客戶需求：

某省級(jí)考試院針對(duì)虛擬化平臺(tái)籌建網(wǎng)絡(luò)威脅防御系統(tǒng)，并提出云主機(jī)安全能力集成化、一體化需求，同時(shí)提出“虛擬補(bǔ)丁”等運(yùn)維效率提升和云主機(jī)性能保障等技術(shù)要求，確保云計(jì)算應(yīng)用在“招生、報(bào)名、考試、查分”等重要時(shí)段的安全穩(wěn)定運(yùn)行。

解決方案：

亞信安全信艙云主機(jī)安全（DeepSecurity）采用無代理底層防護(hù)設(shè)計(jì)，并且全面覆蓋了CWPP金字塔8個(gè)不同層面的安全運(yùn)營平臺(tái)，不僅可以將用戶的各種風(fēng)險(xiǎn)管控進(jìn)行集成，更化解了用戶擔(dān)心的防毒掃描風(fēng)暴（AV Storms）難題。

效果/客戶證言：

亞信安全的信艙滿足了我們對(duì)云主機(jī)安全防護(hù)上的安全需求，如病毒防護(hù)、訪問控制、入侵檢測(cè)、入侵防護(hù)、虛擬補(bǔ)丁等，同時(shí)也滿足檢查信息系統(tǒng)等保合規(guī)性的審計(jì)要求，協(xié)助我們籌建出了虛擬化平臺(tái)基礎(chǔ)架構(gòu)的多層次防護(hù)體系。

——某省考試院相關(guān)技術(shù)管理人員

隨著教育行業(yè)信息化程度的不斷提高，逐步深化的云計(jì)算應(yīng)用也遇到了各類新型威脅。在此背景下，某省級(jí)招生考試院（以下簡稱“考試院”）采用亞信安全信艙云主機(jī)安全解決方案（DeepSecurity）為云計(jì)算應(yīng)用與虛擬化業(yè)務(wù)環(huán)境建立了一體化防御屏障，確保了招生考試數(shù)據(jù)的安全性，實(shí)現(xiàn)了云計(jì)算應(yīng)用保障能力的全面提升。

云主機(jī)承載招考數(shù)據(jù)

“新威脅”接踵而至

該招生考試院作為省級(jí)教育考試機(jī)構(gòu)，承擔(dān)著高考、成考、研考、自考等數(shù)十項(xiàng)國家教育考試、社會(huì)考試及其他考試的管理、招生錄取和命題任務(wù)，并負(fù)責(zé)相關(guān)研究、宣傳、信息咨詢和技術(shù)服務(wù)等工作。同時(shí)，招生考試院積極信息化建設(shè)實(shí)踐，率先采用云計(jì)算、虛擬化、大數(shù)據(jù)分析等技術(shù)建設(shè)，對(duì)招生遠(yuǎn)程錄取、無紙化錄取與閱卷、英語聽力口語考試等提供支撐。

然而，隨著云計(jì)算業(yè)務(wù)應(yīng)用的提速，針對(duì)考試查分、報(bào)考、信息公示等重點(diǎn)時(shí)期網(wǎng)絡(luò)安全問題也逐漸暴露了出來。在此背景下，考試院需要針對(duì)虛擬化平臺(tái)建設(shè)網(wǎng)絡(luò)威脅防御系統(tǒng)，并提出了以下三點(diǎn)核心需求：

1、能夠?qū)υ浦鳈C(jī)提供整體防護(hù)

在日常運(yùn)維過程中，考試院希望只要云內(nèi)虛擬機(jī)開啟上線，安全平臺(tái)就能夠通過資產(chǎn)管理、風(fēng)險(xiǎn)發(fā)現(xiàn)、威脅監(jiān)測(cè)、病毒查殺、安全檢測(cè)、合規(guī)基線、安全分析、威脅捕獲等功能，實(shí)現(xiàn)持續(xù)的監(jiān)控與分析。

2、能夠全面提升漏洞修復(fù)時(shí)間

每當(dāng)互聯(lián)網(wǎng)上有新的漏洞情報(bào)被暴出，運(yùn)維人員就如臨大敵，嚴(yán)陣以待，準(zhǔn)備“打補(bǔ)丁”、做防御。但是，手動(dòng)為數(shù)據(jù)中心的大量服務(wù)器打上補(bǔ)丁，不但耗時(shí)太長，更容易在修復(fù)過程存出現(xiàn)兼容性隱患。

