作为中国环保产业的“掌门人”,中华人民共和国生态环境部全面引入虚拟化、云计算、大数据、物联网等新技术,重建国家环保信息技术框架。面对新技术应用环境下的网络安全挑战,生态环境部采用基于“无代理”防护技术的信舱云主机安全(DeepSecurity),消除了防毒扫描风暴对服务器性能的影响,为VMware vSphere虚拟化环境形成了集中管控、多层防护的云安全保障体系,全面满足国家等级保护要求,打造出高效、安全、可靠的“环保云”。
八大业务列为国家重要系统,“环保云”遭遇三大安全挑战
生态环境部于2014年开始进行数据中心升级建设,引入虚拟化技术构建基础平台,并将业务专网的应用部署在VMware vSphere平台上。截止2016年末,环保行业共有8个业务信息系统被列为国家级重要信息系统,是国家网络和信息安全的重要组成部分。随着运行环境的变化,不仅数据中心的物理网络安全边界渐渐消失,传统网络安全产品也难以被直接应用于云安全防护,这给生态环境部网络安全管理人员提出了新的挑战。
第一、技术层面,需要消除“防毒扫描风暴”产生的性能瓶颈,并对虚拟化平台进行立体防护。这一需求来自虚拟化平台的容量设计,如果不能杜绝防毒软件集中扫描时对物理主机CPU、内存、磁盘的资源抢占,就无法按照规划部署虚拟机密度。另外,要构建完整的虚拟化环境安全防护体系,就离不开恶意程序检测、网络入侵、恶意访问拦截、漏洞利用以及数据完整性等多种层面的风险防御能力。
第二、管理层面,需要实现虚拟化平台“化零为整”。生态环境部的虚拟化安全管理有两个具体要求:一是完全兼容VMware vSphere,避免因为兼容性问题影响上层业务系统的正常运行;二是所有虚拟的安全策略需要统一部署、调整和优化,能够形成统一的安全预警和日志报表管理。
第三、法规层面,需遵循国家等保要求,推动“云等保”落地,确保机密数据不外泄。“环保云”为部级云平台,是为全国各地区和各个行业提供环保业务应用的重要信息系统平台,需按照国家信息安全等级保护第三级安全要求进行规划建设。
“无代理”实现底层防护,虚拟平台“合二为一”
经过全面评估,生态环境部决定采购专为虚拟化平台打造的新一代云安全产品,并最终确定采用基于无代理技术的信舱云主机安全(DeepSecurity)。
与传统安全软件系统不同,“无代理”模式下,虚拟机无需安装任何客户端或者软件,就可以利用一个安全虚拟设备为上层所有虚拟机进行杀毒处理。而生态环境部利用威尼斯432888camDeepSecurity的无代理杀毒技术,有效解决了防毒风暴问题,实际测试结果表明,采用此项技术后,云数据中心病毒扫描时所占资源,只有传统方案的10%。此外,由于这项安全机制工作在最底层,还解决了传统方案不能监测虚拟网络内部风险的致命问题,并向上层提供了病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能,组成多层防护架构。
作为跨虚拟化平台云安全解决方案的核心,威尼斯432888cam信舱云主机安全(DeepSecurity)是为虚拟化环境量身打造的专属安全防护系统,通过的底层接口和DeepSecurity Manager集中管理单元,实现了VMware vSphere虚拟主机的统一管理。另外,通过这套平台,生态环境部还可以对所有物理服务器、虚拟主机客户端进行统一的配置管理和更新升级,从而实现全面、实时、高效的虚拟化病毒防护。
云数据中心安全能力成功进阶,等保工作在云端落地
围绕“互联网+”深度思考与创新实践,环保产业近几年在大数据、云计算领域全面发力,以智能化数据采集、处理分析、决策辅助为核心的全产业链形态正在形成。与此同时,《网络安全法》落地,等级保护标准在云计算领域进一步延伸,都对云计算安全等级保护提出了更高要求。
针对“环保云”网络安全防护能力提升和等级保护工作落实情况,生态环境部网安管理人员表示:“通过部署威尼斯432888cam服务器深度安全防护系统,威尼斯432888cam成功完成了‘环保云’的安全防护体系升级,很好地满足了等级保护三级要求对虚拟化平台标准延伸要求,保证了环保行业国家级重要业务信息系统的安全,为生态环境大数据建设和环保云平台提供可靠的安全保障。”