等保測(cè)評(píng)細(xì)化設(shè)備冗余評(píng)測(cè)VIP

冗余評(píng)測(cè)思路第一頁(yè)，共四十頁(yè)。主題一1234冗余評(píng)測(cè)-資料分析冗余評(píng)測(cè)-配置驗(yàn)證冗余評(píng)測(cè)-現(xiàn)場(chǎng)觀察概述5冗余評(píng)測(cè)-測(cè)試驗(yàn)證第二頁(yè)，共四十頁(yè)。一、結(jié)構(gòu)安全-網(wǎng)絡(luò)設(shè)備及線路冗余評(píng)測(cè)電信聯(lián)通路由器負(fù)載均衡防火墻WAFIPS資料分析現(xiàn)場(chǎng)觀察配置驗(yàn)證測(cè)試驗(yàn)證①

前期準(zhǔn)備②

獲取方式確認(rèn)③

獲取資料確認(rèn)④

綜合分析⑤

結(jié)果記錄①

對(duì)象與觀察項(xiàng)確認(rèn)②

時(shí)間與方式確認(rèn)③

入場(chǎng)申請(qǐng)④

觀察與結(jié)果記錄①

基線確認(rèn)②

配置驗(yàn)證時(shí)間確認(rèn)③

配置驗(yàn)證申請(qǐng)④

驗(yàn)證與結(jié)果記錄①測(cè)試方案確認(rèn)（測(cè)試時(shí)間/方法、對(duì)象、應(yīng)急措施等）②測(cè)試申請(qǐng)③測(cè)試與結(jié)果記錄第三頁(yè)，共四十頁(yè)。冗余的概念冗余即建立一個(gè)具有相同功能的備用設(shè)備/方案。當(dāng)主設(shè)備出現(xiàn)故障時(shí)，冗余設(shè)備是可以立刻使用的替代設(shè)備?！叭哂唷钡挠幸媾c有害是相對(duì)的！冗余對(duì)重要的系統(tǒng)工程是必須的！即使是資源的“浪費(fèi)”。冗余級(jí)別包括：數(shù)據(jù)級(jí)冗余應(yīng)用級(jí)冗余同城災(zāi)備兩地三中心常見(jiàn)的冗余機(jī)制：雙機(jī)備份雙機(jī)熱備雙機(jī)冷備集群模式容錯(cuò)類(lèi)負(fù)載均衡類(lèi)可作為冗余的指標(biāo)：可用性指標(biāo)可維護(hù)性指標(biāo)可靠性指標(biāo)RTO、RPO等冗余是什么？如何實(shí)現(xiàn)冗余?冗余有哪些指標(biāo)？冗余的級(jí)別？虛擬化VLAN虛擬專(zhuān)用網(wǎng)VPN虛擬網(wǎng)絡(luò)設(shè)備第四頁(yè)，共四十頁(yè)。冗余與可用性之間的關(guān)系可用性：即在一段時(shí)間內(nèi)，系統(tǒng)能夠正常運(yùn)行的概率或時(shí)間占有率期望值。可用性期望越高↑，那么在特定時(shí)期內(nèi)內(nèi)系統(tǒng)停機(jī)的時(shí)間就會(huì)越短↓，對(duì)設(shè)備/系統(tǒng)的冗余要求越高↑。而對(duì)可用性進(jìn)行度量往往會(huì)使用可用性指標(biāo)，因此我們使用可用性相關(guān)指標(biāo)來(lái)表示冗余指標(biāo)。冗余是一種手段，目的是實(shí)現(xiàn)系統(tǒng)/設(shè)備的高可用性用戶(hù)1用戶(hù)2用戶(hù)3正主常情況主機(jī)備機(jī)機(jī)故障冗余指標(biāo)假設(shè)主機(jī)的冗余方式為雙機(jī)熱備，當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)會(huì)迅速承擔(dān)主機(jī)工作，從而保證用戶(hù)訪問(wèn)的進(jìn)程不會(huì)中斷第五頁(yè)，共四十頁(yè)。可量化指標(biāo)：可用性指標(biāo)、可維護(hù)性指標(biāo)與可靠性指標(biāo)預(yù)期可用性指標(biāo)=（約定的服務(wù)時(shí)間-停機(jī)時(shí)間）/約定的服務(wù)時(shí)間*100%預(yù)期可維護(hù)性指標(biāo)（平均恢復(fù)時(shí)間）=總停機(jī)時(shí)間（小時(shí)）/服務(wù)中斷次數(shù)預(yù)期可靠性指標(biāo)（平均故障時(shí)間）=可用時(shí)間（小時(shí)）/中斷次數(shù)，或平均無(wú)故障時(shí)間=（可用時(shí)間-停機(jī)總時(shí)間）（小時(shí)）/中斷次數(shù)可用性、可維護(hù)性、可靠性三者可容忍的最低目標(biāo)值測(cè)量單位設(shè)定：可用性指標(biāo)用百分比為單位，可維護(hù)性指標(biāo)和可靠性指標(biāo)用時(shí)間為單位；不可用測(cè)量：對(duì)功能設(shè)定最大響應(yīng)時(shí)間閾值，若超過(guò)該閾值，則視為不可用：對(duì)應(yīng)用服務(wù)器不可用，測(cè)量請(qǐng)求響應(yīng)時(shí)間；對(duì)數(shù)據(jù)庫(kù)訪問(wèn)不可用，測(cè)量連接和SQL查詢(xún)響應(yīng)時(shí)間；對(duì)網(wǎng)絡(luò)設(shè)備（含安全設(shè)備）不可用，測(cè)量網(wǎng)絡(luò)時(shí)延（或連接響應(yīng)時(shí)間）；中斷時(shí)間測(cè)量：測(cè)量中斷發(fā)現(xiàn)時(shí)間點(diǎn)和功能恢復(fù)可用時(shí)間點(diǎn)，二者之差即為中斷時(shí)間，中斷時(shí)間由響應(yīng)時(shí)間（從發(fā)現(xiàn)到響應(yīng)的時(shí)間段）、修障時(shí)間、恢復(fù)時(shí)間三部分構(gòu)成；可用或持續(xù)運(yùn)行時(shí)間：計(jì)劃運(yùn)行時(shí)間與中斷時(shí)間、計(jì)劃停機(jī)時(shí)間之差；第六頁(yè)，共四十頁(yè)。可量化指標(biāo)：可用性監(jiān)測(cè)指標(biāo)1通信鏈路-設(shè)施2網(wǎng)絡(luò)安全設(shè)備6冗余/部署架構(gòu)①

