1、IBM Global Service Du MianWu CCIE&BS7799 LA,IBM網(wǎng)絡(luò)和安全規(guī)劃服務(wù)介紹,議程,IBM網(wǎng)絡(luò)和安全咨詢服務(wù)介紹 IBM網(wǎng)絡(luò)和安全咨詢服務(wù)經(jīng)典案例分析 IBM網(wǎng)絡(luò)和安全咨詢服務(wù)交付示范,網(wǎng)絡(luò)維護(hù),網(wǎng)絡(luò)需求,問題,發(fā)展步驟,測試,質(zhì)量控制,產(chǎn)品配置,應(yīng)用需求.,組成,產(chǎn)品選型,組成部分,功能設(shè)計(jì),基本需求,網(wǎng)絡(luò)評估,業(yè)務(wù)需求.,網(wǎng)絡(luò)策略和規(guī)劃,概要設(shè)計(jì),網(wǎng)絡(luò)架構(gòu),詳細(xì)設(shè)計(jì),網(wǎng)絡(luò)詳細(xì)設(shè)計(jì),認(rèn)證,網(wǎng)絡(luò)集成實(shí)施,網(wǎng)絡(luò)管理,網(wǎng)絡(luò)運(yùn)維,客戶網(wǎng)絡(luò)現(xiàn)狀,客戶業(yè)務(wù)需求策略,選擇合適產(chǎn)品滿足網(wǎng)絡(luò)架構(gòu)的需求,符合技術(shù)發(fā)展、滿足業(yè)務(wù)發(fā)展,完善嚴(yán)謹(jǐn)?shù)姆桨笇?shí)施計(jì)劃和優(yōu)秀的工程師,科

2、學(xué)的管理流程和合適管理工具,IBM網(wǎng)絡(luò)規(guī)劃的模型和步驟,ISO 9001認(rèn)證的專業(yè)服務(wù),IBM企業(yè)安全咨詢服務(wù)的架構(gòu)和方法,2 信息資產(chǎn)分級,6 安全技術(shù)架構(gòu)設(shè)計(jì),7 安全架構(gòu)方案建議,12 安全運(yùn)維流程整合設(shè)計(jì),9 安全管理體系設(shè)計(jì),1 信息安全方針,3 安全控制評估,5 安全需求,10 制定安全標(biāo)準(zhǔn),13 信息安全教育,11 制定安全指南,8 安全架構(gòu)建設(shè)規(guī)劃,4 安全技術(shù)評估,IBM網(wǎng)絡(luò)安全顧問方法,IBM網(wǎng)絡(luò)和安全顧問咨詢在國內(nèi)的成功案例,IBM的網(wǎng)絡(luò)安全服務(wù)的領(lǐng)先地位,IDC的2004年和2005年報(bào)告繼續(xù)表明IBM名列全球第一名,IBM網(wǎng)絡(luò)服務(wù)的技術(shù)力量,完善的技術(shù)支持架構(gòu) 遍及全

3、國的分公司、辦事處 亞太網(wǎng)絡(luò)專家在中國專門建立了技術(shù)專家組 全球網(wǎng)絡(luò)技術(shù)支持架構(gòu)，在美國，日本和法國建立了Cisco全球支持中心 7x24小時(shí)800服務(wù)熱線支持 通過Cisco TAC，得到Cisco全球技術(shù)支持 強(qiáng)大的技術(shù)支持隊(duì)伍 多名PMP認(rèn)證的項(xiàng)目管理專家 近40名網(wǎng)絡(luò)工程師 18名CCIE 多名CCNP、CCNA 多名Cisco IP Telephone、VPN and Security、Wireless Specialization Polycom視頻會議系統(tǒng)認(rèn)證 CISSP(Certified Information System Security Professional)網(wǎng)絡(luò)安

