客戶需求：解決Citrix虛擬化桌面安裝防毒軟件之后產(chǎn)生的性能損耗，實(shí)現(xiàn)統(tǒng)一的防病毒管理，確保防毒代碼和補(bǔ)丁集中升級(jí)時(shí)不影響用戶體驗(yàn)，為后期項(xiàng)目提供安全、可靠、易管的虛擬化平臺(tái)。

解決方案：以亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)為方案核心，全面兼容Citrix虛擬化平臺(tái)，通過“無代理”部署特性避免了防毒風(fēng)暴(AV Storm)的產(chǎn)生，大幅提升虛擬機(jī)密度。同時(shí)，利用虛擬補(bǔ)丁等等創(chuàng)新技術(shù)，為云桌面提供360度的安全防護(hù)屏障。

效果/客戶證言：Deep Security具有多項(xiàng)領(lǐng)先的虛擬化安全技術(shù)，不僅可以對(duì)Citrix平臺(tái)上各類操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)進(jìn)行防護(hù)，還可以保護(hù)處于運(yùn)行狀態(tài)和休眠狀態(tài)的虛擬機(jī)，讓我們?cè)趹?yīng)對(duì)“永恒之藍(lán)”等勒索軟件攻擊中從容有序地完成主機(jī)加固工作。對(duì)于整個(gè)項(xiàng)目而言，其最大價(jià)值在于提升虛擬化投資收益率，完全達(dá)到了預(yù)期的虛機(jī)密度，服務(wù)器硬件投入也比“有代理”方式節(jié)省了80%。

——中科院機(jī)關(guān)信息化主管領(lǐng)導(dǎo)

[[212938]]

近年來，虛擬化桌面正在逐步取代PC，成為辦公環(huán)境中的主流配置，但同時(shí)產(chǎn)生的虛擬化防毒問題，卻對(duì)用戶的數(shù)據(jù)資產(chǎn)構(gòu)成了嚴(yán)重的威脅。有鑒于此，中國科學(xué)院院部機(jī)關(guān)在大規(guī)模應(yīng)用Citrix XenDesktop桌面虛擬化技術(shù)之后，隨即部署亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)，充分發(fā)揮其深入虛擬化底層核心的“無代理”病毒查殺機(jī)制，有效避免了防毒掃描風(fēng)暴(AV Storms)產(chǎn)生的性能瓶頸，打造出便捷、高效、安全的辦公環(huán)境。

防毒后云桌面緩慢異常，“誰”之過?

中國科學(xué)院學(xué)部成立于1955年，是國家在科學(xué)技術(shù)方面的最高咨詢機(jī)構(gòu)。在加強(qiáng)與各領(lǐng)域科技創(chuàng)新合作的同時(shí)，學(xué)部發(fā)揮自身基礎(chǔ)和技術(shù)優(yōu)勢(shì)，持續(xù)推動(dòng)信息化應(yīng)用建設(shè)，為各項(xiàng)科研工作提供了高可靠的信息化基礎(chǔ)設(shè)施。

2016年底，中科院院部機(jī)關(guān)對(duì)所有辦公終端進(jìn)行一次細(xì)致的資產(chǎn)盤查，并且重新梳理了終端用戶的應(yīng)用需求。資產(chǎn)盤點(diǎn)后發(fā)現(xiàn)，用戶終端設(shè)備半數(shù)以上為2009年以前采購，使用期已經(jīng)超過6年，由于配置低、使用年限長，設(shè)備運(yùn)行速度緩慢，從性能和安全性方面均無法滿足信息化應(yīng)用需要。為此，院機(jī)關(guān)決定建設(shè)應(yīng)用效率更高、管理更便捷的云桌面系統(tǒng)。經(jīng)過評(píng)審招標(biāo)，院機(jī)關(guān)最終部署了Citrix 虛擬化桌面平臺(tái)，提升了機(jī)關(guān)辦公用戶終端信息系統(tǒng)應(yīng)用能力，解決了終端資源不足、操作系統(tǒng)和瀏覽器版本差異化造成的應(yīng)用限制問題。但是，由于缺少與之匹配的虛擬化防毒軟件，云桌面的性能、效率、便捷等優(yōu)勢(shì)并沒有完全發(fā)揮出來。