虛擬化②

熱備③

集群④

云計(jì)算可用/不可用可用/不可用指標(biāo)①

連通性②

質(zhì)量和時(shí)延指標(biāo)①

CPU②

內(nèi)存③

吞吐量④

設(shè)備可達(dá)性3路由和交換設(shè)備指標(biāo)①

CPU②

內(nèi)存③

設(shè)備可達(dá)性指標(biāo)①

連通性②

切換時(shí)間可用性指標(biāo)①可用性指標(biāo)不同于可用性監(jiān)測(cè)指標(biāo)，業(yè)界用N

個(gè)9

來(lái)量化可用性，最常說(shuō)的就是類(lèi)似“4個(gè)9(也就是99.99%)”的可用性，換算程時(shí)間即53分鐘。②

計(jì)算可用性指標(biāo)的難度在于設(shè)備處于什么狀態(tài)為可用？什么狀態(tài)為不可用？往往可以通過(guò)不可用來(lái)反推可用性?？捎眯员O(jiān)測(cè)指標(biāo)第七頁(yè)，共四十頁(yè)。常見(jiàn)網(wǎng)絡(luò)/安全設(shè)備冗余措施標(biāo)準(zhǔn)要求（G3）：應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要安全產(chǎn)品必須進(jìn)行冗余選擇性冗余不需要冗余備注核心交換機(jī)?各區(qū)域出口防火墻?匯聚交換機(jī)?核心路由?防病毒網(wǎng)關(guān)?IDS?因IDS部署方式為旁掛，不需要進(jìn)行冗余IPS?桌面管理系統(tǒng)?終端準(zhǔn)入系統(tǒng)?流量異常分析系統(tǒng)?因部署方式為旁掛，不需要進(jìn)行冗余保壘機(jī)?WAF?上網(wǎng)行為管理?負(fù)載均衡?通一信般線路對(duì)于互聯(lián)網(wǎng)出口處網(wǎng)絡(luò)/安全設(shè)?備、服務(wù)器區(qū)部署網(wǎng)絡(luò)/安全設(shè)備以及相關(guān)核心區(qū)域網(wǎng)絡(luò)/安全設(shè)備都需要進(jìn)行冗余第八頁(yè)，共四十頁(yè)。評(píng)測(cè)的難點(diǎn)因素：技術(shù)方面因素1：網(wǎng)絡(luò)結(jié)構(gòu)類(lèi)型多隨著技術(shù)的不斷發(fā)展，出現(xiàn)很多不同架構(gòu)、不同類(lèi)型的網(wǎng)絡(luò)。一個(gè)企業(yè)往往會(huì)存在多個(gè)網(wǎng)絡(luò)，如內(nèi)、外網(wǎng)區(qū)域、

