航海保障中心基于等級保護(hù)2.0要求下的虛擬化安全

劉鵬

摘要：本文在等級保護(hù)2.0的要求下，對航海保障中心虛擬化的現(xiàn)狀做出了分析，并對航海保障中心虛擬化安全建設(shè)進(jìn)行了分析總結(jié)。

[關(guān)鍵詞]航保中心云平臺虛擬化安全

1航海保障中心虛擬化現(xiàn)狀

航海保障業(yè)務(wù)信息網(wǎng)絡(luò)目前主要采用租用運(yùn)營商專線進(jìn)行航保內(nèi)部業(yè)務(wù)管理、通信。該網(wǎng)絡(luò)由網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)、終端設(shè)備等信息化基礎(chǔ)設(shè)施體系組成。海事業(yè)務(wù)專網(wǎng)是航保業(yè)務(wù)的主體承載網(wǎng)絡(luò)，各種航保業(yè)務(wù)系統(tǒng)（航標(biāo)管理、電子海圖應(yīng)用、通信系統(tǒng)管理、安全信息播發(fā)、導(dǎo)助航信息發(fā)布、財(cái)務(wù)管理、人事管理等）、視頻應(yīng)用等業(yè)務(wù)均運(yùn)行在這個(gè)網(wǎng)絡(luò)之上，全面提供了數(shù)據(jù)、視頻、話音業(yè)務(wù)在IP網(wǎng)絡(luò)上的統(tǒng)一承載，保障了航海保障中心對海上船舶提供安全助航的服務(wù)能力。

目前，北海航保中心和東海航保中心已經(jīng)基本完成等級保護(hù)的建設(shè)，南海航保中心將要進(jìn)行等級保護(hù)建設(shè)。但從整體層面來看針對虛擬化安全防護(hù)的部分仍有不足，例如：虛擬化備份安全、數(shù)據(jù)訪問安全、虛擬化流量審計(jì)安全、虛擬化安全管理等未做安全防護(hù)。

2等級保護(hù)2.0對虛擬化安全的要求

航海保障中心現(xiàn)有虛擬化環(huán)境主要是主機(jī)虛擬化，等保2.0對主機(jī)虛擬化安全包含身份鑒別、訪問控制、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護(hù)。身份鑒別，應(yīng)在網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備（或設(shè)備代理）之間建立雙向身份驗(yàn)證機(jī)制。訪問控制應(yīng)滿足，當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，防止遠(yuǎn)程管理設(shè)備同時(shí)直接連接其他網(wǎng)絡(luò)。入侵防范應(yīng)滿足異常訪問、資源隔離失效以及非授權(quán)警告。惡意代碼防范，應(yīng)滿足惡意代碼檢測。資源控制，應(yīng)滿足屏蔽虛擬資源故障。鏡像和快照保護(hù)，應(yīng)滿足提供虛擬機(jī)鏡像、快照完整性校驗(yàn)功能，防止虛擬機(jī)鏡像被惡意篡改。

3航海保障中心虛擬化安全討論

3.1虛擬化數(shù)據(jù)備份安全

虛擬化數(shù)據(jù)備份需要讀取最原始的數(shù)據(jù)源，對VMware環(huán)境中虛擬機(jī)的備份方式采用的是在虛擬層安裝代理程序，然后通過LAN傳輸備份數(shù)據(jù)。但在虛擬層處理備份將占用大量虛擬化資源，并且備份在網(wǎng)絡(luò)中傳輸勢必會占用LAN的帶寬，影響生產(chǎn)環(huán)境的產(chǎn)出效率。

在搭建虛擬化數(shù)據(jù)備份環(huán)境時(shí)將備份核心從虛擬層遷移單獨(dú)部署的服務(wù)器中，無需在虛擬層安裝代理程序，使用這種方式無需LAN訪問即可進(jìn)行虛擬機(jī)的備份，從而提高了備份效率。

對于備份的數(shù)據(jù)建設(shè)本地和異地備份，并對備份的數(shù)據(jù)每天定時(shí)檢查，查看數(shù)據(jù)備份是都正常，定期對數(shù)據(jù)備份的數(shù)據(jù)進(jìn)行完整性驗(yàn)證。搭建測試環(huán)境，定期對針對備份的數(shù)據(jù)進(jìn)行恢復(fù)演練，保證虛擬化數(shù)據(jù)備份的可用性。

3.2虛擬化數(shù)據(jù)訪問管理安全

搭建航海保障中心虛擬安全平臺，平臺系統(tǒng)管理包含功能有權(quán)限管理、功能管理、人員管理等。權(quán)限管理中包含權(quán)限添加、權(quán)限查看、權(quán)限修改以及權(quán)限刪除。功能管理中包含功能添加、功能修改、功能查看以及功能刪除。人員管理中包含人員添加、人員修改、人員刪除以、行為記錄。

