云平台安全防护解决方案

1、云平台安全防护解决方案目录1、项目建设背景32、*安全现状及痛点分析52.1安全边界不可见，传统安全访问控制失效62.2虚拟化内部的流量不可视73匹配业务扩张，安全弹性扩容82.4安全威胁的整体运维与运营8三、云安全建设方案93.1总体安全设计架构92详细拓扑部署103.3方案详细说明143.1云平台安全设计143.3.2云主机安全设计183.3.3虚拟机安全设计23四、云安全应用场景271云安全架构设计274.2智能化运维管理284.3平台解耦，全面兼容284.4平台合规安全，服务化交付295动态感知威胁及时预警291、项目建设背景GB/T22239-2008信息安全技术信息系统安全等级保护

2、基本要求（等保1.0）在开展信息安全等级保护工作的过程中起到了非常重要的作用，被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作，但是随着信息技术的发展，GB/T22239-2008在时效性、易用性、可操作性上需要进一步提高。为了适合移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展，对GB/T222392008进行了修订，修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域提出扩展的安全要求。网络安全等级保护制度2.0标准正式对外发布，并将于2019年12月1日正式实施，把云计算平台、大数据平台、移

3、动互联网、物联网和工业控制系统等都纳入了等级保护对象范围，并针对这些新技术、新应用提出了特殊的安全扩展要求。*总土地面积109.92亩，建设项目总建筑面积20.5万平方米，开设床位数1500张，将建设成为国内一流的、现代化的集医疗、保健、教学、科研、康复五位一体的高端新院区。*即将开业，医学中心将满足合肥现代化大都市及周边地区的妇女儿童医疗保健需求。在医学中心的信息化建设过程中，信息安全的建设是一切基础设施和业务资源资源建设的根本和安全保障。便捷、开放的网络环境，是*信息化建设的基础，在数据传递和共享的过程当中，数据的安全性要切实地得到保障，才能保障*信息化业务的正常运行。不过，我们的数据却面

4、临着越来越多的安全风险，时刻对业务的正常运行带来威胁。为此，2011年12月，卫生部发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知，要求卫生行业“全面开展信息安全等级保护工作，中华人民共和国网络安全法（以下简称网络安全法）自2017年6月1日开始施行。其中，网络安全法第21条明确规定了“国家实行网络安全等级保护制度。网络安全法是从国家层面对等级保护工作的法律认可，简单点就是单位不做等级保护工作就是违法。*信息系统的安全性直接关系到*医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给*和病人带来巨大的灾难和难以补充的损失。同时，*信息系统涉及大量*经营和患者医疗等私密信息，信息的

5、泄露和传播将会给*、社会和患者带来安全风险。医学中心私有云数据中心基本建设完毕，所有重要业务系统包括HIS、PACS、LIS系统都在私有云上，所以在信息化建设过程中，我们理应正视可能面临的各种安全风险，对网络威胁给予充分的重视。为了*信息网络的安全稳定运行，确保*信息系统安全，根据*当前的计算机信息网络特点及安全需求，本着切合实际、保护投资、着眼未来的原则，进行*网络安全建设。2、*安全现状及痛点分析云计算模式通过将数据统一存储在云计算服务器中，加强对核心数据的集中管控，比传统分布在大量硬件设备上的数据行为更安全。因为数据的集中，使得安全审计、安全评估、安全运维等行为更加简单易行，同时更容易实

6、现系统容错、高可用性和冗余及灾备恢复。但云计算在带来方便快捷的同时也带来新的挑战。从安全建设原则、安全保护对象和安全建设目标上来讲，云安全与传统的信息安全并无本质的区别。同时，一些传统的、行之有效的信息安全技术和策略也将会继续应用在云计算平台及其终端设备的安全管理与防护上。而云计算作为一种新型的计算模式，其安全建设必然与传统的信息安全建设存在区别，其安全性也必有其特殊的一面。2.1安全边界不可见，传统安全访问控制失效云计算平台与传统的IT组织架构上的差异导致其安全防护理念上存在差异。在传统的安全防护中，很重要的一个原则就是基于边界的安全隔离和访问控制，并强调针对不同的安全区域设置差异化的安全防

