作為中國環保產業的“掌門人”,中華人民共和國生態環境部全面引入虛擬化、雲計算、大數據、物聯網等新技術,重建國家環保信息技術框架。面對新技術應用環境下的網絡安全挑戰,生態環境部採用基於“無代理”防護技術的亞信安全服務器深度安全防護系統(Deep Security),消除了防毒掃描風暴對服務器性能的影響,為VMware vSphere虛擬化環境形成了集中管控、多層防護的雲安全保障體系,全面滿足國家等級保護要求,打造出高效、安全、可靠的“環保雲”。
八大業務列為國家重要系統,“環保雲”遭遇三大安全挑戰
生態環境部於2014年開始進行數據中心升級建設,引入虛擬化技術構建基礎平臺,並將業務專網的應用部署在VMware vSphere平臺上。截止2016年末,環保行業共有8個業務信息系統被列為國家級重要信息系統,是國家網絡和信息安全的重要組成部分。隨著運行環境的變化,不僅數據中心的物理網絡安全邊界漸漸消失,傳統網絡安全產品也難以被直接應用於雲安全防護,這給生態環境部網絡安全管理人員提出了新的挑戰。
第一、技術層面,需要消除“防毒掃描風暴”產生的性能瓶頸,並對虛擬化平臺進行立體防護。這一需求來自虛擬化平臺的容量設計,如果不能杜絕防毒軟件集中掃描時對物理主機CPU、內存、磁盤的資源搶佔,就無法按照規劃部署虛擬機密度。另外,要構建完整的虛擬化環境安全防護體系,就離不開惡意程序檢測、網絡入侵、惡意訪問攔截、漏洞利用以及數據完整性等多種層面的風險防禦能力。
第二、管理層面,需要實現虛擬化平臺“化零為整”。生態環境部的虛擬化安全管理有兩個具體要求:一是完全兼容VMware vSphere,避免因為兼容性問題影響上層業務系統的正常運行;二是所有虛擬的安全策略需要統一部署、調整和優化,能夠形成統一的安全預警和日誌報表管理。
第三、法規層面,需遵循國家等保要求,推動“雲等保”落地,確保機密數據不外洩。“環保雲”為部級雲平臺,是為全國各地區和各個行業提供環保業務應用的重要信息系統平臺,需按照國家信息安全等級保護第三級安全要求進行規劃建設。
“無代理”實現底層防護,虛擬平臺“合二為一”
經過全面評估,生態環境部決定採購專為虛擬化平臺打造的新一代雲安全產品,並最終確定採用基於無代理技術的亞信安全服務器深度安全防護系統(Deep Security)。
與傳統安全軟件系統不同,“無代理”模式下,虛擬機無需安裝任何客戶端或者軟件,就可以利用一個安全虛擬設備為上層所有虛擬機進行殺毒處理。而生態環境部利用亞信安全Deep Security的無代理殺毒技術,有效解決了防毒風暴問題,實際測試結果表明,採用此項技術後,雲數據中心病毒掃描時所佔資源,只有傳統方案的10%。此外,由於這項安全機制工作在最底層,還解決了傳統方案不能監測虛擬網絡內部風險的致命問題,並向上層提供了病毒防護、訪問控制、入侵檢測/入侵防護、虛擬補丁、主機完整性監控、日誌審計等功能,組成多層防護架構。
作為跨虛擬化平臺雲安全解決方案的核心,亞信安全服務器深度安全防護系統(Deep Security)是為虛擬化環境量身打造的專屬安全防護系統,通過的底層接口和Deep Security Manager集中管理單元,實現了VMware vSphere虛擬主機的統一管理。另外,通過這套平臺,生態環境部還可以對所有物理服務器、虛擬主機客戶端進行統一的配置管理和更新升級,從而實現全面、實時、高效的虛擬化病毒防護。
雲數據中心安全能力成功進階,等保工作在雲端落地
圍繞“互聯網+”深度思考與創新實踐,環保產業近幾年在大數據、雲計算領域全面發力,以智能化數據採集、處理分析、決策輔助為核心的全產業鏈形態正在形成。與此同時,《網絡安全法》落地,等級保護標準在雲計算領域進一步延伸,都對雲計算安全等級保護提出了更高要求。
針對“環保雲”網絡安全防護能力提升和等級保護工作落實情況,生態環境部網安管理人員表示:“通過部署亞信安全服務器深度安全防護系統,我們成功完成了'環保雲'的安全防護體系升級,很好地滿足了等級保護三級要求對虛擬化平臺標準延伸要求,保證了環保行業國家級重要業務信息系統的安全,為生態環境大數據建設和環保雲平臺提供可靠的安全保障。”
閱讀更多 首席發言人 的文章
