聯系我們contact
電話(huà):027-59760188-801
地址:武漢市東湖高(gāo)新開發區(qū)光(guāng)谷大(dà)道120号現代森林(lín)小鎮A座609室
如何對(duì)網絡基礎架構進行計算(suàn)機化(huà)系統驗證/确認?
發布時(shí)間:2024-04-17 浏覽次數:1511次
本文我們來(lái)討(tǎo)論如何對(duì)IT基礎架構中最基本的(de)模塊------網絡基礎架構進行驗證/确認。
我們前邊的(de)幾篇文章(zhāng)已經介紹了(le)IT基礎架構驗證的(de)一些基本的(de)概念和(hé)流程。本文不再做(zuò)基本的(de)介紹,僅僅分(fēn)享幹貨。我們從URS制定、IOQ測試、配置基線的(de)制定這(zhè)幾個(gè)方面進行探討(tǎo)。這(zhè)幾個(gè)點是我們在做(zuò)合規咨詢過程中發現的(de),無論是甲方還(hái)是第三方驗證服務商最容易把握不好的(de)點,也(yě)是出現錯誤思路最多(duō)的(de)點。
如何制定URS?
先列舉一些不好的(de)URS的(de)例子:
交換機提供網絡監控和(hé)管理(lǐ)功能,如端口的(de)狀态監測、流量統計、故障管理(lǐ)等
交換機具備QoS(Quality of Service)支持,能夠根據數據包的(de)優先級和(hé)類型進行流量調度和(hé)調整,确保重要數據在網絡中的(de)優先傳輸
交換機支持VLAN的(de)劃分(fēn),能夠将網絡劃分(fēn)爲多(duō)個(gè)邏輯上的(de)子網,提高(gāo)網絡的(de)安全性和(hé)靈活性
交換機支持路由信息的(de)更新和(hé)維護
防火牆能夠記錄所有經過自身的(de)訪問,并生成日志文件
防火牆通(tōng)過對(duì)内部網絡的(de)劃分(fēn),實現重點網段的(de)隔離,從而限制了(le)局部重點或敏感網絡安全問題對(duì)全局網絡的(de)影(yǐng)響
防火牆通(tōng)過檢查數據包的(de)源IP地址、目标IP地址、端口号等信息,來(lái)确定是否允許其通(tōng)過,從而确保隻有合法的(de)數據包能夠進入網絡
基于規則設置,防火牆能夠限制授權用(yòng)戶或特定網絡設備的(de)訪問權限,隻允許受保護的(de)資源被合法用(yòng)戶訪問
支持NAT,通(tōng)過轉換内部私有IP地址和(hé)外部公共IP地址,防火牆能夠隐藏内部網絡結構,增加網絡的(de)安全性
上述URS的(de)例子初看沒有問題,因爲這(zhè)些确實是對(duì)交換機和(hé)防火牆的(de)一些基本的(de)功能需求。但這(zhè)樣寫URS我們認爲意義不大(dà),純粹爲了(le)寫而寫。
網絡設備/安全設備基本采用(yòng)的(de)是商用(yòng)成品設備,網絡基礎架構的(de)URS,不應過多(duō)關注這(zhè)些商用(yòng)成品設備的(de)基本功能,而是重點關注這(zhè)些單個(gè)設備如何集成爲網絡基礎架構,也(yě)就是重點關注那些與設計/配置相關的(de)需求。比如基本功能的(de)啓用(yòng)與否、冗餘設計、網絡劃分(fēn)、路由策略規劃等等。
可(kě)能有人(rén)會杠:同樣是商用(yòng)成品,3類軟件系統的(de)URS,不都是寫基本功能嗎?對(duì)于網絡基礎架構,寫基本功能就不行了(le)?
我們用(yòng)一個(gè)提問作爲回答(dá):3類軟件系統需要多(duō)套集成嗎?
如何做(zuò)IOQ?
先看一個(gè)反面例子:
這(zhè)個(gè)例子中,IOQ基本關注于設備的(de)基本功能的(de)測試,而未涉及設備的(de)配置基線的(de)檢查以及受配置影(yǐng)響的(de)功能的(de)測試。
我們理(lǐ)解這(zhè)種做(zuò)法的(de)原因,尤其是一些第三方公司這(zhè)樣做(zuò)的(de)原因:1)基本的(de)測試都是通(tōng)用(yòng)的(de),無需費心就客戶具體的(de)需求針對(duì)性地起草(cǎo)方案;2)這(zhè)樣做(zuò)的(de)文檔看起來(lái)更厚,從而看起來(lái)做(zuò)了(le)很多(duō)的(de)工作。我們毫不掩飾對(duì)這(zhè)種做(zuò)法的(de)鄙視,正是這(zhè)些人(rén)在試圖劣币驅逐良币。
回到正題,願意做(zuò)這(zhè)些基本功能的(de)測試當然不會受到挑戰,唯一的(de)負面效果就是浪費時(shí)間。但隻做(zuò)這(zhè)些基本的(de)測試而未針對(duì)設計/配置做(zuò)測試是不可(kě)接受的(de),對(duì)設計/配置做(zuò)測試不充分(fēn)也(yě)是容易受到審計官挑戰的(de)。
我們建議(yì):基于風險,不做(zuò)/少做(zuò)基本功能測試,重點對(duì)設計/配置做(zuò)測試。
如何制定配置基線?
這(zhè)個(gè)問題和(hé)前兩個(gè)問題有共通(tōng)之處,但需要更細地展開才能說得(de)明(míng)白。涉及到驗證/控制、合規/效率之前的(de)平衡,需要根據不同的(de)組件去具體規劃。此處不展開討(tǎo)論,歡迎感興趣的(de)讀者聯系我司顧問咨詢。留兩個(gè)問題供讀者思考:
哪些配置項放入配置基線?
網絡基礎架構的(de)配置控制如何分(fēn)級?
本文爲昆山九崴信息科技有限公司原創,拒絕轉載。