7、护策略，这依赖于各区域间清晰的边界划分，从而在各区域边界划分的基础之上，合理实施访问控制策略；但在云计算环境中，计算和存储资源高度整合，基础网络架构统一化，传统的控制部署边界消失。业务从传统环境迁移到云环境，过去我们能知道业务具体运行于哪台服务器，但云化后，同一套业务系统的WEB端和数据库服务器可能运行于不同的物理服务器之上，那传统的按照区域的访问控制已经失效。所以在云化建设过程中，需要一套能够适配当前云化环境的解决方案，解决云化环境安全区域的动态划分和动态调整，重新构建云上安全边界。2.2虚拟化内部的流量不可视传统网络通过物理线缆将服务器、交换机、安全设备相连，物理服务器上承载的业务系统，也

8、能够通过在不同的端口上部署相对应的流量监测方案实现对流量交互的控制、审计。业务系统云化以后同一台物理机内部有多台虚拟机，虚拟机和虚拟机间的互访在大多数情况下是不会出虚拟化环境的，直接通过vswitch进行数据转发，这样部署于虚拟化环境外部的相关设备就无法对虚拟化环境内部流量的交互路径可视。内部流量的不可视会带来众多安全问题：（1）内部业务访问关系不可视云环境内部流量错综复杂，各种角色的虚拟机承载的不同业务系统，不同业务系统的流程混杂在一起，需通过一种方式，能够梳理出内部业务系统的访问逻辑，如云平台内部有10套业务系统，每套业务系统由2-3台VM组成，每个VM入站和出站的流量分别为100K。（2

9、）内部威胁不可视内部爆发的横向攻击往往蔓延速度快，波及范围广，在虚拟化环境内部这种特性更甚，同一网段的虚拟化环境往往控制策略不严格，使用默认策略的情况下，内部威胁极易扩散。2.3匹配业务扩张，安全弹性扩容业务的扩展和扩容会引入新的安全需求，安全需求的交付一定不能够滞后于业务的交付，所以需要一套能够快速部署、交付的安全产品，能够匹配业务新建、扩容、迁移引入的安全需求。外部的威胁是在不断升级的，应对外部威胁的手段也应该是在不断提升的，能够通过建立与之配套的安全团队，也能够通过快速的安全方案的匹配达到持续、快速对抗外部威胁的能力。2.4安全威胁的整体运维与运营一个安全体系的建立，需要依托于整体的安全

10、管理框架和相关安全技术。从而能够建立一套面向安全决策、安全事件应急响应的流程。所以在云建设前期，必须健全与安全设备配套的运营，能够针对安全设备的安全事件，结合日常运维动作：1）威胁和日志的整体管理与运营；2）实现安全设备的统一管理，避免过去安全设备管理配置分散化的现象；3）安全需求的统一管理，面向各业务部门提出的安全需求，能够做到统一管理，资源统一回收。三、云安全建设方案3.1总体安全设计架构通过对云安全威胁和实际需求的分析，按照云平台安全、云主机安全、虚拟机安全三个层次进行方案设计，对云安全进行分层次、体系化的建设，建设建设架构如图2T所示。云平台安全云内安全图2-1云安全建设总体框架图*云

11、安全整体框架主要围绕层面建设，分别为：云平台安全：从网络层面对云数据中心进行整体安全防护，实现云平台与互联网及内网其它业务区域的安全隔离，防范应用层攻击，保障云平台南北向流量安全；同时在云平台边界网络构建“可视、检测、响应”与一体的安全管理中心，对全网流量进行检测分析，对业务系统面临的高危攻击、潜伏威胁进行持续检测和快速响应。云主机安全：面向云内主机边界提供统一的安全威胁管理，打通威胁防护体系，建立一个面向云内主机间东西向威胁的快速服务平台，实现安全产品分配、部署，安全策略、安全日志的统一管理。虚拟机安全：着眼虚拟机之间的横向流量，提供虚拟机之间安全可视、可控能力，围绕业务系统建立安全边界，从

12、云内业务系统视角出发，构筑围绕云内业务系统的云内“动态边界”O3.2详细拓扑部署在云数据中心边界的下一代防火墙，实现云平台与互联网及内网其它业务区域的安全隔离，防范应用层攻击，保障云平台南北向流量安全；在云平台边界网络部署构建一套集“可视、检测、响应”与一体的全网安全态势感知系统，对全网流量进行检测分析，对业务系统面临的高危攻击、潜伏威胁进行持续检测和快速响应。为保障云内主机安全，在云数据中心汇聚交换机上旁路部署云安全资源池，云主机安全组件釆用安全资源池统一部署，业务安全组件按需从安全资源池调用，方案设计拓扑如下：在虚拟机中安装轻量化Agent,同时部署终端检测响应平台（EDR）系统，以资产为

