【安全课堂】给IT基础设施实施压力测试
作者:星期二, 五月 5, 20150

我们知道,银行会定期进行金融压力测试,定义明确的测试结果可以用来评判各银行应对经济灾难的能力。

如果把金融压力测试的基本要素应用到IT基础设施,我们可以粗略地将其概括为:

在系统负面状态下进行分析,确定IT基础设施已经设计了足够的机制来抵御不利事件的冲击。

换句话说,灾难测试的测试目标包括生产设施的各个节点。

你的IT基础设施能否抵御DDoS攻击?能否抵御零日漏洞恶意软件入侵DMZ或台式机?在系统或链路失效的情况下,是否有完备的灾难恢复计划?

本文认为,首席信息官或技术官应当考虑进行压力测试演练,以发现系统内没有设计备份或顶替方案的地方,确定那些缺乏恢复机制的设备,并组建队伍为全公司所有关键性设备建立数据恢复计划。

进行常规压力测试的关键领域包括:

入口数据点(双广域网负载平衡)

数据丢失防护装置

垃圾邮件过滤装置

代理和反向代理服务器

SIEM

移动设备管理解决方案

Web应用防火墙

另外应当将你的工作站基于零日漏洞的情景进行配置。如果一个工作站受到感染,是否有阻止感染扩散的准备措施?

所有工作站上的反病毒软件是否更新到最新版本了?DMZ和内部LAN上的服务器应当采取相同的制备:是否采取了适当的分割策略?是否配备了防止恶意软件扩散的IPS?

保证所有生产服务器和网络设备打上了最新的补丁;建立计划,每周或每月对漏洞扫描一次。成功的灾难恢复计划路线图包括对所有关键性生产设备进行备份,保护备份数据,保证恢复过程得以顺利进行。任何负责任的数据恢复小组都要对这些内容十分了解。

最后,让我们在愉快安全的工作环境下工作吧!

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章