【中项第三版】系统集成项目管理工程师

前言

第2章对应的内容大概率仅考察选择题，通读教程，速战速决。选择题分值预计在2-5分，属于必考的知识点。

2.1 信息技术及其发展

信息技术是在信息科学的基本原理和方法下的关于一切信息的产生、信息的传输、信息的发送、信息的接收等应用技术的总称。

信息技术是以微电子学为基础的计算机技术和电信技术的结合而形成的，对声音、图像、数字和各种传感信号的信息进行获取、加工、处理、存储、传播和使用的技术。

2.1.1 计算机软硬件

计算机硬件(Computer Hardware)是指计算机系统中由电子、机械和光电元件等组成的各种物理装置的总称。

计算机软件(Computer Sofware)是指计算机系统中的程序及其文档，程序是计算任务的处理对象和处理规则的描述;文档是为了便于了解程序所需的阐明性资料。程序必须安装入机器内部才能工作，文档一般是给人看的，不一定安装入机器。软件就是我们电脑/手机上的程序/功能。

◎ 计算机硬件主要分为:控制器、运算器、存储器、输入设备和输出设备。

控制器根据事先给定的命令发出控制信息，使整个电脑指令执行过程一步一步地进行。

运算器的功能是对数据进行各种算术运算和逻辑运算，即对数据进行加工处理。

存储器的功能是存储程序、数据和各种信号、命令等信息，并在需要时提供这些信息。存储器分为:计算机内部的存储器(简称内存)和计算机外部的存储器(简称外存)。内存储器从功能上可以分为:读写存储器 RAM、只读存储器 ROM 两大类;计算机的外存储器一般有:软盘和软驱、硬盘、光盘等，以及基于 USB 接口的移动硬盘、可擦写电子硬盘(优盘)等。

输入设备是计算机的重要组成部分，输入设备与输出设备合称为外部设备，简称外设。

输出设备也是计算机的重要组成部分，它把计算机的中间结果或最后结果、机内的各种数据符号及文字或各种控制信号等信息输出出来。计算机常用的输出设备有显示器、打印机、激光印字机和绘图仪等。

◎ 计算机软件分为系统软件、应用软件和中间件。

系统软件是指控制和协调计算机及外部设备，支持应用软件开发和运行的系统，是无须用户干预的各种程序的集合，主要功能是调度、监控和维护计算机系统;负责管理计算机系统中各种独立的硬件，使得它们可以协调工作。

应用软件是用户可以使用的各种程序设计语言以及用各种程序设计语言编制的应用程序的集合，分为应用软件包和用户程序。应用软件包是利用计算机为解决某类问题而设计的程序的集合，供多用户使用。

中间件是处于操作系统和应用程序之间的软件。它使用系统软件所提供的基础服务(功能)，衔接网络上应用系统的各个部分或不同的应用，能够达到资源共享和功能共享的目的。

2.1.2 计算机网络

在计算机领域中，网络就是用物理链路将各个孤立的工作站或主机连接在一起，组成数据链路，从而达到资源共享和通信的目的。

通信的目的是传递消息(Message)中包含的信息(Imformation)。一个通信系统包括三大部分:源系统(发送端或发送方)、传输系统(传输网络)和目的系统(接收端或接收方)，如下图所示。

◎ 从网络的作用范围可将网络类别划分为：

① 个人局域网(Personal Area Network，PAN)

② 局域网(Local Area Network，LAN)

③ 城域网 (Metropolitan Area Network，MAN)

④ 广域网 (Wide Area Network，WAN)。

公用网指电信公司出资建造的面向大众提供服务的大型网络，也称为公众网。

专用网指某个部门为满足本单位的特殊业务工作所建造的网络，这种网络不向本单位以外的人提供服务，如电力、军队、铁路、银行等均有本系统的专用网。

◎ 网络设备

◎ OSI 模型将信息网络系统中的通信和信息处理过程定义为上下衔接的七个层级，自下而上分别是①物理层 ②数据链路层 ③网络层 ④传输层 ⑤会话层 ⑥表示层 ⑦应用层，各层相对独立，上下层之间和同层之间根据特定的标准规范进行相互调用和互通。

