作為提升信息化效率、降低成本的重要手段，虛擬化是每一個企業在信息化道路上所必需跨過的一道門檻。為了全面推進虛擬化進程，避免安全失控的風險，中信證券股份有限公司(以下簡稱:中信證券)攜手全球服務器安全、虛擬化及云計算安全廠商趨勢科技，采用無代理特性的趨勢科技Deep Security，全面化解虛擬機防毒掃描風暴(AV Storms)難題，在虛擬化安全統一管理平臺上實現了更穩、更快的目標，讓業務連續性管理(Business Continuity Management，簡稱BCM)水平不斷提升。

穩定第一，但不能放棄“性能”

作為一家知名的全國性綜合類證券公司，中信證券在統一營業部系統、開通網上交易、實現廣域網連接、數據中心虛擬化等方面，都在我國證券行業處于“旗標”位置。隨著中信證券對虛擬化技術的深入探究，信息技術中心對自身的IT基礎架構進行了虛擬化改造，在北京、深圳、青島三大數據中心搭建了虛擬化平臺，并將測試網中大部分服務器遷移到了VMware虛擬化平臺。

在堅持守法合規經營、嚴格控制各類風險的規劃目標下，中信證券對應用測試環境的部署效率，以及測試與生產環境一致性的要求變得越來越高。而在40多臺VMware ESX 服務器上，既要實現1:50的虛擬機密度，又要同時保護千余臺虛擬機的安全運行，這讓運維部門工作壓力越來越重。

據中信證券信息技術中心的工程師介紹：穩定第一，但不是說我們會放棄性能。虛擬化系統在響應速度和性能方面的表現，將直接關系到最終用戶在使用相關服務時的用戶體驗，這可以說是中信證券服務質量中最重要的一環。但由于傳統防病毒軟件不是針對虛擬化而設計，虛擬機上安裝傳統防病毒軟件后，當所有的虛擬機進行預設掃描時，VMware虛擬化平臺的CPU利用率、I/O讀寫等都變得非常高，訪問延遲讓人無法接受。因此，虛擬化安全已經變成了網絡中的防護弱點，更是保障業務連續性不得不面對的挑戰。

聚焦“無代理”特性， Deep Security 屢立戰功

對中信證券來說，提前一步發現了虛擬化防毒可能帶來的“性能銳減”問題，對全面推進、并最終在生產網絡上實現虛擬化架構則是“一件好事”。這可以提前把虛擬化安全風險降至最低，讓安全策略與防毒管理提前適應架構的變化。為此，中信證券對市場上所有防毒軟件的功能進行了綜合評估，同時也與VMware廠商的資深工程師對原有傳統病毒防護軟件“不適應性”進行了分析。最終，中信證券信息技術中心將目光鎖定在基于無代理特性的趨勢科技Deep Security身上。

首先，趨勢科技Deep Security的無代理防病毒解決方案集成了VMware的vShield Endpoint技術接口，使VMware虛擬化平臺上的所有虛擬機無需安裝任何軟件就能對病毒、間諜軟件、木馬等威脅進行查殺;其次，Deep Security有效降低了虛擬機并發全盤掃描、病毒庫更新時對VMware虛擬化平臺產生的大量資源消耗，不存在防毒掃描風暴(AV Storms)的問題;最后，管理員不但可以利用Deep Security發現藏匿在虛擬網絡中的惡意流量，同時還可以利用 VMware vShield技術來保護處于運行狀態和休眠狀態的虛擬機。

據了解，中信證券為保障生產網萬無一失，首先在測試網部署了Deep Security，并對Deep Security的防護效果、性能、穩定性及兼容性進行測試評估，為虛擬化推至生產網絡做足了準備。從2012年底至今，Deep Security穩定運行并在測試網中屢次“殺毒立功”，而Deep Security進行殺毒時所占資源比使用傳統防病毒軟件有明顯減低，隨著虛擬機數量的增加，性能方面的優勢則更加明顯。

正因如此，中信證券信息技術中心對Deep Security的防毒效果給出了極高的評價：“Deep Security為我們提供了防惡意軟件、Web信譽、防火墻、入侵阻止、完整性監控和日志檢查，在簡化安全操作的同時，大幅提升了虛擬化項目的投資回報率。這些都讓我們可以徹底走出虛擬化的嘗試階段，可以最大限度的設計虛擬機密度。未來，中信證券將采用Deep Security的虛擬補丁功能，來解決防護間隙(Instant-On Gap)的難題，讓更多的業務、更多的應用匯聚于新一代的虛擬化數據中心。