如(rú)何對(duì)網絡基礎架構進行(xíng)計(jì)算(suà∏§•n)機(jī)化(huà)系統驗證/确認？

本文(wén)我們來(lái)討(tǎo)論如(rú)何對(duì)IT基礎'<架構中最基本的(de)模塊------網絡基礎架構進行♣☆₩(xíng)驗證/确認。

我們前邊的(de)幾篇文(wén)章(z★₹hāng)已經介紹了(le)IT基礎架構驗證的(de)一(yī)些(xiē)基¶∑本的(de)概念和(hé)流程。本文(wén)不→γ♣(bù)再做(zuò)基本的(de)介紹，僅僅分(f£ ​ēn)享幹貨。我們從(cóng)URS制(zhì)λ↑δ定、IOQ測試、配置基線的(de)制(zhì)定這(zhè)幾個(gè)方>α₹↕面進行(xíng)探討(tǎo)。這(zh← ♦è)幾個(gè)點是(shì)我們在做(zuò)合規咨詢 λ£過程中發現(xiàn)的(de)，無論是(sh&§ì)甲方還(hái)是(shì)第三方驗證服務商最容•¶ε±易把握不(bù)好(hǎo)的(de)點，也(yě)是(shì)出現(xiànα↓)錯(cuò)誤思路(lù)最多(duō)的(de)點。

如(rú)何制(zhì)定URS？

先列舉一(yī)些(xiē)不(bù)好(hǎo)的(d&÷e)URS的(de)例子(zǐ)：

●  交換機(jī)提供網絡監控和(hé)管理(lǐ)功能(néng)，如(§♥<≥rú)端口的(de)狀态監測、流量統計(jì)、故障管理(lǐ)等

●  交換機(jī)具備QoS（Quality±✘ of Service）支持，能(néngλ≈±)夠根據數(shù)據包的(de)優先級和(✔♠♣↕hé)類型進行(xíng)流量調度和(hé)調整，确保重要(yào)數(sh♠£♦&ù)據在網絡中的(de)優先傳輸

●  交換機(jī)支持VLAN的(de)劃分(fēn)，π‍™能(néng)夠将網絡劃分(fēn)為(β↑wèi)多(duō)個(gè)邏輯上(shàn±✔απg)的(de)子(zǐ)網，提高(gāo)網絡的(de)安全性 ★σ和(hé)靈活性

●  交換機(jī)支持路(lù)由信息的(deσ  )更新和(hé)維護

●  防火(huǒ)牆能(néng)夠記錄所有(yǒ★↕✘®u)經過自(zì)身(shēn)的(de)訪問(wèn)， ↓并生(shēng)成日(rì)志(zhì)文(wén)件(±®jiàn)

●  防火(huǒ)牆通(tōng)過對(duì)內(nèi)部網 ★₹<絡的(de)劃分(fēn)，實現(xiàn)重點網段的(de)隔離(l≈£í)，從(cóng)而限制(zhì)了(le)局部重點或敏感網絡¥×☆安全問(wèn)題對(duì)全局網絡的(de)影(yǐng)響

●  防火(huǒ)牆通(tōng)過檢查數(shù)據包的(de)源 ♣γIP地(dì)址、目标IP地(dì)址、端口号等信息，來(lái)确定是(sh¥‍®ì)否允許其通(tōng)過，從(cóng)而确保隻有(yǒuβ±→)合法的(de)數(shù)據包能(néng)夠進入網‌₹♥絡

●  基于規則設置，防火(huǒ)牆能(néng)夠π 限制(zhì)授權用(yòng)戶或特定網絡設備的(de)訪©♣ε問(wèn)權限，隻允許受保護的(de)資源被合法用(yòng)戶訪>λ↓≠問(wèn)

●  支持NAT，通(tōng)過轉換內(nèi)部私有(yǒu)IP地(dì∞©★)址和(hé)外(wài)部公共IP地(dì)λ♠♦♦址，防火(huǒ)牆能(néng)夠隐藏內(nèi)部網絡結構，增加網絡的(d∞σe)安全性

上(shàng)述URS的(de)例子(zǐ)初看(kàn)沒有(yǒu)問♦¶(wèn)題，因為(wèi)這(zhè)些(xiē)确實是(' €shì)對(duì)交換機(jī)和(hé)防火(hα↔↑♥uǒ)牆的(de)一(yī)些(xiē)基本的(de)功能(néng)需求≤∏。但(dàn)這(zhè)樣寫URS我們認為(wèi← <®)意義不(bù)大(dà)，純粹為(wèi)了(le)寫≤®♦而寫。