①第一层:物理层(Physical Layer)。物理层是 OSI 七层模型的最底层规定了承载其上的各层发送和接收具体数据的物理硬件方法。

②第二层:数据链路层 (Data Link Layer)。物理层提供的仅仅是原始的信息数据比特流，没有赋予任何意义，也没有任何差错保护机制。

③第三层:网络层(Network Layer)。物理层和数据链路层负责相连两个设备节点间的数据通信。

以上三层从最低的物理比特流连接(物理层)，到比特流组成一定规则的数据包(数据链路层)，再到由多台物理设备及链路组网后互联互通(网络层)，基本上解决了信息网络系统内外部和与之连接的各类终端设备之间的数据通达问题。

④第四层:传输层(Transport Layer)。网络层解决的是由多台设备或多个子网组成的网状连接设备节点之间互联互通的问题，传输层则是为会话层提供建立可靠的端到端的透明数据传输机制，根据发送端和接收端的地址定义一个跨网络的多个设备甚至是跨多个网络的逻辑连接(并非物理层所处理的物理连接)，同时完成发送端和接收端的差错纠正和流量控制功能。

⑤第五层:会话层(Session Layer)。会话层的基本功能是向两个表示层实体提供建立、管理拆除和使用连接的方法，这种表示层之间的连接就叫作会话(Session)。

⑥第六层:表示层(Presentation Layer)。需要一种信息数据转换的机制，这种机制被 OSI 定义为信息数据的表示方法。

⑦第七层:应用层 (Application Layer)。应用层是 OSI 协议的最顶层，直接向用户提供信息通信服务。

◎ IEEE 802 协议族

◎ TCP/IP 协议是互联网协议的核心。在应用层中，TCP/IP 协议定义了很多面向应用的协议,应用程序通过本层协议利用网络完成数据交互的任务，这些协议主要有:

①FTP(File Transfer Protocol，文件传输协议)是网络上两台计算机传送文件的协议，其运行在 TCP 之上，是通过 Intermet 将文件从一台计算机传输到另一台计算机的一种途径。FTP 的传输模式包括 Bin(二进制)和 ASCII(文本文件)两种，除了文本文件之外，都应该使用二进制模式传输。

②TFTP(Trivial File Transfer Protocol，简单文件传输协议)是用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。TFTP 建立在 UDP(User Datagram Protocol，用户数据报协议)之上，提供不可靠的数据流传输服务，不提供存取授权与认证机制，使用超时重传的方式来保证数据的到达。

③HTTP (Hypertext Transfer Protocol，超文本传输协议)可以使浏览器更加高效，使网络的传输量减少。HTTP 建立在 TCP 之上。

④SMTP(Simple Mail Transfer Protocol，简单邮件传输协议)建立在 TCP 之上，是一种提供可靠且有效传输电子邮件的协议。SMTP 是建立在 FTP 文件传输服务上的一种邮件服务，主要用于传输系统之间的邮件信息并提供与电子邮件有关的通知。

⑤DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)建立在UDP 之上,是基于客户机/服务器结构而设计的。DHCP 分配的 IP 地址可以分为三种方式:固定分配、动态分配和自动分配。

⑥Telnet(远程登录协议)是登录和仿真程序，其建立在 TCP 之上，它的基本功能是允许用户登录并进入远程计算机系统。

⑦DNS（Domain Name System，域名解析系统)在 Internet 上的域名与 IP 地址之间是一一对应的，但机器之间只能相互识别 IP 地址，它们之间的转换工作称为域名解析。

⑧SNMP (Simple Network Management Protocol，简单网络管理协议)是为了解决 Internet 上的路由器管理问题而提出的，它可以在 IP、IPX、AppleTalk和其他传输协议上使用。大多数网络管理系统和平台都是基于 SNMP 的。

