). El servicio de no repudio proporciona las siguientes facilidades que se pueden utilizar en caso de intento de denegación: generación de evidencia, registro de evidencia, verificación de evidencia generada, recuperación y reexamen de evidencia. Las disputas pueden resolverse directamente entre las partes contendientes mediante un examen de la evidencia, o pueden tener que resolverse a través de un árbitro, quien evaluará y determinará si ocurrió la conducta o evento en cuestión.

El no repudio consta de 4 etapas independientes, a saber:

（1） etapa de análisis de requisitos

（2） etapa de diseño estructural conceptual

（3） Etapa de diseño de estructura lógica.

Se refiere al código que implementa la lógica empresarial.

Son todas las bibliotecas de terceros de las que depende el código comercial, incluidas las bibliotecas comerciales y biblioteca básica

Se refiere al código que implementa capacidades no funcionales como alta disponibilidad, seguridad y observabilidad.

1. Características funcionales

2. características no funcionales

1. máquina virtual

2. envase

3. servicio de almacenamiento en la nube

1||| Mejorar la resiliencia del servicio

2||| CQRS (Segregación de responsabilidad de consulta de comando, separación de responsabilidad de consulta de comando)

3||| Notificación de cambio de datos

4||| Construya interfaces abiertas

5||| procesamiento de flujo de eventos

6||| Respuestas activadas por eventos

Al introducir las bases de datos OLTP y OLAP, los datos en línea y la lógica de análisis fuera de línea se dividen en dos bases de datos, cambiando el status quo anterior de depender completamente de las bases de datos de Oracle. Satisfaga las deficiencias de los requisitos comerciales reales respaldados por la base de datos Oracle en el escenario de procesamiento de consultas de datos históricos.

Con la introducción de la tecnología de contenedorización, el problema de los entornos inconsistentes se ha resuelto eficazmente mediante la contenedorización de aplicaciones, asegurando la coherencia de las aplicaciones en los entornos de desarrollo, prueba y producción. En comparación con las máquinas virtuales, la contenedorización proporciona mejoras duales en eficiencia y velocidad, lo que hace que las aplicaciones sean más adecuadas para escenarios de microservicios y mejora efectivamente la eficiencia de la producción y la investigación.

Dado que muchos negocios en el pasado se completaban en base a los procedimientos almacenados y activadores de Oracle, las dependencias de servicios entre sistemas también requerían que la base de datos de Oracle OGG (Oracle Golden Gate) se completara simultáneamente. El problema que esto trae es que el mantenimiento del sistema es difícil y la estabilidad es pobre. Al introducir el descubrimiento de servicios de Kubernetes, podemos crear una solución de microservicios y dividir el negocio según los dominios comerciales, lo que hace que todo el sistema sea más fácil de mantener.

（1） infraestructura

（2） Acceso al tráfico

（3） capa de plataforma

（4） capa de servicio de aplicaciones

（5） Gestión de operación y mantenimiento.

Todos los productos en la nube están autohospedados en la nube sin operación ni mantenimiento, lo que ahorra efectivamente costos de operación y mantenimiento manual y permite a las empresas centrarse más en el negocio principal.

Los productos en la nube brindan al menos cinco servicios SLA 9 (99,999%) para garantizar la estabilidad del sistema, mientras que la estabilidad de los sistemas de construcción propia es mucho mayor. En términos de seguridad de los datos, los datos en la nube se pueden respaldar fácilmente fuera del sitio. Los productos de almacenamiento de archivos bajo el sistema de almacenamiento de datos del proveedor de servicios en la nube tienen las características de alta confiabilidad, bajo costo, seguridad y almacenamiento ilimitado, lo que hace que los datos empresariales. más seguro.

Con una profunda integración con los productos en la nube, el personal de I+D puede completar trabajos de I+D, operación y mantenimiento en un solo lugar. Desde el establecimiento de requisitos comerciales hasta el desarrollo de sucursales, pasando por la verificación de regresión de la función del entorno de prueba y, finalmente, la implementación hasta la verificación previa al lanzamiento y en línea, todo el proceso de integración continua se puede acortar a minutos. En términos de resolución de problemas, el personal de I+D selecciona directamente la aplicación de la que son responsables y recupera rápidamente los registros de excepciones del programa a través de la consola de registro SLS integrada para localizar el problema, eliminando la necesidad de iniciar sesión en la máquina para comprobar los registros.

Los proveedores de servicios en la nube ofrecen más de 300 tipos de componentes en la nube, que abarcan informática, inteligencia artificial, big data e IoT. y muchos otros campos. El personal de I+D puede usarlo nada más sacarlo de la caja, ahorrando efectivamente los costos técnicos generados por la innovación empresarial.