4、全認(rèn)證 Micromuse網(wǎng)絡(luò)管理認(rèn)證 豐富的項(xiàng)目管理、網(wǎng)絡(luò)咨詢、網(wǎng)絡(luò)集成經(jīng)驗(yàn),議程,IBM網(wǎng)絡(luò)和安全咨詢服務(wù)介紹 IBM網(wǎng)絡(luò)和安全咨詢服務(wù)經(jīng)典案例分析 IBM網(wǎng)絡(luò)和安全咨詢服務(wù)交付示范,ABC公司的現(xiàn)狀和背景 ABC公司是一家從事日用化工品生產(chǎn)和銷售的跨國企業(yè)，由于在過去幾年來在中國業(yè)務(wù)的快速發(fā)展，使得目前在中國的銷售額已經(jīng)上升到一個(gè)很重要的地位，估計(jì)未來3-5年會繼續(xù)以較快的速度發(fā)展 廣州、上海、北京三個(gè)中心，其中廣州是總部 全國目前約有160家左右的直銷分店，今后要擴(kuò)充到300-500分店 要建立大型數(shù)據(jù)中心，應(yīng)用、數(shù)據(jù)集中和多媒體應(yīng)用的趨勢十分明顯，很多新的集中式的應(yīng)用（譬如4th-P

5、OS、企業(yè)Portal、E-Learning、IPT系統(tǒng)）需要部署 存在的問題 新的數(shù)據(jù)中心和災(zāi)備中心的建設(shè) 目前的網(wǎng)絡(luò)能否支持未來的數(shù)據(jù)中心、應(yīng)用和數(shù)據(jù)的集中、多媒體的擴(kuò)充 網(wǎng)絡(luò)安全架構(gòu)能否保障未來業(yè)務(wù)的快速發(fā)展 網(wǎng)絡(luò)管理能否跟得上 IBM網(wǎng)絡(luò)咨詢服務(wù)的引入,ABC網(wǎng)絡(luò)咨詢服務(wù)的背景,IBM在ABC公司的解決方案,網(wǎng)絡(luò)現(xiàn)狀的評估 網(wǎng)絡(luò)架構(gòu)的評估 全方位網(wǎng)絡(luò)以及應(yīng)用性能的評估 安全架構(gòu)的評估 網(wǎng)絡(luò)管理現(xiàn)狀的評估 網(wǎng)絡(luò)的優(yōu)化建議 網(wǎng)絡(luò)架構(gòu)優(yōu)化 網(wǎng)絡(luò)安全架構(gòu)優(yōu)化 網(wǎng)絡(luò)管理組織流程和系統(tǒng)架構(gòu)的優(yōu)化,現(xiàn)狀收集與需求分析,監(jiān)控工具配備與安裝,采集工具接入與網(wǎng)絡(luò)配置,客觀數(shù)據(jù)采集,客觀數(shù)據(jù)收集,網(wǎng)絡(luò)基礎(chǔ)現(xiàn)

6、狀調(diào)研,業(yè)務(wù)系統(tǒng)現(xiàn)狀調(diào)研,網(wǎng)絡(luò)安全需求和目標(biāo)調(diào)研,主觀數(shù)據(jù)采集,了解業(yè)界最佳實(shí)踐,對安利網(wǎng)絡(luò)和安全優(yōu)化進(jìn)行宏觀設(shè)計(jì)和詳細(xì)設(shè)計(jì),了解公司業(yè)務(wù)策略和需求,交付件： 網(wǎng)絡(luò)和安全評估報(bào)告,網(wǎng)絡(luò)和安全優(yōu)化設(shè)計(jì),交付件： 網(wǎng)絡(luò)優(yōu)化設(shè)計(jì)方案/實(shí)施步驟/割接方案 網(wǎng)絡(luò)安全優(yōu)化設(shè)計(jì)方案 網(wǎng)絡(luò)安全產(chǎn)品選擇和成本預(yù)估,IBM在ABC公司的解決方案,網(wǎng)絡(luò)管理系統(tǒng),網(wǎng)絡(luò)管理制度和流程,了解公司業(yè)務(wù)策略和需求,網(wǎng)絡(luò)管理優(yōu)化設(shè)計(jì),交付件： 網(wǎng)絡(luò)系統(tǒng)架構(gòu) 網(wǎng)絡(luò)管理制度,ABC公司原有的網(wǎng)絡(luò)存在的問題：網(wǎng)絡(luò)概貌,ABC公司原有的網(wǎng)絡(luò)存在的問題：網(wǎng)絡(luò)架構(gòu),網(wǎng)絡(luò)架構(gòu) 單點(diǎn)故障很多（LAN、WAN） 廣域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜 用戶到服務(wù)器

