近年来,国家“大通道”建设充分体现了交通运输在国民经济中基础、先导和战略性的产业特征。作为国家级交通运输规划研究机构,交通运输部规划研究院(以下简称“部规划院”) 为了更好地支撑交通运输规划的信息化工作,采用亚信安全云主机安全(DeepSecurity)确保虚拟化平台和信息数据安全,充分发挥IT技术的创新力量,全面推动我国智慧交通、综合交通的建设步伐。
特殊的虚拟资源池异常现象
交通运输部规划研究院是中国国家级交通运输规划研究机构,主要从事综合运输体系和交通运输行业的发展战略、规划和政策研究工作,在重大交通运输建设项目、国家运输枢纽总体规划可行性审查(核)工作中承当可行性方案制定和核心数据决策分析等工作。为了推动交通运输规划研究的信息化能力,部规划院围绕“三大应用系统”和基础环境平台、数据资源平台等“四大平台”。
在基础平台建设方面,部规划院以云计算、虚拟化为主要技术思路,建设完成了院内应用、代部建设、物理隔离内网三大虚拟化资源池,并要求所有信息化相关项目,统一纳入资源池,按需使用。但是,随着资源池应用的逐步上线,网络威胁风险也尾随而至。
在虚拟化管理过程中,部规划院发现了非常特殊的现象。例如,内网有时会发现流量异常情况,造成防火墙性能下降,互联网出口流量拥塞现象;资源池访问速度有时也会突然减慢,造成客户端Web应用的明显卡顿。
病毒感染的根源所在
通过对服务器、网络设备、防火墙日志的全面分析,并结合专业安全厂商的意见,部规划院网络技术部门最终找出了问题的根源。
原因一:在前期项目中,原有物理资源被统一迁移到虚拟化平台,为了确保应用和数据安全,原有防毒软件被一同重新部署过来。但由于无法与虚拟化底层兼容,会在病毒扫描策略执行时出现严重的性能问题,即业内所说的“防病毒风暴”现象,造成CPU、磁盘I/O的超大压力,影响业务正常运行,甚至导致虚拟化环境崩溃。
原因二:由于传统防毒软件“不好用”,在后续迁移的业务应用、测试系统中,并不能保障每台主机都安装防毒软件、不能保证每套防毒系统都能随时更新,这就造成了少数主机感染病毒的情况。这也是防火墙性能下降、网络异常流量的根源点。
此外,虚拟化技术使用还带来了一些全新的威胁挑战,譬如虚拟化防护间隙、虚拟网络的入侵检测,以及安全策略动态迁移等等。因此,依然沿用传统的防护手段,必将无力支持资源池的正常应用。
“无代理”防毒的大转折
为了保障虚拟化资源池的业务连续性,避免病毒以及网络攻击对数据、应用和网络带来威胁,部规划院从多套备选方案中最终确定部署基于“无代理”技术的亚信安全云主机安全(DeepSecurity),解决虚拟技术使用后的安全防护空白,同时从恶意软件、网络入侵攻击、主机访问控制等方面实现资源池整体的安全。
亚信安全云主机安全(DeepSecurity)集成了最新的VMware vShield Endpoint API,无需在虚拟机上安装任何代理程序,无需占用任何客户虚拟机资源,进而实现了保护一台ESX主机,上层所有VMware虚拟机自动实现安全配置的效果,用更低的资源消耗和更快的扫描速度避免了防毒扫描风暴的产生。
在进行网络攻击防护时,系统首先通过主机防火墙将非必要的端口阻断,降低系统遭受攻击的范围,然后通过在虚机网卡处使用入侵防御规则,侦测、分析、拦截恶意网络流量在虚拟网络中的流窜。
除此以外,部规划院所采用的“无代理”技术还解决了虚拟化日常应用中的多项安全技术难题,比如:虚拟机无论是开启还是关闭,都能一直受到来自安全虚拟机的防护,从根本上解决了随时启动的防护间隙问题;当应用层及操作系统厂商发现新的漏洞时,亚信安全的资深专家会及时的获取到漏洞信息,全面漏洞的利用方式,利用“虚拟补丁”有效抵御零日漏洞的攻击。
创新安全技术服务智慧交通
随着我国智慧交通建设的全面提速,大数据已经成为交通数据平台的重要载体。而“超级大”的交通数据包含了政府、个人的敏感信息,一旦遭到非法使用,将引起重大后果。因此,确保大数据基础层面的安全可靠,对于我国智慧交通的发展刻不容缓。
对此,部规划院相关领导表示:“通过部署这套针对虚拟化环境设计的安全防护方案,第一时间将网内存在的恶意威胁进行的查杀和处理,使得网络环境恢复了正常。同时,DeepSecurity产品无代理防护方式为三大资源池建起完整的安全防御系统,体现了安全与效率的统一。”