等保测评细化设备冗余评测

冗余评测思路主题一1234冗余评测-资料分析冗余评测-配置验证冗余评测-现场观察概述5冗余评测-测试验证一、结构安全-网络设备及线路冗余评测电信联通路由器负载均衡防火墙WAFIPS资料分析现场观察配置验证测试验证前期准备获取方式确认获取资料确认综合分析结果记录对象与观察项确认时间与方式确认入场申请观察与结果记录基线确认配置验证时间确认配置验证申请验证与结果记录测试方案确认（测试时间/方法、对象、应急措施等）测试申请测试与结果记录冗余的概念冗余即建立一个具有相同功能的备用设备/方案。当主设备出现故障时，冗余设备是可以立刻使用的替代设备。“冗余”的有益与有害是相对的！冗余对重要的系统工程是必须的！即使是资源的“浪费”。冗余级别包括：数据级冗余应用级冗余同城灾备两地三中心常见的冗余机制：双机备份双机热备双机冷备集群模式容错类负载均衡类可作为冗余的指标：可用性指标可维护性指标可靠性指标RTO、RPO等冗余是什么？如何实现冗余?冗余有哪些指标？冗余的级别？

虚拟化VLAN虚拟专用网VPN虚拟网络设备冗余与可用性之间的关系可用性：即在一段时间内，系统能够正常运行的概率或时间占有率期望值。可用性期望越高↑，那么在特定时期内内系统停机的时间就会越短↓，对设备/系统的冗余要求越高↑。而对可用性进行度量往往会使用可用性指标，因此我们使用可用性相关指标来表示冗余指标。冗余是一种手段，目的是实现系统/设备的高可用性主机备机用户1用户2用户3正常情况主机故障冗余指标假设主机的冗余方式为双机热备，当主机出现故障时，备机会迅速承担主机工作，从而保证用户访问的进程不会中断可量化指标：可用性指标、可维护性指标与可靠性指标预期可用性指标=（约定的服务时间-停机时间）/约定的服务时间*100%预期可维护性指标（平均恢复时间）=总停机时间（小时）/服务中断次数预期可靠性指标（平均故障时间）=可用时间（小时）/中断次数，或平均无故障时间=（可用时间-停机总时间）（小时）/中断次数可用性、可维护性、可靠性三者可容忍的最低目标值测量单位设定：可用性指标用百分比为单位，可维护性指标和可靠性指标用时间为单位；不可用测量：对功能设定最大响应时间阈值，若超过该阈值，则视为不可用：对应用服务器不可用，测量请求响应时间；对数据库访问不可用，测量连接和SQL查询响应时间；对网络设备（含安全设备）不可用，测量网络时延（或连接响应时间）；中断时间测量：测量中断发现时间点和功能恢复可用时间点，二者之差即为中断时间，中断时间由响应时间（从发现到响应的时间段）、修障时间、恢复时间三部分构成；可用或持续运行时间：计划运行时间与中断时间、计划停机时间之差；可量化指标：可用性监测指标1通信链路-设施2网络安全设备6冗余/部署架构虚拟化热备集群云计算可用/不可用可用/不可用指标连通性质量和时延指标CPU内存吞吐量设备可达性3路由和交换设备指标CPU内存设备可达性指标连通性切换时间可用性指标可用性指标不同于可用性监测指标，业界用N个9来量化可用性，最常说的就是类似“4个9(也就是99.99%)”的可用性，换算程时间即53分钟。计算可用性指标的难度在于设备处于什么状态为可用？什么状态为不可用？往往可以通过不可用来反推可用性。可用性监测指标常见网络/安全设备冗余措施标准要求（G3）：应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要安全产品必须进行冗余选择性冗余不需要冗余备注核心交换机✔各区域出口防火墙✔汇聚交换机✔核心路由✔防病毒网关✔IDS✔因IDS部署方式为旁挂，不需要进行冗余IPS✔桌面管理系统✔终端准入系统✔流量异常分析系统✔因部署方式为旁挂，不需要进行冗余保垒机✔WAF✔上网行为管理✔负载均衡✔通信线路✔一般对于互联网出口处网络/安全设备、服务器区部署网络/安全设备以及相关核心区域网络/安全设备都需要进行冗余评测的难点因素：技术方面因素1：网络结构类型多随着技术的不断发展，出现很多不同架构、不同类型的网络。一个企业往往会存在多个网络，如内、外网区域、DMZ区域，每个区域又会划分成多个安全域。因每个域的可用性级别及可用性指标不同，所以要实现对不同安全域实现不同层次的可用管理，难度将大大增加；因素2：网络设备类型/厂商多市场网络/安全设备类型众多，像防火墙、路由器、中继器、网关、网桥以及防病毒产品、IDS/IPS、负载均衡等主流的产品已达到十几种，而各类产品的主流厂商仅国内的就多达几十家，因此要实现不同类型不同厂商网络/安全设备可用性检测，是一个很大的工程。因素3：冗余机制不同当前主流冗余机制多采用双机备份、集群和虚拟化技术等。