我们知道，银行会定期进行金融压力测试，定义明确的测试结果可以用来评判各银行应对经济灾难的能力。

如果把金融压力测试的基本要素应用到IT基础设施，我们可以粗略地将其概括为：

在系统负面状态下进行分析，确定IT基础设施已经设计了足够的机制来抵御不利事件的冲击。换句话说，灾难测试的测试目标包括生产设施的各个节点。

你的IT基础设施能否抵御DDoS攻击?能否抵御零日漏洞恶意软件入侵DMZ或台式机?在系统或链路失效的情况下，是否有完备的灾难恢复计划?

本文认为，首席信息官或技术官应当考虑进行压力测试演练，以发现系统内没有设计备份或顶替方案的地方，确定那些缺乏恢复机制的设备，并组建队伍为全公司所有关键性设备建立数据恢复计划。

进行常规压力测试的关键领域包括：

入口数据点(双广域网负载平衡)

数据丢失防护装置

垃圾邮件过滤装置

代理和反向代理服务器

SIEM

移动设备管理解决方案

Web应用防火墙另外应当将你的工作站基于零日漏洞的情景进行配置。如果一个工作站受到感染，是否有阻止感染扩散的准备措施?

所有工作站上的反病毒软件是否更新到最新版本了?DMZ和内部LAN上的服务器应当采取相同的制备：是否采取了适当的分割策略?是否配备了防止恶意软件扩散的IPS?

保证所有生产服务器和网络设备打上了最新的补丁;建立计划，每周或每月对漏洞扫描一次。成功的灾难恢复计划路线图包括对所有关键性生产设备进行备份，保护备份数据，保证恢复过程得以顺利进行。任何负责任的数据恢复小组都要对这些内容十分了解。

最后，让我们在愉快安全的工作环境下工作吧!

原文地址：http://www.aqniu.com/neo-points/7587.html