13、中心，对主机安全精准、持续的检测，并通过联动协同响应快速处置终端资产安全问题，构建终端检测响应平台。安全,施,，平台|分安林钊|移題橫入剣|做aa| | g血司|矢陷主株短|云安全拓扑部署图因为云平台基础设施釆用虚拟化云平台，核心路由交换机上，采用物理旁路，逻辑串联的方式，核心交换机釆用策略路由的方式将云平台的业务流量引流到云安全资源池，通过安全资源池提供防火墙等安全组件对数据流量进行安全检测和防护，检测完成后再返回给交换机到出口。完成整个数据流的安全防护，实现了南北向和东西向纵深防护体系。资源池整体流量走向如下图所示：安全资源池为了保证南北向防护产品的丰富性，安全资源池能够整合第三方的生态产

14、品。其中云安全资源池平台底层采用超融合架构，部署在X86服务器上，平台中计算资源、存储资源、网络资源、网络功能资源、安全功能等IT基础资源均实现虚拟化，第三方安全产品仅需提供标准的qcow2、OVA文件即可完成安全产品的导入。以上落实到实际效果主要体现在两个部分：一部是为不同业务的个性化安全需求提供了灵活性的安全部署方式，一部分是实现了业务系统以及云平台的安全需求以服务化交付，具体如下：0实现各个业务系统VPC边界防护，虚拟机间的边界防护，形成了纵深多维度防护体系；0通过安全需求服务化交付，实现了各个业务系统根据不同安全功能需求提供了按需服务，根据各个业务系统需求实现弹性扩展，提供WAF、IP

15、S、FW、VPN、应用负载等丰富的增值服务内容，满足各个业务系统不同等保级别的合规需求；。通过安全感知平台+检测探针构建安全运营中心，实现全网态势感知动态展示、策略下发、安全事件实时处置；。后期扩容，能够通过添加X86服务器实现性能扩容，并且支持分布式部署后的统一集中管理。3.3方案详细说明3.3.1云平台安全设计在云数据中心部署下一代防火墙，下一代防火墙功能模块全部开启后，实现云数据中心安全域边界的安全隔离和L2-L7层的安全防护。通过发现资产进行风险评估，针对业务脆弱性形成对应的安全策略，融合访问控制、应用控制、入侵防御、WEB应用防护、恶意代码防御、僵尸网络防护等功能，联动分析并阻断网络

16、发现的威胁。残留的威胁可通过风险发现和威胁情报提供一键防护功能和安全策略调优。实时漏洞检测的功能，能够持续检测内网中可能存在的风险漏洞，帮助信息中心及时发现存在的安全问题并加以解决。部署安全感知系统，建立安全运营中心，对网络流量进行持续检测，实现全网流量可视，及时发现潜优威胁和内部攻击，调整策略动态防御。安全态势感知系统主要由两部分组成：监测预警管理系统（感知系统SIS）和监测采集系统（探针STA或者其他安全设备）组成。其中安全感知系统将收集到的各个节点的数据进行分析，展示安全态势（整体安全态势、区域安全态势、重点网站安全态势）、威胁统计（包括漏洞、挂马、页面篡改）、实时告警等，同时可实现整改

17、通知、资产管理、风险管理、预警管理、报表管理、系统管理等多方面的管理功能。潜伏威胁探针通过采集、扫描、核查等方式进行各种数据源的釆集输送到感知系统。外部系统通过安全运营中心能够补充边界防护措施在检测与响应能力方面的不足，实现以下功能：（1）全网业务资产可视化主动识别资产：通过潜伏威胁探针可主动识别业务系统下属的所有业务资产，可主动发现新增资产，实现业务资产的有效识别；资产暴露面可视化：将已识别的资产进行安全评估，将资产的暴露面进行表现，包括开放的端口、可登录的web后台等；业务系统访问关系：结合下一代防火墙配置的ACL访问控制策略，将逻辑访问图进行可视化的表现以识别非法的访问；业务系统应用及流

