等保测评细化-设备冗余评测_第1页
等保测评细化-设备冗余评测_第2页
等保测评细化-设备冗余评测_第3页
等保测评细化-设备冗余评测_第4页
等保测评细化-设备冗余评测_第5页
已阅读5页,还剩34页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、冗余评测思绪.主题一1234冗余评测-资料分析冗余评测-配置验证冗余评测-现场察看概述5冗余评测-测实验证.一、构造平安-网络设备及线路冗余评测电信联通路由器负载平衡防火墙WAFIPS资料分析现场察看配置验证测实验证前期预备获取方式确认获取资料确认综合分析结果记录对象与察看项确认时间与方式确认入场恳求察看与结果记录基线确认配置验证时间确认配置验证恳求验证与结果记录测试方案确认测试时间/方法、对象、应急措施等测试恳求测试与结果记录.冗余的概念冗余即建立一个具有一样功能的备用设备/方案。当主设备出现缺点时,冗余设备是可以立刻便用的替代设备。“冗余的有益与有害是相对的!冗余对重要的系统工程是必需的!

2、即使是资源的“浪费。冗余级别包括:数据级冗余运用级冗余同城灾备两地三中心常见的冗余机制:双机备份双机热备双机冷备集群方式容错类负载平衡类可作为冗余的目的:可用性目的可维护性目的可靠性目的RTO、RPO等冗余是什么?如何实现冗余?冗余有哪些目的?冗余的级别? 虚拟化VLAN虚拟公用网VPN虚拟网络设备.冗余与可用性之间的关系可用性:即在一段时间内,系统可以正常运转的概率或时间占有率期望值。可用性期望越高,那么在特定时期内内系统停机的时间就会越短,对设备/系统的冗余要求越高 。而对可用性进展度量往往会运用可用性目的,因此我们运用可用性相关目的来表示冗余目的。冗余是一种手段,目的是实现系统/设备的高

3、可用性主机备机用户1用户2用户3正常情况主机缺点冗余目的假设主机的冗余方式为双机热备,当主机出现缺点时,备时机迅速承当主机任务,从而保证用户访问的进程不会中断.可量化目的:可用性目的、可维护性目的与可靠性目的预期可用性目的=商定的效力时间-停机时间/商定的效力时间*100%预期可维护性目的平均恢复时间=总停机时间小时/效力中断次数 预期可靠性目的平均缺点时间=可用时间小时/中断次数,或平均无缺点时间=可用时间-停机总时间小时/中断次数 可用性、可维护性、可靠性三者可容忍的最低目的值 丈量单位设定:可用性目的用百分比为单位,可维护性目的和可靠性目的用时间为单位;不可用丈量:对功能设定最大呼应时间

4、阈值,假设超越该阈值,那么视为不可用:对运用效力器不可用,丈量恳求呼应时间;对数据库访问不可用,丈量衔接和SQL查询呼应时间;对网络设备含平安设备不可用,丈量网络时延或衔接呼应时间;中断时间丈量:丈量中断发现时间点和功能恢复可用时间点,二者之差即为中断时间,中断时间由呼应时间从发现到呼应的时间段、修障时间、恢复时间三部分构成;可用或继续运转时间:方案运转时间与中断时间、方案停机时间之差;.可量化目的:可用性监测目的1通讯链路-设备2网络平安设备6冗余/部署架构虚拟化热备集群云计算可用/不可用可用/不可用目的连通性质量和时延目的CPU内存吞吐量设备可达性3路由和交换设备目的CPU内存设备可达性目

5、的连通性切换时间可用性目的可用性目的不同于可用性监测目的,业界用 N 个9 来量化可用性, 最常说的就是类似 “4个9(也就是99.99%) 的可用性,换算程时间即53分钟。计算可用性目的的难度在于设备处于什么形状为可用?什么形状为不可用?往往可以经过不可用来反推可用性。可用性监测目的.常见网络/平安设备冗余措施规范要求G3:应保证主要网络设备的业务处置才干具备冗余空间,满足业务顶峰期需求 安全产品必须进行冗余选择性冗余不需要冗余备注核心交换机各区域出口防火墙汇聚交换机核心路由防病毒网关IDS因IDS部署方式为旁挂,不需要进行冗余IPS桌面管理系统终端准入系统流量异常分析系统因部署方式为旁挂,

