股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
立即咨询
-
- 客户需求
- 虚拟资源池建设完成后,原有(yǒu)防毒软件无法适用(yòng)虚拟化环境,造成了服務(wù)器性能(néng)下降、安(ān)全策略不统一、网络病毒入侵的情况。
-
- 解决方案
- 利用(yòng)亚信安(ān)全云主机安(ān)全(DeepSecurity)“无代理(lǐ)”底层防护机制,消除AV扫描风暴、自下而上对虚拟化主机、虚拟网络提供全方位防护。
-
- 客户证言
- 通过部署这套针对虚拟化环境设计的安(ān)全防护方案,第一时间将网内存在的恶意威胁进行查杀和处理(lǐ),使得网络环境恢复正常。同时,DeepSecurity产(chǎn)品的无代理(lǐ)防护方式為(wèi)三大资源池建起完整的安(ān)全防御系统,體(tǐ)现了安(ān)全与效率的统一。
——交通运输部规划院IT负责人
亚信安(ān)全助交通运输部规划院為(wèi)智慧交通建设数据安(ān)全“大通道”
近年来,國(guó)家“大通道”建设充分(fēn)體(tǐ)现了交通运输在國(guó)民(mín)经济中(zhōng)基础、先导和战略性的产(chǎn)业特征。作(zuò)為(wèi)國(guó)家级交通运输规划研究机构,交通运输部规划研究院(以下简称“部规划院”) 為(wèi)了更好地支撑交通运输规划的信息化工(gōng)作(zuò),采用(yòng)亚信安(ān)全云主机安(ān)全(DeepSecurity)确保虚拟化平台和信息数据安(ān)全,充分(fēn)发挥IT技(jì )术的创新(xīn)力量,全面推动我國(guó)智慧交通、综合交通的建设步伐。
特殊的虚拟资源池异常现象
交通运输部规划研究院是中(zhōng)國(guó)國(guó)家级交通运输规划研究机构,主要从事综合运输體(tǐ)系和交通运输行业的发展战略、规划和政策研究工(gōng)作(zuò),在重大交通运输建设项目、國(guó)家运输枢纽总體(tǐ)规划可(kě)行性审查(核)工(gōng)作(zuò)中(zhōng)承当可(kě)行性方案制定和核心数据决策分(fēn)析等工(gōng)作(zuò)。為(wèi)了推动交通运输规划研究的信息化能(néng)力,部规划院围绕“三大应用(yòng)系统”和基础环境平台、数据资源平台等“四大平台”。
在基础平台建设方面,部规划院以云计算、虚拟化為(wèi)主要技(jì )术思路,建设完成了院内应用(yòng)、代部建设、物(wù)理(lǐ)隔离内网三大虚拟化资源池,并要求所有(yǒu)信息化相关项目,统一纳入资源池,按需使用(yòng)。但是,随着资源池应用(yòng)的逐步上線(xiàn),网络威胁风险也尾随而至。
在虚拟化管理(lǐ)过程中(zhōng),部规划院发现了非常特殊的现象。例如,内网有(yǒu)时会发现流量异常情况,造成防火墙性能(néng)下降,互联网出口流量拥塞现象;资源池访问速度有(yǒu)时也会突然减慢,造成客户端Web应用(yòng)的明显卡顿。
病毒感染的根源所在
通过对服務(wù)器、网络设备、防火墙日志(zhì)的全面分(fēn)析,并结合专业安(ān)全厂商(shāng)的意见,部规划院网络技(jì )术部门最终找出了问题的根源。
原因一:在前期项目中(zhōng),原有(yǒu)物(wù)理(lǐ)资源被统一迁移到虚拟化平台,為(wèi)了确保应用(yòng)和数据安(ān)全,原有(yǒu)防毒软件被一同重新(xīn)部署过来。但由于无法与虚拟化底层兼容,会在病毒扫描策略执行时出现严重的性能(néng)问题,即业内所说的“防病毒风暴”现象,造成CPU、磁盘I/O的超大压力,影响业務(wù)正常运行,甚至导致虚拟化环境崩溃。
