客戶需求：生態(tài)環(huán)境部希望重新構(gòu)建云安全防御系統(tǒng)，提升云數(shù)據(jù)中心的網(wǎng)絡(luò)安全運(yùn)維水平， 在“環(huán)保云”建設(shè)應(yīng)用過程中，將等級保護(hù)工作落地，實(shí)現(xiàn)虛擬化平臺(tái)的統(tǒng)一安全管理，消除防毒掃描風(fēng)暴造成的性能影響。

    解決方案：亞信安全以服務(wù)器深度安全防護(hù)系統(tǒng)（Deep Security）為核心產(chǎn)品，基于“無代理”防護(hù)技術(shù)優(yōu)勢，為客戶消除了傳統(tǒng)防毒系統(tǒng)對服務(wù)器資源的搶占，實(shí)現(xiàn)了對于VMware vSphere虛擬化環(huán)境的集中安全管控，全面滿足國家等級保護(hù)要求，打造出高效、安全、可靠的“環(huán)保云”。

    效果/客戶證言：通過部署亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)，我們成功完成了“環(huán)保云”的安全防護(hù)體系升級，很好地滿足了等級保護(hù)三級要求對虛擬化平臺(tái)標(biāo)準(zhǔn)延伸要求，保證了環(huán)保行業(yè)國家級重要業(yè)務(wù)信息系統(tǒng)的安全，為生態(tài)環(huán)境大數(shù)據(jù)建設(shè)和環(huán)保云平臺(tái)提供可靠的安全保障。

——生態(tài)環(huán)境部相關(guān)領(lǐng)導(dǎo)

    作為中國環(huán)保產(chǎn)業(yè)的“掌門人”，中華人民共和國生態(tài)環(huán)境部全面引入虛擬化、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)，重建國家環(huán)保信息技術(shù)框架。面對新技術(shù)應(yīng)用環(huán)境下的網(wǎng)絡(luò)安全挑戰(zhàn)，生態(tài)環(huán)境部采用基于“無代理”防護(hù)技術(shù)的亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)（Deep Security），消除了防毒掃描風(fēng)暴對服務(wù)器性能的影響，為VMware vSphere虛擬化環(huán)境形成了集中管控、多層防護(hù)的云安全保障體系，全面滿足國家等級保護(hù)要求，打造出高效、安全、可靠的“環(huán)保云”。

八大業(yè)務(wù)列為國家重要系統(tǒng)，“環(huán)保云”遭遇三大安全挑戰(zhàn)

    生態(tài)環(huán)境部于2014年開始進(jìn)行數(shù)據(jù)中心升級建設(shè)，引入虛擬化技術(shù)構(gòu)建基礎(chǔ)平臺(tái)，并將業(yè)務(wù)專網(wǎng)的應(yīng)用部署在VMware vSphere平臺(tái)上。截止2016年末，環(huán)保行業(yè)共有8個(gè)業(yè)務(wù)信息系統(tǒng)被列為國家級重要信息系統(tǒng)，是國家網(wǎng)絡(luò)和信息安全的重要組成部分。隨著運(yùn)行環(huán)境的變化，不僅數(shù)據(jù)中心的物理網(wǎng)絡(luò)安全邊界漸漸消失，傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品也難以被直接應(yīng)用于云安全防護(hù)，這給生態(tài)環(huán)境部網(wǎng)絡(luò)安全管理人員提出了新的挑戰(zhàn)。

    第一、技術(shù)層面，需要消除“防毒掃描風(fēng)暴”產(chǎn)生的性能瓶頸，并對虛擬化平臺(tái)進(jìn)行立體防護(hù)。這一需求來自虛擬化平臺(tái)的容量設(shè)計(jì)，如果不能杜絕防毒軟件集中掃描時(shí)對物理主機(jī)CPU、內(nèi)存、磁盤的資源搶占，就無法按照規(guī)劃部署虛擬機(jī)密度。另外，要構(gòu)建完整的虛擬化環(huán)境安全防護(hù)體系，就離不開惡意程序檢測、網(wǎng)絡(luò)入侵、惡意訪問攔截、漏洞利用以及數(shù)據(jù)完整性等多種層面的風(fēng)險(xiǎn)防御能力。

