如何对网络基础架构进行计算机化系统验证/确认?
发布时间:2024-04-17 浏览次数:3044次
本文我们来讨论如何对IT基础架构中最基本的模块------网络基础架构进行验证/确认。
我们前边的几篇文章已经介绍了IT基础架构验证的一些基本的概念和流程。本文不再做基本的介绍,仅仅分享干货。我们从URS制定、IOQ测试、配置基线的制定这几个方面进行探讨。这几个点是我们在做合规咨询过程中发现的,无论是甲方还是第三方验证服务商最容易把握不好的点,也是出现错误思路最多的点。
如何制定URS?
先列举一些不好的URS的例子:
交换机提供网络监控和管理功能,如端口的状态监测、流量统计、故障管理等
交换机具备QoS(Quality of Service)支持,能够根据数据包的优先级和类型进行流量调度和调整,确保重要数据在网络中的优先传输
交换机支持VLAN的划分,能够将网络划分为多个逻辑上的子网,提高网络的安全性和灵活性
交换机支持路由信息的更新和维护
防火墙能够记录所有经过自身的访问,并生成日志文件
防火墙通过对内部网络的划分,实现重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络的影响
防火墙通过检查数据包的源IP地址、目标IP地址、端口号等信息,来确定是否允许其通过,从而确保只有合法的数据包能够进入网络
基于规则设置,防火墙能够限制授权用户或特定网络设备的访问权限,只允许受保护的资源被合法用户访问
支持NAT,通过转换内部私有IP地址和外部公共IP地址,防火墙能够隐藏内部网络结构,增加网络的安全性
上述URS的例子初看没有问题,因为这些确实是对交换机和防火墙的一些基本的功能需求。但这样写URS我们认为意义不大,纯粹为了写而写。
网络设备/安全设备基本采用的是商用成品设备,网络基础架构的URS,不应过多关注这些商用成品设备的基本功能,而是重点关注这些单个设备如何集成为网络基础架构,也就是重点关注那些与设计/配置相关的需求。比如基本功能的启用与否、冗余设计、网络划分、路由策略规划等等。
可能有人会杠:同样是商用成品,3类软件系统的URS,不都是写基本功能吗?对于网络基础架构,写基本功能就不行了?
我们用一个提问作为回答:3类软件系统需要多套集成吗?
如何做IOQ?
先看一个反面例子:
这个例子中,IOQ基本关注于设备的基本功能的测试,而未涉及设备的配置基线的检查以及受配置影响的功能的测试。
我们理解这种做法的原因,尤其是一些第三方公司这样做的原因:1)基本的测试都是通用的,无需费心就客户具体的需求针对性地起草方案;2)这样做的文档看起来更厚,从而看起来做了很多的工作。我们毫不掩饰对这种做法的鄙视,正是这些人在试图劣币驱逐良币。
回到正题,愿意做这些基本功能的测试当然不会受到挑战,唯一的负面效果就是浪费时间。但只做这些基本的测试而未针对设计/配置做测试是不可接受的,对设计/配置做测试不充分也是容易受到审计官挑战的。
我们建议:基于风险,不做/少做基本功能测试,重点对设计/配置做测试。
如何制定配置基线?
这个问题和前两个问题有共通之处,但需要更细地展开才能说得明白。涉及到验证/控制、合规/效率之前的平衡,需要根据不同的组件去具体规划。此处不展开讨论,欢迎感兴趣的读者联系我司顾问咨询。留两个问题供读者思考:
哪些配置项放入配置基线?
网络基础架构的配置控制如何分级?
本文为武汉点风信息科技有限公司原创,拒绝转载。