7、路由跳數(shù)太多 因特網(wǎng)和VPN連接 南北電信之間性能瓶頸的問題 出口共享和均衡負(fù)載的問題 各個(gè)分店網(wǎng)絡(luò) 網(wǎng)絡(luò)架構(gòu)非標(biāo)準(zhǔn)化 網(wǎng)絡(luò)管理 救火式，沒有流程 缺乏工具,ABC公司原有的網(wǎng)絡(luò)存在的問題：網(wǎng)絡(luò)配置,網(wǎng)絡(luò)資源管理 網(wǎng)絡(luò)命名不規(guī)范 IP地址資源不夠，亟待擴(kuò)充 VLAN的統(tǒng)一規(guī)劃 動態(tài)路由存在5個(gè)域，并且動態(tài)路由不穩(wěn)定，靜態(tài)路由太多 網(wǎng)絡(luò)服務(wù) DNS的問題 DHCP的問題 網(wǎng)絡(luò)安全 沒有明確的統(tǒng)一的安全區(qū)域劃分 安全管理工具沒有發(fā)揮作用 安全管理體系存在很多漏洞,ABC公司原有的網(wǎng)絡(luò)存在的問題：安全評估,SQL Injection漏洞的主要危害 傳統(tǒng)的安全措施（如使用 SSL 和 防火墻）不能防止

8、 SQL 注入攻擊 可以獲得整個(gè)數(shù)據(jù)庫的結(jié)構(gòu)以及數(shù)據(jù)中的內(nèi)容 在IBM滲透測試之前，已經(jīng)遭受多次入侵，從表中可以發(fā)現(xiàn)，存在D99_CMD，D99_REG，D99_Tmp以及NB_commander_tmp表，這些表均是攻擊者采用一些注入工具包創(chuàng)建的數(shù)據(jù)表，用于執(zhí)行入侵命令，因此，極有可能存在被入侵者植入了后門，隨時(shí)被入侵者控制 利用SQL injection漏洞，我們在數(shù)據(jù)庫里創(chuàng)建了一個(gè)Matrixay_Pen_Test表，可以表明這次滲透能夠任意創(chuàng)建數(shù)據(jù)表，我們也可以利用漏洞完全控制,ABC公司原有的網(wǎng)絡(luò)存在的問題：網(wǎng)絡(luò)管理,廣域網(wǎng)性能概圖,廣域網(wǎng)鏈路監(jiān)控,廣域網(wǎng)網(wǎng)絡(luò)性能 有些廣域網(wǎng)線路完全

9、沒有利用 有些廣域網(wǎng)性能指標(biāo)很高 廣域網(wǎng)線路質(zhì)量 大多數(shù)廣域網(wǎng)線路采用的是FR Relay只是適用于數(shù)據(jù)傳送 未來IPT電話的部署面臨挑戰(zhàn) 各個(gè)分店網(wǎng)絡(luò) 分店占用廣域網(wǎng)帶寬與業(yè)務(wù)流量脫鉤,ABC公司原有的網(wǎng)絡(luò)存在的問題：廣域網(wǎng)性能,主機(jī)和關(guān)鍵網(wǎng)絡(luò)設(shè)備性能 絕大多數(shù)主機(jī)性能指標(biāo)很低 個(gè)別主機(jī)性能指標(biāo)過高,ABC公司原有的網(wǎng)絡(luò)存在的問題：主機(jī)性能,ABC公司原有的網(wǎng)絡(luò)存在的問題：應(yīng)用性能,主要應(yīng)用性能分析 目前大多數(shù)關(guān)鍵應(yīng)用性能要求與帶寬關(guān)系不大 有些應(yīng)用需要進(jìn)行改進(jìn)以提高響應(yīng)性能,IBM優(yōu)化規(guī)劃建議的交付文檔,網(wǎng)絡(luò)架構(gòu)優(yōu)化文檔 網(wǎng)絡(luò)架構(gòu)優(yōu)化建議 IP地址規(guī)劃建議 路由規(guī)劃建議 數(shù)據(jù)中心規(guī)劃建議

