如(rú)何對(duì)網絡基礎架構進行(xíng)計(jì)算(suàn§γ)機(jī)化(huà)系統驗證/确認？

本文(wén)我們來(lái)討(tǎo)論如(Ωλrú)何對(duì)IT基礎架構中最基本的(de)模塊------"×網絡基礎架構進行(xíng)驗證/确認。

我們前邊的(de)幾篇文(wén)章(zhāng)已經介紹了(le)IT基礎架♥‍構驗證的(de)一(yī)些(xiē)基本的(de)概念和(hé)流程。本文☆ £±(wén)不(bù)再做(zuò)基本的(de)介&∞紹，僅僅分(fēn)享幹貨。我們從(cóng)URS制(zhìΩ®↑)定、IOQ測試、配置基線的(de)制(☆Ωzhì)定這(zhè)幾個(gè)方面進行(xíng)探討('¶↑tǎo)。這(zhè)幾個(gè)點是(β&↑shì)我們在做(zuò)合規咨詢過程中發現(xiàn)的(de)≠σ←，無論是(shì)甲方還(hái)是(shì)第三方驗證服務商最容易把握不¶✘(bù)好(hǎo)的(de)點，也(yě)是(shì∞✘)出現(xiàn)錯(cuò)誤思路(lù)最多​‌σ™(duō)的(de)點。

如(rú)何制(zhì)定URS？

先列舉一(yī)些(xiē)不(bù)好(hǎo)的(de)÷≠URS的(de)例子(zǐ)：

●  交換機(jī)提供網絡監控和(hé)管理(lǐ)功能(néng) β，如(rú)端口的(de)狀态監測、流量統計(jì)、故障管理(lǐ≠£)等

●  交換機(jī)具備QoS（Quality of Service）支 ∞持，能(néng)夠根據數(shù)據包的(de)優先級和(hé)類型進∞↑行(xíng)流量調度和(hé)調整，确保重要(yào)數(shù)據在網絡中Ω≠₹的(de)優先傳輸

●  交換機(jī)支持VLAN的(de)劃分(fēn)，能(nén ™₹g)夠将網絡劃分(fēn)為(wèi)多↔♦÷(duō)個(gè)邏輯上(shàng)的(de)子(zǐ)網，提高(gā↓≈‍₽o)網絡的(de)安全性和(hé)靈活性

●  交換機(jī)支持路(lù)由信息的(de)更∑✘✘新和(hé)維護

●  防火(huǒ)牆能(néng)夠記錄所有(yǒu)經過自(≤≠<™zì)身(shēn)的(de)訪問(wèn)，并生(shēng)成日(rì)✘®α志(zhì)文(wén)件(jiàn)

●  防火(huǒ)牆通(tōng)過對(duì)內(nèi)部網絡的(d¥∏e)劃分(fēn)，實現(xiàn)重點網段的(♣↑de)隔離(lí)，從(cóng)而限制(zhì)了(le)局部重點或敏感網↕>絡安全問(wèn)題對(duì)全局網絡的(de)影(yǐng)響

●  防火(huǒ)牆通(tōng)過檢查數(shù)​α據包的(de)源IP地(dì)址、目标IP地(dì)址、端口号等信☆✘ 息，來(lái)确定是(shì)否允許其通(tōng)過，從(cóng)♥¥而确保隻有(yǒu)合法的(de)數(shù)據包能(néng)夠進入網絡

●  基于規則設置，防火(huǒ)牆能(néng)夠限制(zhì)授權用(y∑™→òng)戶或特定網絡設備的(de)訪問(wèn)權限，隻允許受保護的(d​♥e)資源被合法用(yòng)戶訪問(wèn)

●  支持NAT，通(tōng)過轉換內(nèi)部私有(yǒu)IP←↕φ地(dì)址和(hé)外(wài)部公共IP地(dì)址 α，防火(huǒ)牆能(néng)夠隐藏內(nèi)部₽<↔網絡結構，增加網絡的(de)安全性

上(shàng)述URS的(de)例子(zǐ)初看(kàn)沒有(yǒu)≤₩​γ問(wèn)題，因為(wèi)這(zhè)些(xiē)确實是(shì)對(du§δ®ì)交換機(jī)和(hé)防火(huǒ)牆的(de)一(yī)些(xiē)™®✔基本的(de)功能(néng)需求。但(dàn)這Ω♣(zhè)樣寫URS我們認為(wèi)意義不(bù)大≈♥(dà)，純粹為(wèi)了(le)寫而寫。