18、量可视化；业务系统的应用、流量、会话数进行可视化的表现，并提供流量趋势分析。（2）全网访问关系可视化依托于可视化技术，通过信息中心服务器和用户访问关系展示用户、业务系统、互联网之间访问关系，能够识别访问关系的Who,What,Where,When,How,通过颜色区分不同危险等级用户、业务系统。提供以下展示：全网业务可视化：基于全网业务对象的访问关系的图形化展示，包括用户对业务、业务对业务、业务与互联网三者关系的完全展示，并提供快捷的搜索。供IT人员在业务迁移和梳理时直观的查看业务关系，是否有遗漏的业务未被防护、是否存在内部攻击、是否有业务外连、是否存在外部攻击等行为。基于业务视角的可视化：可

19、表现当前业务由内而外、由外而内两个方向所有可视化访问关系，包括是否被攻击、是否违规、是否被登陆、是否外发攻击等。并用不同颜色图标标识访问源和目的是否已失陷。供IT人员识别潜在风险。如已被控制的用户不停的来攻击当前业务，那么能够很明显的在可视化关系图上看到这个横向攻击。基于用户的可视化：可表现该用户已经通过哪些应用、协议和端口访问了哪些业务，这些访问是否是攻击、违规、远程登陆等行为。可清晰的看出已对哪些业务存在影响，也能推导当前用户是否已失陷（或可疑）。（3）安全风险告警和分析失陷业务/风险用户检测：通过内网外发异常流量、网页篡改监测、黑链检测等检测技术确定业务系统/资产是否已被攻击，并将资产存

20、在的后门进行检测，并通过邮件告警等方式向管理员告知已失陷的安全事件；失陷业务和风险用户举证：事件化、多维度的失陷主机检测，对风险业务、风险用户进行详细举证，将目标资产发起的和遭受的攻击/异常活动进行汇聚整理成安全事件，而不再是大量的日志罗列，可直接看懂当前主机正在进行的活动，或遭受的活动到底是什么；主机威胁活动链：以攻击链的形式展示主机被入侵后发起的威胁活动情况，直观显示被入侵后主机是否被利用产生威胁，且威胁程度是否逐步升级的情况；有效攻击事件分析：过旁路镜像的方式可将攻击回包状态进行完整的检测，结合业务系统的漏洞信息，能够识别攻击成功的有效安全事件。3.3.2云主机安全设计云主机安全采用安全

21、资源池方案，借助X86服务器集群与计算、存储、网络虚拟化技术，构建软件定义的安全能力中心。软件定义安全能力由安全应用市场、安全自助编排、安全统一运维、各安全能力组件构成。软件定义的安全架构（1）安全应用市场安全应用市场是用户选用基于软件定义架构的安全防护体系，包括部署安全资源池中的应用商店APPStore,以及部署于安全服务平台中各种实现安全业务的应用APPo如下一代防火墙安全应用、上网行为管理安全应用。其中，云端的APPStore发布的安全应用，云平台用户可按需购买、下载和在本地部署、运行这些应用。用户仅需要注重环境中安全资源池之上的业务安全，负责安全设备的资源池安全APP的分配、各类安全信

22、息源的收集和分析，以及相对应安全APP的策略解析和执行。安全应用能够通过互联网从APPStore下载到安全资源池之中，然后被部署、验证、运行和升级。安全设备的交付形态有很多，但逻辑上都会在安全控制平台的管理下，形成各类资源池，具备相对应的安全能力。安全应用市场主要包含：管理云端安全应用，如应用试用、下载、创建和删除等；应用统一更新，如版本更新和规则库的更新；支持应用编排的部署模式，即多种应用能够叠加同时实现多种业务，如编排调度、任务增加、删除和执行等；（2）安全资源自助编排从应用市场选购安全服务后，安全服务会自动完成下载和配置部署，同时安全资源池提供了业务区域划分，实现拖动和可视的自助编排界面

23、。安全区域划分：依靠多年*信息安全工作实践，内置对外服务区域、运维管理区域、核心服务区域、内部办公区域与区域间的安全策略，且这些区域的划分可根据内部安全规划手动定义。可根据内部业务系统的划分，来规划不同业务系统/区域的安全防护能力。所画即所得的安全能力部署：定义安全区域后，可将该区域所需的安全能力按照安全规划，拖入所属区域。待全部拖入后，整个云数据中心的防护网络即完成建设。统一安全运维基于软件定义的安全架构，在实现了安全编排的基础之上，将所有安全设备的运维平面集中，实现安全能力的统一运维、管理。基于单业务系统维度的安全视角：安全资源池能够将安全能力匹配于每个业务系统，统一安全运维界面能够查看基