DMZ區(qū)域，每個(gè)區(qū)域又會(huì)劃分成多個(gè)安全域。因每個(gè)域的可用性級(jí)別及可用性指標(biāo)不同，所以要實(shí)現(xiàn)對(duì)不同安全域?qū)崿F(xiàn)不同層次的可用管理，難度將大大增加；因素2：網(wǎng)絡(luò)設(shè)備類(lèi)型/廠商多市場(chǎng)網(wǎng)絡(luò)/安全設(shè)備類(lèi)型眾多，像防火墻、路由器、中繼器、網(wǎng)關(guān)、網(wǎng)橋以及防病毒產(chǎn)品、IDS/IPS、負(fù)載均衡等主流的產(chǎn)品已達(dá)到十幾種，而各類(lèi)產(chǎn)品的主流廠商僅國(guó)內(nèi)的就多達(dá)幾十家，因此要實(shí)現(xiàn)不同類(lèi)型不同廠商網(wǎng)絡(luò)/安全設(shè)備可用性檢測(cè)，是一個(gè)很大的工程。因素3：冗余機(jī)制不同當(dāng)前主流冗余機(jī)制多采用雙機(jī)備份、集群和虛擬化技術(shù)等。雙機(jī)備份涉及熱備和冷備技術(shù)；集群則區(qū)分容錯(cuò)類(lèi)的和負(fù)載均衡類(lèi)的；目前比較常見(jiàn)的網(wǎng)絡(luò)虛擬化應(yīng)用包括VLAN，虛擬專(zhuān)用網(wǎng)，VPN，以及虛擬網(wǎng)絡(luò)設(shè)備等。因采用不同的冗余技術(shù)，又從設(shè)備級(jí)冗余、鏈路級(jí)冗余和網(wǎng)關(guān)級(jí)冗余三個(gè)方面冗余，且又涉及到很多新技術(shù)，加大了服務(wù)方評(píng)估難度。第九頁(yè)，共四十頁(yè)。評(píng)測(cè)難點(diǎn)因素：管理方面因素1：企業(yè)規(guī)模大企業(yè)規(guī)模大小往往會(huì)影響企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)，大到成千上萬(wàn)人的集團(tuán)總公司類(lèi)企業(yè)，網(wǎng)絡(luò)結(jié)構(gòu)足夠復(fù)雜，網(wǎng)絡(luò)層次較多；小到一個(gè)幾十人甚至十幾人的公司，網(wǎng)絡(luò)結(jié)構(gòu)比較單一。由于企業(yè)規(guī)模越大，其網(wǎng)絡(luò)結(jié)構(gòu)不定性也將越大，對(duì)服務(wù)方的挑戰(zhàn)也將越大。因素2：企業(yè)文化和管控要求不同因企業(yè)文化和管理要求存在差異，不同企業(yè)可能會(huì)存在不同的資料獲取方式。以企業(yè)網(wǎng)絡(luò)拓?fù)鋱D為例，有的企業(yè)會(huì)將其列為企業(yè)機(jī)密文件，服務(wù)方獲取企業(yè)網(wǎng)絡(luò)拓?fù)鋱D的難度將大大增加，甚至服務(wù)方最終無(wú)權(quán)限查看。因此，不同企業(yè)不同文化和不同管理要求也會(huì)影響服務(wù)方評(píng)估的難度。第十頁(yè)，共四十頁(yè)。主題二1234冗余評(píng)測(cè)-資料分析冗余評(píng)測(cè)-配置驗(yàn)證冗余評(píng)測(cè)-現(xiàn)場(chǎng)觀察概述5冗余評(píng)測(cè)-測(cè)試驗(yàn)證第十一頁(yè)，共四十頁(yè)。1、資料分析流程：五個(gè)步驟準(zhǔn)備階段獲取方式確認(rèn)獲取內(nèi)容確認(rèn)綜合分析結(jié)果記錄1關(guān)注點(diǎn)：服務(wù)方需求、輸入及被服務(wù)方輸出2關(guān)注點(diǎn)：重點(diǎn)關(guān)注服務(wù)方資料保密級(jí)別及對(duì)應(yīng)的授權(quán)方式3關(guān)注點(diǎn)：是否符合服務(wù)方所提交資料清單中資料4關(guān)注點(diǎn)：主要從資料的符合性、完備性方面進(jìn)行分析5關(guān)注點(diǎn)：重點(diǎn)記錄資料的缺失部分和不規(guī)范部分資料分析的核心作用：資料的全面性和準(zhǔn)確性是咨詢(xún)方服務(wù)質(zhì)量的保障，因此服務(wù)方能否拿到第一手資料至關(guān)重要可拷貝只可現(xiàn)場(chǎng)查看第十二頁(yè)，共四十頁(yè)。準(zhǔn)備階段：服務(wù)方/被服務(wù)方準(zhǔn)備服務(wù)方準(zhǔn)備確認(rèn)需提供的資料，并形成資料清單，包含：管理制度類(lèi)（如冗余管理、備份管理等）；技術(shù)方案類(lèi)（如網(wǎng)絡(luò)分離方案、網(wǎng)絡(luò)區(qū)域劃分方案等）；記錄表單類(lèi)（如帶寬使用率監(jiān)控記錄）；

d)拓?fù)鋱D類(lèi)；e)其他。2）根據(jù)評(píng)估需求，標(biāo)識(shí)出資料對(duì)評(píng)估的相關(guān)程度，對(duì)于相關(guān)程度很高但難以獲取的資料，服務(wù)方應(yīng)隨時(shí)準(zhǔn)備通過(guò)現(xiàn)場(chǎng)瀏覽或訪談等方式來(lái)獲取資料；