双机备份涉及热备和冷备技术；集群则区分容错类的和负载均衡类的；目前比较常见的网络虚拟化应用包括VLAN，虚拟专用网，VPN，以及虚拟网络设备等。因采用不同的冗余技术，又从设备级冗余、链路级冗余和网关级冗余三个方面冗余，且又涉及到很多新技术，加大了服务方评估难度。评测难点因素：管理方面因素1：企业规模大企业规模大小往往会影响企业的网络结构，大到成千上万人的集团总公司类企业，网络结构足够复杂，网络层次较多；小到一个几十人甚至十几人的公司，网络结构比较单一。由于企业规模越大，其网络结构不定性也将越大，对服务方的挑战也将越大。因素2：企业文化和管控要求不同因企业文化和管理要求存在差异，不同企业可能会存在不同的资料获取方式。以企业网络拓扑图为例，有的企业会将其列为企业机密文件，服务方获取企业网络拓扑图的难度将大大增加，甚至服务方最终无权限查看。因此，不同企业不同文化和不同管理要求也会影响服务方评估的难度。主题二1234冗余评测测-资料分析析冗余评测测-配置验证证冗余评测测-现场观察察概述5冗余评测测-测试验证证1、资料分分析流程程：五个个步骤准备阶段获取方式确认获取内容确认综合分析结果记录1关注点：服务方需求、输入及被服务方输出2关注点：重点关注服务方资料保密级别及对应的授权方式3关注点：是否符合服务方所提交资料清单中资料4关注点：主要从资料的符合性、完备性方面进行分析5关注点：重点记录资料的缺失部分和不规范部分资料分析析的核心心作用：：资料的的全面性性和准确确性是咨咨询方服服务质量量的保障障，因此此服务方方能否拿拿到第一一手资料料至关重重要可拷贝只可现场场查看准备阶段段：服务务方/被服务方方准备服务方准准备1）确认需需提供的的资料，，并形成成资料清清单，包包含：管理制度度类（如如冗余管管理、备备份管理理等）；；技术方案案类（如如网络分分离方案案、网络络区域划划分方案案等）；；记录表单单类（如如带宽使使用率监监控记录录）；拓扑图类类；其他。2）根据评估需需求，标识出出资料对评估估的相关程度度，对于相关关程度很高但但难以获取的的资料，服务务方应随时准准备通过现场场浏览或访谈谈等方式来获获取资料；3）与被服务方方保持沟通，，确保被服务务方能够理解解资料清单，，并提供最精精准的资料；；被服务方准备备1）根据服务方方提供的资料料清单，协调调相关部门及及人员汇总资资料；2）对于高级别别且与评估相相关程度很高高的资料，尽尽量协调相关关部门提供资资料，实在不不能提供的资资料应能够协协调相关人员员与服务方陪陪同浏览或讲讲解资料概况况；3）与服务方保保持沟通，确确保所提供的的资料为被服服务方所需的的、最精准的的资料；难点网络结构复杂杂，相关资料料太多，协调调难度大高级别资料审审批流程复杂杂，提供方式式不定资料获取方式式与获取内容容确认被服务方确认认资料的具体体获取方式，，并与服务方方沟通确认是是否存在与评评估相关性很很高且保密性性也很高的资资料，若存在在，尽量与相相关领导说明明缘由，通过过特定方式提提供资料获取内容确认其他只可陪同查看完全保密可带离资料不可带离但可现场查看只可讲解不可查看已获取的资料清单未获取的资料清单额外补充的资料清单资料获取情况统计资料查看申请领导审批去敏感处理资料授权流程提供资料资料分析流程程：综合分析析与记录符合性综合分析完备性结果记录资料中相关要要求是否符合合实际和标准准要求？如对对于三级系统统，应对主要要网络设备和和线路进行冗冗余，需要查查看相关技术术方案是否包包含对业务的的高峰期需求求的设计对获取的资料料进行分析，，通常从资料料的符合性和和完备性进行行分析从以以下下方方面面进进行行记记录录：：管理理要要求求是是否否全全面面？？管管理理力力度度是是否否达达标标？？技术术方方案案是是否否全全面面？？技技术术要要求求是是否否达达标标？？相关关记记录录是是否否全全面面？？是否否具具有有网网络络拓拓扑扑结结构构图图？？网网络络拓拓扑扑结结构构图图是是否否符符合合实实际际？？资料料是是否否全全面面？？资资料料能能否否覆覆盖盖当当前前所所有有的的管管理理活活动动？？如如是是否否具具有有与与当当前前运运行行状状况况一一致致的的网网络络拓拓扑扑结结构构图图资料料分分析析及及评评价价资料料名名称称符合合性性完备备性性其他他指指标标网络络拓拓扑扑图图网络络安安全全管管理理策策略略网络络安安全全管管理理程程序序各种种操操作作指指南南网络络设设备备资资产产清清单单相关关应应急急预预案案其他他相相关关资资料料评价价标标准准主题题三三1234冗余余评评测测-资料料分分析析冗余余评评测测-配置置验验证证冗余余评评测测-现场场观观察察概述述5冗余余评评测测-测试试验验证证2、现现场场观观察察