◎ TCP与UDP

在 OSI 的传输层有两个重要的传输协议，分别是 TCP(传输、控制协议)和UDP (用户数据报协议)，这些协议负责提供流量控制、错误校验和排序服务。

① TCP 是整个 TCP/IP 协议族中最重要的协议之一，它在 IP 协议提供的不可靠数据服务的基础上，采用了重发技术，为应用程序提供了一个可靠的、面向连接的、全双工的数据传输服务。

TCP 协议一般用于传输数据量比较少且对可靠性要求高的场合。

② UDP 是一种不可靠的、无连接的协议，它可以保证应用程序进程间的通信，与 TCP 相比，UDP 是一种无连接的协议，它的错误检测功能要弱得多。

UDP 协议一般用于传输数据量大，对可靠性要求不是很高，但要求速度快的场合。

TCP 有助于提供可靠性，而 UDP 则有助于提高传输速率。

◎ 软件定义网络(Software Defined Network，SDN）

SDN是一种新型网络创新架构，是网络虚拟化的一种实现方式，它可通过软件编程的形式定义和控制网络。SDN 的整体架构由下到上（由南到北）分为数据平面、控制平面和应用平面，具体如图：

数据平面由交换机等网络通用硬件组成，各个网络设备之间通过不同规则形成的 SDN 数据通路连接;

控制平面包含了逻辑上为中心的 SDN 控制器，它掌握着全局网络信息，负责各种转发规则的控制；

应用平面包含着各种基于 SDN 的网络应用，用户无须关心底层细节就可以编程、部署新应用。

控制数据平面接口：控制平面与数据平面之间通过 SDN 控制数据平面接口(Control-Data-Plane Interface，CDPI)进行通信，它具有统一的通信标准，主要负责将控制器中的转发规则下发至转发设备，最主要应用的是OpenFlow 协议。

北向接口：控制平面与应用平面之间通过 SDN 北向接口(NorthBound Interface,NBI)进行通信，而 NBI 并非统一标准，它允许用户根据自身需求定制开发各种网络管理应用。负责与应用平面进行通信。

南向接口：负责与数据平面进行通信。

东西向接口：负责多控制器之间的通信。

◆ 练习题

◎ 5G第五代移动通信技术

通过网络切片满足5G差异化需求，网络切片是指从一个网络中选取特定的特性和功能，定制出的一个逻辑上独立的网络，它使得运营商可以部署功能、特性服务各不相同的多个逻辑网络，分别为各自的目标用户服务，目前定义了3种网络切片类型，即增强移动宽带、低时延高可靠、大连接物联网。

5G特点：①高速率 ②低时延 ③大连接。

信道编码方案：①LDPC ②Polar。

低时延、高可靠技术：①短帧 ②快速反馈 ③多层/多站数据重传。

三大类应用场景：①增强移动宽带（eMBB) ②超高可靠低时延通信（uRLLC) ③海量机器类通信(mMTC)。

2.1.3 存储和数据库

◎ 存储分类根据服务器类型分为封闭系统的存储和开放系统的存储。封闭系统主要指大型机等服务器。开放系统指基于包括麒麟、欧拉、UNIX、Linux等操作系统的服务器。开放系统的存储分为内置存储和外挂存储。外挂存储根据连接方式分为直连式存储 (Direct Attached Storage,DAS) 和网络化存储 (Fabric Attached Storage,FAS)。网络化存储根据传输协议又分为网络接入存储 (Network Attached Storage,NAS) 和存储区域网络 (Storage Area Network,SAN)。

1 DAS (直连式存储)

DAS被定义为直接连接在各种服务器或客户端扩展接口下的数据存储设备，它依赖于服务器，其本身是硬件的堆叠，不带有任何存储操作系统。在这种方式中，存储设备是通过电缆(通常是SCSI接口电缆)直接到服务器的。

