客戶需求：生態(tài)環(huán)境部希望重新構(gòu)建云安全防御系統(tǒng)，提升云數(shù)據(jù)中心的網(wǎng)絡(luò)安全運維水平， 在“環(huán)保云”建設(shè)應(yīng)用過程中，將等級保護工作落地，實現(xiàn)虛擬化平臺的統(tǒng)一安全管理，消除防毒掃描風暴造成的性能影響。

    解決方案：亞信安全以服務(wù)器深度安全防護系統(tǒng)（Deep Security）為核心產(chǎn)品，基于“無代理”防護技術(shù)優(yōu)勢，為客戶消除了傳統(tǒng)防毒系統(tǒng)對服務(wù)器資源的搶占，實現(xiàn)了對于VMware vSphere虛擬化環(huán)境的集中安全管控，全面滿足國家等級保護要求，打造出高效、安全、可靠的“環(huán)保云”。

    效果/客戶證言：通過部署亞信安全服務(wù)器深度安全防護系統(tǒng)，我們成功完成了“環(huán)保云”的安全防護體系升級，很好地滿足了等級保護三級要求對虛擬化平臺標準延伸要求，保證了環(huán)保行業(yè)國家級重要業(yè)務(wù)信息系統(tǒng)的安全，為生態(tài)環(huán)境大數(shù)據(jù)建設(shè)和環(huán)保云平臺提供可靠的安全保障。

——生態(tài)環(huán)境部相關(guān)領(lǐng)導

    作為中國環(huán)保產(chǎn)業(yè)的“掌門人”，中華人民共和國生態(tài)環(huán)境部全面引入虛擬化、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)，重建國家環(huán)保信息技術(shù)框架。面對新技術(shù)應(yīng)用環(huán)境下的網(wǎng)絡(luò)安全挑戰(zhàn)，生態(tài)環(huán)境部采用基于“無代理”防護技術(shù)的亞信安全服務(wù)器深度安全防護系統(tǒng)（Deep Security），消除了防毒掃描風暴對服務(wù)器性能的影響，為VMware vSphere虛擬化環(huán)境形成了集中管控、多層防護的云安全保障體系，全面滿足國家等級保護要求，打造出高效、安全、可靠的“環(huán)保云”。

八大業(yè)務(wù)列為國家重要系統(tǒng)，“環(huán)保云”遭遇三大安全挑戰(zhàn)

    生態(tài)環(huán)境部于2014年開始進行數(shù)據(jù)中心升級建設(shè)，引入虛擬化技術(shù)構(gòu)建基礎(chǔ)平臺，并將業(yè)務(wù)專網(wǎng)的應(yīng)用部署在VMware vSphere平臺上。截止2016年末，環(huán)保行業(yè)共有8個業(yè)務(wù)信息系統(tǒng)被列為國家級重要信息系統(tǒng)，是國家網(wǎng)絡(luò)和信息安全的重要組成部分。隨著運行環(huán)境的變化，不僅數(shù)據(jù)中心的物理網(wǎng)絡(luò)安全邊界漸漸消失，傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品也難以被直接應(yīng)用于云安全防護，這給生態(tài)環(huán)境部網(wǎng)絡(luò)安全管理人員提出了新的挑戰(zhàn)。

    第一、技術(shù)層面，需要消除“防毒掃描風暴”產(chǎn)生的性能瓶頸，并對虛擬化平臺進行立體防護。這一需求來自虛擬化平臺的容量設(shè)計，如果不能杜絕防毒軟件集中掃描時對物理主機CPU、內(nèi)存、磁盤的資源搶占，就無法按照規(guī)劃部署虛擬機密度。另外，要構(gòu)建完整的虛擬化環(huán)境安全防護體系，就離不開惡意程序檢測、網(wǎng)絡(luò)入侵、惡意訪問攔截、漏洞利用以及數(shù)據(jù)完整性等多種層面的風險防御能力。

