1、IBM Global ServiceDu MianWu CCIE&BS7799 LA,IBM网络和安全规划服务介绍,议程,IBM网络和安全咨询服务介绍 IBM网络和安全咨询服务经典案例分析 IBM网络和安全咨询服务交付示范,网络维护,网络需求,问题,发展步骤,测试,质量控制,产品配置,应用需求.,组成,产品选型,组成部分,功能设计,基本需求,网络评估,业务需求.,网络策略和规划,概要设计,网络架构,详细设计,网络详细设计,认证,网络集成实施,网络管理,网络运维,客户网络现状,客户业务需求策略,选择合适产品满足网络架构的需求,符合技术发展、满足业务发展,完善严谨的方案实施计划和优秀的工程师,科学
2、的管理流程和合适管理工具,IBM网络规划的模型和步骤,ISO 9001认证的专业服务,IBM企业安全咨询服务的架构和方法,2 信息资产分级,6 安全技术架构设计,7 安全架构方案建议,12 安全运维流程整合设计,9 安全管理体系设计,1 信息安全方针,3 安全控制评估,5 安全需求,10 制定安全标准,13 信息安全教育,11 制定安全指南,8 安全架构建设规划,4 安全技术评估,IBM网络安全顾问方法,IBM网络和安全顾问咨询在国内的成功案例,IBM的网络安全服务的领先地位,IDC的2004年和2005年报告继续表明IBM名列全球第一名,IBM网络服务的技术力量,完善的技术支持架构 遍及全国
3、的分公司、办事处 亚太网络专家在中国专门建立了技术专家组 全球网络技术支持架构,在美国,日本和法国建立了Cisco全球支持中心 7x24小时800服务热线支持 通过Cisco TAC,得到Cisco全球技术支持 强大的技术支持队伍 多名PMP认证的项目管理专家 近40名网络工程师 18名CCIE 多名CCNP、CCNA 多名Cisco IP Telephone、VPN and Security、Wireless Specialization Polycom视频会议系统认证 CISSP(Certified Information System Security Professional)网络安全
4、认证 Micromuse网络管理认证 丰富的项目管理、网络咨询、网络集成经验,议程,IBM网络和安全咨询服务介绍 IBM网络和安全咨询服务经典案例分析 IBM网络和安全咨询服务交付示范,ABC公司的现状和背景 ABC公司是一家从事日用化工品生产和销售的跨国企业,由于在过去几年来在中国业务的快速发展,使得目前在中国的销售额已经上升到一个很重要的地位,估计未来3-5年会继续以较快的速度发展 广州、上海、北京三个中心,其中广州是总部 全国目前约有160家左右的直销分店,今后要扩充到300-500分店 要建立大型数据中心,应用、数据集中和多媒体应用的趋势十分明显,很多新的集中式的应用(譬如4th-PO
5、S、企业Portal、E-Learning、IPT系统)需要部署 存在的问题 新的数据中心和灾备中心的建设 目前的网络能否支持未来的数据中心、应用和数据的集中、多媒体的扩充 网络安全架构能否保障未来业务的快速发展 网络管理能否跟得上 IBM网络咨询服务的引入,ABC网络咨询服务的背景,IBM在ABC公司的解决方案,网络现状的评估 网络架构的评估 全方位网络以及应用性能的评估 安全架构的评估 网络管理现状的评估 网络的优化建议 网络架构优化 网络安全架构优化 网络管理组织流程和系统架构的优化,现状收集与需求分析,监控工具配备与安装,采集工具接入与网络配置,客观数据采集,客观数据收集,网络基础现状
