客戶(hù)需求
虛擬資源池建設完成后��,原有防毒軟件無(wú)法適用虛擬化環(huán)境��,造成了服務(wù)器性能下降��、安全策略不統一�、網(wǎng)絡(luò )病毒入侵的情況��。
解決方案
利用亞信安全服務(wù)器深度安全防護系統Deep Security“無(wú)代理”底層防護機制����,消除AV掃描風(fēng)暴����、自下而上對虛擬化主機�����、虛擬網(wǎng)絡(luò )提供全方位防護����。
效果/客戶(hù)證言
通過(guò)部署這套針對虛擬化環(huán)境設計的安全防護方案����,第一時(shí)間將網(wǎng)內存在的惡意威脅進(jìn)行查殺和處理���,使得網(wǎng)絡(luò )環(huán)境恢復正常��。同時(shí)���,Deep security產(chǎn)品的無(wú)代理防護方式為三大資源池建起完整的安全防御系統�,體現了安全與效率的統一����?����!煌ㄟ\輸部規劃院IT負責人
近年來(lái)���,國家“大通道”建設充分體現了交通運輸在國民經(jīng)濟中基礎����、先導和戰略性的產(chǎn)業(yè)特征���。作為國家級交通運輸規劃研究機構�����,交通運輸部規劃研究院(以下簡(jiǎn)稱(chēng)“部規劃院”) 為了更好地支撐交通運輸規劃的信息化工作��,采用亞信安全服務(wù)器深度安全防護系統Deep Security確保虛擬化平臺和信息數據安全�,充分發(fā)揮IT技術(shù)的創(chuàng )新力量�����,全面推動(dòng)我國智慧交通���、綜合交通的建設步伐����。
特殊的虛擬資源池異?����,F象
交通運輸部規劃研究院是中國國家級交通運輸規劃研究機構���,主要從事綜合運輸體系和交通運輸行業(yè)的發(fā)展戰略�����、規劃和政策研究工作�,在重大交通運輸建設項目��、國家運輸樞紐總體規劃可行性審查(核)工作中承當可行性方案制定和核心數據決策分析等工作��。為了推動(dòng)交通運輸規劃研究的信息化能力�,部規劃院圍繞“三大應用系統”和基礎環(huán)境平臺�����、數據資源平臺等“四大平臺”���。
在基礎平臺建設方面�����,部規劃院以云計算��、虛擬化為主要技術(shù)思路�,建設完成了院內應用�����、代部建設�、物理隔離內網(wǎng)三大虛擬化資源池����,并要求所有信息化相關(guān)項目����,統一納入資源池����,按需使用����。但是�,隨著(zhù)資源池應用的逐步上線(xiàn)�,網(wǎng)絡(luò )威脅風(fēng)險也尾隨而至��。
在虛擬化管理過(guò)程中���,部規劃院發(fā)現了非常特殊的現象��。例如��,內網(wǎng)有時(shí)會(huì )發(fā)現流量異常情況��,造成防火墻性能下降�����,互聯(lián)網(wǎng)出口流量擁塞現象��;資源池訪(fǎng)問(wèn)速度有時(shí)也會(huì )突然減慢��,造成客戶(hù)端Web應用的明顯卡頓�。
病毒感染的根源所在
通過(guò)對服務(wù)器�����、網(wǎng)絡(luò )設備����、防火墻日志的全面分析����,并結合專(zhuān)業(yè)安全廠(chǎng)商的意見(jiàn)��,部規劃院網(wǎng)絡(luò )技術(shù)部門(mén)最終找出了問(wèn)題的根源���。
原因一:在前期項目中�����,原有物理資源被統一遷移到虛擬化平臺�,為了確保應用和數據安全�,原有防毒軟件被一同重新部署過(guò)來(lái)�。但由于無(wú)法與虛擬化底層兼容�,會(huì )在病毒掃描策略執行時(shí)出現嚴重的性能問(wèn)題���,即業(yè)內所說(shuō)的“防病毒風(fēng)暴”現象�,造成CPU�、磁盤(pán)I/O的超大壓力����,影響業(yè)務(wù)正常運行���,甚至導致虛擬化環(huán)境崩潰��。
