政務云成為合肥新“名片” 虛擬化安全卻有如針氈

早在2014年，合肥市就將“智慧合肥”的建設擺在了突出位置，其重點通過云計算、大數(shù)據(jù)等新型信息化模式的應用，讓城市運行更加充滿效率，政務云更是“智慧合肥”提升政務效率，提升為民服務能力的重要組成部分。為了進一步推進政務云的建設水平，合肥市在全市大范圍推廣云計算與虛擬化應用。截至2015年6月，合肥市政府信息資源應用中心共計部署了12個單位的35個業(yè)務系統(tǒng)，5個獨立網(wǎng)站和2個網(wǎng)站群，共計含116個網(wǎng)站，這些核心業(yè)務運行在數(shù)百臺虛擬服務器上，確保了核心業(yè)務的高效、安全、敏捷運行。

然而，在政務云的建設過程中，合肥市政府信息資源應用中心卻發(fā)現(xiàn)，虛擬化安全已經(jīng)成為一個棘手問題。政務資源虛擬化后不但面臨著傳統(tǒng)物理時代的各種安全問題，同時由于虛擬系統(tǒng)之間的數(shù)據(jù)交換，以及共享的云端資源池，導致傳統(tǒng)的安全技術手段很難針對虛擬系統(tǒng)提供防護，另外傳統(tǒng)安全技術的使用還帶來更大計算資源的消耗和管理運維，導致與引入虛擬化的初衷相違背。

合肥市政府信息資源應用中心技術負責人表示：“由于政務應用的敏感性，因此國家網(wǎng)信辦對于政務云的安全作出了規(guī)范，并要求明確對于任何情況下對網(wǎng)絡信息系統(tǒng)的數(shù)據(jù)做到可用、可控、可追訴。與此同時，流竄于網(wǎng)絡中的病毒、木馬、網(wǎng)絡攻擊不僅威脅著核心業(yè)務的可用性，也讓機密的政務數(shù)據(jù)面臨著泄露的風險。而且，虛擬化安全的管理復雜性高、虛擬機相互攻擊、隨時啟動的防護間歇、資源爭奪等問題，都對核心政務應用的安全、流暢運行構成了較大挑戰(zhàn)?！?/p>

政務云安全防護提出特殊要求 無代理安全助力打造“智慧合肥”

在認識到政務云安全的迫切性之后，合肥市政府信息資源應用中心立即著手尋找政務云安全方案。然而，合肥市政府信息資源應用中心很快發(fā)現(xiàn)，政務云運行的往往是與人民生活密切相關的重要應用，因此對應用的可用性、流暢性提出了非常高的要求，一旦應用因為安全而出現(xiàn)卡頓乃至停止服務，甚至會帶來災難性的后果。因此，合肥市政府信息資源應用中心將目光放在了采用“無代理”方案的亞信安全服務器深度安全防護系統(tǒng)（Deep Security）之上。

對于合肥政務云來說，亞信安全服務器深度安全防護系統(tǒng)（Deep Security）的優(yōu)勢首先在于，其可以從虛擬化操作系統(tǒng)的底層向上，對每臺虛擬機自動提供保護;其次，Deep Security有效降低了虛擬機并發(fā)全盤掃描、病毒庫更新時對物理主機的資源消耗，不存在安全掃描風暴(AV Storms)的問題；最后，Deep Security提供完整的防護功能，包括防惡意軟件、Web信譽、防火墻、入侵阻止、完整性監(jiān)控和日志檢查等等，其中的虛擬補丁功能，虛擬網(wǎng)絡掃描監(jiān)控等特性可以為數(shù)據(jù)中心內(nèi)部提供更簡化、更安全的管理手段。

“Deep Security完全拋棄了傳統(tǒng)安全的概念，從虛擬化底層的防護入手，采用無代理的工作方式，它在資源消耗方面的節(jié)省使得我們可以大幅提升虛擬機密度。之前我們需要對每個操作系統(tǒng)安裝安全軟件，針對每臺虛擬機配置防火墻和安全策略，但若部署這套系統(tǒng)，以后再給用戶部署虛機時便能一步到位，效率極高?！?合肥市信息資源應用中心技術負責人對亞信安全Deep Security測試階段的表現(xiàn)非常滿意。

由于能夠和多種虛擬化平臺進行無縫集成，這讓Deep Security的“無代理”特性完全發(fā)揮了出來，完全實現(xiàn)了合肥市信息資源應用中心規(guī)劃時的虛擬機密度。另外，通過日志報表分析，Deep Security偵察到虛擬機內(nèi)部網(wǎng)絡中的多個惡意攻擊程序，在感染主機前就進行了主動攔截。

在部署Deep Security之后，云端運行環(huán)境得到了有效的安全保障和優(yōu)化，合肥市信息資源應用中心下一步將承接全市范圍內(nèi)更多的核心應用，讓政務云的效能最大化。同時，合肥市也正在加強“智慧合肥”建設的頂層設計，利用虛擬化、云計算數(shù)據(jù)中心加大資源整合力度，在更寬的領域、更高的層次上推進全市社會管理服務信息化建設。

（本文作者羅旻系亞信安全資深咨詢顧問）

xiesc