北京西城区教育信息中心安全加固

　　2010年9月，北京原西城区和原宣武区合并为现在的西城区，两个教委的信息系统也面临合并和同步更新的问题。此时，教育行业中的虚拟化、云计算等技术尚未成熟应用，数据中心“多租户”的模式更是少见，而西城区教育信息中心却前瞻性地提出了“虚拟硬件、定制软件、自选商城”的运营模式。

　　信息中心网络部负责人毛老师表示：“经过全方位的评估与测试，我们最终采用了VMware的一系列虚拟化与管理技术和产品，实现了原来两区教委信息系统的整合，节约了大量IT成本，同时也大大减轻了运营和维护的工作量，真正做到了资源共享，整合效果令人满意。”

　　各学校的信息化主管也对云平台的建立大为称赞。据毛老师介绍，根据各学校的外网业务应用需求，信息中心已经开启了400多台虚拟主机提供服务，并且要求每个学校自行对服务器进行安全加固，并安装杀毒软件。但是每台虚机和镜像文件安装防毒软件之后，会集中启动和扫描病毒程序，这时内存、CPU和存储达到了承载极限。

　　通过对虚拟化技术资料的汇总分析，信息中心对虚拟化环境下的病毒扫描风暴(AV Storms)有了全面的了解。其产生的原因在于，由于传统防毒软件并不是专为虚拟化环境设计，当所有虚拟机的防毒软件开启实时防护时，会对虚拟化平台的CPU、内存和磁盘I/O带来巨大的压力，并影响业务的正常运行。倘若在虚拟化环境中继续沿用非专用的安全解决方案，只会让操作和管理更加复杂，但如果不对虚拟化环境进行防毒产品部署，依靠外围安全设备，便会出现“空挡滑行”的危险。

　　“我们研究了Vmware平台下的防毒软件，而当时只有趋势科技中国，也就是现在亚信安全的服务器深度安全防护系统Deep Security可以符合要求。这套系统具备无代理杀毒技术，测试其性能占用时，我们发现它只是传统方案的10%，并且只需要在底层部署，学校管理员则完全不必要再安装防毒系统了，有效解决了防毒风暴问题，更降低了校方的管理难度。”毛老师认为只有专属的产品才能应对虚拟环境下的安全问题。

　　信息中心的虚拟化安全加固项目在2014年启动，而当时西城区共有229个教育单位，在校生13.3万人，教职员工2.4万余人。西城区教育云平台的建成，不仅需要满足学校虚拟化服务器托管的要求，更肩负着数字化校园和教育大数据研究的方向。

　　在实施Deep Security后，在虚拟化建设时遇到的包括防毒风暴和虚拟网络内部攻击等诸多安全问题得到了解决，这让信息中心十分放心地把许多重要业务系统也迁移至虚拟化平台，同时将云平台的业务覆盖面推广到了全区各个学校，虚拟化的价值得到了进一步体现。