3）與被服務(wù)方保持溝通，確保被服務(wù)方能夠理解資料清單，并提供最精準(zhǔn)的資料；被服務(wù)方準(zhǔn)備根據(jù)服務(wù)方提供的資料清單，協(xié)調(diào)相關(guān)部門(mén)及人員匯總資料；對(duì)于高級(jí)別且與評(píng)估相關(guān)程度很高的資料，盡量協(xié)調(diào)相關(guān)部門(mén)提供資料，實(shí)在不能提供的資料應(yīng)能夠協(xié)調(diào)相關(guān)人員與服務(wù)方陪同瀏覽或講解資料概況；與服務(wù)方保持溝通，確保所提供的資料為被服務(wù)方所需的、最精準(zhǔn)的資料；難點(diǎn)①

網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，相關(guān)資料太多，協(xié)調(diào)難度大②

高級(jí)別資料審批流程復(fù)雜，提供方式不定第十三頁(yè)，共四十頁(yè)。資料獲取方式與獲取內(nèi)容確認(rèn)被服務(wù)方確認(rèn)資料的具體獲取方式，并與服務(wù)方溝通確認(rèn)是否存在與評(píng)估相關(guān)性很高且保密性也很高的資料，若存在，盡量與相關(guān)領(lǐng)導(dǎo)說(shuō)明緣由，通過(guò)特定方式提供資料其他只可陪同查看完全保密可帶離資料不可帶離但可現(xiàn)場(chǎng)查看只可講解不可查看已獲取的資料清單未獲取的資料清單額外補(bǔ)充的資料清單資料獲取情況統(tǒng)計(jì)資料查看申請(qǐng)領(lǐng)導(dǎo)審批資料授權(quán)流程去敏感處理提供資料第十四頁(yè)，共四十頁(yè)。資料分析流程：綜合分析與記錄資料中相關(guān)要求是否符合實(shí)際和標(biāo)準(zhǔn)要求？如對(duì)于三級(jí)系統(tǒng)，應(yīng)對(duì)主要網(wǎng)絡(luò)設(shè)備和線路進(jìn)行冗余，需要查看相關(guān)技術(shù)方案是否包含對(duì)業(yè)務(wù)的高峰期需求的設(shè)計(jì)對(duì)獲取的資料進(jìn)行分析，通常從資料的符合性和完備性進(jìn)行分析從以下方面進(jìn)行記錄：管理要求是否全面？管理力度是否達(dá)標(biāo)？技術(shù)方案是否全面？技術(shù)要求是否達(dá)標(biāo)？相關(guān)記錄是否全面？