    第二、管理層面，需要實(shí)現(xiàn)虛擬化平臺(tái)“化零為整”。生態(tài)環(huán)境部的虛擬化安全管理有兩個(gè)具體要求：一是完全兼容VMware vSphere，避免因?yàn)榧嫒菪詥栴}影響上層業(yè)務(wù)系統(tǒng)的正常運(yùn)行；二是所有虛擬的安全策略需要統(tǒng)一部署、調(diào)整和優(yōu)化，能夠形成統(tǒng)一的安全預(yù)警和日志報(bào)表管理。

    第三、法規(guī)層面，需遵循國家等保要求，推動(dòng)“云等?！甭涞?，確保機(jī)密數(shù)據(jù)不外泄?！碍h(huán)保云”為部級云平臺(tái)，是為全國各地區(qū)和各個(gè)行業(yè)提供環(huán)保業(yè)務(wù)應(yīng)用的重要信息系統(tǒng)平臺(tái)，需按照國家信息安全等級保護(hù)第三級安全要求進(jìn)行規(guī)劃建設(shè)。

“無代理”實(shí)現(xiàn)底層防護(hù)，虛擬平臺(tái)“合二為一”

    經(jīng)過全面評估，生態(tài)環(huán)境部決定采購專為虛擬化平臺(tái)打造的新一代云安全產(chǎn)品，并最終確定采用基于無代理技術(shù)的亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)（Deep Security）。

    與傳統(tǒng)安全軟件系統(tǒng)不同，“無代理”模式下，虛擬機(jī)無需安裝任何客戶端或者軟件，就可以利用一個(gè)安全虛擬設(shè)備為上層所有虛擬機(jī)進(jìn)行殺毒處理。而生態(tài)環(huán)境部利用亞信安全Deep Security的無代理殺毒技術(shù)，有效解決了防毒風(fēng)暴問題，實(shí)際測試結(jié)果表明，采用此項(xiàng)技術(shù)后，云數(shù)據(jù)中心病毒掃描時(shí)所占資源，只有傳統(tǒng)方案的10%。此外，由于這項(xiàng)安全機(jī)制工作在最底層，還解決了傳統(tǒng)方案不能監(jiān)測虛擬網(wǎng)絡(luò)內(nèi)部風(fēng)險(xiǎn)的致命問題，并向上層提供了病毒防護(hù)、訪問控制、入侵檢測/入侵防護(hù)、虛擬補(bǔ)丁、主機(jī)完整性監(jiān)控、日志審計(jì)等功能，組成多層防護(hù)架構(gòu)。

    作為跨虛擬化平臺(tái)云安全解決方案的核心，亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)（Deep Security）是為虛擬化環(huán)境量身打造的專屬安全防護(hù)系統(tǒng)，通過的底層接口和Deep Security Manager集中管理單元，實(shí)現(xiàn)了VMware vSphere虛擬主機(jī)的統(tǒng)一管理。另外，通過這套平臺(tái)，生態(tài)環(huán)境部還可以對所有物理服務(wù)器、虛擬主機(jī)客戶端進(jìn)行統(tǒng)一的配置管理和更新升級，從而實(shí)現(xiàn)全面、實(shí)時(shí)、高效的虛擬化病毒防護(hù)。

云數(shù)據(jù)中心安全能力成功進(jìn)階，等保工作在云端落地

    圍繞“互聯(lián)網(wǎng)+”深度思考與創(chuàng)新實(shí)踐，環(huán)保產(chǎn)業(yè)近幾年在大數(shù)據(jù)、云計(jì)算領(lǐng)域全面發(fā)力，以智能化數(shù)據(jù)采集、處理分析、決策輔助為核心的全產(chǎn)業(yè)鏈形態(tài)正在形成。與此同時(shí)，《網(wǎng)絡(luò)安全法》落地，等級保護(hù)標(biāo)準(zhǔn)在云計(jì)算領(lǐng)域進(jìn)一步延伸，都對云計(jì)算安全等級保護(hù)提出了更高要求。

    針對“環(huán)保云”網(wǎng)絡(luò)安全防護(hù)能力提升和等級保護(hù)工作落實(shí)情況，生態(tài)環(huán)境部網(wǎng)安管理人員表示：“通過部署亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)，我們成功完成了‘環(huán)保云’的安全防護(hù)體系升級，很好地滿足了等級保護(hù)三級要求對虛擬化平臺(tái)標(biāo)準(zhǔn)延伸要求，保證了環(huán)保行業(yè)國家級重要業(yè)務(wù)信息系統(tǒng)的安全，為生態(tài)環(huán)境大數(shù)據(jù)建設(shè)和環(huán)保云平臺(tái)提供可靠的安全保障?！?/span>