10、QoS規(guī)劃建議 IP服務(wù)規(guī)劃建議 升級步驟規(guī)劃 產(chǎn)品和成本預(yù)估 網(wǎng)絡(luò)安全架構(gòu)優(yōu)化規(guī)劃 網(wǎng)絡(luò)管理優(yōu)化規(guī)劃 網(wǎng)絡(luò)管理系統(tǒng)建議 網(wǎng)絡(luò)管理組織流程建議,大于48個(gè)用戶的分店,25-48個(gè)用戶的分店,小于25個(gè)用戶的分店,全球網(wǎng)絡(luò)架構(gòu),中國網(wǎng)絡(luò)架構(gòu),IBM建議的網(wǎng)絡(luò)架構(gòu),IBM建議的IP地址規(guī)劃和路由協(xié)議,IBM建議的QoS策略,IBM建議的四個(gè)管理流程,議程,IBM網(wǎng)絡(luò)和安全咨詢服務(wù)介紹 IBM網(wǎng)絡(luò)和安全咨詢服務(wù)經(jīng)典案例分析 IBM網(wǎng)絡(luò)和安全咨詢服務(wù)交付示范,項(xiàng)目最終交付示范（一）,項(xiàng)目最終交付示范（二）,項(xiàng)目最終交付示范（二）,項(xiàng)目最終交付示范（三）,項(xiàng)目最終交付示范（四）,項(xiàng)目最終交付示范（五）,

11、“帳務(wù)系統(tǒng)-登錄”傳輸包大小分布,“帳務(wù)系統(tǒng)-登錄”時(shí)間分布,“帳務(wù)系統(tǒng)-登錄”負(fù)載和開銷,“帳務(wù)系統(tǒng)-登錄”期間網(wǎng)絡(luò)傳送速度分布,“帳務(wù)系統(tǒng)-登錄” 不同網(wǎng)絡(luò)帶寬下響應(yīng)時(shí)間預(yù)測,項(xiàng)目最終交付示范（六）,項(xiàng)目最終交付示范（七）,項(xiàng)目最終交付示范（八）,項(xiàng)目最終交付示范（九）,某國內(nèi)大型企業(yè)的信息安全技術(shù)架構(gòu)、包括需要新建的安全能力、和需要改進(jìn)的現(xiàn)有IT設(shè)施。,集中用戶管理,集中認(rèn)證授權(quán),集中安全審計(jì),終端安全,生命周期管理,用戶分配,用戶目錄管理,密碼標(biāo)準(zhǔn)管理,密碼同步管理,用戶信用管理,用戶認(rèn)證,訪問授權(quán),訪問授權(quán)管理,資源管理,會話管理,檢查策略管理,終端安全檢查,漏洞掃描,終端安全報(bào)告,

12、事件關(guān)聯(lián)分析,日志收集,安全報(bào)警,主機(jī)入侵保護(hù),加密解密,遠(yuǎn)程接入管理,網(wǎng)絡(luò)安全,邊界保護(hù),事件處理,功能模塊,安全服務(wù),主機(jī)安全,SOA Security,病毒控制,報(bào)告機(jī)制,網(wǎng)絡(luò)分區(qū)管理,入侵檢測,終端修補(bǔ),準(zhǔn)入控制,病毒控制,檢查策略,安全檢查,數(shù)據(jù)儲存安全,數(shù)據(jù)傳輸安全,安全報(bào)告,漏洞掃描,文檔安全,聯(lián)邦用戶管理,安全改進(jìn),應(yīng)用改造,用戶管理,訪問認(rèn)證,應(yīng)用審計(jì),數(shù)據(jù)安全,授權(quán)控制,安全架構(gòu)設(shè)計(jì)咨詢案例,每個(gè)安全模塊都與安全管理體系緊密相連的，是用來實(shí)施各種安全策略、標(biāo)準(zhǔn)和流程的。,集中用戶管理,集中認(rèn)證授權(quán),集中安全審計(jì),終端安全,生命周期管理,用戶分配,用戶目錄管理,密碼標(biāo)準(zhǔn)管理,