2 NAS (网络接入存储)

是一种专业的网络文件存储及文件备份设备，它是基于LAN (局域网)的，按照TCP/IP协议进行通信，以文件的I/O方式进行数据传输。

3 SAN (存储区域网络)

SAN 由三个基本的组件构成：接口、连接设备和通信控制协议。这三个组件再加上附加的存储设备和独立的SAN 服务器，就构成了一个SAN 系统。SAN主要包含FCSAN和 IPSAN两种，FCSAN的网络介质为光纤通道 (Fibre Channel),IP SAN使用标准的以太网。

DAS、NAS、SAN 等存储模式之间的技术与应用对比如下所示。

◎ 存储虚拟化

存储虚拟化(Storage Virtualization) 是“云存储”的核心技术之一，它把来自一个或多个网络的存储资源整合起来，向用户提供一个抽象的逻辑视图，用户可以通过这个视图中的统一逻辑接口来访问被整合的存储资源。存储虚拟化使存储设备能够转换为逻辑数据存储。

◎ 绿色存储

绿色存储 (Green Storage) 技术是指从节能环保的角度出发，用来设计生产能效更佳的存储产品，降低数据存储设备的功耗，提高存储设备每瓦性能的技术。

绿色存储技术的核心是设计运行温度更低的处理器和更有效率的系统，生产更低能耗的存储系统或组件，降低产品所产生的电子碳化合物，其最终目的是提高所有网络存储设备的能源效率，用最少的存储容量来满足业务需求，从而消耗最低的能源。以绿色理念为指导的存储系统最终是存储容量、性能和能耗三者的平衡。

◎ 数据结构模型

数据结构模型是数据库系统的核心。常见的数据结构模型有三种： 层次模型、网状模型和关系模型。层次模型和网状模型又统称为格式化数据模型。

网状模型中以记录作为数据的存储单位。

关系模型是在关系结构的数据库中用二维表格 的形式表示实体以及实体之间的联系的模型。

各模型的优缺点如下：

◎ 常用数据库类型

数据库根据存储方式可以分为关系型数据库（SQL）和非关系型数据库（NoSQL）。

关系型数据库支持事务的ACID原则，即原子性 (Atomicity)、一致性(Consistency)、隔离性(Isolation)、持久性(Durability), 这四种原则保证在事务过程当中数据的正确性。

①原子性（Atomicity）：这些操作序列要么全做要么全不做，是一个不可分割的工作单位。

②一致性（Consistency）：使数据库从一个一致性状态变到另一个一致性状态。

③隔离性（Isolation）：不能被其他事务干扰。确保每一个事务在系统中认为只有该事务在使用系统。这种属性有时称为串行化。使得在同一时间仅有一个请求用于同一数据。

④持久性（Durability）：一旦提交，改变就是永久性的，并不会被回滚。

非关系型数据库是分布式的、非关系型的、不保证遵循ACID原则的数据存储系统。NoSOL 数据存储不需要固定的表结构，通常也不存在连接操作。在大数据存取上具备关系型数据库无法比拟的性能优势。

非关系型数据库的主要特征：非结构化的存储、基于多维关系模型、具有特定的使用场景。

NoSQL的主要类型：键值数据库、列存储数据库、文档型数据库和图形数据库。

NoSQL与关系数据库的对比如下：

◎ 数据仓库

为了满足中高层管理人员对预测、决策分析的需要，在传统数据库的基础上产生了能够满足预测、决策分析需要的数据环境-数据仓库。数据仓库是一个面向主题的、集成的、非易失的、且随时间变化的数据集合，用于支持管理决策。

常见的数据仓库的体系结构如图：

数据源是数据仓库系统的基础。

数据的存储与管理是整个数据仓库系统的核心。

OLAP 服务器对分析需要的数据进行有效集成，按多维模型予以组织，以便进行多角度、多层次的分析，并发现趋势。其具体实现可以分为：

基于关系数据库的ROLAP；

基于多维数据组织的MOLAP(Multidimensional OLAP,MOLAP)；

基于混合数据组织的HOLAP。

前端工具主要包括各种查询工具、报表工具、分析工具、数据挖掘工具以及各种基于数据仓库或数据集市的应用开发工具。其中数据分析工具主要针对OLAP服务器，报表工具、数据挖掘工具主要针对数据仓库。

