客戶需求：中國信息通信研究院（簡稱“中國信通院”）在云數(shù)據(jù)中心升級項目中，采用了VMware vSphere技術(shù)重新整合與分配計算資源，面對虛擬化防病毒掃描風暴、虛擬網(wǎng)絡(luò)流量監(jiān)控盲點等問題，需要解決數(shù)據(jù)中心性能瓶頸，并實現(xiàn)全面、完整的主機防護和安全規(guī)則，滿足虛擬主機的自動化安全配置。同時，中國信通院還采用了華為FusionSphere，希望一期實施的安全防護產(chǎn)品，能夠在后期支持FusionSphere和其他技術(shù)平臺，實現(xiàn)“1套安全+N套虛擬化”的統(tǒng)一管理模式

解決方案：針對中國信通院使用的VMware vSphere虛擬化環(huán)境，以及集中化管理、性能消耗、完整防護的需求，亞信安全以服務(wù)器深度安全防護系統(tǒng)（Deep Security）為產(chǎn)品核心，提供虛擬化平臺統(tǒng)一安全管理建設(shè)方案，利用“無代理”部署特性，從底層實現(xiàn)動態(tài)安全策略部署，并為后續(xù)擴展到華為FusionSphere虛擬化平臺提供了完美的兼容性。

效果/客戶證言：對于任何一個組織的信息化戰(zhàn)略而言，虛擬平臺和云計算都是戰(zhàn)略性的，不僅基礎(chǔ)設(shè)施組件和工具都要與虛擬化的效率優(yōu)勢相匹配，信息安全同樣需要與這一戰(zhàn)略的方向保持一致。亞信安全提供的整體解決方案以其完美的兼容性，幫助我們建立了能夠同時管理VMware和華為產(chǎn)品的一體化系統(tǒng)，順利地掃除了云計算和大數(shù)據(jù)等新業(yè)務(wù)的應(yīng)用阻礙?！袊畔⑼ㄐ叛芯吭合嚓P(guān)負責人

虛擬環(huán)境的數(shù)據(jù)保護和安全管理，對于當今的絕大多數(shù)企業(yè)組織而言仍然充滿挑戰(zhàn)，而在多平臺上實現(xiàn)統(tǒng)一的威脅防護，更是一道技術(shù)難題。中國信息通信研究院（以下簡稱“中國信通院”）在數(shù)據(jù)中心中使用了VMware vSphere和華為FusionSphere兩套虛擬化平臺，通過整合資源全面降低了IT運行成本，與此同時，亞信安全服務(wù)器深度安全防護系統(tǒng)（Deep Security）也充分發(fā)揮著底層防護、無代理部署和多平臺統(tǒng)一管理的創(chuàng)新特性，為數(shù)據(jù)中心業(yè)務(wù)提供了安全、高效、便捷的管理手段。

從二維平面到三維空間之后的數(shù)據(jù)中心安全

中國信通院始建于1957年，是工業(yè)和信息化部直屬科研事業(yè)單位。多年來，中國信通院在行業(yè)發(fā)展的重大戰(zhàn)略、規(guī)劃、政策、標準和測試認證等方面發(fā)揮了有力支撐作用。近年來，圍繞國家“網(wǎng)絡(luò)強國”和“制造強國”新戰(zhàn)略，中國信通院著力加強研究創(chuàng)新，在4G/5G、工業(yè)互聯(lián)網(wǎng)、智能制造、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等方面進行了深入研究與前瞻布局，有力支撐了互聯(lián)網(wǎng)+、中國制造2025、寬帶中國等重大戰(zhàn)略與政策的出臺和各領(lǐng)域重要任務(wù)的實施。

在積極對外提供信息化服務(wù)的同時，中國信通院加強信息基礎(chǔ)和內(nèi)部應(yīng)用體系建設(shè)，并引入VMware vSphere虛擬化平臺，將一些重要的業(yè)務(wù)系統(tǒng)遷入到虛擬化平臺上運行。然而，就在核心業(yè)務(wù)系統(tǒng)遷移到虛擬化平臺之前，虛擬化安全統(tǒng)一管理、網(wǎng)絡(luò)流量監(jiān)控變化以及虛擬機運維等問題逐漸呈現(xiàn)。

針對虛擬化安全管理平臺的建設(shè)，中國信通院相關(guān)技術(shù)負責人表示：“在核心業(yè)務(wù)遷移的前期，我們對數(shù)據(jù)中心安全能力進行了多次評估。測試發(fā)現(xiàn)，由傳統(tǒng)防毒系統(tǒng)造成的掃描風暴，極大地消耗了服務(wù)器CPU、內(nèi)存和磁盤資源，嚴重影響了數(shù)據(jù)中心的計算性能。此外，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全都只關(guān)注縱向的業(yè)務(wù)流量訪問控制，而虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間，而現(xiàn)有的網(wǎng)絡(luò)安全策略無法滿足主機順暢的加入、離開集群，或者是動態(tài)遷移之后的管理要求，更無法監(jiān)控到虛擬機之間的業(yè)務(wù)流量?！?