6、不需要进行冗余保垒机WAF上网行为管理负载均衡通信线路普通对于互联网出口处网络/平安设备、效力器区部署网络/平安设备以及相关中心区域网络/平安设备都需求进展冗余.评测的难点要素:技术方面要素1:网络构造类型多随着技术的不断开展,出现很多不同架构、不同类型的网络。一个企业往往会存在多个网络,如内、外网区域、DMZ区域,每个区域又会划分成多个平安域。因每个域的可用性级别及可用性目的不同,所以要实现对不同平安域实现不同层次的可用管理,难度将大大添加;要素2:网络设备类型/厂商多市场网络/平安设备类型众多,像防火墙、路由器、中继器、网关、网桥以及防病毒产品、IDS/IPS、负载平衡等主流的产品已到达十

7、几种,而各类产品的主流厂商仅国内的就多达几十家,因此要实现不同类型不同厂商网络/平安设备可用性检测,是一个很大的工程。要素3:冗余机制不同当前主流冗余机制多采用双机备份、集群和虚拟化技术等。双机备份涉及热备和冷备技术;集群那么区分容错类的和负载平衡类的;目前比较常见的网络虚拟化运用包括VLAN,虚拟公用网,VPN,以及虚拟网络设备等。因采用不同的冗余技术,又从设备级冗余、链路级冗余和网关级冗余三个方面冗余,且又涉及到很多新技术,加大了效力方评价难度。.评测难点要素:管理方面要素1:企业规模大企业规模大小往往会影响企业的网络构造,大到成千上万人的集团总公司类企业,网络构造足够复杂,网络层次较多;

8、小到一个几十人甚至十几人的公司,网络构造比较单一。由于企业规模越大,其网络构造不定性也将越大,对效力方的挑战也将越大。要素2:企业文化和管控要求不同因企业文化和管理要求存在差别,不同企业能够会存在不同的资料获取方式。以企业网络拓扑图为例,有的企业会将其列为企业文件,效力方获取企业网络拓扑图的难度将大大添加,甚至效力方最终无权限查看。因此,不同企业不同文化和不同管理要求也会影响效力方评价的难度。.主题二1234冗余评测-资料分析冗余评测-配置验证冗余评测-现场察看概述5冗余评测-测实验证.1、资料分析流程:五个步骤预备阶段获取方式确认获取内容确认综合分析结果记录1关注点:效力方需求、输入及被效力

9、方输出2关注点:重点关注效力方资料严密级别及对应的授权方式3关注点:能否符合效力方所提交资料清单中资料4关注点:主要从资料的符合性、完备性方面进展分析5关注点:重点记录资料的缺失部分和不规范部分资料分析的中心作用:资料的全面性和准确性是咨询方效力质量的保证,因此效力方能否拿到第一手资料至关重要可拷贝只可现场查看.预备阶段:效力方/被效力方预备效力方预备1确认需提供的资料,并构成资料清单,包含:管理制度类如冗余管理、备份管理等;技术方案类如网络分别方案、网络区域划分方案等;记录表单类如带宽运用率监控记录;拓扑图类;其他。2根据评价需求,标识出资料对评价的相关程度,对于相关程度很高但难以获取的资料

10、,效力方应随时预备经过现场阅读或访谈等方式来获取资料;3与被效力方坚持沟通,确保被效力方可以了解资料清单,并提供最精准的资料;被效力方预备1根据效力方提供的资料清单,协调相关部门及人员汇总资料;2对于高级别且与评价相关程度很高的资料,尽量协调相关部门提供资料,真实不能提供的资料应可以协调相关人员与效力方陪同阅读或讲解资料概略;3与效力方坚持沟通,确保所提供的资料为被效力方所需的、最精准的资料;难点网络构造复杂,相关资料太多,协调难度大高级别资料审批流程复杂,提供方式不定.资料获取方式与获取内容确认被效力方确认资料的详细获取方式,并与效力方沟通确认能否存在与评价相关性很高且严密性也很高的资料,假

11、设存在,尽量与相关指点阐明缘由,经过特定方式提供资料 其他只可陪同查看完全严密可带离资料不可带离但可现场查看只可讲解不可查看已获取的资料清单未获取的资料清单额外补充的资料清单资料获取情况统计资料查看恳求指点审批去敏感处置资料授权流程提供资料.资料分析流程:综合分析与记录资料中相关要求能否符合实践和规范要求?如对于三级系统,应对主要网络设备和线路进展冗余,需求查看相关技术方案能否包含对业务的顶峰期需求的设计对获取的资料进展分析,通常从资料的符合性和完备性进展分析从以下方面进展记录:管理要求能否全面?管理力度能否达标?技术方案能否全面?技术要求能否达标?相关记录能否全面?能否具有网络拓扑构造图?网