網絡設備/安全設備基本采用(yòng)的(de¥Ω€≠)是(shì)商用(yòng)成品設備，網絡基礎架構的(de)URS，不(bù€∑)應過多(duō)關注這(zhè)些(xiē)商用(∑¥♥®yòng)成品設備的(de)基本功能(néng)，'↕而是(shì)重點關注這(zhè)些(xiē)單個(gè)設備如≠✘€"(rú)何集成為(wèi)網絡基礎架構，也(yě)就(jiù)是(shì)重點™★關注那(nà)些(xiē)與設計(jì)/配置相(xiàng)€β關的(de)需求。比如(rú)基本功能(néng)的(de)啓用($λ↑₽yòng)與否、冗餘設計(jì)、網絡劃分(fēn) δ、路(lù)由策略規劃等等。

可(kě)能(néng)有(yǒu)人(rén)會(huì)杠：同樣是(↕™‌‍shì)商用(yòng)成品，3類軟件(jiàn)系統的(‌♦de)URS，不(bù)都(dōu)是(shì)×≤‍寫基本功能(néng)嗎(ma)？對(duì)于網絡基礎架構®±&¶，寫基本功能(néng)就(jiù)不(bù)行(xín↕¶λ≈g)了(le)？

我們用(yòng)一(yī)個(gè)提問(wèn)作(zuò)為£βγ(wèi)回答(dá)：3類軟件(jiàn)系統需要(₹​☆yào)多(duō)套集成嗎(ma)？

如(rú)何做(zuò)IOQ？

先看(kàn)一(yī)個(gè)反面例子>β(zǐ)：

這(zhè)個(gè)例子(zǐ)中，IOQ基本關注于設​¥✔₩備的(de)基本功能(néng)的(de)測試δ¥₹φ，而未涉及設備的(de)配置基線的(de)檢查以及受配置影(yǐng)響的(d≈ε©£e)功能(néng)的(de)測試。

我們理(lǐ)解這(zhè)種做(zuò)法的(de)原因，尤其↔'<是(shì)一(yī)些(xiē)第三方公司這(zhè)樣做(zuò)的(d♦‌e)原因：1）基本的(de)測試都(dōu)是(shì)通(tōng)用'₩™ (yòng)的(de)，無需費(fèi)心就(jiù)客戶具體(tǐ >π♦)的(de)需求針對(duì)性地(dì)起草♥>™≥(cǎo)方案；2）這(zhè)樣做(zuò)的($φ♥γde)文(wén)檔看(kàn)起來(lái♠δ)更厚，從(cóng)而看(kàn)起來(lái)做(zuò)了(le×←)很(hěn)多(duō)的(de)工(gōng)作(z&φ‍♥uò)。我們毫不(bù)掩飾對(duì)這(zhè)種做(zuò)法 ∏≥"的(de)鄙視(shì)，正是(shì)這(zhè)些(xiē±←↕>)人(rén)在試圖劣币驅逐良币。

回到(dào)正題，願意做(zuò)這(zhè)些(x>♥♣♠iē)基本功能(néng)的(de)測試當然不(bù<$)會(huì)受到(dào)挑戰，唯一(yī)的(de)負面效果就(jiù)是♦∏(shì)浪費(fèi)時(shí)間(jiā€✔§n)。但(dàn)隻做(zuò)這(zhè)些(xiē)基本的(de)σ≥測試而未針對(duì)設計(jì)/配置做(zuò)測試是(shì)$☆• 不(bù)可(kě)接受的(de)，對(duì)設計(jì)/配置'δ¥做(zuò)測試不(bù)充分(fēn)也£★"(yě)是(shì)容易受到(dào)審計(jì)官挑戰的(de)。

我們建議(yì)：基于風(fēng)險，不(bù)做(zuò)/少(shǎo↕±​±)做(zuò)基本功能(néng)測試，重點對(duì)設計£¥®(jì)/配置做(zuò)測試。

如(rú)何制(zhì)定配置基線？

這(zhè)個(gè)問(wèn)題和(hé)前兩≥×¥ 個(gè)問(wèn)題有(yǒu)共通(tōng)之處，但(dà§'n)需要(yào)更細地(dì)展開(kāi)才能(n★₩↓≠éng)說(shuō)得(de)明(míng)白(bái)。涉±σ及到(dào)驗證/控制(zhì)、合規/效率之前×™®±的(de)平衡，需要(yào)根據不(bù)同的(±πΩ∑de)組件(jiàn)去(qù)具體(tǐ)規劃。此處不(bù)÷←∑展開(kāi)討(tǎo)論，歡迎感興趣的(d↔₩e)讀(dú)者聯系我司顧問(wèn)咨詢。留兩個(gè)問(wèn)題供→€×£讀(dú)者思考：

Ÿ·哪些(xiē)配置項放(fàng)入配置基線？

Ÿ·網絡基礎架構的(de)配置控制(zhì)如(rú)何分(fēn)‌÷$₩級？

本文(wén)為(wèi)上海易推信息科技有限公司原創，拒絕轉載。