如(rú)何對(duì)網絡基礎架構進行(xíng​πφ)計(jì)算(suàn)機(jī)化(huà)系統驗證/确認？

本文(wén)我們來(lái)討(tǎo)論如(rú)何♥≈©¥對(duì)IT基礎架構中最基本的(de)模塊------網絡基礎架構進行₩Ω(xíng)驗證/确認。

我們前邊的(de)幾篇文(wén)章(zhāng)已經介紹≤© 了(le)IT基礎架構驗證的(de)一(yī)些(xiē)基本的(d•☆©÷e)概念和(hé)流程。本文(wén)不(bùσ←¶¥)再做(zuò)基本的(de)介紹，僅僅分(fēn)享幹貨。我們從(cóng)γ ±URS制(zhì)定、IOQ測試、配置基線的(de)制←∑≠‌(zhì)定這(zhè)幾個(gè)方面進行(xí♣¥ng)探討(tǎo)。這(zhè)幾個(gè)點是(shì)我們在做(zu ¶ò)合規咨詢過程中發現(xiàn)的(de)，無論是(shì)甲方還""☆(hái)是(shì)第三方驗證服務商最容易把握不(bù)好∏♣π®(hǎo)的(de)點，也(yě)是(shì)出現(xiàn)錯( ≥'cuò)誤思路(lù)最多(duō)的(de)點。

如(rú)何制(zhì)定URS？

先列舉一(yī)些(xiē)不(bù)好(hǎo)的(de)UR>βS的(de)例子(zǐ)：

●  交換機(jī)提供網絡監控和(hé)管理(lǐ)功✘Ω™能(néng)，如(rú)端口的(de)狀态π→監測、流量統計(jì)、故障管理(lǐ)等

●  交換機(jī)具備QoS（Quality of Service）支持，≥πγ≤能(néng)夠根據數(shù)據包的(de)優先級和(hé)類型進行(π×λλxíng)流量調度和(hé)調整，确保重要(✘≥γyào)數(shù)據在網絡中的(de)優先傳輸

●  交換機(jī)支持VLAN的(de)劃分(f©₽ēn)，能(néng)夠将網絡劃分(fēn)為(wèi)多(duō)個→"(gè)邏輯上(shàng)的(de)子(zǐ)網，提高(÷‌'"gāo)網絡的(de)安全性和(hé)靈活性

●  交換機(jī)支持路(lù)由信息的(de)更$Ω新和(hé)維護

●  防火(huǒ)牆能(néng)夠記錄所有(yǒu)經過自(zì)身(shē ÷φλn)的(de)訪問(wèn)，并生(shēng)成日∏∏(rì)志(zhì)文(wén)件(jiàn)

●  防火(huǒ)牆通(tōng)過對(duì)內(nè↔≤δi)部網絡的(de)劃分(fēn)，實現(xiàn)重點網÷¥段的(de)隔離(lí)，從(cóng)§β而限制(zhì)了(le)局部重點或敏感網絡安全問(wèn)題對(dδγ‍uì)全局網絡的(de)影(yǐng)響

●  防火(huǒ)牆通(tōng)過檢查數(shù)據包的(de)源§₩ $IP地(dì)址、目标IP地(dì)址、端口号等信息，來(β  ✔lái)确定是(shì)否允許其通(tōng)過，從(cóng)而确保隻有(y⣩ǒu)合法的(de)數(shù)據包能(néng)夠進入網絡

●  基于規則設置，防火(huǒ)牆能(néng)夠限制(zhì)授權用(yò"✘φ£ng)戶或特定網絡設備的(de)訪問(w®×∏≤èn)權限，隻允許受保護的(de)資源被合法用(yòδφng)戶訪問(wèn)

●  支持NAT，通(tōng)過轉換內(nèi)部私有±<(yǒu)IP地(dì)址和(hé)外(wài)部§λ× 公共IP地(dì)址，防火(huǒ)牆能(n♥↓©δéng)夠隐藏內(nèi)部網絡結構，增加網絡的(de)安全性

上(shàng)述URS的(de)例子(zǐ)初看(kàn)沒有(yǒu♥‌<)問(wèn)題，因為(wèi)這(zhè)些£₩™(xiē)确實是(shì)對(duì)交換機(jī)和(hé)防火α λ​(huǒ)牆的(de)一(yī)些(xiē¥©λ÷)基本的(de)功能(néng)需求。但(dàn)這"★φ↑(zhè)樣寫URS我們認為(wèi)意義不☆₽∑(bù)大(dà)，純粹為(wèi)了(le)寫而寫。