3、能夠避免防毒掃描風(fēng)暴

由于傳統(tǒng)防病毒軟件不是針對(duì)虛擬化而設(shè)計(jì)，虛擬機(jī)上安裝傳統(tǒng)防病毒軟件后，當(dāng)所有的虛擬機(jī)進(jìn)行預(yù)設(shè)掃描時(shí)，VMware虛擬化平臺(tái)的CPU利用率、I/O讀寫等都變得非常高，造成系統(tǒng)訪問緩慢、卡頓，而在每年填報(bào)志愿、考試、錄取、查分等時(shí)期絕不能出現(xiàn)這種狀況。

部署亞信安全信艙云主機(jī)

痛點(diǎn)問題迎刃而解

經(jīng)過前期論證以及后續(xù)上線測(cè)試，亞信安全信艙云主機(jī)安全解決方案（DeepSecurity）在防護(hù)功能完整性以及運(yùn)維效率方面都滿足了用戶需求，最終被部署在考試院的VMware云平臺(tái)上，實(shí)現(xiàn)了云主機(jī)安全防護(hù)的一體化。

首先，亞信安全信艙云主機(jī)安全（DeepSecurity）作為全面覆蓋了CWPP金字塔8個(gè)不同層面的安全運(yùn)營平臺(tái)，不僅擁有云主機(jī)高級(jí)威脅攻擊識(shí)別和防御能力，更通過病毒防護(hù)、資產(chǎn)管理、日志審核、漏洞風(fēng)險(xiǎn)管理、主機(jī)資源監(jiān)控、安全基線等手段，為考試院建立面向了物理機(jī)、虛擬機(jī)等多種環(huán)境的一體化防護(hù)屏障，自動(dòng)化安全策略部署更可確保主機(jī)上線即可處于安全保護(hù)狀態(tài)。

其次，云主機(jī)的漏洞風(fēng)險(xiǎn)管理能夠?qū)崿F(xiàn)對(duì)服務(wù)器及應(yīng)用的漏洞掃描、風(fēng)險(xiǎn)評(píng)估、修復(fù)建議，更能通過虛擬補(bǔ)丁技術(shù)，在面對(duì)0Day漏洞無法快速防護(hù)漏洞、老舊操作系統(tǒng)及應(yīng)用無法修復(fù)補(bǔ)丁、關(guān)鍵服務(wù)器無法重啟的情況下，通過虛擬補(bǔ)丁幫助考試院實(shí)現(xiàn)云主機(jī)及應(yīng)用系統(tǒng)漏洞的批量管理。

最后，采用“無代理”設(shè)計(jì)的亞信安全信艙云主機(jī)（DeepSecurity）集成了VMware的vShield Endpoint技術(shù)接口，使VMware虛擬化平臺(tái)上的所有虛擬機(jī)無需安裝任何軟件就能對(duì)病毒、間諜軟件、木馬等威脅進(jìn)行查殺，有效降低了虛擬機(jī)并發(fā)全盤掃描、病毒庫更新時(shí)對(duì)云平臺(tái)產(chǎn)生的大量資源消耗，徹底解決了之前存在的防毒掃描風(fēng)暴（AV Storms）問題。

滿足等保工作要求

筑牢教育信息化的安全底座

考試院各類IT系統(tǒng)中都有大量的學(xué)生信息，一旦遭受攻擊或信息泄露，將產(chǎn)生巨大的危害。為此，院領(lǐng)導(dǎo)高度重視等級(jí)保護(hù)工作，要求技術(shù)部門及時(shí)發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處，并通過安全整改提升系統(tǒng)的安全防護(hù)能力，降低被攻擊的風(fēng)險(xiǎn)。

針對(duì)云主機(jī)安全項(xiàng)目的部署效果，該省考試院的網(wǎng)安管理人員給出了高分評(píng)價(jià)。相關(guān)技術(shù)負(fù)責(zé)人表示：“亞信安全的信艙滿足了我們對(duì)云主機(jī)安全防護(hù)上的安全需求，如病毒防護(hù)、訪問控制、入侵檢測(cè)、入侵防護(hù)、虛擬補(bǔ)丁等，同時(shí)也滿足檢查信息系統(tǒng)等保合規(guī)性的審計(jì)要求，協(xié)助我們籌建出了虛擬化平臺(tái)基礎(chǔ)架構(gòu)的多層次防護(hù)體系。”