等保测评细化-设备冗余评测.pptx

冗余评测思路主题一概述1冗余评测-资料分析2冗余评测-现场观察3冗余评测-配置验证45冗余评测-测试验证资料分析一、结构安全-网络设备及线路冗余评测电信联通测试验证路由器配置验证负载均衡防火墙测试方案确认（测试时间/方法、对象、应急措施等）测试申请测试与结果记录现场观察IPS基线确认配置验证时间确认配置验证申请验证与结果记录WAF对象与观察项确认时间与方式确认入场申请观察与结果记录前期准备获取方式确认获取资料确认综合分析结果记录冗余的概念冗余是什么？如何实现冗余?冗余即建立一个具有相同功能的备用设备/方案。当主设备出现故障时，冗余设备是可以立刻使用的替代设备。“冗余”的有益与有害是相对的！冗余对重要的系统工程是必须的！即使是资源的“浪费”。常见的冗余机制：双机备份双机热备双机冷备集群模式容错类负载均衡类 虚拟化VLAN虚拟专用网VPN虚拟网络设备冗余有哪些指标？冗余的级别？可作为冗余的指标：可用性指标可维护性指标可靠性指标RTO、RPO等冗余级别包括：数据级冗余应用级冗余同城灾备两地三中心冗余与可用性之间的关系冗余指标冗余是一种手段，目的是实现系统/设备的高可用性可用性：即在一段时间内，系统能够正常运行的概率或时间占有率期望值。可用性期望越高↑，那么在特定时期内内系统停机的时间就会越短↓，对设备/系统的冗余要求越高↑ 。而对可用性进行度量往往会使用可用性指标，因此我们使用可用性相关指标来表示冗余指标。正常情况主机故障主机备机用户1用户2用户3假设主机的冗余方式为双机热备，当主机出现故障时，备机会迅速承担主机工作，从而保证用户访问的进程不会中断可量化指标：可用性指标、可维护性指标与可靠性指标预期可用性指标=（约定的服务时间-停机时间）/约定的服务时间*100%预期可维护性指标（平均恢复时间）=总停机时间（小时）/服务中断次数 预期可靠性指标（平均故障时间）=可用时间（小时）/中断次数，或平均无故障时间=（可用时间-停机总时间）（小时）/中断次数 可用性、可维护性、可靠性三者可容忍的最低目标值 测量单位设定：可用性指标用百分比为单位，可维护性指标和可靠性指标用时间为单位；不可用测量：对功能设定最大响应时间阈值，若超过该阈值，则视为不可用：对应用服务器不可用，测量请求响应时间；对数据库访问不可用，测量连接和SQL查询响应时间；对网络设备（含安全设备）不可用，测量网络时延（或连接响应时间）；中断时间测量：测量中断发现时间点和功能恢复可用时间点，二者之差即为中断时间，中断时间由响应时间（从发现到响应的时间段）、修障时间、恢复时间三部分构成；可用或持续运行时间：计划运行时间与中断时间、计划停机时间之差；可量化指标：可用性监测指标可用性指标可用性监测指标可用性指标不同于可用性监测指标，业界用 N 个9 来量化可用性， 最常说的就是类似 “4个9(也就是99.99%)” 的可用性，换算程时间即53分钟。计算可用性指标的难度在于设备处于什么状态为可用？什么状态为不可用？往往可以通过不可用来反推可用性。可用/不可用可用/不可用通信链路-设施1指标连通性质量和时延网络安全设备冗余/部署架构26指标CPU内存吞吐量设备可达性虚拟化热备集群云计算路由和交换设备3指标连通性切换时间指标CPU内存设备可达性常见网络/安全设备冗余措施标准要求（G3）：应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要 安全产品必须进行冗余选择性冗余不需要冗余备注核心交换机?各区域出口防火墙?汇聚交换机?核心路由?防病毒网关?IDS?因IDS部署方式为旁挂，不需要进行冗余IPS?桌面管理系统?终端准入系统?流量异常分析系统?因部署方式为旁挂，不需要进行冗余保垒机?WAF?上网行为管理?负载均衡?通信线路?一般对于互联网出口处网络/安全设备、服务器区部署网络/安全设备以及相关核心区域网络/安全设备都需要进行冗余评测的难点因素：技术方面因素1：网络结构类型多随着技术的不断发展，出现很多不同架构、不同类型的网络。一个企业往往会存在多个网络，如内、外网区域、DMZ区域，每个区域又会划分成多个安全域。因每个域的可用性级别及可用性指标不同，所以要实现对不同安全域实现不同层次的可用管理，难度将大大增加；因素2：网络设备类型/厂商多市场网络/安全设备类型众多，像防火墙、路由器、中继器、网关、网桥以及防病毒产品、IDS/IPS、负载均衡等主流的产品已达到十几种，而各类产品的主流厂商仅国内的就多达几十家，因此要实现不同类型不同厂商网络/安全设备可用性检测，是一个很大的工程。因素3：冗余机制不同当前主流冗余机制多采用双机备份、集群和虚拟化技术等。双机备份涉及热备和冷备技术；集群则区分容错类的和负载均衡类的；目前比较常见的网络虚拟化应用包括VLAN，虚拟专用网，VPN，以及虚拟网络设备