原因二:由于传统防毒软件“不好用(yòng)”,在后续迁移的业務(wù)应用(yòng)、测试系统中(zhōng),并不能(néng)保障每台主机都安(ān)装(zhuāng)防毒软件、不能(néng)保证每套防毒系统都能(néng)随时更新(xīn),这就造成了少数主机感染病毒的情况。这也是防火墙性能(néng)下降、网络异常流量的根源点。
此外,虚拟化技(jì )术使用(yòng)还带来了一些全新(xīn)的威胁挑战,譬如虚拟化防护间隙、虚拟网络的入侵检测,以及安(ān)全策略动态迁移等等。因此,依然沿用(yòng)传统的防护手段,必将无力支持资源池的正常应用(yòng)。
“无代理(lǐ)”防毒的大转折
為(wèi)了保障虚拟化资源池的业務(wù)连续性,避免病毒以及网络攻击对数据、应用(yòng)和网络带来威胁,部规划院从多(duō)套备选方案中(zhōng)最终确定部署基于“无代理(lǐ)”技(jì )术的亚信安(ān)全云主机安(ān)全(DeepSecurity),解决虚拟技(jì )术使用(yòng)后的安(ān)全防护空白,同时从恶意软件、网络入侵攻击、主机访问控制等方面实现资源池整體(tǐ)的安(ān)全。
亚信安(ān)全云主机安(ān)全(DeepSecurity)集成了最新(xīn)的VMware vShield Endpoint API,无需在虚拟机上安(ān)装(zhuāng)任何代理(lǐ)程序,无需占用(yòng)任何客户虚拟机资源,进而实现了保护一台ESX主机,上层所有(yǒu)VMware虚拟机自动实现安(ān)全配置的效果,用(yòng)更低的资源消耗和更快的扫描速度避免了防毒扫描风暴的产(chǎn)生。
在进行网络攻击防护时,系统首先通过主机防火墙将非必要的端口阻断,降低系统遭受攻击的范围,然后通过在虚机网卡处使用(yòng)入侵防御规则,侦测、分(fēn)析、拦截恶意网络流量在虚拟网络中(zhōng)的流窜。
除此以外,部规划院所采用(yòng)的“无代理(lǐ)”技(jì )术还解决了虚拟化日常应用(yòng)中(zhōng)的多(duō)项安(ān)全技(jì )术难题,比如:虚拟机无论是开启还是关闭,都能(néng)一直受到来自安(ān)全虚拟机的防护,从根本上解决了随时启动的防护间隙问题;当应用(yòng)层及操作(zuò)系统厂商(shāng)发现新(xīn)的漏洞时,亚信安(ān)全的资深专家会及时的获取到漏洞信息,全面漏洞的利用(yòng)方式,利用(yòng)“虚拟补丁”有(yǒu)效抵御零日漏洞的攻击。
创新(xīn)安(ān)全技(jì )术服務(wù)智慧交通
随着我國(guó)智慧交通建设的全面提速,大数据已经成為(wèi)交通数据平台的重要载體(tǐ)。而“超级大”的交通数据包含了政府、个人的敏感信息,一旦遭到非法使用(yòng),将引起重大后果。因此,确保大数据基础层面的安(ān)全可(kě)靠,对于我國(guó)智慧交通的发展刻不容缓。
对此,部规划院相关领导表示:“通过部署这套针对虚拟化环境设计的安(ān)全防护方案,第一时间将网内存在的恶意威胁进行的查杀和处理(lǐ),使得网络环境恢复了正常。同时,DeepSecurity产(chǎn)品无代理(lǐ)防护方式為(wèi)三大资源池建起完整的安(ān)全防御系统,體(tǐ)现了安(ān)全与效率的统一。”
下载
相关案例