12、络拓扑构造图能否符合实践?资料能否全面?资料能否覆盖当前一切的管理活动?如能否具有与当前运转情况一致的网络拓扑构造图.资料分析及评价资料称号符合性完备性其他目的网络拓扑图网络平安管理战略网络平安管理程序各种操作指南网络设备资产清单相关应急预案其他相关资料评价规范.主题三1234冗余评测-资料分析冗余评测-配置验证冗余评测-现场察看概述5冗余评测-测实验证.2、现场察看 入场恳求 1、技术人员需求2、其他资源需求时间与方式确认 1、最正确察看时机2、察看时间确认3、详细察看方式对象与察看项确认1、察看的区域2、察看的对象3、冗余机制4、察看的内容 察看与结果记录 1、整体架构2、部署的设备3、实

13、践冗余机制4、对比记录.常见的典型网络构造1:简单网络简单网络:对于一些比较简单的网络,通常只划分了内外网,或者会对内网进展办公区和效力区划分。这种网络往往用于一些小规模企业,网络/平安产品较少,根本为常见的交换机、路由器和防火墙等设备。内外网隔离也通常运用防火墙的ACL功能进展逻辑隔离。Internet效力器区域办公区域内网区域 外网区域 .常见的典型网络构造2:较为复杂的网络较为复杂的网络:相对于简单网络,对内外网区域进展了进一步的划分,常见的区域有办公区域、中心业务区域、平安管理区域、DMZ区等。这种网络往往用于一些中型规模企业,网络/平安产品根本齐全,如防火墙、交换机、路由器、保垒机、

14、网管工具、负载平衡、防病毒设备等。内外网隔离常运用网闸进展隔离。Internet中心业务区其他区域办公区域平安管理区内网区域 外网区域 网闸堡垒机网管工具负载平衡xDMZ区.常见的典型网络构造3:大型网络,以挪动管理信息系统为例共分为五个区,分别为:公共区,重要性等级1级,业务规模包括Internet区、VPN用户区和协作同伴区等;半平安区,重要性等级2级,业务规模包括DMZ、协作同伴互联区和内部系统互联区等;内部业务区,重要性等级3级,业务规模包括其他的IT支撑系统、网管系统和非管理信息系统管控范围;平安区,重要性等级3级,业务规模包括管理信息系统办公终端、运维终端区和开发测试区等;中心平安

15、区,重要性等级4级,业务规模包括管理信息系统重要的运用效力器、护具哭效力器、管理控制台和效力器等.常见的平安产品较为全面的网络/平安产品:交换机路由器防火墙上网行为管理系统运用代理破绽扫描系统平安基线检查系统网络流量管理系统网络防病毒网关反渣滓邮件系统入侵检测系统IDS入侵防御系统IPS防DDOS攻击系统网页防篡改系统负载平衡设备.简单网络现场察看:察看对象与关注要点确认典型的网络构造1:简单网络确认察看对象与察看项察看对象中心交换机交换机防火墙通讯链路关注要点查看采用的双网隔离方式能否网络拓扑图一致,能否对隔离设备进展冗余查看哪些区域哪些设备进展了冗余,网络/平安设备运用了哪种冗余机制,能否

16、与网络拓扑图一致查看各个区域间通讯线路能否进展双路冗余,能否与网络拓扑图一致查看网络/平安设备容量硬盘容量、CPU运用率、内存运用率、设备吞吐量等目的及带宽运用率的监控冗余方式察看点双机热备:其中一台设备出现缺点时,自动切换到备机。可以经过双机热备软件HA来查看运用程序的运转形状。双机冷备:其中一台设备出现缺点时,需求手动切换到备机。集群:经过察看集中管理软件,查看各个集群的节点情况。线路冗余:查看线路条数。因网络构造比较简单,网络/平安产品比较单一,冗余需求能够较低,因此评测也会相对容易。.较为复杂的网络现场察看:察看对象与关注要点确认典型的网络构造2:较为复杂的网络确认察看对象与察看项察看

17、对象中心交换机防火墙运用防火墙网管工具关注要点查看采用的双网隔离方式能否网络拓扑图一致,能否对隔离设备进展冗余查看哪些区域哪些设备进展了冗余,网络/平安设备采用哪种冗余机制,能否与网络拓扑图一致能否采用双线路进展链路冗余,采用哪家运营商,能否与网络拓扑图一致查看网络/平安设备容量硬盘容量、CPU运用率、内存运用率、设备吞吐量等目的及带宽运用率的监控网闸负载平衡路由器通讯链路此类网络会根据业务需求对内网区域进展过个区域划分,并设立DMZ区,中心区域网络/平安设备相对比较齐全,评测难度相对较大。划分根本平安区域.大型现场察看:察看对象与关注要点确认确认察看对象与察看项察看对象中心交换机防火墙运用防