為保障航海保障中心虛擬化管理和訪問安全，虛擬化平臺為航海保障中心搭提供統(tǒng)一的虛擬化系統(tǒng)登錄入口，利用平臺權(quán)限管理功能對所有用戶進(jìn)行按需分配最低權(quán)限，從而保障系統(tǒng)安全。虛擬化平臺對航海保障中心現(xiàn)有資源進(jìn)行QoS配置，滿足不同業(yè)務(wù)對資源的需求。將資源保證在一定范圍內(nèi)動態(tài)變化，在保證預(yù)留資源的下限的同時(shí)可以限制其上限，QoS資源配置包括CPU預(yù)留的頻數(shù)、內(nèi)存大小等;可以保證某一虛擬機(jī)不會完全占有所有的資源，導(dǎo)致其他一些關(guān)鍵業(yè)務(wù)達(dá)不到資源的要求，從而實(shí)現(xiàn)業(yè)務(wù)資源的合理管理，從而保障航海保障中心虛擬化系統(tǒng)安全穩(wěn)定的運(yùn)行。

3.3虛擬化流量安全防護(hù)

以北海航海保障中心為例，在網(wǎng)絡(luò)等級保護(hù)建設(shè)完成后對南北流量有了較好的防護(hù)。在虛擬化環(huán)境中，多臺虛擬服務(wù)器在一臺物理服務(wù)器上，在物理主機(jī)出口的安全設(shè)備上無法配置適用于物理主機(jī)上所有虛擬機(jī)的安全策略，而在物理主機(jī)內(nèi)部，同一物理服務(wù)器上的虛擬服務(wù)器可直接在內(nèi)部進(jìn)行數(shù)據(jù)通信，流量不會經(jīng)過物理服務(wù)器外的安全設(shè)備，無法做到對虛擬化流量的防護(hù)。三個(gè)航海保障中心都面臨同樣問題。

在航海保障中心部署虛擬化防火墻，一臺物理防火墻虛擬多臺邏輯墻，降低投資成本;通過統(tǒng)一的虛擬化平臺進(jìn)行管理，在各個(gè)業(yè)務(wù)服務(wù)器直接部署邏輯防火墻，構(gòu)建北保虛擬化安全環(huán)境。虛擬化防火墻的高靈活性和可擴(kuò)展性可滿足航海保障中心的虛擬化安全行為控制要求。

3.4虛擬化主機(jī)安全

做好航海保障中心的虛擬化流量安全防護(hù)的同時(shí)需要做好對虛擬主機(jī)的安全防護(hù)，避免因某臺服務(wù)器中病毒或者漏洞導(dǎo)致整體虛擬化環(huán)境出現(xiàn)問題，從而影響航保業(yè)務(wù)。

（1）定期檢查虛擬主機(jī)系統(tǒng)的補(bǔ)丁更新情況，檢查服務(wù)器及系統(tǒng)漏洞，及時(shí)對服務(wù)器進(jìn)行更新升級。

（2）部署虛擬化防病毒軟件，為避免"防病毒風(fēng)暴”，部署無代理模式的防病毒系統(tǒng)，降低防病毒系統(tǒng)對系統(tǒng)資源占用率。

（3）定期檢查物理機(jī)的漏洞情況，及時(shí)更新。

（4）虛擬主機(jī)訪問權(quán)限按需分配最低權(quán)限。

（5）對虛擬主機(jī)進(jìn)行分類，根據(jù)安全級別和故障影響范圍進(jìn)行分類，對不同安全級別的虛擬主機(jī)合理調(diào)整安全策略。

3.5虛擬化運(yùn)維安全

在虛擬化運(yùn)維過程中，須由具有一定虛擬化水平的人員對虛擬化系統(tǒng)進(jìn)行專人專職維護(hù)，每次對系統(tǒng)的維護(hù)須由虛擬化系統(tǒng)的管理員進(jìn)行授權(quán)保留授權(quán)記錄，且遵守關(guān)于隱私保護(hù)的政策和法規(guī)。對現(xiàn)有的虛擬化環(huán)境進(jìn)行轉(zhuǎn)臺監(jiān)測，根據(jù)業(yè)務(wù)需要動態(tài)調(diào)整虛擬化資源，提高航海保障中心業(yè)務(wù)處理效率。定期檢查虛擬化系統(tǒng)整體運(yùn)行狀態(tài)，更新系統(tǒng)，保障航保虛擬化系統(tǒng)的穩(wěn)定運(yùn)行。

4結(jié)論

綜上所述，本文在等保2.0的要求下，對航海保障中心虛擬化安全建設(shè)進(jìn)行了分析總結(jié)。虛擬化技術(shù)降低了三大航海保障中心硬件設(shè)備投入的成本，提高了現(xiàn)有資源的利用率，推動了航海保障中心業(yè)務(wù)發(fā)展，同時(shí)為了有效支撐航海保障中心業(yè)務(wù)安全穩(wěn)定的運(yùn)行則需要不斷加強(qiáng)虛擬化安全技術(shù)的應(yīng)用，提升對虛擬化系統(tǒng)的安全管理能力。

參考文獻(xiàn)

[1]趙曉東，曾慶凱?；谙到y(tǒng)虛擬化的安全技術(shù)研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2013，34（01）：18-22.

[2]汪來富，金華敏，沈軍，虛擬化安全防護(hù)關(guān)鍵技術(shù)研究[J].電信科學(xué)，2014（s2）：107-110.

[3]系統(tǒng)安全隔離技術(shù)研究綜述[J].計(jì)算機(jī)學(xué)報(bào)，2017，40（05）：1057-1079.