网络安全等级保护定级、测评、实施与运维
等级保护制度是适用于中国当前实际的一种有效的网络安全管理方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。 2024.09 山西大同 云岗石窟 信息安全法律法规及标准规范网络安全法律政策体系法律 中华人民共和国宪法 中华人民共和国刑法 中华人民共和国国家安全法 中华人民共和国网络安全法 中华人民共和国密码法 中华人民共和国保守国家秘密法 中华人民共和国电子签名法 行政法规 中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国籍联网暂行规定 商用密码管理条例 计算机软件保护条例 规章、地方性法规以及规范文件 计算机病毒防治管理办法 计算机信息系统保密管理暂行规定 计算机信息系统安全专用产品检测和销售许可证管理办法 网络安全标准系统基础标准 计算机信息系统安全保护等级划分准则 GB17859-1999 信息安全技术 网络安全等级保护实施指南 GB/T 25058-2019 系统定级标准 信息安全技术 网络安全等级保护定级指南 GB/T 22240-2020 信息安全技术...
系统规划与管理-进阶
2024.10 摄于北京朝阳·国贸地铁站 IT服务规划设计规划涉及处于整个IT服务生命周期的前端,帮助IT服务提供方了解客户需求并进行全面需求分析,然后通过服务要素、服务模式和服务方案的具体设计,最终形成SLA。其主要目的在于: 设计满足业务需求的IT服务 设计SLA、策略方法和指标 设计服务过程及其控制方法 规划服务组织架构、人员编制、岗位及任职要求 识别风险,定义风险控制措施和机制 识别和规划支持服务所需的技术及资源 评估IT服务成本,制定服务预算,控制服务成本 制定服务质量管理计划 IT服务规划设计活动规划设计的活动 服务需求识别 服务目录设计 服务方案设计 服务模式设计 服务级别设计 人员要素设计 过程要素设计 技术要素设计 资源要素设计 服务成本评估 服务级别协议设计 关键成功因素 确保规划设计考虑全面 当服务变更或补充规划设计的任一独立元素时,要综合考虑有关职能、管理和运营层面问题 明确重点,充分沟通 策划、实施、检查和改进(PDCA) 服务目录管理目的 为所有商定服务提供单一、连贯的信息来源 确保所有获准使用相关服务的人能够知道这些信息 种类 业...
系统规划与管理-基础
2024.07 摄于北京朝阳花家地·中央美院·毕业作品展 信息系统综合知识信息的定义和属性 信息就是能够用来消除不确定性的东西。 信息的基本概念 本体论 认识论 香农的信息熵公式 信息的传输模型 信源 信宿 信道 编码器 译码器 噪声 信息的质量属性 精确性 完整性 可靠性 及时性 经济性 可验证性 安全性 信息化信息化是推动经济社会发展转型的历史过程。综合利用各种信息技术,改造、支撑人类的各项政治、经济、社会活动,并把贯穿于这些活动中的各种数据有效、可靠的进行管理,经过符合业务需求的数据处理,形成信息资源,通过信息资源的整合、融合,促进信息交流和知识共享,形成新的经济形态,提高经济增长质量。 产品信息化 企业信息化 产业信息化 国民经济信息化 社会生活信息化 信息化的主体是全体社会成员,是一个长期的过程,包含社会的一切领域,手段是基于现代信息技术的先进社会生产工具,途径是创建信息时代的社会生产力,推动社会生产关系及社会上层建筑的改革,目标是使国家综合实力、社会的文明素质和人民的生活质量全面提升。 我国信息化的短板: 缺乏核心技术 信息资源开发利用不够 信息基...
「控制论与科学方法论」
最伟大的东西是世界上最简单的东西,它和你自己的存在一样简单 2019.9 摄于北京大兴国际机场 控制与反馈可能性空间控制论和系统论的研究开始于可能性空间。世界上许多事物并不是从一开始就注定要发展成现在这个样子的。在事物发展的初期,它们往往有多种发展的可能性,由于条件或者存粹机遇的关系,最终才沿着某个特定的方向发展下去。 控制论是关于控制的理论: 被控制的对象必须存在多种发展的可能性 人可以在被控制的对象的多种发展可能性中进行选择 控制的概念与事物发展的可能性密切相关。我们将事物发展变化中面临的各种可能性集合称为这个事物的可能性空间。 人通过选择改造世界事物变化具有不确定性,也就是事物的矛盾性。事物的矛盾性,使事物的可能性空间至少面临着肯定自身和否定自身的两种状态。从不确定性的角度来看待事物的发生和发展,是现代科学和经典决定论的一个重要区别。现代科学已经不再仅仅处理那些必然发生的事情,而是处理那些最有可能发生的事情。 控制,归根结底是一个在事物可能性空间中进行有方向的选择的过程。因此,一切的控制过程,实际都是由三个基本环节构成: 了解事物面临的可能性空间是什么 在可...
