《负载均衡产品 安全技术要求和测试评价方法》技术规范发布
负载均衡产品是指能够为用户的业务发布提供包括多链路负载均衡、服务器负载均衡、全局负载均衡的网络优化产品。产品的形态可以为软件,也可以为硬件和软件的组合。利用多种检测手段实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规则将用户的访问请求分配给相应的数据中心、链路以及服务器,进而实现数据流的合理分配,使所有的数据中心、链路和服务器都得到充分的利用。配合服务器卸载、高速缓存、流量压缩、单边加速、连接复用和虚拟化等多项智能优化技术,可大幅提高业务系统的整体处理能力,提高其稳定性,切实改善用户的访问体验,有效降低IT投资成本。图1是负载均衡产品的一个典型运行环境。
该技术规范对负载均衡产品提出了安全技术要求,主要内容包括安全功能要求、自身安全功能要求、性能要求、环境适应性要求(如适用)、安全保障要求五部分。其中,在安全功能要求方面,本技术规范分别针对负载均衡、负载均衡调度算法支持、组件和链路监测、优化加速、会话保持、设备的访问控制、高可用性做出了全面的要求;在自身安全功能方面,技术规范从标识与鉴别、安全审计、安全功能数据的管理等方面进行了要求;在性能要求方面,技术规范描述了网络层性能要求、应用层性能要求、SSL 性能要求等内容;在环境适应性要求(如适用)方面,本技术规范从支持IPv6网络环境、IPv6 网络环境下自身管理、双协议栈等方面提出了具体评价内容;在安全保障要求方面,技术规范从保障负载均衡产品开发全生命周期安全的角度出发,为了确保设计及实现的一致性、开发过程的安全性、安全功能实现的正确性等,从开发、指导性文档、生命周期支持、测试和脆弱性评定等多方面对产品提出了具体的评价内容和要求。
为了确保技术规范同时适用于检测机构的测试与评价,本技术规范还给出了具体的评价方法来验证负载均衡产品是否满足技术规范中提出的安全技术要求,在安全功能要求、自身安全功能要求、性能要求、环境适应性要求(如适用)、安全保障要求五个方面,分别针对具体的检测项目给出了测试评价方法、预期结果及结果判定,为检测机构的检测方法和评价原则给出了统一、明确的指导,有利于检测工作的技术规范化和规范化。
在编制过程中,相关编制人员耐心细致,调研了多家负载均衡产品研发单位,经过综合的比对和分析,归纳总结出重要的且具有普适性的检测指标,同时结合自身的实践经验,梳理出了适合的检测方法。经过多轮的专家评审及修订,最终通过了评审成为CCRC正式发布的技术规范。
文字:产品安全测评部
编辑:刘璨
END