如(rú)何對(duì)網絡基礎架構進行(xí☆∑ng)計(jì)算(suàn)機(jī)化(huà)系統驗證/÷$¥确認？

本文(wén)我們來(lái)討(tǎo)論如(r' ú)何對(duì)IT基礎架構中最基本的(d×↓‍e)模塊------網絡基礎架構進行(xíng)驗證/确認。

我們前邊的(de)幾篇文(wén)章(zhāng)已經介紹了(le)I$β♥T基礎架構驗證的(de)一(yī)些(xiē)基本的(de)概念和(hé)☆γ∑ 流程。本文(wén)不(bù)再做(zuò)基本的(de ←)介紹，僅僅分(fēn)享幹貨。我們從(cóng)URS制(zhì)定、I ₩OQ測試、配置基線的(de)制(zhì)定這(zhè)幾個(gè)方面進行←♣₩(xíng)探討(tǎo)。這(zhè)幾個(gè)點是(shì☆ )我們在做(zuò)合規咨詢過程中發現(xiàn)的>✔↕₩(de)，無論是(shì)甲方還(hái)是(sh Ωì)第三方驗證服務商最容易把握不(bù)好(hǎo)的€±÷(de)點，也(yě)是(shì)出現(xiàn)錯(cuò)誤思路(lù)最σ☆✔多(duō)的(de)點。

如(rú)何制(zhì)定URS？

先列舉一(yī)些(xiē)不(bù)好(hǎo)的(​₹de)URS的(de)例子(zǐ)：

●  交換機(jī)提供網絡監控和(hé)管理(lǐ)功能(néng)，'↓♥δ如(rú)端口的(de)狀态監測、流量統計(jì)、故障管理(≤€lǐ)等

●  交換機(jī)具備QoS（Quality of Service）支持，能(n↑₹éng)夠根據數(shù)據包的(de)優先級和(hé)類型進行(xíng∑©™♥)流量調度和(hé)調整，确保重要(yào)數(shù)據在網絡中的(₩>→©de)優先傳輸

●  交換機(jī)支持VLAN的(de)劃分(fēn)，能(néng§©)夠将網絡劃分(fēn)為(wèi)多(duō)個(gè)邏輯上(λγshàng)的(de)子(zǐ)網，提高(gāo)網絡的(deφ××)安全性和(hé)靈活性

●  交換機(jī)支持路(lù)由信息的(de)更‌←♦¥新和(hé)維護

●  防火(huǒ)牆能(néng)夠記錄所有(yǒ↔¶u)經過自(zì)身(shēn)的(de)訪問(w☆™èn)，并生(shēng)成日(rì)志(zhì)文(wén↕β÷)件(jiàn)

●  防火(huǒ)牆通(tōng)過對(duì)內(nèi)部網絡的←®(de)劃分(fēn)，實現(xiàn)重點網段 ↔的(de)隔離(lí)，從(cóng)而限制(zhì)了(lγ ®e)局部重點或敏感網絡安全問(wèn)題對(duì)£≠•全局網絡的(de)影(yǐng)響

●  防火(huǒ)牆通(tōng)過檢查數(¶≤≠↓shù)據包的(de)源IP地(dì)址、目标IP地(dλε∏ì)址、端口号等信息，來(lái)确定是(shì)否允許其通(t™↓‍ōng)過，從(cóng)而确保隻有(yǒu)合法的( πde)數(shù)據包能(néng)夠進入網絡

●  基于規則設置，防火(huǒ)牆能(néng)≥&σπ夠限制(zhì)授權用(yòng)戶或特 ≥定網絡設備的(de)訪問(wèn)權限，隻允許受保護的(de)資源被合法用(yπ↔¶òng)戶訪問(wèn)

●  支持NAT，通(tōng)過轉換內(nèi)部私有(yǒu)I★✔δP地(dì)址和(hé)外(wài)部公共IP地(dì)址，防火(huǒ)↕♥牆能(néng)夠隐藏內(nèi)部網絡結構，增加網絡的(de)安♥ 全性

上(shàng)述URS的(de)例子(zǐ)初看(kàn)沒有(←σyǒu)問(wèn)題，因為(wèi)這(zhè)些(xi÷σ→€ē)确實是(shì)對(duì)交換機(jī)和(hé)防火"↑☆(huǒ)牆的(de)一(yī)些(xiē)基本的(™‌←←de)功能(néng)需求。但(dàn)這(zh≥₹è)樣寫URS我們認為(wèi)意義不(bù)大(dà)，純粹為(wèi$φ™)了(le)寫而寫。