简述HPC
高性能计算 (HPC:High Performance Computing) 是一种利用强大处理器集群并行处理海量多维数据集(也称为大数据)并以极高速度解决复杂问题的技术。 几十年来,超级计算机(搭载数百万个处理器或处理器核心的专用计算机)一直是高性能计算的关键。如今,越来越多的组织在托管在本地或云端的高速计算机服务器集群上运行 HPC 服务。HPC 工作负载揭示了重要的新洞察分析,推动了人类知识的进步,并创造了显著的竞争优势。例如,HPC 用于 DNA 测序、自动化股票交易,并运行人工智能 (AI) 算法和模拟(例如自动驾驶汽车),实时分析来自物联网传感器、雷达和 GPS 系统的 TB 数据流,以做出瞬间决策。 2024.08 摄于山东济南 马路边一个树枝长得特别舒展的行道树 HPC的内容主要包括: 大规模并行计算 并行计算在多台计算机服务器或处理器上同时运行多个任务。大规模并行计算是利用成千上万至数百万个处理器或处理器内核进行并行计算。 计算机集群(也称 HPC Cluster) HPC Cluster 由多台联网的高速计算机服务器组成,并配备用于管理并行计算工作负...
江阴要塞一瞥
这两天有机会到无锡江阴来做一个华为FusionCompute的虚拟化节点扩容的项目。早就知道江阴一个县级市5000亿的GDP,相当于包头和鄂尔多斯之和。过来之后才有明确的概念,我坐车上沿路过去看到的连片的厂区和高速公路上密集的车流,真是一副巨型经济机器高速运转的蓬勃气势。 2024.08 江苏·无锡·江阴 陈毅老总题诗”江阴天堑望无涯,废垒犹存散似沙。客过风兴敌惶急,军民游击满南华” 周五、周六忙的昏天黑地,周日正好偷得浮生半日闲,我找机会去看了看知名的江阴要塞。从高德地图上找到江阴要塞,首先出来的是江阴要塞森林公园,但我打车的司机好像也没有概念这个公园的大门到底是那个。我于是从地图上找到了江阴军事文化博物馆试一试。还好,从军事文化博物馆上去还是很容易找到各个景点的。原以为这边应该是旅客较多的地方,但走了一圈除了锻炼的两三个老人,就只有一二遛狗的年轻人了。甚至这个江阴军事文化博物馆也是闭门谢客了。从这条渡江第一船作为起点,往山上走大概十分钟就到了望江楼,只可惜也是高挂谢客牌。不过,旁边的高尔夫球场倒是热热闹闹的。从望江楼后面的小路过去,就是黄山炮台的主炮台了。这个主炮台气势相...
「Linux性能优化大师」
我其实是买了这本书好多年了,都是拿起来翻了两页就看不动了,最近下决心还是把它看完吧,毕竟这书真的有点老了。该书是基于LInux 2.6内核和RHEL6的版本为例进行的Linux性能解析,即便在15年成书的时候,都已经算老了。这本书的内容的确有很大问题,个人感觉更像红帽EX442考试的参考教程,很多语句就像英文硬翻的,只能说有一定的科普的作用。 说起来,该书作者赵永刚还是我素未谋面的同事,他是我在纷享工作岗位的前前任,我曾经蹲的工位也曾是他的工位。 性能调优是一项艰巨的任务,需要深入了解硬件、操作系统和应用程序的工作原理。 2024.07 摄于北京朝阳区·众秀大厦 深入理解Linux操作系统Linux进程管理进程进程管理在任何操作系统中都是最重要的任务之一。进程是在处理器上执行的一个实例,进程可以使用任意资源以便内核可以处理完成任务。在Linux操作系统上运行的进程多是通过task_struct结构来管理的,也被称为进程描述符。一个进程描述符包含了单个进程在运行期间所有必要的信息,比如进程表示、属性、构建进程的资源等。 每个进程都有自己的生命周期,比如创建、执行、终止、删...
Linux的集中式网络存储
网络存储主要分为两种形式,一种是块存储,就是共享存储是以块设备的形式挂载到目标服务器之上的,代表就是iSCSI、ceph;另一种是文件存储,就是文件是以共享文件夹的形式来挂载到目标服务器之上,这方面的代表就是NFS和SMB,以及新兴的S3存储。这里简单记录以下iSCSI和NFS的搭建。其他文件存储形式,后续再记录。 2024.07 摄于山东泰安·泰山·南天门 iSCSIiSCSI是基于IP协议的技术标准,该技术允许用户通过TCP/IP网络来构建IP-SAN. 基本构成 iSCSI会话的建立是通过启动器(Initiator)和目标器(Target)实现的 Target为服务端,是一个或者多个LUN的集合 Initiator则是客户端使用的工具,用来连接target Target和Initator都使用IQN来识别 IQN是target的唯一标识符,命名标准为iqn.yyyy-mm.<倒过来的域名,全局唯一>[:识别名称] 配置流程Target配置 安装target 创建target 为target添加lun 指定initiator Initiator...
IT运维安全策略
概述IT运维安全主要包括网络层面、系统层面、软件层面、硬件层面。 硬件层面IDC机房、服务器硬件、IT设备等定期巡检,保证其正常、稳定运行,以防止损失、被盗、高温、静电、电源等 软件层面Nginx、Java、PHP、MySQL、Web站点、业务系统等软件程序漏洞及BUG,对外访问权限、监听的端口、版本隐藏、软件权限控制、用户名和密码控制 系统层面操作系统自身版本、BUG漏洞、暴露的端口、服务、系统权限、root用户、禁止ping、指令特权控制 网络层面大流量冲击、DDoS、ARP攻击、通信中断等,网络层面安全重点关注网络流量、网络连通性。 2023.05 摄于河北邯郸·太极宗师杨露禅 攻击方式DDoS攻击DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,是目前最强大、最难防御的攻击之一。 原理借助于客户端/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍提高拒绝服务攻击的威力。 分布式拒绝服务攻击采取的攻击手段就是分布式的,使攻击方式出现了没有...