在基礎(chǔ)平臺(tái)建設(shè)方面���,部規(guī)劃院以云計(jì)算����、虛擬化為主要技術(shù)思路�,建設(shè)完成了院內(nèi)應(yīng)用、代部建設(shè)��、物理隔離內(nèi)網(wǎng)三大虛擬化資源池����,并要求所有信息化相關(guān)項(xiàng)目,統(tǒng)一納入資源池���,按需使用�。但是����,隨著資源池應(yīng)用的逐步上線����,網(wǎng)絡(luò)威脅風(fēng)險(xiǎn)也尾隨而至�����。
在虛擬化管理過(guò)程中���,部規(guī)劃院發(fā)現(xiàn)了非常特殊的現(xiàn)象�����。例如��,內(nèi)網(wǎng)有時(shí)會(huì)發(fā)現(xiàn)流量異常情況���,造成防火墻性能下降,互聯(lián)網(wǎng)出口流量擁塞現(xiàn)象���;資源池訪問(wèn)速度有時(shí)也會(huì)突然減慢���,造成客戶端Web應(yīng)用的明顯卡頓。
病毒感染的根源所在
通過(guò)對(duì)服務(wù)器���、網(wǎng)絡(luò)設(shè)備����、防火墻日志的全面分析�����,并結(jié)合專(zhuān)業(yè)安全廠商的意見(jiàn)����,部規(guī)劃院網(wǎng)絡(luò)技術(shù)部門(mén)最終找出了問(wèn)題的根源。
原因一:在前期項(xiàng)目中����,原有物理資源被統(tǒng)一遷移到虛擬化平臺(tái),為了確保應(yīng)用和數(shù)據(jù)安全����,原有防毒軟件被一同重新部署過(guò)來(lái)。但由于無(wú)法與虛擬化底層兼容��,會(huì)在病毒掃描策略執(zhí)行時(shí)出現(xiàn)嚴(yán)重的性能問(wèn)題,即業(yè)內(nèi)所說(shuō)的“防病毒風(fēng)暴”現(xiàn)象��,造成CPU�����、磁盤(pán)I/O的超大壓力�����,影響業(yè)務(wù)正常運(yùn)行�,甚至導(dǎo)致虛擬化環(huán)境崩潰。
原因二:由于傳統(tǒng)防毒軟件“不好用”����,在后續(xù)遷移的業(yè)務(wù)應(yīng)用、測(cè)試系統(tǒng)中��,并不能保障每臺(tái)主機(jī)都安裝防毒軟件�����、不能保證每套防毒系統(tǒng)都能隨時(shí)更新�,這就造成了少數(shù)主機(jī)感染病毒的情況。這也是防火墻性能下降�����、網(wǎng)絡(luò)異常流量的根源點(diǎn)。
此外�,虛擬化技術(shù)使用還帶來(lái)了一些全新的威脅挑戰(zhàn)���,譬如虛擬化防護(hù)間隙��、虛擬網(wǎng)絡(luò)的入侵檢測(cè)����,以及安全策略動(dòng)態(tài)遷移等等��。因此���,依然沿用傳統(tǒng)的防護(hù)手段����,必將無(wú)力支持資源池的正常應(yīng)用��。
“無(wú)代理”防毒的大轉(zhuǎn)折
為了保障虛擬化資源池的業(yè)務(wù)連續(xù)性����,避免病毒以及網(wǎng)絡(luò)攻擊對(duì)數(shù)據(jù)、應(yīng)用和網(wǎng)絡(luò)帶來(lái)威脅,部規(guī)劃院從多套備選方案中最終確定部署基于“無(wú)代理”技術(shù)的亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)Deep Security����,解決虛擬技術(shù)使用后的安全防護(hù)空白,同時(shí)從惡意軟件����、網(wǎng)絡(luò)入侵攻擊、主機(jī)訪問(wèn)控制等方面實(shí)現(xiàn)資源池整體的安全�����。
亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)Deep Security集成了最新的VMware vShield Endpoint API����,無(wú)需在虛擬機(jī)上安裝任何代理程序,無(wú)需占用任何客戶虛擬機(jī)資源�����,進(jìn)而實(shí)現(xiàn)了保護(hù)一臺(tái)ESX主機(jī)�,上層所有VMware虛擬機(jī)自動(dòng)實(shí)現(xiàn)安全配置的效果,用更低的資源消耗和更快的掃描速度避免了防毒掃描風(fēng)暴的產(chǎn)生��。
在進(jìn)行網(wǎng)絡(luò)攻擊防護(hù)時(shí)�����,系統(tǒng)首先通過(guò)主機(jī)防火墻將非必要的端口阻斷,降低系統(tǒng)遭受攻擊的范圍��,然后通過(guò)在虛機(jī)網(wǎng)卡處使用入侵防御規(guī)則,偵測(cè)��、分析、攔截惡意網(wǎng)絡(luò)流量在虛擬網(wǎng)絡(luò)中的流竄��。
除此以外����,部規(guī)劃院所采用的“無(wú)代理”技術(shù)還解決了虛擬化日常應(yīng)用中的多項(xiàng)安全技術(shù)難題,比如:虛擬機(jī)無(wú)論是開(kāi)啟還是關(guān)閉���,都能一直受到來(lái)自安全虛擬機(jī)的防護(hù),從根本上解決了隨時(shí)啟動(dòng)的防護(hù)間隙問(wèn)題���;當(dāng)應(yīng)用層及操作系統(tǒng)廠商發(fā)現(xiàn)新的漏洞時(shí)�,亞信安全的資深專(zhuān)家會(huì)及時(shí)的獲取到漏洞信息,全面漏洞的利用方式�,利用“虛擬補(bǔ)丁”有效抵御零日漏洞的攻擊�。
創(chuàng)新安全技術(shù)服務(wù)智慧交通
隨著我國(guó)智慧交通建設(shè)的全面提速�����,大數(shù)據(jù)已經(jīng)成為交通數(shù)據(jù)平臺(tái)的重要載體。而“超級(jí)大”的交通數(shù)據(jù)包含了政府����、個(gè)人的敏感信息���,一旦遭到非法使用�,將引起重大后果���。因此��,確保大數(shù)據(jù)基礎(chǔ)層面的安全可靠,對(duì)于我國(guó)智慧交通的發(fā)展刻不容緩�。
對(duì)此��,部規(guī)劃院相關(guān)領(lǐng)導(dǎo)表示:“通過(guò)部署這套針對(duì)虛擬化環(huán)境設(shè)計(jì)的安全防護(hù)方案,第一時(shí)間將網(wǎng)內(nèi)存在的惡意威脅進(jìn)行的查殺和處理�,使得網(wǎng)絡(luò)環(huán)境恢復(fù)了正常���。同時(shí)��,Deep security產(chǎn)品無(wú)代理防護(hù)方式為三大資源池建起完整的安全防御系統(tǒng)�,體現(xiàn)了安全與效率的統(tǒng)一���。”