院部相關(guān)技術(shù)負(fù)責(zé)人表示：“在前期規(guī)劃中，我們希望實(shí)現(xiàn)‘1:40’或是更高的虛機(jī)密度，但將原有的防毒軟件遷移過來之后卻發(fā)現(xiàn)，如果在每一個(gè)映像中安裝傳統(tǒng)的防毒軟件，在終端同時(shí)進(jìn)行病毒掃描時(shí)，服務(wù)器CPU、內(nèi)存、磁盤等都會(huì)產(chǎn)生極高的負(fù)載，用戶終端應(yīng)用異常緩慢。此外，‘休眠’狀態(tài)下的虛機(jī)也不在傳統(tǒng)防毒軟件的管理范圍，這些系統(tǒng)在啟動(dòng)時(shí)，會(huì)集中更新防毒病毒代碼和補(bǔ)丁，由此產(chǎn)生的高額流量很容易造成網(wǎng)絡(luò)擁堵。為了解決以上問題，我們必須尋找一種全面兼容Citrix平臺(tái)的安全方案，為云桌面提供極致體驗(yàn)，確保未來兩年內(nèi)實(shí)現(xiàn)所有桌面終端虛擬化的目標(biāo)。”

完美兼容Citrix，“無代理”避免防毒風(fēng)暴

通過對(duì)市場中主流虛擬化安全產(chǎn)品的充分調(diào)研，中國科學(xué)院學(xué)部發(fā)現(xiàn)，亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)能夠全面支持VMware、Citrix、Amazon AWS、Microsoft Hyper-V等虛擬化平臺(tái)，其“無代理”部署特性能夠與Citrix完美兼容，從而避免產(chǎn)生防毒風(fēng)暴(AV Storm)，大幅提升虛擬機(jī)密度。

院部網(wǎng)絡(luò)安全工程師對(duì)測(cè)試Deep Security的效果十分滿意，他表示：”無代理防護(hù)的方案可以把繁瑣的問題簡化，它不需要在每個(gè)虛擬桌面內(nèi)部署防護(hù)客戶端，而是在虛擬化服務(wù)器底層實(shí)現(xiàn)，然后Citrix平臺(tái)通過底層接口調(diào)用，完成上層虛機(jī)的統(tǒng)一安全防護(hù)。有效避免了傳統(tǒng)的安全防護(hù)方式中客戶端爭奪服務(wù)器資源的問題，即使在云桌面的虛化比達(dá)到1:50的情況下，也能保證終端用戶流暢的工作。“

在通過嚴(yán)格測(cè)試之后，中科院機(jī)關(guān)正式部署Deep Security，為所有Citrix云桌面實(shí)現(xiàn)了全方位的安全防護(hù)。在病毒防護(hù)基礎(chǔ)上，Deep Security還提供了防火墻、IDS/IPS、Web應(yīng)用程序防護(hù)，以及完整性監(jiān)控和安全日志報(bào)表等功能。同時(shí)，中科院還通過Deep Security提供的虛擬補(bǔ)丁(Virtual Patch)功能，為桌面系統(tǒng)建成了統(tǒng)一的補(bǔ)丁部署架構(gòu)，對(duì)于最新發(fā)現(xiàn)的威脅漏洞，Deep Security能夠在第一時(shí)間提供修補(bǔ)程序，在無需重新啟動(dòng)系統(tǒng)的前提下，即可在數(shù)分鐘內(nèi)將這些規(guī)則應(yīng)用到所有虛擬桌面上。

從容應(yīng)對(duì)勒索軟件，確保云桌面投資收益

Deep Security不僅有助于完全釋放服務(wù)器性能壓力，還具有多項(xiàng)領(lǐng)先的虛擬化安全技術(shù)，在勒索軟件攻擊等網(wǎng)絡(luò)安全事件中發(fā)揮出了巨大的防護(hù)效果。對(duì)此，中科院機(jī)關(guān)的IT團(tuán)隊(duì)對(duì)于其給予了高度評(píng)價(jià)。

信息技術(shù)部主管表示：“Deep Security不僅可以對(duì)Citrix平臺(tái)上各類操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)進(jìn)行防護(hù)，還可以保護(hù)處于運(yùn)行狀態(tài)和休眠狀態(tài)的虛擬機(jī)，讓我們?cè)趹?yīng)對(duì)‘永恒之藍(lán)’等勒索軟件攻擊中從容有序的完成了主機(jī)加固工作。對(duì)于整個(gè)項(xiàng)目而言，其最大價(jià)值在于提升虛擬化投資收益率，完全達(dá)到了預(yù)期的虛機(jī)密度，服務(wù)器硬件投入也比‘有代理’方式節(jié)省了80%。”