    第二、管理層面，需要實現(xiàn)虛擬化平臺“化零為整”。生態(tài)環(huán)境部的虛擬化安全管理有兩個具體要求：一是完全兼容VMware vSphere，避免因為兼容性問題影響上層業(yè)務(wù)系統(tǒng)的正常運行；二是所有虛擬的安全策略需要統(tǒng)一部署、調(diào)整和優(yōu)化，能夠形成統(tǒng)一的安全預(yù)警和日志報表管理。

    第三、法規(guī)層面，需遵循國家等保要求，推動“云等?！甭涞?，確保機密數(shù)據(jù)不外泄?！碍h(huán)保云”為部級云平臺，是為全國各地區(qū)和各個行業(yè)提供環(huán)保業(yè)務(wù)應(yīng)用的重要信息系統(tǒng)平臺，需按照國家信息安全等級保護第三級安全要求進行規(guī)劃建設(shè)。

“無代理”實現(xiàn)底層防護，虛擬平臺“合二為一”

    經(jīng)過全面評估，生態(tài)環(huán)境部決定采購專為虛擬化平臺打造的新一代云安全產(chǎn)品，并最終確定采用基于無代理技術(shù)的亞信安全服務(wù)器深度安全防護系統(tǒng)（Deep Security）。

    與傳統(tǒng)安全軟件系統(tǒng)不同，“無代理”模式下，虛擬機無需安裝任何客戶端或者軟件，就可以利用一個安全虛擬設(shè)備為上層所有虛擬機進行殺毒處理。而生態(tài)環(huán)境部利用亞信安全Deep Security的無代理殺毒技術(shù)，有效解決了防毒風暴問題，實際測試結(jié)果表明，采用此項技術(shù)后，云數(shù)據(jù)中心病毒掃描時所占資源，只有傳統(tǒng)方案的10%。此外，由于這項安全機制工作在最底層，還解決了傳統(tǒng)方案不能監(jiān)測虛擬網(wǎng)絡(luò)內(nèi)部風險的致命問題，并向上層提供了病毒防護、訪問控制、入侵檢測/入侵防護、虛擬補丁、主機完整性監(jiān)控、日志審計等功能，組成多層防護架構(gòu)。

    作為跨虛擬化平臺云安全解決方案的核心，亞信安全服務(wù)器深度安全防護系統(tǒng)（Deep Security）是為虛擬化環(huán)境量身打造的專屬安全防護系統(tǒng)，通過的底層接口和Deep Security Manager集中管理單元，實現(xiàn)了VMware vSphere虛擬主機的統(tǒng)一管理。另外，通過這套平臺，生態(tài)環(huán)境部還可以對所有物理服務(wù)器、虛擬主機客戶端進行統(tǒng)一的配置管理和更新升級，從而實現(xiàn)全面、實時、高效的虛擬化病毒防護。

云數(shù)據(jù)中心安全能力成功進階，等保工作在云端落地

    圍繞“互聯(lián)網(wǎng)+”深度思考與創(chuàng)新實踐，環(huán)保產(chǎn)業(yè)近幾年在大數(shù)據(jù)、云計算領(lǐng)域全面發(fā)力，以智能化數(shù)據(jù)采集、處理分析、決策輔助為核心的全產(chǎn)業(yè)鏈形態(tài)正在形成。與此同時，《網(wǎng)絡(luò)安全法》落地，等級保護標準在云計算領(lǐng)域進一步延伸，都對云計算安全等級保護提出了更高要求。

    針對“環(huán)保云”網(wǎng)絡(luò)安全防護能力提升和等級保護工作落實情況，生態(tài)環(huán)境部網(wǎng)安管理人員表示：“通過部署亞信安全服務(wù)器深度安全防護系統(tǒng)，我們成功完成了‘環(huán)保云’的安全防護體系升級，很好地滿足了等級保護三級要求對虛擬化平臺標準延伸要求，保證了環(huán)保行業(yè)國家級重要業(yè)務(wù)信息系統(tǒng)的安全，為生態(tài)環(huán)境大數(shù)據(jù)建設(shè)和環(huán)保云平臺提供可靠的安全保障。”