網絡設備/安全設備基本采用(yòng)的(de)是(shì)商用(yòng)成​★品設備，網絡基礎架構的(de)URS，不(b∞÷$♠ù)應過多(duō)關注這(zhè)些(xiē)∏₹©↓商用(yòng)成品設備的(de)基本功能(♠γ≤néng)，而是(shì)重點關注這(zhè)些(xiē)單個(g←×è)設備如(rú)何集成為(wèi)網絡基礎架構，也¶α♠(yě)就(jiù)是(shì)重點關注那(nà)些(xiē)∞→$與設計(jì)/配置相(xiàng)關的(de)需求。比如(r≤♦ε∞ú)基本功能(néng)的(de)啓用(yòng)與否、冗•✘餘設計(jì)、網絡劃分(fēn)、路(lù↕ε$ )由策略規劃等等。

可(kě)能(néng)有(yǒu)人(rén)會(huì)杠​‌：同樣是(shì)商用(yòng)成品，3÷π↑類軟件(jiàn)系統的(de)URS，不(bù)都(£₹σ dōu)是(shì)寫基本功能(néng)嗎(ma)？對(duì)于網絡基礎架≈♠構，寫基本功能(néng)就(jiù)不(bù)行(xíng)了¶ "(le)？

我們用(yòng)一(yī)個(gè)提問(wèn)作(zuò)為(wèi$↑↔₹)回答(dá)：3類軟件(jiàn)系統需要(yào)多γσ$£(duō)套集成嗎(ma)？

如(rú)何做(zuò)IOQ？

先看(kàn)一(yī)個(gè)反面例子 §(zǐ)：

這(zhè)個(gè)例子(zǐ)中，IOQ基本關注于設備的(deπ'♠γ)基本功能(néng)的(de)測試，而未涉及設備的(de)配置£∏基線的(de)檢查以及受配置影(yǐng)響的(de)> ↕功能(néng)的(de)測試。

我們理(lǐ)解這(zhè)種做(zuò)法的(de)原因，尤其是(shì)一¶♣(yī)些(xiē)第三方公司這(zhè↑↑&)樣做(zuò)的(de)原因：1）基本的(de)測試都(dōu)是(sh>♦✘ì)通(tōng)用(yòng)的(de)，無需費(fèi)心<<就(jiù)客戶具體(tǐ)的(de)需求針對(duì©↑₹✘)性地(dì)起草(cǎo)方案；2）這(>§zhè)樣做(zuò)的(de)文(wén)檔看(kà​¶¥n)起來(lái)更厚，從(cóng)而看(kàn)★<起來(lái)做(zuò)了(le)很(hěn¥>)多(duō)的(de)工(gōng)作(zu"™ò)。我們毫不(bù)掩飾對(duì)這(zhè)種做(zuò≠♦)法的(de)鄙視(shì)，正是(shì)<Ωδ這(zhè)些(xiē)人(rén)在試圖ε​劣币驅逐良币。

回到(dào)正題，願意做(zuò)這(zhè)些(xiē)基本功能(né≈​ng)的(de)測試當然不(bù)會(huì)受到(dào)挑×α↓戰，唯一(yī)的(de)負面效果就(jiù)是(shì)浪費(fèi Ω✔&)時(shí)間(jiān)。但(dàn)隻做(zuò)這(zhè)些(x∑$δ≈iē)基本的(de)測試而未針對(duì)設計(jì)/配置做(zuò)§​<測試是(shì)不(bù)可(kě)接受的(de)∏ ，對(duì)設計(jì)/配置做(zuò)測試不(bù)充分(fēnδ​)也(yě)是(shì)容易受到(dào)審計(j≥★ì)官挑戰的(de)。

我們建議(yì)：基于風(fēng)險，不(bù)做(zuΩ→α€ò)/少(shǎo)做(zuò)基本功能(néng)測試，重點對(duì)§φ✔設計(jì)/配置做(zuò)測試。

如(rú)何制(zhì)定配置基線？

這(zhè)個(gè)問(wèn)題和(hé)前兩個(gè₽'ε)問(wèn)題有(yǒu)共通(tōng)之處，但∞£(dàn)需要(yào)更細地(dì)展開(₽&kāi)才能(néng)說(shuō)得(de)明(míng∏→♦)白(bái)。涉及到(dào)驗證/控制(zhì)'✔、合規/效率之前的(de)平衡，需要(yà Ωσo)根據不(bù)同的(de)組件(jiàn)去(qù®≠β)具體(tǐ)規劃。此處不(bù)展開(k↕ āi)討(tǎo)論，歡迎感興趣的(de)讀(dú)者聯系我司顧問(wèn  )咨詢。留兩個(gè)問(wèn)題供讀(dú)者思考：

Ÿ·哪些(xiē)配置項放(fàng)入配置基線？

Ÿ·網絡基礎架構的(de)配置控制(zhì)如(rλ₩♣≥ú)何分(fēn)級？

本文(wén)為(wèi)廣州憶行信息科技有限公司原創，拒絕↔∏轉載。