是否具有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖？網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否符合實(shí)際？資料是否全面？資料能否覆蓋當(dāng)前所有的管理活動(dòng)？如是否具有與當(dāng)前運(yùn)行狀況一致的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖第十五頁(yè)，共四十頁(yè)。資料分析及評(píng)價(jià)資料名稱(chēng)符合性完備性其他指標(biāo)網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)安全管理策略網(wǎng)絡(luò)安全管理程序各種操作指南網(wǎng)絡(luò)設(shè)備資產(chǎn)清單相關(guān)應(yīng)急預(yù)案其他相關(guān)資料評(píng)價(jià)標(biāo)準(zhǔn)第十六頁(yè)，共四十頁(yè)。主題三1234冗余評(píng)測(cè)-資料分析冗余評(píng)測(cè)-配置驗(yàn)證冗余評(píng)測(cè)-現(xiàn)場(chǎng)觀察概述5冗余評(píng)測(cè)-測(cè)試驗(yàn)證第十七頁(yè)，共四十頁(yè)。2、現(xiàn)場(chǎng)觀察入場(chǎng)申請(qǐng)1、技術(shù)人員需求2、其他資源需求時(shí)間與方式確認(rèn)1、最佳觀察時(shí)機(jī)2、觀察時(shí)間確認(rèn)3、具體觀察方式對(duì)象與觀察項(xiàng)確認(rèn)1、觀察的區(qū)域2、觀察的對(duì)象3、冗余機(jī)制4、觀察的內(nèi)容觀察與結(jié)果記錄1、整體架構(gòu)2、部署的設(shè)備3、實(shí)際冗余機(jī)制4、對(duì)比記錄第十八頁(yè)，共四十頁(yè)。常見(jiàn)的典型網(wǎng)絡(luò)結(jié)構(gòu)1：簡(jiǎn)單網(wǎng)絡(luò)簡(jiǎn)單網(wǎng)絡(luò)：對(duì)于一些比較簡(jiǎn)單的網(wǎng)絡(luò)，通常只劃分了內(nèi)外網(wǎng)，或者會(huì)對(duì)內(nèi)網(wǎng)進(jìn)行辦公區(qū)和服務(wù)區(qū)劃分。這種網(wǎng)絡(luò)往往用于一些小規(guī)模企業(yè)，網(wǎng)絡(luò)/安全產(chǎn)品較少，基本為常見(jiàn)的交換機(jī)、路由器和防火墻等設(shè)備。內(nèi)外網(wǎng)隔離也通常使用防火墻的ACL功能進(jìn)行邏輯隔離。Internet服務(wù)器區(qū)域······辦公區(qū)域······內(nèi)網(wǎng)區(qū)域外網(wǎng)區(qū)域第十九頁(yè)，共四十頁(yè)。常見(jiàn)的典型網(wǎng)絡(luò)結(jié)構(gòu)2：較為復(fù)雜的網(wǎng)絡(luò)較為復(fù)雜的網(wǎng)絡(luò)：相對(duì)于簡(jiǎn)單網(wǎng)絡(luò)，對(duì)內(nèi)外網(wǎng)區(qū)域進(jìn)行了進(jìn)一步的劃分，常見(jiàn)的區(qū)域有辦公區(qū)域、核心業(yè)務(wù)區(qū)域、安全管理區(qū)域、DMZ區(qū)等。這種網(wǎng)絡(luò)往往用于一些中型規(guī)模企業(yè)，網(wǎng)絡(luò)/安全產(chǎn)品基本齊全，如防火墻、交換機(jī)、路由器、保壘機(jī)、網(wǎng)管工具、負(fù)載均衡、防病毒設(shè)備等。內(nèi)外網(wǎng)隔離常使用網(wǎng)閘進(jìn)行隔離。Internet核心業(yè)務(wù)區(qū)······其他區(qū)域······辦公區(qū)域······安全管理區(qū)內(nèi)網(wǎng)區(qū)域外網(wǎng)區(qū)域網(wǎng)閘堡壘機(jī)······網(wǎng)管工具負(fù)載均衡xDMZ區(qū)第二十頁(yè)，共四十頁(yè)。常見(jiàn)的典型網(wǎng)絡(luò)結(jié)構(gòu)3：大型網(wǎng)絡(luò)，以移動(dòng)管理信息系統(tǒng)為例共分為五個(gè)區(qū)，分別為：公共區(qū)，重要性等級(jí)1級(jí)，業(yè)務(wù)規(guī)模包括Internet區(qū)、VPN用戶(hù)區(qū)和合作伙伴區(qū)等；半安全區(qū)，重要性等級(jí)2級(jí)，業(yè)務(wù)規(guī)模包括DMZ、合作伙伴互

