信息系统网络拓扑结构测试存在哪些问题
信息系统网络拓扑结构测试存在以下问题:
主干设备的冗余性问题:公司内有三台型号均为核心交换机,但是并不是一个互为备份的关系,这样如果其中一台设备出现故障,必然导致一部分数据会无法传输,甚至与外部连接也会不可用。也就是说存在着严重的核心设备单点故障问题。如果非法用户对SSR8600的核心交换机进行DOS攻击,导致该核心交换机无法正常工作,甚至瘫痪,则公司正常业务都将中断。
分支交换链路的冗余性问题:公司的分支接入层设备,即与桌面机器相连的交换机其上连的链路均只有一条,如果该条链路故障或上层的设备故障则该交换机所连的设备都将无法进行数据交换,也就是说存在着链路的单点故障问题。
主要服务器的链路冗余性问题:公司的服务器基本上都是以单条链路连入网络,如果该条链路故障或网卡故障或交换机端口故障都将导致该服务器无法进行数据交换,这又是一个单点故障问题。
广域网链路的单点故障问题:公司的广域网结构是一个星状结构,中心与基层每个点都是通过2M或光纤链路进行。这样的网络结构在其可靠性上是很不可靠的,如果该条链路故障就意味着该点无法与任何点通信。
VLAN之间的访问控制问题:目前公司对于在VLAN之间的访问控制未做任何限制。这可能是从网络的性能的角度来考虑的,但是出于对安全的考虑,需要对一些重要的VLAN中的关键设备的访问做必要控制。
网络路由协议的安全问题:根据公司选用的路由协议来看,目前主要采用的是OSPF、IGRP、RIP等动态路由协议,由于动态路由协议一般都是以广播的方式进行路由发送和更新的,这就使得路由协议容易被网络上的其他设备窃听来进行拓扑发现,同时还有恶意发送错误路由造成整个网络路由混乱的安全隐患。
网络对外连接的安全问题:从网络拓扑结构上分析,目前公司与外面连接的出入点主要有:与Internet连接的两个出口、与上级公司的连接、与各基层单位之间的连接。除了在与Internet的连接处架构了防火墙,做了一定的安全防卫之外,在其他各点都没有做安全措施。这样不法分子可以先进入基层单位或上级公司,然后以此为跳板,对公司进行攻击。