13、密碼同步管理,用戶信用管理,用戶認(rèn)證,訪問授權(quán),訪問授權(quán)管理,資源管理,會話管理,事件關(guān)聯(lián)分析,日志收集,安全報(bào)警,網(wǎng)絡(luò)安全,事件處理,功能模塊,安全服務(wù),主機(jī)安全,SOA Security (需要符合ITSP v2.0規(guī)范）,報(bào)告機(jī)制,聯(lián)邦用戶管理,安全改進(jìn),應(yīng)用改造,數(shù)據(jù)安全,人員錄用管理流程 人員離崗管理流程 帳戶管理標(biāo)準(zhǔn) 密碼管理標(biāo)準(zhǔn) 帳戶管理流程 權(quán)限管理流程,帳戶管理標(biāo)準(zhǔn) 信息資產(chǎn)等級分類 遠(yuǎn)程訪問管理?xiàng)l例,服務(wù)器安全標(biāo)準(zhǔn) 終端安全標(biāo)準(zhǔn) 安全日志管理 安全審計(jì)規(guī)范 密碼管理標(biāo)準(zhǔn) 安全事件管理流程,安全區(qū)域劃分規(guī)范 網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn) 系統(tǒng)入網(wǎng)管理流程 密碼管理標(biāo)準(zhǔn) 防火

14、墻安全配置 VPN安全配置 網(wǎng)絡(luò)設(shè)備的安全配置,安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn) 防病毒管理標(biāo)準(zhǔn) 密碼管理標(biāo)準(zhǔn) 服務(wù)器安全標(biāo)準(zhǔn) 操作系統(tǒng)安全配置標(biāo)準(zhǔn) 安全補(bǔ)丁管理流程,安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn) 防病毒管理標(biāo)準(zhǔn) 密碼管理標(biāo)準(zhǔn) 終端安全標(biāo)準(zhǔn) 文檔安全管理,應(yīng)用開發(fā)安全標(biāo)準(zhǔn) 應(yīng)用改造安全標(biāo)準(zhǔn) 應(yīng)用開發(fā)安全管理 安全編碼標(biāo)準(zhǔn) 密碼管理標(biāo)準(zhǔn) 數(shù)據(jù)庫的安全配置,安全架構(gòu)設(shè)計(jì)咨詢案例,39,XXX省中心計(jì)費(fèi)網(wǎng)絡(luò)評估-網(wǎng)絡(luò)架構(gòu)分析,外網(wǎng)安全,生產(chǎn)區(qū) 生產(chǎn)下聯(lián)區(qū) 單點(diǎn)故障,區(qū)域劃分？,網(wǎng)絡(luò)規(guī)劃 網(wǎng)絡(luò)架構(gòu) 網(wǎng)絡(luò)運(yùn)維 網(wǎng)絡(luò)性能 網(wǎng)絡(luò)安全,主機(jī)安全,區(qū)域劃分？,網(wǎng)絡(luò)評估咨詢案例,40,XXXX信息系統(tǒng)數(shù)據(jù)流總體分析,TCP ,HTTP ,O

15、racle 占了整個(gè)網(wǎng)絡(luò)流量的 80% tcp主要用與備份. http 和 Oracle 主要是營帳系統(tǒng)。我們將在后面對http 和tcp進(jìn)行分析,網(wǎng)絡(luò)評估咨詢案例,41,TCP和HTTP 流量為省分流量中最高的協(xié)議類型，其流量的時(shí)間分布如下：,TCP流量在全天的分布有明顯的波峰及波谷，其中波峰主要在每天的晚上的10點(diǎn)到第二天的4點(diǎn)左右，這說明TCP數(shù)據(jù)的主要流量不應(yīng)該是業(yè)務(wù)交易產(chǎn)生的，而是部分?jǐn)?shù)據(jù)同步和共享時(shí)產(chǎn)生的流量。,從下圖分析可以看出，HTTP流量在全天的分布有明顯的波峰及波谷，其中波峰主要出現(xiàn)在每天上午8點(diǎn)到晚上9點(diǎn)左右，這說明HTTP數(shù)據(jù)的主要流量是業(yè)務(wù)交易產(chǎn)生的交易流量數(shù)據(jù),網(wǎng)絡(luò)評估咨詢案例,42,總體流量分析-TOP 30 的主機(jī)統(tǒng)計(jì)：,