聯(lián)區(qū)和內(nèi)部系統(tǒng)互聯(lián)區(qū)等；內(nèi)部業(yè)務(wù)區(qū)，重要性等級(jí)3級(jí)，業(yè)務(wù)規(guī)模包括其他的IT支撐系統(tǒng)、網(wǎng)管系統(tǒng)和非管理信息系統(tǒng)管控范圍；安全區(qū),重要性等級(jí)3級(jí)，業(yè)務(wù)規(guī)模包括管理信息系統(tǒng)辦公終端、運(yùn)維終端區(qū)和開(kāi)發(fā)測(cè)試區(qū)等；核心安全區(qū)，重要性等級(jí)4級(jí)，業(yè)務(wù)規(guī)模包括管理信息系統(tǒng)重要的應(yīng)用服務(wù)器、護(hù)具哭服務(wù)器、管理控制臺(tái)和服務(wù)器等第二十一頁(yè)，共四十頁(yè)。常見(jiàn)的安全產(chǎn)品較為全面的網(wǎng)絡(luò)/安全產(chǎn)品：交換機(jī)路由器防火墻上網(wǎng)行為管理系統(tǒng)應(yīng)用代理漏洞掃描系統(tǒng)安全基線檢查系統(tǒng)網(wǎng)絡(luò)流量管理系統(tǒng)網(wǎng)絡(luò)防病毒網(wǎng)關(guān)反垃圾郵件系統(tǒng)入侵檢測(cè)系統(tǒng)（IDS）入侵防御系統(tǒng)（IPS）防DDOS攻擊系統(tǒng)網(wǎng)頁(yè)防篡改系統(tǒng)負(fù)載均衡設(shè)備第二十二頁(yè)，共四十頁(yè)。簡(jiǎn)單網(wǎng)絡(luò)現(xiàn)場(chǎng)觀察：觀察對(duì)象與關(guān)注要點(diǎn)確認(rèn)典型的網(wǎng)絡(luò)結(jié)構(gòu)1：簡(jiǎn)單網(wǎng)絡(luò)確認(rèn)觀察對(duì)象與觀察項(xiàng)觀察對(duì)象核心交換機(jī)交換機(jī)防火墻通信鏈路關(guān)注要點(diǎn)查看采用的雙網(wǎng)隔離方式是否網(wǎng)絡(luò)拓?fù)鋱D一致，是否對(duì)隔離設(shè)備進(jìn)行冗余查看哪些區(qū)域哪些設(shè)備進(jìn)行了冗余，網(wǎng)絡(luò)/安全設(shè)備使用了哪種冗余機(jī)制，是否與網(wǎng)絡(luò)拓?fù)鋱D一致查看各個(gè)區(qū)域間通信線路是否進(jìn)行雙路冗余，是否與網(wǎng)絡(luò)拓?fù)鋱D一致查看網(wǎng)絡(luò)/安全設(shè)備容量（硬盤(pán)容量、CPU使用率、內(nèi)存使用率、設(shè)備吞吐量等指標(biāo)）及帶寬使用率的監(jiān)控冗余方式觀察點(diǎn)雙機(jī)熱備：其中一臺(tái)設(shè)備出現(xiàn)故障時(shí)，自動(dòng)切換到備機(jī)?？梢酝ㄟ^(guò)雙機(jī)熱備軟件（HA）來(lái)查看應(yīng)用程序的運(yùn)行狀態(tài)。雙機(jī)冷備：其中一臺(tái)設(shè)備出現(xiàn)故障時(shí)，需要手動(dòng)切換到備機(jī)。集群：通過(guò)觀察集中管理軟件，查看各個(gè)集群的節(jié)點(diǎn)狀況。線路冗余：查看線路條數(shù)。因網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，網(wǎng)絡(luò)/安全產(chǎn)品比較單一，冗余需求可能較低，因此評(píng)測(cè)也會(huì)相對(duì)容易。第二十三頁(yè)，共四十頁(yè)。較為復(fù)雜的網(wǎng)絡(luò)現(xiàn)場(chǎng)觀察：觀察對(duì)象與關(guān)注要點(diǎn)確認(rèn)典型的網(wǎng)絡(luò)結(jié)構(gòu)2：較為復(fù)雜的網(wǎng)絡(luò)確認(rèn)觀察對(duì)象與觀察項(xiàng)觀察對(duì)象核心交換機(jī)防火墻應(yīng)用防火墻網(wǎng)管工具關(guān)注要點(diǎn)查看采用的雙網(wǎng)隔離方式是否網(wǎng)絡(luò)拓?fù)鋱D一致，是否對(duì)隔離設(shè)備進(jìn)行冗余查看哪些區(qū)域哪些設(shè)備進(jìn)行了冗余，網(wǎng)絡(luò)/安全設(shè)備采用哪種冗余機(jī)制，是否與網(wǎng)絡(luò)拓?fù)鋱D一致是否采用雙線路進(jìn)行鏈路冗余，采用哪家運(yùn)營(yíng)商，是否與網(wǎng)絡(luò)拓?fù)鋱D一致查看網(wǎng)絡(luò)/安全設(shè)備容量（硬盤(pán)容量、CPU使用率、內(nèi)存使用率、設(shè)備吞吐量等指標(biāo)）及帶寬使用率的監(jiān)控?

網(wǎng)閘?

負(fù)載均衡?

路由器?

通信鏈路劃分基本安全區(qū)域此類(lèi)網(wǎng)絡(luò)會(huì)根據(jù)業(yè)務(wù)需求對(duì)內(nèi)網(wǎng)區(qū)域進(jìn)行過(guò)個(gè)區(qū)域劃分，并設(shè)立DMZ區(qū)，核心區(qū)域網(wǎng)絡(luò)/安全設(shè)備相對(duì)比較齊全，評(píng)測(cè)難度相對(duì)較大。第二十四頁(yè)，共四十頁(yè)。大型現(xiàn)場(chǎng)觀察：觀察對(duì)象與關(guān)注要點(diǎn)確認(rèn)確認(rèn)觀察對(duì)象與觀察項(xiàng)觀察對(duì)象核心交換機(jī)防火墻應(yīng)用防火墻IPS/IDS負(fù)載均衡路由器通信鏈路關(guān)注要點(diǎn)查看采用的雙網(wǎng)隔離方式是否網(wǎng)絡(luò)拓?fù)鋱D一致，是否對(duì)隔離設(shè)備進(jìn)行冗余查看哪些區(qū)域哪些設(shè)備進(jìn)行了冗余，網(wǎng)絡(luò)/安全設(shè)備采用哪種冗余機(jī)制，是否與網(wǎng)絡(luò)拓?fù)鋱D一致是否采用雙線路進(jìn)行鏈路冗余，采用哪家運(yùn)營(yíng)商，是否與網(wǎng)絡(luò)拓?fù)鋱D一致查看網(wǎng)絡(luò)/安全設(shè)備容量（硬盤(pán)容量、CPU使用率、內(nèi)存使用率、設(shè)備吞吐量等指標(biāo)）及帶寬使用率的監(jiān)控典型的網(wǎng)絡(luò)結(jié)構(gòu)3：大型網(wǎng)絡(luò)?