入场申请

1、技术人员需求2、其他资源需求时间与方式确认

1、最佳观察时机2、观察时间确认3、具体观察方式对象与观察项确认1、观察的区域2、观察的对象3、冗余机制4、观察的内容

观察与结果记录

1、整体架构2、部署的设备3、实际冗余机制4、对比记录常见见的的典典型型网网络络结结构构1：简简单单网网络络简单单网网络络：：对对于于一一些些比比较较简简单单的的网网络络，，通通常常只只划划分分了了内内外外网网，，或或者者会会对对内内网网进进行行办办公公区区和和服服务务区区划划分分。。这这种种网网络络往往往往用用于于一一些些小小规规模模企企业业，，网网络络/安全全产产品品较较少少，，基基本本为为常常见见的的交交换换机机、、路路由由器器和和防防火火墙墙等等设设备备。。内内外外网网隔隔离离也也通通常常使使用用防防火火墙墙的的ACL功能能进进行行逻逻辑辑隔隔离离。。Internet服务器区域······办公区域······内网区域外网区域常见见的的典典型型网网络络结结构构2：较较为为复复杂杂的的网网络络较为为复复杂杂的的网网络络：：相相对对于于简简单单网网络络，，对对内内外外网网区区域域进进行行了了进进一一步步的的划划分分，，常常见见的的区区域域有有办办公公区区域域、、核核心心业业务务区区域域、、安安全全管管理理区区域域、、DMZ区等等。。这这种种网网络络往往往往用用于于一一些些中中型型规规模模企企业业，，网网络络/安全全产产品品基基本本齐齐全全，，如如防防火火墙墙、、交交换换机机、、路路由由器器、、保保垒垒机机、、网网管管工工具具、、负负载载均均衡衡、、防防病病毒毒设设备备等等。。内内外外网网隔隔离离常常使使用用网网闸闸进进行行隔隔离离。。Internet核心业务区······其他区域······办公区域······安全管理区······内网区域外网区域网闸堡垒机网管工具负载均衡xDMZ区常见见的的典典型型网网络络结结构构3：大大型型网网络络，，以以移移动动管管理理信信息息系系统统为为例例共分为五个区，分别为：公共区，重要性等级1级，业务规模包括Internet区、VPN用户区和合作伙伴区等；半安全区，重要性等级2级，业务规模包括DMZ、合作伙伴互联区和内部系统互联区等；内部业务区，重要性等级3级，业务规模包括其他的IT支撑系统、网管系统和非管理信息系统管控范围；安全区,重要性等级3级，业务规模包括管理信息系统办公终端、运维终端区和开发测试区等；核心安全区，重要性等级4级，业务规模包括管理信息系统重要的应用服务器、护具哭服务器、管理控制台和服务器等常见见的的安安全全产产品品较为为全全面面的的网网络络/安全全产产品品：：交换换机机路由由器器防火火墙墙上网网行行为为管管理理系系统统应用用代代理理漏洞洞扫扫描描系系统统安全全基基线线检检查查系系统统网络络流流量量管管理理系系统统网络络防防病病毒毒网网关关反垃圾圾邮邮件件系系统统入侵侵检测测系系统统（（IDS）入侵侵防防御御系系统统（（IPS）防DDOS攻击击系系统统网页页防防篡篡改改系系统统负载载均均衡衡设设备备简单单网网络络现现场场观察察：：观观察察对对象象与与关关注注要要点点确确认认典型型的的网网络络结结构构1：简简单单网网络络确认认观观察察对对象象与与观观察察项项观察察对对象象核心心交交换换机机交换换机机防火火墙墙通信信链链路路关注要要点查看采采用的的双网网隔离离方式式是否否网络络拓扑扑图一一致，，是否否对隔隔离设设备进进行冗冗余查看哪哪些区区域哪哪些设设备进进行了了冗余余，网网络/安全设设备使使用了了哪种种冗余余机制制，是是否与与网络络拓扑扑图一一致查看各各个区区域间间通信信线路路是否否进行行双路路冗余余，是是否与与网络络拓扑扑图一一致查看网网络/安全设设备容容量（（硬盘盘容量量、CPU使用率率、内内存使使用率率、设设备吞吞吐量量等指指标））及带带宽使使用率率的监监控冗余方方式观观察点点双机热热备：：其中中一台台设备备出现现故障障时，，自动动切换换到备备机。。