在教育信息化角色不斷強(qiáng)化的今天，加強(qiáng)IT基礎(chǔ)資源配置、提升數(shù)據(jù)安全管理，已經(jīng)成為了高校信息化發(fā)展的重要支撐。作為率先采用虛擬化與云計(jì)算“武裝”數(shù)據(jù)中心的高校之一，中國(guó)石油大學(xué)(文中簡(jiǎn)稱(chēng)：中石大)采用亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)，不僅全面提升了虛擬化平臺(tái)的安全管理效率，更有力配合了信息安全等級(jí)保護(hù)工作的落地。

[[164824]]

虛擬化“等保”迎來(lái)新挑戰(zhàn)

中石大(北京)是一所石油特色鮮明、以工為主、多學(xué)科協(xié)調(diào)發(fā)展的教育部直屬全國(guó)重點(diǎn)大學(xué)。近年來(lái)，學(xué)校緊抓數(shù)字化校園建設(shè)契機(jī)，利用移動(dòng)應(yīng)用、虛擬化、云計(jì)算與SDN技術(shù)，對(duì)校園內(nèi)的教學(xué)、科研、管理和生活服務(wù)等信息資源進(jìn)行整合、集成和全面的數(shù)字化，構(gòu)成了統(tǒng)一的用戶(hù)管理和資源管理平臺(tái)。

隨著信息化的深入，尤其是虛擬化技術(shù)的大量應(yīng)用，中石大網(wǎng)絡(luò)中心的老師們卻發(fā)現(xiàn)，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)模式已經(jīng)不能滿(mǎn)足發(fā)展需求，并由此催生了諸多棘手問(wèn)題，如虛擬化平臺(tái)防毒效果不佳、數(shù)據(jù)安全受到威脅、運(yùn)維壓力過(guò)大等。如何在各項(xiàng)業(yè)務(wù)遷移到虛擬化平臺(tái)的同時(shí)解決這些問(wèn)題，確保主機(jī)安全管理達(dá)到等級(jí)保護(hù)的目標(biāo)，是擺在中石大信息化管理者面前的新課題。

中石大網(wǎng)絡(luò)中心的吳老師指出：“虛擬化對(duì)數(shù)據(jù)中心的影響是巨大的，它在資源利用率提高和簡(jiǎn)化系統(tǒng)管理方面比傳統(tǒng)架構(gòu)出色很多。但是，由于傳統(tǒng)信息安全產(chǎn)品不是針對(duì)虛擬化環(huán)境設(shè)計(jì)的，會(huì)產(chǎn)生病毒掃描風(fēng)暴等一系列問(wèn)題。而在虛擬化場(chǎng)景下實(shí)現(xiàn)等級(jí)保護(hù)的要求，更是一個(gè)新的挑戰(zhàn)，必須制定可行方案，否則整個(gè)虛擬環(huán)境的安全將難以得到保證。”

為數(shù)據(jù)中心披上“保護(hù)甲”

在虛擬化數(shù)據(jù)中心，服務(wù)器主機(jī)物理邊界已經(jīng)消失，而實(shí)施等保的技術(shù)難點(diǎn)在于對(duì)于虛擬網(wǎng)絡(luò)進(jìn)行監(jiān)控與網(wǎng)絡(luò)攻擊防御，以及虛擬機(jī)安全防御策略的統(tǒng)一管理。為此，中石大網(wǎng)絡(luò)中心與VMware的技術(shù)工程師進(jìn)行了多次溝通，分析了VMware虛擬環(huán)境下VMsafe和vShield技術(shù)的特點(diǎn)。其中，VMware VMsafe作為一組特殊的應(yīng)用程序通用接口組件(API)，第三方廠商可以利用其構(gòu)建針對(duì)虛擬環(huán)境的安全系統(tǒng)，解決虛擬網(wǎng)絡(luò)流量監(jiān)控和虛機(jī)惡意代碼交叉感染的問(wèn)題。

據(jù)了解，從產(chǎn)品研發(fā)階段開(kāi)始，亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)就最緊密整合了“VMsafe”API和“VMware vShield Endpoint”API。而在功能集成方面，Deep Security更為用戶(hù)提供了平臺(tái)化的操作環(huán)境，這包括統(tǒng)一管理所需的內(nèi)容安全功能，配置防火墻、防惡意軟件、IDS/IPS、Web 應(yīng)用程序防護(hù)、虛擬補(bǔ)丁、完整性監(jiān)控，以及日志審計(jì)和綜合報(bào)表等模塊。

“在考察了多款產(chǎn)品之后，我們發(fā)現(xiàn)亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)能夠解決上述問(wèn)題。其與VMware實(shí)現(xiàn)了完美融合，我們不需要為每一個(gè)虛擬機(jī)安裝代理程序，就能提供網(wǎng)絡(luò)防護(hù)以及病毒防護(hù)技術(shù)，從而降低內(nèi)存與CPU的負(fù)載。最重要的一點(diǎn)是解決了虛擬環(huán)境中可管、可控的難題，可以將等保的要求推送到虛擬服務(wù)器上。” 吳老師介紹了選擇亞信安全產(chǎn)品的原因，而數(shù)據(jù)中心也最終穿上了這層“保護(hù)甲”。

探索“等保”新領(lǐng)域

2015年10月，亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)正式入駐中石大數(shù)據(jù)中心，負(fù)責(zé)100多臺(tái)虛擬服務(wù)器，以及部分物理服務(wù)器的安全防護(hù)。在使用過(guò)程中，用戶(hù)不需要對(duì)每個(gè)操作系統(tǒng)安裝防毒軟件、配置防火墻策略、主機(jī)安全加固策略，安全管理效率得到了大幅提升。

需要重點(diǎn)強(qiáng)調(diào)的是，針對(duì)等保工作的具體要求，亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)可以實(shí)現(xiàn)虛擬機(jī)保護(hù)區(qū)域邊界的動(dòng)態(tài)管理，讓安全策略從始至終跟蹤虛擬機(jī)的移動(dòng)。另外，通過(guò)基于云的事件白名單和可信事件管理，顯著降低了數(shù)據(jù)完整性監(jiān)控的復(fù)雜程度，在近乎不影響性能的情況下實(shí)時(shí)檢測(cè)并刪除虛擬服務(wù)器中的惡意軟件。

亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)正在成為中國(guó)石油大學(xué)數(shù)據(jù)中心安全運(yùn)維的核心系統(tǒng)。針對(duì)應(yīng)用效果，吳老師表示：“傳統(tǒng)的等級(jí)保護(hù)標(biāo)準(zhǔn)主要面向靜態(tài)的、具有固定邊界的系統(tǒng)環(huán)境。面向虛擬化環(huán)境下的等級(jí)保護(hù)工作需要進(jìn)一步深入研究，國(guó)家等級(jí)保護(hù)規(guī)范也會(huì)在云普及的大環(huán)境下進(jìn)行動(dòng)態(tài)調(diào)整。而在與亞信安全的合作中，我們積極探索這種新技術(shù)的可行性，使得虛擬機(jī)設(shè)計(jì)密度達(dá)到了預(yù)期標(biāo)準(zhǔn)，提升了我校數(shù)據(jù)中心的安全性，為信息化應(yīng)用創(chuàng)新發(fā)展提供了更加可信的運(yùn)行環(huán)境。”