網絡設備/安全設備基本采用(yòng)的(de)是(≥‍∞ shì)商用(yòng)成品設備，網絡基礎架構的(de)URS，不(bù®¶δ♣)應過多(duō)關注這(zhè)些(xiē)商用(yòng) φ≠成品設備的(de)基本功能(néng)，而是(shì)重點關注這(zhα©↔↑è)些(xiē)單個(gè)設備如(rú)何集成為(w'"±èi)網絡基礎架構，也(yě)就(jiù)是(shì)重點關注那¶♥≈(nà)些(xiē)與設計(jì)/配置相(xiàng)關的←≤(de)需求。比如(rú)基本功能(néng)的(de©§₽)啓用(yòng)與否、冗餘設計(jì)、網絡φ​±劃分(fēn)、路(lù)由策略規劃等等。

可(kě)能(néng)有(yǒu)人(rén♠≥•±)會(huì)杠：同樣是(shì)商用(yòng)成品，3類軟件(j$§φiàn)系統的(de)URS，不(bù)都(dōu)是(s₩"hì)寫基本功能(néng)嗎(ma)？對(duì)于網絡基礎λ÷架構，寫基本功能(néng)就(jiù)∏$不(bù)行(xíng)了(le)？

我們用(yòng)一(yī)個(gè)提問(wèn)作(∞↔≠zuò)為(wèi)回答(dá)：3類軟件(j ↓✔iàn)系統需要(yào)多(duō)套集成嗎(→→π'ma)？

如(rú)何做(zuò)IOQ？

先看(kàn)一(yī)個(gè)反面例子(zǐ)≤★♠：

這(zhè)個(gè)例子(zǐ)中，IOQ基本關注于±"π設備的(de)基本功能(néng)的(de)測試，而未←↔涉及設備的(de)配置基線的(de)檢查以及受配置影(yǐng)響的(d∏✔e)功能(néng)的(de)測試。

我們理(lǐ)解這(zhè)種做(zuò)法←↑的(de)原因，尤其是(shì)一(yī)些(xiē)第三方公司這(zh¶₹è)樣做(zuò)的(de)原因：1）基本的(de)測試都(dōu)是(sh♥₩ ì)通(tōng)用(yòng)的(de)，無需費(fèi)心♣←就(jiù)客戶具體(tǐ)的(de)需求針對(duì)性地σ‌Ω(dì)起草(cǎo)方案；2）這(zhè)樣做(zuò)的(de)文₹‍Ω(wén)檔看(kàn)起來(lái)更厚，從(cóng)而看(π≠kàn)起來(lái)做(zuò)了(le)很(ε±hěn)多(duō)的(de)工(gōng)作✔'↔∏(zuò)。我們毫不(bù)掩飾對(duì)這(zhè)種做(zuò)法的(d"©₽§e)鄙視(shì)，正是(shì)這(zhè)些(xiēα )人(rén)在試圖劣币驅逐良币。

回到(dào)正題，願意做(zuò)這(zhè)些(xiē)基本功能(néngγ‍)的(de)測試當然不(bù)會(huì)受到(dào​∞)挑戰，唯一(yī)的(de)負面效果就(jiù)是(s₹§★hì)浪費(fèi)時(shí)間(jiān)。但(dàn)隻做(zu׶ò)這(zhè)些(xiē)基本的(de)測β±試而未針對(duì)設計(jì)/配置做(zuò)測試是(shì)不(bù)可$•(kě)接受的(de)，對(duì)設計(jì)/配置做(zuò)測♣™±試不(bù)充分(fēn)也(yě)是(shì)容易←✔受到(dào)審計(jì)官挑戰的(de)。

我們建議(yì)：基于風(fēng)險，不(§πbù)做(zuò)/少(shǎo)做(zuò)基本功能(néng)≥‍'測試，重點對(duì)設計(jì)/配置做(zuò)測試。

如(rú)何制(zhì)定配置基線？

這(zhè)個(gè)問(wèn)題和(hé) ↕​前兩個(gè)問(wèn)題有(yǒu)共通(≈ &tōng)之處，但(dàn)需要(yào)更細地(dì)展開(kāi)才®↓α能(néng)說(shuō)得(de)明(míng♥•')白(bái)。涉及到(dào)驗證/控制(zhì)、合規/≈>效率之前的(de)平衡，需要(yào)根據不(bù)同的€≥(de)組件(jiàn)去(qù)具體(tǐ↕§α↑)規劃。此處不(bù)展開(kāi)討(tǎo)論，歡迎感興趣γ±的(de)讀(dú)者聯系我司顧問(wèn)咨λ©詢。留兩個(gè)問(wèn)題供讀(dú)者思考：

Ÿ·哪些(xiē)配置項放(fàng)入配置基線？

Ÿ·網絡基礎架構的(de)配置控制(zhì)如$®$★(rú)何分(fēn)級？

本文(wén)為(wèi)上海易推信息科φ•技有限公司原創，拒絕轉載。