24、于业务系统维度的安全情况，并根据不同业务系统面临的安全问题及时处置。统一的安全运营界面：内置安全运营与运维界面，实现安全事件、安全日志的统一管理，对每个业务系统匹配的安全服务(4)安全组件清单序号1组件名称1功能概述1云下一代防火墙(含IPS、WAF、网页防篡改、僵尸网络检测等全模块)应用层性能支持：200M、500M和1000M?支持静态路由，ECMP等价路由，支持RIPvl/v2,OSPFv2/v3,BGP等动态路由协议，支持多播路由协议，支持路由异常告警功能；提供基本的安全防御，包括但不限于4-7层访问控制、入侵防御、病毒过滤、网页防篡改等安全功能；对所有应用系统进行漏洞的攻击防护，包括

25、防跨站、防SQL注入、防食改、防木马、防黑客攻击等；支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则：支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；2云网络行为管理应用层性能支持：200M、500M和1000M;支持细致的管理员权限划分，包括对不同用户组的管理权限、对各种主要功能界面的配置和查看权限;支持终端调用管理员指定

26、脚本傕序以满足个性化检查要求，比如检测系统更新是否开启、开放端口、已安装程序列表、终端发通知等；支持基于访问行为的目标IP/IP组实现带赏划分与分酉己；支持多种事件进行邮件告警，包括攻击、双机切换告警、移动终端管理告警、风险终端发现告警、web关键字过滤告警、杀毒吉警、设备流量超限告警、磁盘/CPU/内存异常告警等；3云数据库审计应用层性能支持：200M和400M;支持多种数据库类型的审计，支持Oracle數据库亩计、纸成餒炫数据库亩计、DB2数据產亩计、取瓠数据库宙计、瓯球数据库亩计、达梦数据库宙计、人大金仓數据库审计、噂垸蘇域數据庠审计、窈曇展据库审计、cache数据庠；支持白名单宙计，系

27、统使用亩计白名单将非注重的内容进行过滤，不进行记录，降低了存储空间和无用信息的堆砌，白名单内容包括以下4个维度：SQL模板、业务系统、URL地址及数据库条件：支持基于SQL命令的webshelljij,提供炊如坝以日志查询；可通过查看XgfegJ攵击的时间、源IP、业务系统、webshelljR则发现威；4云负载均街支持包括全局负载均衡和服务器负载均衡的功能；支持轮询、加权轮询、加权最小连接、动态反馈、最快响应、最小流量、带竇：比例、哈希、主备、首个可用、UDP强行负载等算法。对于非盯1?协议的长连接应用，可通过度析议特征来识别消息的幵始和截止，以消息为对象进行七层负载均衡，而非传统基于连接的

28、四层负载均衡。支持主动探测方式与被动观测方式结合使用的服务器健康检查手段，以便适合各种复杂应用交互流程，保障业务系统的高可用性。5云VPN安全接入提供SSLVPN或IPSECVPN接入服务6云运维审计针对RDP、VNC、XII等图形终端操作的连接情况进行记录及审计；记录发生时间、发生地址、服务端IP、客户端IP、操作指令、返回信息、操作备注、客户端端口、服务器端口、运维用户帐号、运维用户姓名、审批用户帐号、亩批用户姓名、服务器用户名等信息；7云日志亩计系统支持从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段；对安全事件重新定级。能根据统一的安全策略，按

29、照安全设备识别名、事件类别、事件级别等所有可能的条件及各种条件的组合对事件严重綴别进行重定义；8云配置安全评估支持扫描器登录到目标系统中对特定应用进行深入扫描；数据库支持：贩域、DB2、Oracle、就蜘悠、戏坡怨等，中间件：Tomcat、US、RebservicesxApache、WebloicxResin、晚怒等；支持对设备或系统配置基线的核查3.3.3虚拟机安全设计（1）云内流量可视可控通过云平台虚拟机安装Agent获取云环境中的流量，对云环境内核心且关键流量中存在的异常进行检测。釆集检测能够获取的威胁数据包括：信息收集行为、权限获取、远程控制、数据盗取、系统破坏、木马/病毒/僵尸网络；