18、火墙IPS/IDS负载平衡路由器通讯链路关注要点查看采用的双网隔离方式能否网络拓扑图一致,能否对隔离设备进展冗余查看哪些区域哪些设备进展了冗余,网络/平安设备采用哪种冗余机制,能否与网络拓扑图一致能否采用双线路进展链路冗余,采用哪家运营商,能否与网络拓扑图一致查看网络/平安设备容量硬盘容量、CPU运用率、内存运用率、设备吞吐量等目的及带宽运用率的监控典型的网络构造3:大型网络终端准入系统防病毒系统桌面管理系统数据放泄密系统恶意代码防护网关Ddos上网行为管理系统此类网络会根据业务需求及业务重要性对内外网进展不同等级区域划分,并在内外网都设立专门平安管理区,网络/平安产品齐全,网络拓扑构造也比较

19、复杂,评测难度也比较大。平安区域划分很细.设备冗余措施:例如安全产品热备冷备集群虚拟化异地灾备不采用冗余核心交换机各区域出口防火墙汇聚交换机核心路由防病毒网关IDSIPS桌面管理系统终端准入系统流量异常分析系统保垒机WAF上网行为管理负载均衡通信线路.现场察看:时间与方式确认察看时间选择:最好选在正常业务量或业务顶峰期察看,在这个时段,可以最有效地察看通讯链路及网络/平安设备的负载情况察看方式确认:监控室察看机房现场察看入场恳求:被效力方根据察看时间和方式,恳求入场效力方入场后,未经被效力方允许,制止动用或挪动物理实体机.现场察看:察看与记录察看整体架构察看已部署网络/平安设备采取冗余设备及冗

20、余机制记录结果结合网络拓扑图,察看被效力方实践网络环境能否与网络拓扑图相符查看能否进展双通讯线路冗余察看已部署网络/平安设备结合网络拓扑图,察看被效力方实践网络环境中部署的网络/平安设备能否与网络拓扑图相符结合网络拓扑图,察看被效力方采取冗余的设备以及采用的冗余机制能否与网络拓扑图相符察看冗余管理软件运转形状根据察看结果,记录网络架构的符合性、已部署网络/平安设备、实施冗余的设备/线路、以及对应的冗余机制等.主题四1234冗余评测-资料分析冗余评测-配置验证冗余评测-现场察看概述5冗余评测-测实验证.3、基线验证 配置验证恳求 1、技术人员需求2、特殊权限恳求3、其他资源需求 配置验证时间确认

21、 1、最正确配置验证时机2、配置验证时间确认 基线确认 1、已有设备品牌/型号2、采取的冗余机制3、对应的基线 验证与结果记录 1、基线核对2、配合人员操作3、配置结果对比与记录.双机冗余集群冗余虚拟化冗余基线验证:基线确认堡垒机负载平衡IPS交换机路由器防火墙Juniper为例,检查NSRP配置或图形界面配置查看HSRP热备份路由协议配置华为交换机为例,查看CSS集群交换机系统配置查看集群管理软件配置查看集群管理软件配置阐明:需列出已有网络/平安设备的品牌及型号,并根据所采用的冗余机制来匹配配置基线查看HSRP热备份路由协议或VRRP虚拟路由冗余协议配置.配置验证:验证时间与恳求配置验证时间

22、选择:效力方与被效力方协商确定验证时间,并由被效力方技术人员根据基线进展验证操作,效力方人员进展配置比对与记录配置验证恳求:权限恳求:假设验证过程中涉及到Root等高权限操作,需提早进展权限恳求。配合人员要求:应熟习所担任的设备或管理软件操作,可以快速查看网络/平安设备相关配置操作等。效力方人员要求:未经被效力方允许,制止操作被效力方网络/平安设备。.配置验证:验证与结果记录预备任务操作实施结果搜集被效力方配合人员到位,效力人员提供相关配置基线双方再行核对,确认设备品牌、型号及对应的冗余机制被效力方技术人员根据配置基线,分别对冗余的设备进展配置检查双方对配置检查结果进展疑问互答效力方将配置检查结果与配置基线进展比效力方与被效力方配合人员核对有差别的结果并进展记录.4、测实验证 测试与结果记录 1、测试预备2、实

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论