終端準(zhǔn)入系統(tǒng)?

防病毒系統(tǒng)?

桌面管理系統(tǒng)?

數(shù)據(jù)放泄密系統(tǒng)?

惡意代碼防護(hù)網(wǎng)關(guān)?

Ddos?

上網(wǎng)行為管理系統(tǒng)安全區(qū)域劃分很細(xì)此類(lèi)網(wǎng)絡(luò)會(huì)根據(jù)業(yè)務(wù)需求及業(yè)務(wù)重要性對(duì)內(nèi)外網(wǎng)進(jìn)行不同等級(jí)區(qū)域劃分，并在內(nèi)外網(wǎng)都設(shè)立專(zhuān)門(mén)安全管理區(qū)，網(wǎng)絡(luò)/安全產(chǎn)品齊全，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也比較復(fù)雜，評(píng)測(cè)難度第也二十比五頁(yè)較，大共四。十頁(yè)。設(shè)備冗余措施：示例安全產(chǎn)品熱備冷備集群虛擬化異地災(zāi)備不采用冗余核心交換機(jī)各區(qū)域出口防火墻匯聚交換機(jī)核心路由

防病毒網(wǎng)關(guān)

IDS??????IPS?桌面管理系統(tǒng)?終端準(zhǔn)入系統(tǒng)?流量異常分析系統(tǒng)?保壘機(jī)

WAF上網(wǎng)行為管理負(fù)載均衡????通信線路?第二十六頁(yè)，共四十頁(yè)?，F(xiàn)場(chǎng)觀察：時(shí)間與方式確認(rèn)觀察時(shí)間選擇：最好選在正常業(yè)務(wù)量或業(yè)務(wù)高峰期觀察，在這個(gè)時(shí)段，能夠最有效地觀察通信鏈路及網(wǎng)絡(luò)/安全設(shè)備的負(fù)載情況觀察方式確認(rèn)：監(jiān)控室觀察機(jī)房現(xiàn)場(chǎng)觀察入場(chǎng)申請(qǐng)：被服務(wù)方根據(jù)觀察時(shí)間和方式，申請(qǐng)入場(chǎng)服務(wù)方入場(chǎng)后，未經(jīng)被服務(wù)方允許，禁止動(dòng)用或挪動(dòng)物理實(shí)體機(jī)第二十七頁(yè)，共四十頁(yè)。現(xiàn)場(chǎng)觀察：觀察與記錄觀察整體架構(gòu)觀察已部署網(wǎng)絡(luò)/安全設(shè)備采取冗余設(shè)備及冗余機(jī)制記錄結(jié)果①

結(jié)合網(wǎng)絡(luò)拓?fù)鋱D，觀察被服務(wù)方實(shí)際網(wǎng)絡(luò)環(huán)境是否與網(wǎng)絡(luò)拓?fù)鋱D相符②

查看是否進(jìn)行雙通信線路冗余①

觀察已部署網(wǎng)絡(luò)/安全設(shè)備②

結(jié)合網(wǎng)絡(luò)拓?fù)鋱D，觀察被服務(wù)方實(shí)際網(wǎng)絡(luò)環(huán)境中部署的網(wǎng)絡(luò)/安全設(shè)備是否與網(wǎng)絡(luò)拓?fù)鋱D相符①

結(jié)合網(wǎng)絡(luò)拓?fù)鋱D，觀察被服務(wù)方采取冗余的設(shè)備以及采用的冗余機(jī)制是否與網(wǎng)絡(luò)拓?fù)鋱D相符②

觀察冗余管理軟件運(yùn)行狀態(tài)根據(jù)觀察結(jié)果，記錄網(wǎng)絡(luò)架構(gòu)的符合性、已部署網(wǎng)絡(luò)/安全設(shè)備、實(shí)施冗余的設(shè)備/線路、以及對(duì)應(yīng)的冗余機(jī)制等第二十八頁(yè)，共四十頁(yè)。主題四1234冗余評(píng)測(cè)-資料分析冗余評(píng)測(cè)-配置驗(yàn)證冗余評(píng)測(cè)-現(xiàn)場(chǎng)觀察概述5冗余評(píng)測(cè)-測(cè)試驗(yàn)證第二十九頁(yè)，共四十頁(yè)。3、基線驗(yàn)證配置驗(yàn)證申請(qǐng)1、技術(shù)人員需求2、特殊權(quán)限申請(qǐng)3、其他資源需求配置驗(yàn)證時(shí)間確認(rèn)1、最佳配置驗(yàn)證時(shí)機(jī)2、配置驗(yàn)證時(shí)間確認(rèn)基線確認(rèn)1、已有設(shè)備品牌/型號(hào)2、采取的冗余機(jī)制3、對(duì)應(yīng)的基線驗(yàn)證與結(jié)果記錄1、基線核對(duì)2、配合人員操作3、配置結(jié)果對(duì)比與記錄第三十頁(yè)，共四十頁(yè)。雙機(jī)冗余集群冗余虛擬化冗余基線驗(yàn)證：基線確認(rèn)負(fù)載均衡交換機(jī)√