6、调研,业务系统现状调研,网络安全需求和目标调研,主观数据采集,了解业界最佳实践,对安利网络和安全优化进行宏观设计和详细设计,了解公司业务策略和需求,交付件: 网络和安全评估报告,网络和安全优化设计,交付件: 网络优化设计方案/实施步骤/割接方案 网络安全优化设计方案 网络安全产品选择和成本预估,IBM在ABC公司的解决方案,网络管理系统,网络管理制度和流程,了解公司业务策略和需求,网络管理优化设计,交付件: 网络系统架构 网络管理制度,ABC公司原有的网络存在的问题:网络概貌,ABC公司原有的网络存在的问题:网络架构,网络架构 单点故障很多(LAN、WAN) 广域网网络结构复杂 用户到服务器路
7、由跳数太多 因特网和VPN连接 南北电信之间性能瓶颈的问题 出口共享和均衡负载的问题 各个分店网络 网络架构非标准化 网络管理 救火式,没有流程 缺乏工具,ABC公司原有的网络存在的问题:网络配置,网络资源管理 网络命名不规范 IP地址资源不够,亟待扩充 VLAN的统一规划 动态路由存在5个域,并且动态路由不稳定,静态路由太多 网络服务 DNS的问题 DHCP的问题 网络安全 没有明确的统一的安全区域划分 安全管理工具没有发挥作用 安全管理体系存在很多漏洞,ABC公司原有的网络存在的问题:安全评估,SQL Injection漏洞的主要危害 传统的安全措施(如使用 SSL 和 防火墙)不能防止
8、SQL 注入攻击 可以获得整个数据库的结构以及数据中的内容 在IBM渗透测试之前,已经遭受多次入侵,从表中可以发现,存在D99_CMD,D99_REG,D99_Tmp以及NB_commander_tmp表,这些表均是攻击者采用一些注入工具包创建的数据表,用于执行入侵命令,因此,极有可能存在被入侵者植入了后门,随时被入侵者控制 利用SQL injection漏洞,我们在数据库里创建了一个Matrixay_Pen_Test表,可以表明这次渗透能够任意创建数据表,我们也可以利用漏洞完全控制,ABC公司原有的网络存在的问题:网络管理,广域网性能概图,广域网链路监控,广域网网络性能 有些广域网线路完全没
9、有利用 有些广域网性能指标很高 广域网线路质量 大多数广域网线路采用的是FR Relay只是适用于数据传送 未来IPT电话的部署面临挑战 各个分店网络 分店占用广域网带宽与业务流量脱钩,ABC公司原有的网络存在的问题:广域网性能,主机和关键网络设备性能 绝大多数主机性能指标很低 个别主机性能指标过高,ABC公司原有的网络存在的问题:主机性能,ABC公司原有的网络存在的问题:应用性能,主要应用性能分析 目前大多数关键应用性能要求与带宽关系不大 有些应用需要进行改进以提高响应性能,IBM优化规划建议的交付文档,网络架构优化文档 网络架构优化建议 IP地址规划建议 路由规划建议 数据中心规划建议 Q
10、oS规划建议 IP服务规划建议 升级步骤规划 产品和成本预估 网络安全架构优化规划 网络管理优化规划 网络管理系统建议 网络管理组织流程建议,大于48个用户的分店,25-48个用户的分店,小于25个用户的分店,全球网络架构,中国网络架构,IBM建议的网络架构,IBM建议的IP地址规划和路由协议,IBM建议的QoS策略,IBM建议的四个管理流程,议程,IBM网络和安全咨询服务介绍 IBM网络和安全咨询服务经典案例分析 IBM网络和安全咨询服务交付示范,项目最终交付示范(一),项目最终交付示范(二),项目最终交付示范(二),项目最终交付示范(三),项目最终交付示范(四),项目最终交付示范(五),“
11、帐务系统-登录”传输包大小分布,“帐务系统-登录”时间分布,“帐务系统-登录”负载和开销,“帐务系统-登录”期间网络传送速度分布,“帐务系统-登录” 不同网络带宽下响应时间预测,项目最终交付示范(六),项目最终交付示范(七),项目最终交付示范(八),项目最终交付示范(九),某国内大型企业的信息安全技术架构、包括需要新建的安全能力、和需要改进的现有IT设施。,集中用户管理,集中认证授权,集中安全审计,终端安全,生命周期管理,用户分配,用户目录管理,密码标准管理,密码同步管理,用户信用管理,用户认证,访问授权,访问授权管理,资源管理,会话管理,检查策略管理,终端安全检查,漏洞扫描,终端安全报告,事