☆ 扩展知识（了解）

数据库与数据仓库的对比：

数据仓库和数据湖的对比见下表：

2.1.4 信息安全

◎ CIA三要素是保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)三个词的缩写。

保密性是指“信息不被泄露给未授权的个人实体和过程，或不被其使用的特性”。简单地说就是确保所传输的数据只被其预定的接收者读取。

完整性是指“保护资产的正确和完整的特性简单地说，就是确保接收到的数据即是发送的数据，数据不应该被改变。完整性保证没有未授权的用户修改数据，可以从以下3个方面检验完整性:阻止未授权主体作出的修改;阻止授权主体可以做未授权的修改，比如误操作。确保数据没有被改变，这需要某种方法去进行验证。

可用性是指“需要时，授权实体可以访问和使用的特性”。可用性确保数据在需要时可以使用。

◎ 信息系统安全层次

信息系统安全可以划分为以下四个层次:设备安全、数据安全、内容安全和行为安全。

设备安全是信息系统安全的首要问题，信息系统的设备安全是信息系统安全的物质基础。除了硬件设备外，软件系统也是一种设备，也要确呆软件设备的安全。主要包括三个方面:

设备的稳定性。设备在一定时间内不出故障的概率。

设备的可靠性。设备能在一定时间内正常执行的概率。

设备的可用性。设备随时可以正常使用的概率。

数据安全属性包括秘密性、完整性和可用性。

内容安全是信息安全在政治、法律、道德层次上的要求。

行为安全是一种动态安全，主要包括:行为的秘密性；行为的完整性；行为的可控性。行为安全强调过程安全，体现在组成信息系统的硬件设备、软件设备和应用系统协调工作的程序(执行序列)符合系统设计的预期，这样才能保证信息系统的整体安全。

◎ 加密与解密

加密技术包括两个元素:算法和密钥。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。对数据加密的技术分为两类，即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。

对称加密/私人密钥加密/共享密钥加密：加密与解密使用同一密钥。

特点：1 加密强度不高，但是效率高

2 密钥分发困难

大量的明文为了保证加密效率一般使用对称加密。

非对称加密/公开密钥加密：密钥成对使用，公钥加密，相应的私钥解密。

特点：1 加密速度慢，加密强度高

2 密钥分发容易

对称加密与非对称加密：

报文摘要是由单向散列函数（Hash函数）加密成的固定长度的散列值，不可逆的。作用：确保信息的完整性，防篡改。

签名是证明当事者的身份和数据真实性的一种信息。发送者使用自己的私钥对摘要进行签名，接受者利用发送者的公钥对接收到的摘要进行验证。接收者可验证消息来源的真实性；发送者无法否认发送过该消息；接收者无法伪造或篡改消息。

认证又称为鉴别或者确认。

认证和加密的区别在于：加密用以确保数据的保密性。而认证用以确保报文发送者和接受者的真实性以及报文的完整性，阻止对手的主动攻击，如冒充、篡改、重播等。允许收发双方互相验证其真实性，不准许第三者验证，而数字签名允许收发双方和第三者验证。

◎ 信息系统安全

信息系统安全主要包括计算机设备安全、网络安全、操作系统安全、数据库系统安全和应用系统安全等。

① 计算机设备安全：完整性、机密性、可用性、抗否认性、可审计性、可靠性。

② 网络安全

常见的网络威胁：网络监听、口令攻击、拒绝服务（Dos）及分布式拒绝服务（DDos）攻击、漏洞攻击、僵尸网络、网络钓鱼、网络欺骗、网站安全威胁、高级持续性威胁（APT）。