網絡設備/安全設備基本采用(yòng)的(de)是(shì)商用(yòng)≈♣成品設備，網絡基礎架構的(de)URS，不(bù)Ω↔應過多(duō)關注這(zhè)些(xiē)商用(yòng)成品設備的(d×✔γe)基本功能(néng)，而是(shì)重點關注這(zhè)些(xiē)單個(γ✔gè)設備如(rú)何集成為(wèi)網絡基礎架構，也(yě)就(jiù)↔σ₹ 是(shì)重點關注那(nà)些(xiē)與設計®¥(jì)/配置相(xiàng)關的(de)需求。比如(rú)基本功能(nén☆ g)的(de)啓用(yòng)與否、冗餘設計(jì§‌≤)、網絡劃分(fēn)、路(lù)由策略規劃等等。

可(kě)能(néng)有(yǒu)人(ré  ™n)會(huì)杠：同樣是(shì)商用(yòng)成品，3類$••φ軟件(jiàn)系統的(de)URS，不(bù)都(←'↕dōu)是(shì)寫基本功能(néng)嗎(ma)？對(duì)于網絡基≥<‍β礎架構，寫基本功能(néng)就(jiù)不☆₽♣₽(bù)行(xíng)了(le)？

我們用(yòng)一(yī)個(gè)提問(wèn)作(zuαπ♦ò)為(wèi)回答(dá)：3類軟件(jiàn)系統需要(yào)≈±多(duō)套集成嗎(ma)？

如(rú)何做(zuò)IOQ？

先看(kàn)一(yī)個(gè)反面例子(zǐ)：

這(zhè)個(gè)例子(zǐ)中，IOQ基本關注于設備的(de)基本功能♠≈(néng)的(de)測試，而未涉及設備的(de)配置基線的(d€™∏÷e)檢查以及受配置影(yǐng)響的(de)功能(nén≠≠₽₩g)的(de)測試。

我們理(lǐ)解這(zhè)種做(zuò)法的(de↑‌§↓)原因，尤其是(shì)一(yī)些(xiē)第三方公司這(z≤₹hè)樣做(zuò)的(de)原因：1）基本的(de)測試都(dōu)是(•×>δshì)通(tōng)用(yòng)的(de)，無需費(f↓  èi)心就(jiù)客戶具體(tǐ)的(de)需求↑‍∏針對(duì)性地(dì)起草(cǎo)方♠€案；2）這(zhè)樣做(zuò)的(de)文(wén)檔看★<®(kàn)起來(lái)更厚，從(cón εg)而看(kàn)起來(lái)做(zuò)了(le)很₹©≈(hěn)多(duō)的(de)工(gōng)作(zuò)₽&£。我們毫不(bù)掩飾對(duì)這(z®δ  hè)種做(zuò)法的(de)鄙視(s♦&hì)，正是(shì)這(zhè)些(xiē)人(rén)在試₩  圖劣币驅逐良币。

回到(dào)正題，願意做(zuò)這(zhè)些(xiē)¶¥>←基本功能(néng)的(de)測試當然不(bù) φ✔會(huì)受到(dào)挑戰，唯一(yī)的¶★(de)負面效果就(jiù)是(shì)浪費(σ☆fèi)時(shí)間(jiān)。但(dàn)隻做∏αλ(zuò)這(zhè)些(xiē)基本的(§  πde)測試而未針對(duì)設計(jì)/配置做(zuò)測試是(shì)不(★→bù)可(kě)接受的(de)，對(duì)設計(jì)/配置做(zuò)測試 ↔€不(bù)充分(fēn)也(yě)是(shì)容易受到(≤≈¥¥dào)審計(jì)官挑戰的(de)。

我們建議(yì)：基于風(fēng)險，不(®₹∞∏bù)做(zuò)/少(shǎo)做(zuò)基本≈♠•₹功能(néng)測試，重點對(duì)設計(jì×&)/配置做(zuò)測試。

如(rú)何制(zhì)定配置基線？

這(zhè)個(gè)問(wèn)題和(hé)前兩個(gè)問(wèn)題‌₽ ₽有(yǒu)共通(tōng)之處，但(dàn)需要(yào)更細地(dì)展≠≈∏開(kāi)才能(néng)說(shuō)得(de)明(míng)白(bᥱi)。涉及到(dào)驗證/控制(zhì)、合規/$™φ​效率之前的(de)平衡，需要(yào)根據不(bù)同>™&€的(de)組件(jiàn)去(qù)具體(tǐ)規劃。此處不(bù)展開(™♣δkāi)討(tǎo)論，歡迎感興趣的(de)÷↓讀(dú)者聯系我司顧問(wèn)咨詢。留兩個(gè)問(w→↕׶èn)題供讀(dú)者思考：

Ÿ·哪些(xiē)配置項放(fàng)入配置基線？

Ÿ·網絡基礎架構的(de)配置控制(zhì)如(rú)何分(fēn)級？

本文(wén)為(wèi)廣州憶行信息科技有限公司原創，拒絕轉載。