原因二:由于傳統防毒軟件“不好用”�,在后續遷移的業(yè)務(wù)應用��、測試系統中��,并不能保障每臺主機都安裝防毒軟件����、不能保證每套防毒系統都能隨時(shí)更新�����,這就造成了少數主機感染病毒的情況��。這也是防火墻性能下降�、網(wǎng)絡(luò )異常流量的根源點(diǎn)��。
此外�,虛擬化技術(shù)使用還帶來(lái)了一些全新的威脅挑戰���,譬如虛擬化防護間隙�����、虛擬網(wǎng)絡(luò )的入侵檢測���,以及安全策略動(dòng)態(tài)遷移等等���。因此�����,依然沿用傳統的防護手段���,必將無(wú)力支持資源池的正常應用����。
“無(wú)代理”防毒的大轉折
為了保障虛擬化資源池的業(yè)務(wù)連續性�,避免病毒以及網(wǎng)絡(luò )攻擊對數據����、應用和網(wǎng)絡(luò )帶來(lái)威脅�,部規劃院從多套備選方案中最終確定部署基于“無(wú)代理”技術(shù)的亞信安全服務(wù)器深度安全防護系統Deep Security��,解決虛擬技術(shù)使用后的安全防護空白���,同時(shí)從惡意軟件�����、網(wǎng)絡(luò )入侵攻擊�、主機訪(fǎng)問(wèn)控制等方面實(shí)現資源池整體的安全�����。
亞信安全服務(wù)器深度安全防護系統Deep Security集成了最新的VMware vShield Endpoint API����,無(wú)需在虛擬機上安裝任何代理程序�,無(wú)需占用任何客戶(hù)虛擬機資源��,進(jìn)而實(shí)現了保護一臺ESX主機�,上層所有VMware虛擬機自動(dòng)實(shí)現安全配置的效果�,用更低的資源消耗和更快的掃描速度避免了防毒掃描風(fēng)暴的產(chǎn)生����。
在進(jìn)行網(wǎng)絡(luò )攻擊防護時(shí)��,系統首先通過(guò)主機防火墻將非必要的端口阻斷���,降低系統遭受攻擊的范圍�,然后通過(guò)在虛機網(wǎng)卡處使用入侵防御規則�����,偵測�����、分析�����、攔截惡意網(wǎng)絡(luò )流量在虛擬網(wǎng)絡(luò )中的流竄�����。
除此以外��,部規劃院所采用的“無(wú)代理”技術(shù)還解決了虛擬化日常應用中的多項安全技術(shù)難題�����,比如:虛擬機無(wú)論是開(kāi)啟還是關(guān)閉���,都能一直受到來(lái)自安全虛擬機的防護�,從根本上解決了隨時(shí)啟動(dòng)的防護間隙問(wèn)題�;當應用層及操作系統廠(chǎng)商發(fā)現新的漏洞時(shí)�����,亞信安全的資深專(zhuān)家會(huì )及時(shí)的獲取到漏洞信息����,全面漏洞的利用方式����,利用“虛擬補丁”有效抵御零日漏洞的攻擊���。
創(chuàng )新安全技術(shù)服務(wù)智慧交通
隨著(zhù)我國智慧交通建設的全面提速���,大數據已經(jīng)成為交通數據平臺的重要載體���。而“超級大”的交通數據包含了政府����、個(gè)人的敏感信息��,一旦遭到非法使用����,將引起重大后果���。因此��,確保大數據基礎層面的安全可靠����,對于我國智慧交通的發(fā)展刻不容緩����。
對此�����,部規劃院相關(guān)領(lǐng)導表示:“通過(guò)部署這套針對虛擬化環(huán)境設計的安全防護方案����,第一時(shí)間將網(wǎng)內存在的惡意威脅進(jìn)行的查殺和處理���,使得網(wǎng)絡(luò )環(huán)境恢復了正常���。同時(shí)��,Deep security產(chǎn)品無(wú)代理防護方式為三大資源池建起完整的安全防御系統����,體現了安全與效率的統一�����?!?/p>
電話(huà):020-87554885 
郵箱:zzj@lanhuait.com
傳真:020-87539535
地址:廣州市天河區石牌西路8號1610房
當前位置:
020-87554885 
廣州市天河區石牌西路8號1610房