30、入侵攻击与病毒泛滥造成的网络流量异常；黑客或黑客组织攻击行为、针对特定目标的入侵行为。以此形成虚拟流量的逻辑拓扑图。虚拟流量拓扑图能够根据业务系统自动分类，能够针对内部业务系统：同一业务系统不同角色VM的访问流量可视，能够展示每台VM的应用流量组成(包含流量大小、具体协议等)；不同业务系统间流量可视，自动生成不同业务系统间的访问关系，一旦发现异常违规访问，能够设置访问控制策略，拒绝违规异常访问；全局安全威胁控制，根据云内安全监测功能绘制的虚拟拓扑图，能够在任意节点选择部署威胁控制策略，实现快速的威胁隔离；云内威胁防护虚拟机防护主要釆用的是虚拟机安全agent安全插件，用于检测虚拟机之间的流量、

31、逻辑拓扑，并检测虚拟机的性能状态，检测虚拟机的风险状态，以可视化的方式展示虚拟机的态势感知，重点检测如下：0Webshel1检测0暴力破解检测0僵尸网络检测0微隔离常规部署方式服务端点安全由虚拟机端点agent、控制中心共同组成。端点agent需要安装在所有的主机上，包括所有的物理主机以及虚拟机、云主机等。管理平台部署在本地。端点agent完成基本数据的釆集以后，会将必要的数据发送到控制中心，然后由云资源池管理平台进行安全的分析和全局的汇总。(4)具体功能介绍持续检测Web后门端点agent将在服务器上持续进行安全检测，我们会自动清点服务器的关键目录(例如Web服务器的站点目录)，并对关键目录

32、进行持续地监控。过去检测web后门的主要手段是依赖IPS或者WAF设备，但是特征库的方式很容易绕过现成的库，例如用户能够将web后门的代码进行各种混淆，这样传统的防御技术要在文件传输或请求的时刻判定文件是否为web后门将是非常困难的。在服务器端点侧进行安全监测，将会获得传统防御不可替代的价值，因为无论用户是通过漏洞、爆破、上传等方式将web后门写入服务器，这样即会触发我们的监测程序。我们将会通过文件库、静态分析、云端沙盒、运行行为分析等手段对文件进行判断，相比流量侧的防御，检测方案将会更全面地分析文件。暴力破解检测与响应服务器的密码安全一直是数据中心一个突出的问题。过去使用边界防护设备能够有效

33、阻断外部对于内部的密码爆破尝试。但是随着服务器边界的模糊，来自内部或服务器之间（横向移动）的密码爆破也逐渐增多。Agent将会在服务器上持续监控密码的爆破行为，如果发现了有人进行密码的爆破，将能够设置对特定IP进行一段时间的自动封停，避免服务器被爆破成功。性能实时查看在服务器上安装agent,其中一个核心的保证就是不对服务器带来稳定性以及性能的影响。稳定性方面，我们的整体方案都釆取了无驱动的方式进行设计，即便是agent意外退出，也不会导致服务器蓝屏重启。性能方面，我们的设计将主要的计算都放到本地管理平台上，所以agent只会占用很少的CPU。所以用户能够在管理平台上查看到所有agent当前对

34、服务器的资源的消耗，包括CPU、内容等信息。僵尸网络检测通过对报文的会话分析，以及釆集报文netflow信息分析，检测主机是否有被木马程序等控制，形成僵尸网络，并展现僵尸网络主机的的相关详细信息，如显示僵尸网络文件检测出来的事件日志，例如恶意文件名称、文件名称、操作动作、发现时间等，支持显示僵尸网络文件检测过程的详情内容，例如文件路径、文件大小、文件创建时间、进程ID、父进程、进程模块、网络行为。四、云安全应用场景4.1云安全架构设计云安全方案架构设计采用软件定义安全的架构设计理念，从安全需求的角度设计匹配的云安全基础架构，确保云安全资源池架构的可扩展性、灵活性和可演进性。同时，实现云安全设计

35、和IT基础架构松耦合，确保IT基础架构对安全多样性的支持和业务快速上线的支持。云安全方案架构设计的优势主要体现在以下几点：。成熟的软件定义安全设计方案。云安全资源池方案设计釆用虚拟化产品，总结丰富的云安全项目经验，经过SDL流程的严格开发，确保了云安全资源池方案的先进性和可靠性。先进的安全合规方案。云安全资源池方案设计覆盖网络和通信安全、应用和数据安全、设备和计算安全等多方位安全防护，满足云数据中心软件定义安全的需求。4.2智能化运维管理云安全资源池方案在软件定义网络方面，舍弃了传统硬件厂商的复杂解决方案、采用更加灵活和简单的方式来实现SDDC中的整体IT基础服务，比如在实现Overlay的时候，用V