客戶需求：構建麵向全校教育信息化支撐的雲(yun) 數據中心的過程中，迎接服務器虛擬化安全挑戰。

　　解決(jue) 方案：以亞(ya) 信安全服務器深度安全防護係統(Deep Security)為(wei) 核心，構建多層次雲(yun) 安全縱深防禦解決(jue) 方案，實現物理和虛擬主機的全麵防護，並滿足現階段和未來“等級保護製度2.0”中的信息係統合規性審計要求。

　　效果/客戶證言：亞(ya) 信安全無代理安全防護技術實現了底層虛擬機內(nei) 部流量的安全防護，提供了包括防病毒、防火牆等在內(nei) 全麵的安全功能，幫助華南農(nong) 業(ye) 大學解決(jue) 了虛擬化安全挑戰的同時，還提高了虛擬化資源利用率，並實現了平台統一管理。——華南農(nong) 業(ye) 大學相關(guan) 負責人

　　相對於(yu) 傳(chuan) 統數據中心，雲(yun) 計算數據中心在架構、運營和管理等方麵優(you) 勢明顯，為(wei) 高校信息化創新打開了更多窗口。然而，雲(yun) 計算數據中心的安全管理卻未能實現“並軌而行”，底層虛擬主機的安全性缺少與(yu) 之對應的技術保障。為(wei) 此，華南農(nong) 業(ye) 大學采用亞(ya) 信安全服務器深度安全防護係統(Deep Security)等產(chan) 品和方案，快速構建起雲(yun) 時代的網絡安全體(ti) 係，有效解決(jue) 了虛擬化等安全技術難題，滿足了國家現階段和未來等級保護製度政策法規要求，為(wei) 雲(yun) 計算的規模化鋪平了道路。

　　雲(yun) 化遷移麵臨(lin) 安全挑戰，虛擬化障礙不得不除

　　近年來，全國各地各大高校密集擴建雲(yun) 計算數據中心的趨勢明顯，許多高校已把雲(yun) 計算數據中心列在“十三五”教育信息化的規劃中，並將和物聯網、大數據等技術一起促進高校教育信息化創新。為(wei) 此，華南農(nong) 業(ye) 大學現代教育技術中心按照國家政策和信息化發展的要求，著手構建麵向全校教育信息化支撐的雲(yun) 計算數據中心。在雲(yun) 計算實施過程中，學校率先引入了服務器虛擬化技術，把部分業(ye) 務係統遷移至服務器虛擬化平台上，但隨之而來的安全問題卻令數據中心管理人員忐忑不安。

　　首先，服務器虛擬化平台上的業(ye) 務係統脫離了原來的DMZ安全區域，虛擬機、虛擬交換機等虛擬設備的大量湧現，增大了數據中心東(dong) 西向通信量，而這部分的通信不會(hui) 流經之前防火牆等負責南北通信的邊界安全設備，產(chan) 生了監測盲點。

　　其次，虛擬機安全防護沿用傳(chuan) 統硬件服務器方式，即在每台虛擬主機安裝安全軟件，這樣不但會(hui) 造成資源的過度浪費，減少了虛擬機部署的數量，在虛擬機數量多的情況，還會(hui) 形成殺毒風暴(AV Storm)，導致係統崩潰。

　　最後，等級保護製度即將進入2.0時代，“雲(yun) 計算信息安全等級保護基本要求”、 “雲(yun) 計算信息安全等級保護安全設計技術要求”等“雲(yun) 等保標準”即將正式頒布，學校雲(yun) 數據中心安全加固項目需滿足未來雲(yun) 安全的擴展標準。

　　在全麵了解服務器虛擬化安全風險之後，學校信息中心提出要完善學校信息安全防護體(ti) 係的基礎架構，同時具備對最新安全威脅的抵抗力，降低安全威脅出現到可以真正進行防範的時間差，提高服務器的安全性和抗攻擊能力，構建服務器虛擬化平台的基礎架構多層次的綜合防護。

　　雲(yun) 端安全盲點一一掃清，虛擬機密度恢複正常

　　亞(ya) 信安全針對華南農(nong) 業(ye) 大學雲(yun) 數據中心的安全隱患，以亞(ya) 信安全服務器深度安全防護係統(Deep Security)為(wei) 核心提供了完全的解決(jue) 方案，通過病毒防護、訪問控製、入侵檢測/防護、虛擬補丁、完整性監控等功能實現物理和虛擬主機的全麵防護，並滿足“雲(yun) 等保標準”中的合規性審計要求。

　　在整個(ge) 方案架構設計過程中，亞(ya) 信安全服務器深度安全防護係統(Deep Security)利用API來訪問每台虛擬機的特權狀態信息，包括其內(nei) 存、狀態和網絡通信流量等。在華南農(nong) 業(ye) 大學雲(yun) 數據中心的ESXi主機環境中，利用VMware VShield Endpoint 程序部署專(zhuan) 用安全虛擬機以及經特別授權訪問管理程序的API，對ESXi底層虛擬機內(nei) 部流量進行安全防護，實現了包括防病毒、防火牆、IDS/IPS 和係統完整性監控等在內(nei) 的安全功能，並通過統一管理平台進行管理。

　　此外，亞(ya) 信安全的解決(jue) 方案幫助華南農(nong) 業(ye) 大學雲(yun) 數據中心避免傳(chuan) 統防毒軟件產(chan) 生的防毒風暴，從(cong) 而大幅提升虛擬機密度。作為(wei) 虛擬化專(zhuan) 屬的安全防護係統，Deep Security 還為(wei) 華南農(nong) 業(ye) 大學虛擬化環境量身打造了Web 應用層檢測、IDS、IPS 等深度檢測包技術和虛擬補丁功能，可以有效發現和攔截隱藏在虛擬網絡中的惡意代碼。

　　針對雲(yun) 等保試行標準中的相關(guan) 要求，Deep Security提供了全程監控和安全控製的創新特性，可實現虛擬機之間的訪問隔離、授權和審計功能，並能實現虛機訪問控製策略的智能遷移。此外，亞(ya) 信安全獨有的虛擬補丁功能可保護對外接口免遭漏洞攻擊，實現智能阻斷攔截，有效防止了虛擬機之間可能存在交叉感染的情況。

　　雲(yun) 數據中心動力強大，智慧校園安全無憂

　　華南農(nong) 業(ye) 大學的雲(yun) 計算數據中心建設起步較早，在2011年就為(wei) 我國農(nong) 業(ye) 物聯網的發展提供了一個(ge) 有力平台。截至到2016年末，華南農(nong) 業(ye) 大學現代教育技術中心已經整合了數據中心IT基礎架構的計算、網絡、存儲(chu) 、虛擬化和雲(yun) 操作係統，運維安全等軟硬件平台，實現虛擬數據中心、關(guan) 鍵業(ye) 務、大數據、高性能計算、雲(yun) 災備、雲(yun) 安全、雲(yun) 運維等，在學校現有雲(yun) 計算能力上增加480核CPU，6.4TB內(nei) 存，364TB的存儲(chu) 資源，為(wei) 智慧校園建設提供更充足的軟硬件支撐。

　　作為(wei) 智慧校園的“心髒”防護憑證，亞(ya) 信安全的整體(ti) 解決(jue) 方案采用創新的“無代理”安全防護技術，在雲(yun) 計算數據中心實現了應用層、網絡層、主機層的多層次縱深防禦體(ti) 係，使得全校教育信息係統能夠得到統一的安全監管和維護。同時，方案還滿足國家信息安全等級保護製度要求，為(wei) 雲(yun) 計算平台減少了安全隱患，信息安全保障能力得到大幅提升。