12、件关联分析,日志收集,安全报警,主机入侵保护,加密解密,远程接入管理,网络安全,边界保护,事件处理,功能模块,安全服务,主机安全,SOA Security,病毒控制,报告机制,网络分区管理,入侵检测,终端修补,准入控制,病毒控制,检查策略,安全检查,数据储存安全,数据传输安全,安全报告,漏洞扫描,文档安全,联邦用户管理,安全改进,应用改造,用户管理,访问认证,应用审计,数据安全,授权控制,安全架构设计咨询案例,每个安全模块都与安全管理体系紧密相连的,是用来实施各种安全策略、标准和流程的。,集中用户管理,集中认证授权,集中安全审计,终端安全,生命周期管理,用户分配,用户目录管理,密码标准管理,密
13、码同步管理,用户信用管理,用户认证,访问授权,访问授权管理,资源管理,会话管理,事件关联分析,日志收集,安全报警,网络安全,事件处理,功能模块,安全服务,主机安全,SOA Security (需要符合ITSP v2.0规范),报告机制,联邦用户管理,安全改进,应用改造,数据安全,人员录用管理流程 人员离岗管理流程 帐户管理标准 密码管理标准 帐户管理流程 权限管理流程,帐户管理标准 信息资产等级分类 远程访问管理条例,服务器安全标准 终端安全标准 安全日志管理 安全审计规范 密码管理标准 安全事件管理流程,安全区域划分规范 网络安全标准 安全风险评估标准 系统入网管理流程 密码管理标准 防火墙
14、安全配置 VPN安全配置 网络设备的安全配置,安全风险评估标准 防病毒管理标准 密码管理标准 服务器安全标准 操作系统安全配置标准 安全补丁管理流程,安全风险评估标准 防病毒管理标准 密码管理标准 终端安全标准 文档安全管理,应用开发安全标准 应用改造安全标准 应用开发安全管理 安全编码标准 密码管理标准 数据库的安全配置,安全架构设计咨询案例,39,XXX省中心计费网络评估-网络架构分析,外网安全,生产区 生产下联区 单点故障,区域划分?,网络规划 网络架构 网络运维 网络性能 网络安全,主机安全,区域划分?,网络评估咨询案例,40,XXXX信息系统数据流总体分析,TCP ,HTTP ,Or
15、acle 占了整个网络流量的 80% tcp主要用与备份. http 和 Oracle 主要是营帐系统。我们将在后面对http 和tcp进行分析,网络评估咨询案例,41,TCP和HTTP 流量为省分流量中最高的协议类型,其流量的时间分布如下:,TCP流量在全天的分布有明显的波峰及波谷,其中波峰主要在每天的晚上的10点到第二天的4点左右,这说明TCP数据的主要流量不应该是业务交易产生的,而是部分数据同步和共享时产生的流量。,从下图分析可以看出,HTTP流量在全天的分布有明显的波峰及波谷,其中波峰主要出现在每天上午8点到晚上9点左右,这说明HTTP数据的主要流量是业务交易产生的交易流量数据,网络评估咨询案例,42,总体流量分析-TOP 30 的主机统计:,130.75.1.51是所有业务主机的备份数据服务器,10.156.128.4是MIS 系统的服务器,130.75.1.48/49是营帐主机。130.75.1.5是CDMA专业计费主机,主要流量都是130.75.1.x网段产生。,网络评估咨询案例,43,总体流量分析-130.75.1.51的主机分析:,右边是与130.75.1.51进行过通信的25台机器的详细统计,所有主机是否必需通过核心网络来备份?,网络评估咨询案例,哪些应用? 哪个应用最大?,网络评估咨询案例,Thank You!,问与答,