③ 操作系统安全

操作系统面临的安全威胁：计算机病毒、逻辑炸弹、特洛伊木马、后门、隐蔽通道（系统中不受安全策略控制的、违反安全策略、非公开的信息泄露途径）。

④ 数据库系统安全

安全问题可认为是用于存储而非传输的数据的安全问题。

⑤ 应用系统安全

◎ 网络安全技术

◎ Web威胁防护技术

Web威胁防护技术主要包括：Web访问控制技术、单点登录技术、网页防篡改技术 和Web内容安全等。

① Web访问控制技术是Web站点安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法访问者访问。Web服务器一般提供通过IP地址、子网或域名，用户名/口令，公钥加密体系PKI（CA认证）等访问控制方法。

② 单点登录(SSO)技术为应用系统提供集中统一的身份认证，实现“一点登录、多点访问”。采用基于数字证书的加密和数字签名技术，基于统一策略技术的用户身份认证和授权控制功能，对用户实行集中统一的管理和身份认证。

③ 网页防篡改技术

时间轮询技术。利用网页检测程序，以轮询方式读出要监控的网页，通过与真实网页相比较来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

核心内嵌技术。即密码水印技术，该技术将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。

事件触发技术。就是利用操作系统的文件系统或驱动程序接口，在网页文件被修改时进行合法性检查，对于非法操作进行报警和恢复。

文件过滤驱动技术。通过事件触发方式，对Web服务器所有文件夹中的文件内容，对照其底层文件属性，经过内置散列快速算法进行实时监测；若发现属性变更，则将备份路径文件夹中的内容复制到监测文件夹的相应文件位置，使得公众无法看到被篡改页面。

④ Web内容安全

Web内容安全分为电子邮件过滤、网页过滤、反间谍软件三项技术。

◎ 下一代防火墙

下一代防火墙(Next Generation Firewall，NGFW)是一种可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为组织提供有效的应用层一体化安全防护，帮助组织安全地开展业务并简化组织的网络安全架构。

NGFW在传统防火墙数据包过滤、网络地址转换（NAT）、协议状态检查以及VPN功能的基础上，新增如下功能：

① 入侵防御系统（IPS）。

② 基于应用识别的可视化。NGFW根据数据包的去向，阻止或允许数据包。它们通过分析第7层（应用程序层）的流量来做到这一点。传统的防火墙不具备这种能力，因为它们只分析第3层和第4层的流量。

③ 智能防火墙。可收集防火墙外的各类信息，用于改进阻止决策或作为优化阻止规则的基础。

◎ 安全行为分析技术

大部分造成严重损坏的攻击往往来源于内部，只有管理好内部威胁，才能保证信息和网络安全。

用户和实体行为分析(User and Entity Behavior Analytics, UEBA)提供了用户画像及基于各种分析方法的异常检测，结合基本分析方法（利用签名的规则、模式匹配、简单统计、阅值等）和高级分析方法（监督和无监督的机器学习等），用打包分析来评估用户和其他实体（主机、应用程序、网络、数据库等），发现与用户或实体标准画像或行为异常的活动所相关的潜在事件。

UEBA是一个完整的系统，涉及算法、工程等检测部分以及用户与实体风险评分排序、调查等用户交换、反馈。从架构上来看，UEBA系统通常包括数据获取层、算法分析层和场景应用层。

◎ 网络安全态势感知

网络安全态势感知（Network Security Situation Awareness）是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示，并据此预测未来的网络安全发展趋势。

安全态势感知不仅是一种安全技术，也是一种新兴的安全概念。它是一种基于环境的、动态的、整体的洞悉安全风险的能力。安全态势感知的前提是安全大数据，其在安全大数据的基础上进行数据整合、特征提取等，然后应用一系列态势评估算法生成网络的整体态势状况，应用态势预测算法预测态势的发展状况，并使用数据可视化技术，将态势状况和预测情况展示给安全人员，方便安全人员直观便捷地了解网络当前状态及预期的风险。

网络安全态势感知的关键技术主要包括：海量多元异构数据的汇聚融合技术、面向多类型的网络安全威胁评估技术、网络安全态势评估与决策支撑技术、网络安全态势可视化等。