基于上述問題，中國信通院重新規(guī)劃數(shù)據(jù)中心安全防御體系，并將安全防護產(chǎn)品的性能消耗、防護完整性、安全策略統(tǒng)一管理作為重點指標。此外，中國信通院還提出了虛擬化安全產(chǎn)品的兼容性問題，希望在支持VMware vSphere的基礎(chǔ)上，還能夠提供面向華為FusionSphere以及其他虛擬化平臺的統(tǒng)一管理。

虛擬化安全管理“化零為整”

針對中國信通院集中化管理、性能消耗、完整防護，以及跨平臺管理需求，亞信安全以能夠全面支持VMware vSphere和華為FusionSphere等虛擬化環(huán)境的亞信安全服務(wù)器深度安全防護系統(tǒng)（Deep Security）為核心，確立了中國信通院虛擬化平臺統(tǒng)一安全管理建設(shè)方案。

在跨平臺管理方面，通過亞信安全服務(wù)器深度安全防護系統(tǒng)中的Deep Security Manager，可以統(tǒng)一接管和控制多套系統(tǒng)中的虛擬化服務(wù)器，并在主機接口啟用安全過濾策略，主動偵測虛擬網(wǎng)絡(luò)中流動的惡意代碼，進而有效阻攔黑客從外部、內(nèi)部發(fā)動的網(wǎng)絡(luò)攻擊，為虛擬化系統(tǒng)打造一體化的安全管理平臺。同時，中國信通院還實現(xiàn)了虛擬化平臺安全策略統(tǒng)一配置、預警事件集中處置和防毒代碼集中更新等功能，打造出輕松便捷的虛擬化運維環(huán)境。

同高速公路一樣，車多了就會造成擁堵，如果大量虛擬機在一個較短的時間內(nèi)同時更新病毒庫并進行防毒掃描，由此引發(fā)的集中I/O訪問會產(chǎn)生防病毒掃描風暴，往往會很輕易地吞噬掉物理主機的所有性能。為了避免防病掃描毒風暴，全面發(fā)揮虛擬化系統(tǒng)的效率優(yōu)勢，實現(xiàn)性能最大化，中國信通院采用了亞信安全服務(wù)器深度安全防護系統(tǒng)獨有的“無代理”安全防護方式，從物理主機底層向上為所有虛機提供保護，實現(xiàn)較低的性能消耗，進而保障了虛擬化主機密度達到規(guī)劃預期。

在功能完整性方面，這套產(chǎn)品具備了虛擬補丁功能、以及Web應(yīng)用層檢測、IDS、IPS等深度檢測包技術(shù)，對惡意程序感染、網(wǎng)絡(luò)入侵、惡意訪問、漏洞利用以及數(shù)據(jù)完整性等多種層面的風險形成有效的防御能力。同時，在虛擬網(wǎng)絡(luò)層，通過數(shù)據(jù)包處理引擎和過濾規(guī)則，對虛擬化網(wǎng)絡(luò)數(shù)據(jù)包進行檢查，對檢測出違反協(xié)議規(guī)范、入侵、攻擊行為數(shù)據(jù)包做異常處理，阻止惡意入侵活動。

釋放運維壓力“輕松上云”

在傳統(tǒng)防病毒方案中，每臺虛擬機的防病毒軟件都需要單獨安裝、分別升級、逐個查毒，隨著虛擬化覆蓋率提升，運維成本也將越來越高。尤其在采用多個虛擬化平臺之后，安全管理的運維工作量也將增加數(shù)倍以上，而通過亞信安全服務(wù)器深度安全防護系統(tǒng)中的Deep Security Manager則可以輕松化解運維難題。

針對亞信安全所提供的產(chǎn)品和服務(wù)，中國信通院信息技術(shù)主管表示，對于任何一個組織的信息化戰(zhàn)略而言，虛擬平臺和云計算都是戰(zhàn)略性的，不僅基礎(chǔ)設(shè)施組件和工具都要與虛擬化的效率優(yōu)勢相匹配，信息安全同樣需要與這一戰(zhàn)略的方向保持一致。亞信安全提供整體解決方案以其完美的兼容性，幫助我們建立了能夠同時管理VMware和華為產(chǎn)品的一體化系統(tǒng)，順利地掃除了云計算和大數(shù)據(jù)等新業(yè)務(wù)的應(yīng)用阻礙。