近年来，国家“大通道”建设充分体现了交通运输在国民经济中基础、先导和战略性的产业特征。作为国家级交通运输规划研究机构，交通运输部规划研究院（以下简称“部规划院”）为了更好地支撑交通运输规划的信息化工作，采用亚信安全服务器深度安全防护系统Deep Security确保虚拟化平台和信息数据安全，充分发挥IT技术的创新力量，全面推动我国智慧交通、综合交通的建设步伐。

　　特殊的虚拟资源池异常现象

　　交通运输部规划研究院是中国国家级交通运输规划研究机构，主要从事综合运输体系和交通运输行业的发展战略、规划和政策研究工作，在重大交通运输建设项目、国家运输枢纽总体规划可行性审查（核）工作中承当可行性方案制定和核心数据决策分析等工作。为了推动交通运输规划研究的信息化能力，部规划院围绕“三大应用系统”和基础环境平台、数据资源平台等“四大平台”。

　　在基础平台建设方面，部规划院以云计算、虚拟化为主要技术思路，建设完成了院内应用、代部建设、物理隔离内网三大虚拟化资源池，并要求所有信息化相关项目，统一纳入资源池，按需使用。但是，随着资源池应用的逐步上线，网络威胁风险也尾随而至。

　　在虚拟化管理过程中，部规划院发现了非常特殊的现象。例如，内网有时会发现流量异常情况，造成防火墙性能下降，互联网出口流量拥塞现象；资源池访问速度有时也会突然减慢，造成客户端Web应用的明显卡顿。

　　病毒感染的根源所在

　　通过对服务器、网络设备、防火墙日志的全面分析，并结合专业安全厂商的意见，部规划院网络技术部门最终找出了问题的根源。

　　原因一：在前期项目中，原有物理资源被统一迁移到虚拟化平台，为了确保应用和数据安全，原有防毒软件被一同重新部署过来。但由于无法与虚拟化底层兼容，会在病毒扫描策略执行时出现严重的性能问题，即业内所说的“防病毒风暴”现象，造成CPU、磁盘I/O的超大压力，影响业务正常运行，甚至导致虚拟化环境崩溃。

　　原因二：由于传统防毒软件“不好用”，在后续迁移的业务应用、测试系统中，并不能保障每台主机都安装防毒软件、不能保证每套防毒系统都能随时更新，这就造成了少数主机感染病毒的情况。这也是防火墙性能下降、网络异常流量的根源点。

　　此外，虚拟化技术使用还带来了一些全新的威胁挑战，譬如虚拟化防护间隙、虚拟网络的入侵检测，以及安全策略动态迁移等等。因此，依然沿用传统的防护手段，必将无力支持资源池的正常应用。

　　“无代理”防毒的大转折

　　为了保障虚拟化资源池的业务连续性，避免病毒以及网络攻击对数据、应用和网络带来威胁，部规划院从多套备选方案中最终确定部署基于“无代理”技术的亚信安全服务器深度安全防护系统Deep Security，解决虚拟技术使用后的安全防护空白，同时从恶意软件、网络入侵攻击、主机访问控制等方面实现资源池整体的安全。

　　亚信安全服务器深度安全防护系统Deep Security集成了最新的VMware vShield Endpoint API，无需在虚拟机上安装任何代理程序，无需占用任何客户虚拟机资源，进而实现了保护一台ESX主机，上层所有VMware虚拟机自动实现安全配置的效果，用更低的资源消耗和更快的扫描速度避免了防毒扫描风暴的产生。

　　在进行网络攻击防护时，系统首先通过主机防火墙将非必要的端口阻断，降低系统遭受攻击的范围，然后通过在虚机网卡处使用入侵防御规则，侦测、分析、拦截恶意网络流量在虚拟网络中的流窜。

　　除此以外，部规划院所采用的“无代理”技术还解决了虚拟化日常应用中的多项安全技术难题，比如：虚拟机无论是开启还是关闭，都能一直受到来自安全虚拟机的防护，从根本上解决了随时启动的防护间隙问题；当应用层及操作系统厂商发现新的漏洞时，亚信安全的资深专家会及时的获取到漏洞信息，全面漏洞的利用方式，利用“虚拟补丁”有效抵御零日漏洞的攻击。

　　创新安全技术服务智慧交通

　　随着我国智慧交通建设的全面提速，大数据已经成为交通数据平台的重要载体。而“超级大”的交通数据包含了政府、个人的敏感信息，一旦遭到非法使用，将引起重大后果。因此，确保大数据基础层面的安全可靠，对于我国智慧交通的发展刻不容缓。

　　对此，部规划院相关领导表示：“通过部署这套针对虚拟化环境设计的安全防护方案，第一时间将网内存在的恶意威胁进行的查杀和处理，使得网络环境恢复了正常。同时，Deep security产品无代理防护方式为三大资源池建起完整的安全防御系统，体现了安全与效率的统一。”