近期,十部委颁布了《推进“互联网+政务服务”开展信息惠民试点实施方案》,明确了电子政务在执政为民中的重要作用,而国家电子政务十三五规划或将在下半年出台。为了推进电子政务的“惠民”应用发展,同时确保云计算应用的安全性,合肥市信息资源管理中心携手云与大数据的安全技术领导者亚信安全,为虚拟化应用建立了安全可靠的威胁防御系统。平台采用亚信安全服务器深度安全防护系统(Deep Security),消除了云数据计算中心的病毒风险隐患,为政务云建设的后续发展提供了安全、绿色、健康的云计算应用环境。
政务云成为合肥新“名片”虚拟化安全却有如针毡
早在2014年,合肥市就将“智慧合肥”的建设摆在了突出位置,其重点通过云计算、大数据等新型信息化模式的应用,让城市运行更加充满效率,政务云更是“智慧合肥”提升政务效率,提升为民服务能力的重要组成部分。为了进一步推进政务云的建设水平,合肥市在全市大范围推广云计算与虚拟化应用。截至2015年6月,合肥市政府信息资源应用中心共计部署了12个单位的35个业务系统,5个独立网站和2个网站群,共计含116个网站,这些核心业务运行在数百台虚拟服务器上,确保了核心业务的高效、安全、敏捷运行。
然而,在政务云的建设过程中,合肥市政府信息资源应用中心却发现,虚拟化安全已经成为一个棘手问题。政务资源虚拟化后不但面临着传统物理时代的各种安全问题,同时由于虚拟系统之间的数据交换,以及共享的云端资源池,导致传统的安全技术手段很难针对虚拟系统提供防护,另外传统安全技术的使用还带来更大计算资源的消耗和管理运维,导致与引入虚拟化的初衷相违背。
合肥市政府信息资源应用中心技术负责人表示:“由于政务应用的敏感性,因此国家网信办对于政务云的安全作出了规范,并要求明确对于任何情况下对网络信息系统的数据做到可用、可控、可追诉。与此同时,流窜于网络中的病毒、木马、网络攻击不仅威胁着核心业务的可用性,也让机密的政务数据面临着泄露的风险。而且,虚拟化安全的管理复杂性高、虚拟机相互攻击、随时启动的防护间歇、资源争夺等问题,都对核心政务应用的安全、流畅运行构成了较大挑战。”
政务云安全防护提出特殊要求 无代理安全助力打造“智慧合肥”
在认识到政务云安全的迫切性之后,合肥市政府信息资源应用中心立即着手寻找政务云安全方案。然而,合肥市政府信息资源应用中心很快发现,政务云运行的往往是与人民生活密切相关的重要应用,因此对应用的可用性、流畅性提出了非常高的要求,一旦应用因为安全而出现卡顿乃至停止服务,甚至会带来灾难性的后果。因此,合肥市政府信息资源应用中心将目光放在了采用“无代理”方案的亚信安全服务器深度安全防护系统(Deep Security)之上。
对于合肥政务云来说,亚信安全服务器深度安全防护系统(Deep Security)的优势首先在于,其可以从虚拟化操作系统的底层向上,对每台虚拟机自动提供保护;其次,Deep Security有效降低了虚拟机并发全盘扫描、病毒库更新时对物理主机的资源消耗,不存在安全扫描风暴(AV Storms)的问题;较后,Deep Security提供完整的防护功能,包括防恶意软件、Web信誉、防火墙、入侵阻止、完整性监控和日志检查等等,其中的虚拟补丁功能,虚拟网络扫描监控等特性可以为数据中心内部提供更简化、更安全的管理手段。
“Deep Security完全抛弃了传统安全的概念,从虚拟化底层的防护入手,采用无代理的工作方式,它在资源消耗方面的节省使得我们可以大幅提升虚拟机密度。之前我们需要对每个操作系统安装安全软件,针对每台虚拟机配置防火墙和安全策略,但若部署这套系统,以后再给用户部署虚机时便能一步到位,效率极高。”合肥市信息资源应用中心技术负责人对亚信安全Deep Security测试阶段的表现非常满意。
由于能够和多种虚拟化平台进行无缝集成,这让Deep Security的“无代理”特性完全发挥了出来,完全实现了合肥市信息资源应用中心规划时的虚拟机密度。另外,通过日志报表分析,Deep Security侦察到虚拟机内部网络中的多个恶意攻击程序,在感染主机前就进行了主动拦截。
在部署Deep Security之后,云端运行环境得到了有效的安全保障和优化,合肥市信息资源应用中心下一步将承接全市范围内更多的核心应用,让政务云的效能较大化。同时,合肥市也正在加强“智慧合肥”建设的顶层设计,利用虚拟化、云计算数据中心加大资源整合力度,在更宽的领域、更高的层次上推进全市社会管理服务信息化建设。
——亚信安全资深咨询顾问 罗?F
