作為中國環(huán)保產業(yè)的“掌門人”,中華人民共和國生態(tài)環(huán)境部全面引入虛擬化����、云計算�����、大數據���、物聯網等新技術,重建國家環(huán)保信息技術框架�����。面對新技術應用環(huán)境下的網絡安全挑戰(zhàn)����,生態(tài)環(huán)境部采用基于“無代理”防護技術的亞信安全服務器深度安全防護系統(Deep Security)���,消除了防毒掃描風暴對服務器性能的影響�,為VMware vSphere虛擬化環(huán)境形成了集中管控����、多層防護的云安全保障體系�����,全面滿足國家等級保護要求����,打造出高效��、安全���、可靠的“環(huán)保云”��。
八大業(yè)務列為國家重要系統��,“環(huán)保云”遭遇三大安全挑戰(zhàn)
生態(tài)環(huán)境部于2014年開始進行數據中心升級建設�����,引入虛擬化技術構建基礎平臺��,并將業(yè)務專網的應用部署在VMware vSphere平臺上����。截止2016年末�,環(huán)保行業(yè)共有8個業(yè)務信息系統被列為國家級重要信息系統����,是國家網絡和信息安全的重要組成部分��。隨著運行環(huán)境的變化����,不僅數據中心的物理網絡安全邊界漸漸消失,傳統網絡安全產品也難以被直接應用于云安全防護�,這給生態(tài)環(huán)境部網絡安全管理人員提出了新的挑戰(zhàn)。
第一��、技術層面���,需要消除“防毒掃描風暴”產生的性能瓶頸���,并對虛擬化平臺進行立體防護。這一需求來自虛擬化平臺的容量設計�����,如果不能杜絕防毒軟件集中掃描時對物理主機CPU�����、內存���、磁盤的資源搶占����,就無法按照規(guī)劃部署虛擬機密度���。另外����,要構建完整的虛擬化環(huán)境安全防護體系�,就離不開惡意程序檢測、網絡入侵���、惡意訪問攔截���、漏洞利用以及數據完整性等多種層面的風險防御能力。
第二�、管理層面,需要實現虛擬化平臺“化零為整”�����。生態(tài)環(huán)境部的虛擬化安全管理有兩個具體要求:一是完全兼容VMware vSphere,避免因為兼容性問題影響上層業(yè)務系統的正常運行�;二是所有虛擬的安全策略需要統一部署、調整和優(yōu)化��,能夠形成統一的安全預警和日志報表管理�。
第三、法規(guī)層面�����,需遵循國家等保要求�,推動“云等保”落地��,確保機密數據不外泄����。“環(huán)保云”為部級云平臺�,是為全國各地區(qū)和各個行業(yè)提供環(huán)保業(yè)務應用的重要信息系統平臺,需按照國家信息安全等級保護第三級安全要求進行規(guī)劃建設�。
“無代理”實現底層防護,虛擬平臺“合二為一”
經過全面評估��,生態(tài)環(huán)境部決定采購專為虛擬化平臺打造的新一代云安全產品����,并最終確定采用基于無代理技術的亞信安全服務器深度安全防護系統(Deep Security)。
與傳統安全軟件系統不同��,“無代理”模式下��,虛擬機無需安裝任何客戶端或者軟件����,就可以利用一個安全虛擬設備為上層所有虛擬機進行殺毒處理。而生態(tài)環(huán)境部利用亞信安全Deep Security的無代理殺毒技術���,有效解決了防毒風暴問題����,實際測試結果表明�,采用此項技術后,云數據中心病毒掃描時所占資源�,只有傳統方案的10%。此外���,由于這項安全機制工作在最底層�,還解決了傳統方案不能監(jiān)測虛擬網絡內部風險的致命問題,并向上層提供了病毒防護�、訪問控制、入侵檢測/入侵防護���、虛擬補丁��、主機完整性監(jiān)控�����、日志審計等功能�,組成多層防護架構���。
作為跨虛擬化平臺云安全解決方案的核心�,亞信安全服務器深度安全防護系統(Deep Security)是為虛擬化環(huán)境量身打造的專屬安全防護系統�,通過的底層接口和Deep Security Manager集中管理單元,實現了VMware vSphere虛擬主機的統一管理�����。另外�����,通過這套平臺,生態(tài)環(huán)境部還可以對所有物理服務器���、虛擬主機客戶端進行統一的配置管理和更新升級�,從而實現全面�����、實時��、高效的虛擬化病毒防護��。
云數據中心安全能力成功進階��,等保工作在云端落地
圍繞“互聯網+”深度思考與創(chuàng)新實踐�,環(huán)保產業(yè)近幾年在大數據����、云計算領域全面發(fā)力,以智能化數據采集�、處理分析、決策輔助為核心的全產業(yè)鏈形態(tài)正在形成���。與此同時�����,《網絡安全法》落地�����,等級保護標準在云計算領域進一步延伸���,都對云計算安全等級保護提出了更高要求�����。
針對“環(huán)保云”網絡安全防護能力提升和等級保護工作落實情況�����,生態(tài)環(huán)境部網安管理人員表示:“通過部署亞信安全服務器深度安全防護系統�����,我們成功完成了‘環(huán)保云’的安全防護體系升級����,很好地滿足了等級保護三級要求對虛擬化平臺標準延伸要求�����,保證了環(huán)保行業(yè)國家級重要業(yè)務信息系統的安全,為生態(tài)環(huán)境大數據建設和環(huán)保云平臺提供可靠的安全保障�����?�!?/p>
