如何对网络基础架构进行计算机化系统验证/确认？

本文我们来讨论如何对IT基础架构中最基本的模块------网络基础架构进行验证/确认。

我们前边的几篇文章已经介绍了IT基础架构验证的一些基本的概念和流程。本文不再做基本的介绍，仅仅分享干货。我们从URS制定、IOQ测试、配置基线的制定这几个方面进行探讨。这几个点是我们在做合规咨询过程中发现的，无论是甲方还是第三方验证服务商最容易把握不好的点，也是出现错误思路最多的点。

如何制定URS？

先列举一些不好的URS的例子：

Ÿ   交换机提供网络监控和管理功能，如端口的状态监测、流量统计、故障管理等

Ÿ   交换机具备QoS（Quality of Service）支持，能够根据数据包的优先级和类型进行流量调度和调整，确保重要数据在网络中的优先传输

Ÿ   交换机支持VLAN的划分，能够将网络划分为多个逻辑上的子网，提高网络的安全性和灵活性

Ÿ   交换机支持路由信息的更新和维护

Ÿ   防火墙能够记录所有经过自身的访问，并生成日志文件

Ÿ   防火墙通过对内部网络的划分，实现重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络的影响

Ÿ   防火墙通过检查数据包的源IP地址、目标IP地址、端口号等信息，来确定是否允许其通过，从而确保只有合法的数据包能够进入网络

Ÿ   基于规则设置，防火墙能够限制授权用户或特定网络设备的访问权限，只允许受保护的资源被合法用户访问

Ÿ   支持NAT，通过转换内部私有IP地址和外部公共IP地址，防火墙能够隐藏内部网络结构，增加网络的安全性

上述URS的例子初看没有问题，因为这些确实是对交换机和防火墙的一些基本的功能需求。但这样写URS我们认为意义不大，纯粹为了写而写。

网络设备/安全设备基本采用的是商用成品设备，网络基础架构的URS，不应过多关注这些商用成品设备的基本功能，而是重点关注这些单个设备如何集成为网络基础架构，也就是重点关注那些与设计/配置相关的需求。比如基本功能的启用与否、冗余设计、网络划分、路由策略规划等等。

可能有人会杠：同样是商用成品，3类软件系统的URS，不都是写基本功能吗？对于网络基础架构，写基本功能就不行了？

我们用一个提问作为回答：3类软件系统需要多套集成吗？

如何做IOQ？

先看一个反面例子：

这个例子中，IOQ基本关注于设备的基本功能的测试，而未涉及设备的配置基线的检查以及受配置影响的功能的测试。

我们理解这种做法的原因，尤其是一些第三方公司这样做的原因：1）基本的测试都是通用的，无需费心就客户具体的需求针对性地起草方案；2）这样做的文档看起来更厚，从而看起来做了很多的工作。我们毫不掩饰对这种做法的鄙视，正是这些人在试图劣币驱逐良币。

回到正题，愿意做这些基本功能的测试当然不会受到挑战，唯一的负面效果就是浪费时间。但只做这些基本的测试而未针对设计/配置做测试是不可接受的，对设计/配置做测试不充分也是容易受到审计官挑战的。

我们建议：基于风险，不做/少做基本功能测试，重点对设计/配置做测试。

如何制定配置基线？

这个问题和前两个问题有共通之处，但需要更细地展开才能说得明白。涉及到验证/控制、合规/效率之前的平衡，需要根据不同的组件去具体规划。此处不展开讨论，欢迎感兴趣的读者联系我司顾问咨询。留两个问题供读者思考：

Ÿ   哪些配置项放入配置基线？

Ÿ   网络基础架构的配置控制如何分级？

本文为武汉点风信息科技有限公司原创，拒绝转载。