可以以通过过双机机热备软软件（（HA）来查看看应用用程序的的运行行状态。。双机冷冷备：：其中一一台设设备出出现故故障时时，需要要手动动切换换到备机。。集群：：通过过观察察集中中管理理软件件，查查看各各个集集群的的节点点状况。。线路冗冗余：：查看看线路路条数数。因网络络结构构比较较简单单，网网络/安全产产品比比较单单一，，冗余余需求求可能能较低低，因此评评测也也会相对对容易易。较为复复杂的的网络络现场场观察察：观观察对对象与与关注注要点点确认认典型的的网络结结构2：较为为复杂杂的网网络确认观观察对对象与与观察察项观察对对象核心交交换机机防火墙墙应用防防火墙墙网管工工具关注要要点查看采采用的的双网网隔离离方式式是否否网络络拓扑扑图一一致，，是否否对隔隔离设设备进进行冗余查看哪哪些区区域哪哪些设设备进进行了了冗余余，网网络/安全设设备采采用哪哪种冗冗余机机制，，是否否与网网络拓拓扑图图一致致是否采采用双双线路路进行行链路路冗余余，采采用哪哪家运运营商商，是是否与与网络络拓扑扑图一一致查看网网络/安全设设备容容量（（硬盘盘容量量、CPU使用率率、内内存使使用率率、设设备吞吞吐量量等指指标））及带带宽使使用率率的监监控网闸负载均衡衡路由器通信链路路此类网络络会根据据业务需需求对内内网区域域进行过过个区域域划分，，并设立立DMZ区，核心心区域网网络/安全设备备相对比比较齐全全，评测测难度相相对较大划分基本本安全区区域大型现场场观察：：观察对对象与关关注要点点确认确认观察察对象与与观察项项观察对象象核心交换换机防火墙应用防火火墙负载均衡路由器通信链路关注要点查看采用的双网隔离方式是否网络拓扑图一致，是否对隔离设备进行冗余查看哪些区域哪些设备进行了冗余，网络/安全设备采用哪种冗余机制，是否与网络拓扑图一致是否采用双线路进行链路冗余，采用哪家运营商，是否与网络拓扑图一致查看网络/安全设备容量（硬盘容量、CPU使用率、内存使用率、设备吞吐量等指标）及带宽使用率的监控典型的网络结构构3：大型网网络终端准入入系统防病毒系系统桌面管理理系统数据放泄泄密系统统恶意代码码防护网网关Ddos上网行为为管理系系统此类网络络会根据据业务需需求及业业务重要要性对内内外网进进行不同同等级区区域划分分，并在在内外网网都设立立专门安安全管理理区，网网络/安全产品品齐全，，网络拓拓扑结构构也比较较复杂，，评测难难度也比比较大。。安全区域域划分很很细设备冗余余措施：：示例安全产品热备冷备集群虚拟化异地灾备不采用冗余核心交换机✔各区域出口防火墙✔汇聚交换机✔核心路由✔防病毒网关✔IDS✔IPS✔桌面管理系统✔终端准入系统✔流量异常分析系统✔保垒机✔WAF✔上网行为管理✔负载均衡✔通信线路✔现场观察察：时间间与方式式确认观察时间间选择：：最好选在在正常业业务量或或业务高高峰期观观察，在在这个时时段，能能够最有观察方式确认：监控室观察机房现场观察入场申请：被服务方根据观察时间和方式，申请入场服务方入场后，未经被服务方允许，禁止动用或挪动物理实体机现场观察察：观察察与记录录观察整体体架构观察已部部署网络络/安全设备备采取冗余余设备及及冗余机机制记录结果果结合网络络拓扑图图，观察察被服务务方实查看是否进行双通信线路冗余观察已部部署网络络/安全设备备结合网络络拓扑图图，观察察被服务务方实际际网络环环境中部部署的网网络/安全设备是否否与网络拓扑扑图相符结合网络拓扑扑图，观察被被服务方采取取冗余的设备备以及采用观察冗余管理软件运行状态根据观察结果果，记录网络络架构的符合合性、已部署署网络/安全设备、实实施冗余的设设备/线路、以及主题四1234冗余评测-资料分析冗余评测-配置验证冗余评测-现场观察概述5冗余评测-测试验证3、基线验证

