本文我們來(lái)討論如何對(duì)IT基礎(chǔ)架構(gòu)中最基本的模塊------網(wǎng)絡(luò)基礎(chǔ)架構(gòu)進(jìn)行驗(yàn)證/確認(rèn)。
我們前邊的幾篇文章已經(jīng)介紹了IT基礎(chǔ)架構(gòu)驗(yàn)證的一些基本的概念和流程�����。本文不再做基本的介紹���,僅僅分享干貨。我們從URS制定��、IOQ測(cè)試�、配置基線的制定這幾個(gè)方面進(jìn)行探討。這幾個(gè)點(diǎn)是我們?cè)谧龊弦?guī)咨詢過(guò)程中發(fā)現(xiàn)的����,無(wú)論是甲方還是第三方驗(yàn)證服務(wù)商最容易把握不好的點(diǎn),也是出現(xiàn)錯(cuò)誤思路最多的點(diǎn)�����。
如何制定URS�?
先列舉一些不好的URS的例子:
● 交換機(jī)提供網(wǎng)絡(luò)監(jiān)控和管理功能�,如端口的狀態(tài)監(jiān)測(cè)�、流量統(tǒng)計(jì)、故障管理等
● 交換機(jī)具備QoS(Quality of Service)支持���,能夠根據(jù)數(shù)據(jù)包的優(yōu)先級(jí)和類型進(jìn)行流量調(diào)度和調(diào)整��,確保重要數(shù)據(jù)在網(wǎng)絡(luò)中的優(yōu)先傳輸
● 交換機(jī)支持VLAN的劃分���,能夠?qū)⒕W(wǎng)絡(luò)劃分為多個(gè)邏輯上的子網(wǎng)�,提高網(wǎng)絡(luò)的安全性和靈活性
● 交換機(jī)支持路由信息的更新和維護(hù)
● 防火墻能夠記錄所有經(jīng)過(guò)自身的訪問(wèn)�,并生成日志文件
● 防火墻通過(guò)對(duì)內(nèi)部網(wǎng)絡(luò)的劃分����,實(shí)現(xiàn)重點(diǎn)網(wǎng)段的隔離����,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)的影響
● 防火墻通過(guò)檢查數(shù)據(jù)包的源IP地址、目標(biāo)IP地址�、端口號(hào)等信息,來(lái)確定是否允許其通過(guò)��,從而確保只有合法的數(shù)據(jù)包能夠進(jìn)入網(wǎng)絡(luò)
● 基于規(guī)則設(shè)置��,防火墻能夠限制授權(quán)用戶或特定網(wǎng)絡(luò)設(shè)備的訪問(wèn)權(quán)限��,只允許受保護(hù)的資源被合法用戶訪問(wèn)
● 支持NAT,通過(guò)轉(zhuǎn)換內(nèi)部私有IP地址和外部公共IP地址���,防火墻能夠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)��,增加網(wǎng)絡(luò)的安全性
上述URS的例子初看沒(méi)有問(wèn)題,因?yàn)檫@些確實(shí)是對(duì)交換機(jī)和防火墻的一些基本的功能需求�。但這樣寫(xiě)URS我們認(rèn)為意義不大,純粹為了寫(xiě)而寫(xiě)��。
網(wǎng)絡(luò)設(shè)備/安全設(shè)備基本采用的是商用成品設(shè)備����,網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的URS���,不應(yīng)過(guò)多關(guān)注這些商用成品設(shè)備的基本功能�,而是重點(diǎn)關(guān)注這些單個(gè)設(shè)備如何集成為網(wǎng)絡(luò)基礎(chǔ)架構(gòu)�,也就是重點(diǎn)關(guān)注那些與設(shè)計(jì)/配置相關(guān)的需求�����。比如基本功能的啟用與否�、冗余設(shè)計(jì)、網(wǎng)絡(luò)劃分、路由策略規(guī)劃等等�。
可能有人會(huì)杠:同樣是商用成品,3類軟件系統(tǒng)的URS��,不都是寫(xiě)基本功能嗎��?對(duì)于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)�,寫(xiě)基本功能就不行了�����?
我們用一個(gè)提問(wèn)作為回答:3類軟件系統(tǒng)需要多套集成嗎����?
如何做IOQ?
先看一個(gè)反面例子:
這個(gè)例子中�,IOQ基本關(guān)注于設(shè)備的基本功能的測(cè)試�����,而未涉及設(shè)備的配置基線的檢查以及受配置影響的功能的測(cè)試���。
我們理解這種做法的原因�����,尤其是一些第三方公司這樣做的原因:1)基本的測(cè)試都是通用的��,無(wú)需費(fèi)心就客戶具體的需求針對(duì)性地起草方案���;2)這樣做的文檔看起來(lái)更厚,從而看起來(lái)做了很多的工作�。我們毫不掩飾對(duì)這種做法的鄙視,正是這些人在試圖劣幣驅(qū)逐良幣�。
回到正題,愿意做這些基本功能的測(cè)試當(dāng)然不會(huì)受到挑戰(zhàn)�����,唯一的負(fù)面效果就是浪費(fèi)時(shí)間�����。但只做這些基本的測(cè)試而未針對(duì)設(shè)計(jì)/配置做測(cè)試是不可接受的����,對(duì)設(shè)計(jì)/配置做測(cè)試不充分也是容易受到審計(jì)官挑戰(zhàn)的。
我們建議:基于風(fēng)險(xiǎn)���,不做/少做基本功能測(cè)試,重點(diǎn)對(duì)設(shè)計(jì)/配置做測(cè)試��。
如何制定配置基線�����?
這個(gè)問(wèn)題和前兩個(gè)問(wèn)題有共通之處��,但需要更細(xì)地展開(kāi)才能說(shuō)得明白���。涉及到驗(yàn)證/控制�、合規(guī)/效率之前的平衡�,需要根據(jù)不同的組件去具體規(guī)劃。此處不展開(kāi)討論���,歡迎感興趣的讀者聯(lián)系我司顧問(wèn)咨詢�。留兩個(gè)問(wèn)題供讀者思考:
?·哪些配置項(xiàng)放入配置基線?
?·網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的配置控制如何分級(jí)�?
本文為武漢點(diǎn)風(fēng)信息科技有限公司原創(chuàng)�,拒絕轉(zhuǎn)載。
