亚信安全守护华南农业大学云数据中心 建智慧校园纵深防御体系

• 客户需求：构建面向全校教育信息化支撑的云数据中心的过程中，迎接服务器虚拟化安全挑战。
• 解决方案：以亚信安全服务器深度安全防护系统(Deep Security)为核心，构建多层次云安全纵深防御解决方案，实现物理和虚拟主机的全面防护，并满足现阶段和未来“等级保护制度2.0”中的信息系统合规性审计要求。
• 效果/客户证言：亚信安全无代理安全防护技术实现了底层虚拟机内部流量的安全防护，提供了包括防病毒、防火墙等在内全面的安全功能，帮助华南农业大学解决了虚拟化安全挑战的同时，还提高了虚拟化资源利用率，并实现了平台统一管理。——华南农业大学相关负责人

相对于传统数据中心，云计算数据中心在架构、运营和管理等方面优势明显，为高校信息化创新打开了更多窗口。然而，云计算数据中心的安全管理却未能实现“并轨而行”，底层虚拟主机的安全性缺少与之对应的技术保障。为此，华南农业大学采用亚信安全服务器深度安全防护系统(Deep Security)等产品和方案，快速构建起云时代的网络安全体系，有效解决了虚拟化等安全技术难题，满足了国家现阶段和未来等级保护制度政策法规要求，为云计算的规模化铺平了道路。

云化迁移面临安全挑战，虚拟化障碍不得不除

近年来，全国各地各大高校密集扩建云计算数据中心的趋势明显，许多高校已把云计算数据中心列在“十三五”教育信息化的规划中，并将和物联网、大数据等技术一起促进高校教育信息化创新。为此，华南农业大学现代教育技术中心按照国家政策和信息化发展的要求，着手构建面向全校教育信息化支撑的云计算数据中心。在云计算实施过程中，学校率先引入了服务器虚拟化技术，把部分业务系统迁移至服务器虚拟化平台上，但随之而来的安全问题却令数据中心管理人员忐忑不安。

• 首先，服务器虚拟化平台上的业务系统脱离了原来的DMZ安全区域，虚拟机、虚拟交换机等虚拟设备的大量涌现，增大了数据中心东西向通信量，而这部分的通信不会流经之前防火墙等负责南北通信的边界安全设备，产生了监测盲点。
• 其次，虚拟机安全防护沿用传统硬件服务器方式，即在每台虚拟主机安装安全软件，这样不但会造成资源的过度浪费，减少了虚拟机部署的数量，在虚拟机数量多的情况，还会形成杀毒风暴（AV Storm），导致系统崩溃。
• 最后，等级保护制度即将进入2.0时代，“云计算信息安全等级保护基本要求”、“云计算信息安全等级保护安全设计技术要求”等“云等保标准”即将正式颁布，学校云数据中心安全加固项目需满足未来云安全的扩展标准。

在全面了解服务器虚拟化安全风险之后，学校信息中心提出要完善学校信息安全防护体系的基础架构，同时具备对最新安全威胁的抵抗力，降低安全威胁出现到可以真正进行防范的时间差，提高服务器的安全性和抗攻击能力，构建服务器虚拟化平台的基础架构多层次的综合防护。

云端安全盲点一一扫清，虚拟机密度恢复正常

亚信安全针对华南农业大学云数据中心的安全隐患，以亚信安全服务器深度安全防护系统(Deep Security)为核心提供了完全的解决方案，通过病毒防护、访问控制、入侵检测/防护、虚拟补丁、完整性监控等功能实现物理和虚拟主机的全面防护，并满足“云等保标准”中的合规性审计要求。

在整个方案架构设计过程中，亚信安全服务器深度安全防护系统(Deep Security)利用API来访问每台虚拟机的特权状态信息，包括其内存、状态和网络通信流量等。在华南农业大学云数据中心的ESXi主机环境中，利用VMware VShield Endpoint 程序部署专用安全虚拟机以及经特别授权访问管理程序的API，对ESXi底层虚拟机内部流量进行安全防护，实现了包括防病毒、防火墙、IDS/IPS 和系统完整性监控等在内的安全功能，并通过统一管理平台进行管理。

此外，亚信安全的解决方案帮助华南农业大学云数据中心避免传统防毒软件产生的防毒风暴，从而大幅提升虚拟机密度。作为虚拟化专属的安全防护系统，Deep Security 还为华南农业大学虚拟化环境量身打造了Web 应用层检测、IDS、IPS 等深度检测包技术和虚拟补丁功能，可以有效发现和拦截隐藏在虚拟网络中的恶意代码。

针对云等保试行标准中的相关要求，Deep Security提供了全程监控和安全控制的创新特性，可实现虚拟机之间的访问隔离、授权和审计功能，并能实现虚机访问控制策略的智能迁移。此外，亚信安全独有的虚拟补丁功能可保护对外接口免遭漏洞攻击，实现智能阻断拦截，有效防止了虚拟机之间可能存在交叉感染的情况。

云数据中心动力强大，智慧校园安全无忧

华南农业大学的云计算数据中心建设起步较早，在2011年就为我国农业物联网的发展提供了一个有力平台。截至到2016年末，华南农业大学现代教育技术中心已经整合了数据中心IT基础架构的计算、网络、存储、虚拟化和云操作系统，运维安全等软硬件平台，实现虚拟数据中心、关键业务、大数据、高性能计算、云灾备、云安全、云运维等，在学校现有云计算能力上增加480核CPU，6.4TB内存，364TB的存储资源，为智慧校园建设提供更充足的软硬件支撑。

作为智慧校园的“心脏”防护凭证，亚信安全的整体解决方案采用创新的“无代理”安全防护技术，在云计算数据中心实现了应用层、网络层、主机层的多层次纵深防御体系，使得全校教育信息系统能够得到统一的安全监管和维护。同时，方案还满足国家信息安全等级保护制度要求，为云计算平台减少了安全隐患，信息安全保障能力得到大幅提升。