華為交換機(jī)為例，查看CSS（集群交換機(jī)系統(tǒng)）配置√

查看集群管理軟件配置√

查看集群管理軟件配置堡壘機(jī)IPS說(shuō)明：需列出已有網(wǎng)絡(luò)/安全設(shè)備的品牌及型號(hào)，并根據(jù)所采用的冗余機(jī)制來(lái)匹配配置基線防火墻√Juniper為例，檢查NSRP配置或圖形界面配置路由器√查看HSRP（熱備份路由協(xié)議）配置√查看HSRP（熱備份路由協(xié)議）或VRRP（虛擬路由冗余協(xié)議）配置第三十一頁(yè)，共四十頁(yè)。配置驗(yàn)證：驗(yàn)證時(shí)間與申請(qǐng)配置驗(yàn)證時(shí)間選擇：服務(wù)方與被服務(wù)方協(xié)商確定驗(yàn)證時(shí)間，并由被服務(wù)方技術(shù)人員根據(jù)基線進(jìn)行驗(yàn)證操作，服務(wù)方人員進(jìn)行配置比對(duì)與記錄配置驗(yàn)證申請(qǐng)：權(quán)限申請(qǐng)：若驗(yàn)證過(guò)程中涉及到Root等高權(quán)限操作，需提前進(jìn)行權(quán)限申請(qǐng)。配合人員要求：應(yīng)熟悉所負(fù)責(zé)的設(shè)備或管理軟件操作，能夠快速查看網(wǎng)絡(luò)/安全設(shè)備相關(guān)配置操作等。服務(wù)方人員要求：未經(jīng)被服務(wù)方允許，禁止操作被服務(wù)方網(wǎng)絡(luò)/安全設(shè)備。第三十二頁(yè)，共四十頁(yè)。配置驗(yàn)證：驗(yàn)證與結(jié)果記錄準(zhǔn)備工作操作實(shí)施結(jié)果收集①

被服務(wù)方配合人員到位，服務(wù)人員提供相關(guān)配置基線②

雙方再行核對(duì)，確認(rèn)設(shè)備品牌、型號(hào)及對(duì)應(yīng)的冗余機(jī)制①

被服務(wù)方技術(shù)人員根據(jù)配置基線，分別對(duì)冗余的設(shè)

備進(jìn)行配置檢查②

雙方對(duì)配置檢查結(jié)果進(jìn)行疑問(wèn)互答①

服務(wù)方將配置檢查結(jié)果與配置基線進(jìn)行比②

服務(wù)方與被服務(wù)方配合人員核對(duì)有差異的結(jié)果并進(jìn)行記錄第三十三頁(yè)，共四十頁(yè)。4、測(cè)試驗(yàn)證測(cè)試與結(jié)果記錄1、測(cè)試準(zhǔn)備2、實(shí)施測(cè)試與實(shí)時(shí)監(jiān)控3、測(cè)試結(jié)果分析與記錄測(cè)試申請(qǐng)1、確認(rèn)測(cè)試對(duì)象和測(cè)試方式2、測(cè)試時(shí)機(jī)3、技術(shù)人員保障測(cè)試方案確認(rèn)1、測(cè)試對(duì)象2、測(cè)試方式3、測(cè)試流程4、測(cè)試工具4、應(yīng)急保障測(cè)試內(nèi)容和指標(biāo)測(cè)冗余機(jī)制的有效性：什么叫有效？RTO、RPO講冗余的定義？落實(shí)到設(shè)備設(shè)施的機(jī)制？冗余有哪些指標(biāo)（可用性便是指標(biāo)）？級(jí)別？

測(cè)試恢復(fù)能力（如搞壞一臺(tái)，看其恢復(fù)能力）第三十四頁(yè)，共四十頁(yè)。測(cè)試驗(yàn)證：兩種方式，兩種角度功能正確性測(cè)試：根據(jù)實(shí)際冗余需求，測(cè)試是否配置對(duì)應(yīng)功能強(qiáng)度性測(cè)試：即進(jìn)行滲透測(cè)試或壓力測(cè)試測(cè)試流程網(wǎng)絡(luò)設(shè)備/線路冗余測(cè)試測(cè)試流程第三十五頁(yè)，共四十頁(yè)。測(cè)試驗(yàn)證