配置验证申请

1、技术人员需求2、特殊权限申请3、其他资源需求

配置验证时间确认

1、最佳配置验证时机2、配置验证时间确认

基线确认

1、已有设备品牌/型号2、采取的冗余机制3、对应的基线

验证与结果记录

1、基线核对2、配合人员操作3、配置结果对比与记录双机冗余集群冗余虚拟化冗余基线验证：基基线确认堡垒机负载均衡IPS交换机路由器防火墙Juniper为例，检查NSRP配置或图形界面配配置查看HSRP（热备份路由由协议）配置置华为交换机为为例，查看CSS（集群交换机机系统）配置置查看集群管理理软件配置查看集群管理理软件配置说明：需列出出已有网络/安全设备的品品牌及型号，，并根据所采采用的冗余机机制来匹配配配置基线查看HSRP（热备份路由由协议）或VRRP（虚拟路由冗冗余协议）配置⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺配置验证：验验证时间与申申请配置验证时间间选择：服务方与被服服务方协商确确定验证时间间，并由被服服务方技术人人员根据基线线进行验证操作，服务方方人员进行配配置比对与记记录配置验证申请请：权限申请：若若验证过程中中涉及到Root等高权限操作作，需提前进进行权限申请请。配合人员要求：应熟悉所负负责的设备或或管理软件操操作，能够快快速查看网络络/安全设备相关关配置操作等等。服务方人员要要求：未经被被服务方允许许，禁止操作作被服务方网网络/安全设备。配置验证：验验证与结果记记录准备工作操作实施结果收集被服务方配合合人员到位，，服务人员提提供相关配置置基线双方再行核对对，确认设备备品牌、型号号及对应的冗冗余机制被服务方技术术人员根据配配置基线，分分别对冗余的的设备进行配配置检查双方对配置检检查结果进