虛擬環(huán)境下安全防護(hù)技術(shù)的應(yīng)用分析

謝黎

目前在虛擬化安全防護(hù)方面，大多數(shù)組織或機(jī)構(gòu)仍采用傳統(tǒng)的防護(hù)手段，從技術(shù)角度而言傳統(tǒng)方法已無(wú)法更好地適應(yīng)當(dāng)前資源整合的虛擬環(huán)境下安全防護(hù)的要求，更難滿足未來(lái)發(fā)展變化的需要，因此對(duì)虛擬環(huán)境下的安全防護(hù)方法提出了挑戰(zhàn)。本文通過(guò)分析虛擬化安全防護(hù)與傳統(tǒng)安全防護(hù)技術(shù)之間的差異，以此闡述在虛擬環(huán)境下做好安全防護(hù)工作應(yīng)注意的關(guān)鍵問(wèn)題和解決辦法。

【關(guān)鍵詞】無(wú)代理虛擬化防護(hù) 虛擬補(bǔ)丁 APT

1 傳統(tǒng)安全防護(hù)技術(shù)面臨的困境

傳統(tǒng)環(huán)境下的網(wǎng)絡(luò)安全，通常采取在網(wǎng)絡(luò)出口處部署防火墻、防毒墻、上網(wǎng)行為管理等安全設(shè)備，用來(lái)隔離內(nèi)外網(wǎng)，過(guò)濾來(lái)自外網(wǎng)的惡意程序，規(guī)范內(nèi)網(wǎng)用戶的上網(wǎng)行為，同時(shí)DMZ區(qū)使用防火墻隔離，部署IDS監(jiān)控對(duì)服務(wù)器的非法訪問(wèn)行為，在服務(wù)器上部署防病毒軟件，保護(hù)核心服務(wù)器的安全運(yùn)行。然而實(shí)現(xiàn)虛擬化后，多臺(tái)服務(wù)器被集中到一臺(tái)主機(jī)內(nèi)，這一臺(tái)主機(jī)同時(shí)運(yùn)行了多個(gè)操作系統(tǒng)，提供不同的應(yīng)用和服務(wù)，如果繼續(xù)依照傳統(tǒng)的安全防護(hù)模型，就需要在每個(gè)操作系統(tǒng)中安裝防毒軟件，在網(wǎng)絡(luò)層為各主機(jī)系統(tǒng)部署入防火墻、侵檢測(cè)或入侵防御系統(tǒng)，如此一來(lái)，這種傳統(tǒng)方式下看似合理的安全設(shè)計(jì)，應(yīng)用到虛擬環(huán)境中將面臨一些新的問(wèn)題。

2 傳統(tǒng)安全防護(hù)技術(shù)存在的問(wèn)題

2.1 搶占主機(jī)系統(tǒng)資源

當(dāng)防毒軟件在啟用預(yù)設(shè)的掃描任務(wù)后，將會(huì)在指定時(shí)間，執(zhí)行文件掃描的動(dòng)作，此時(shí)防毒軟件的運(yùn)行將會(huì)造成CPU和內(nèi)存占用量的劇增，當(dāng)系統(tǒng)資源被耗盡時(shí)就會(huì)導(dǎo)致服務(wù)器假死甚至是宕機(jī)。倘若是在虛擬化密度較高的虛擬化桌面服務(wù)器中，如果防毒軟件在同一時(shí)段動(dòng)作，將會(huì)造成硬件資源耗盡，最終導(dǎo)致業(yè)務(wù)中斷。

2.2 虛擬機(jī)之間內(nèi)部攻擊

傳統(tǒng)模式下的安全防護(hù)手段只能滿足單體硬件的安全防護(hù)要求，即防護(hù)邊界僅位于物理主機(jī)邊緣，而忽視了物理主機(jī)中的虛擬機(jī)之間存在的互相入侵、攻擊的安全隱患。

2.3 防護(hù)間歇問(wèn)題

虛擬化技術(shù)的應(yīng)用使運(yùn)維服務(wù)具備高靈活性和負(fù)載能力，但實(shí)時(shí)動(dòng)態(tài)調(diào)整的資源會(huì)導(dǎo)致安全防護(hù)間歇的問(wèn)題。例如：某臺(tái)一直處于關(guān)閉狀態(tài)的虛擬機(jī)在業(yè)務(wù)需要時(shí)自動(dòng)啟動(dòng)，并成為后臺(tái)服務(wù)器集群的一部分，然而該虛擬機(jī)之前的關(guān)閉狀態(tài)，導(dǎo)致其所包括的所有安全防護(hù)措施和策略都較一直在線運(yùn)行的主機(jī)滯后甚至是脫節(jié)，這就造成了安全防護(hù)間歇的問(wèn)題。

2.4 去除網(wǎng)絡(luò)邊界的挑戰(zhàn)

虛擬化環(huán)境的動(dòng)態(tài)特性面臨入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）新的挑戰(zhàn)，基于網(wǎng)絡(luò)的IDS/IPS無(wú)法監(jiān)測(cè)到同一臺(tái)虛擬化服務(wù)器上的虛擬機(jī)之間的通訊，伴隨著“網(wǎng)絡(luò)邊界去除”的應(yīng)用，快速地恢復(fù)和便利的移動(dòng)，將造成獲得并維持整體一致安全性的困難局面。

2.5 缺少未知風(fēng)險(xiǎn)感知（APT攻擊）

據(jù)統(tǒng)計(jì)在安全事件中，有80%的幾率是由未知風(fēng)險(xiǎn)造成的，尤其是針對(duì)APT攻擊偵測(cè)能力的掌握和欠缺，因此在未知安全威脅方面需要一定的提前預(yù)知和防范才能有效降低未知風(fēng)險(xiǎn)。

2.6 難以防護(hù)的虛擬化病毒傳播

曾經(jīng)在2012年8月爆發(fā)的Morcut/Crisis（危機(jī)）病毒，會(huì)感染VMware虛擬機(jī)且能夠在多個(gè)系統(tǒng)平臺(tái)上進(jìn)行傳播。病毒的惡意行為無(wú)論是在虛擬化環(huán)境中還是在物理服務(wù)器中都是一樣，所以伴隨著虛擬化技術(shù)及應(yīng)用的發(fā)展，針對(duì)虛擬化環(huán)境的病毒也會(huì)越來(lái)越多，虛擬化環(huán)境并非絕對(duì)安全，需要額外的安全解決方案進(jìn)行加固。

2.7 管理成本迅速上升

虛擬化環(huán)境仍面臨傳統(tǒng)方式下的安全防護(hù)運(yùn)維和管理手段等問(wèn)題，主要體現(xiàn)為：無(wú)法確保系統(tǒng)在測(cè)試后發(fā)生的變化是否會(huì)因?yàn)榘惭b補(bǔ)丁導(dǎo)致異常；集中安裝的系統(tǒng)補(bǔ)丁，前中后期需要大量人力、物力和技術(shù)支撐，部署成本太大。

3 虛擬化安全防護(hù)技術(shù)應(yīng)用分析

3.1 無(wú)代理虛擬化安全防護(hù)

無(wú)代理虛擬化安全技術(shù)使得創(chuàng)建獨(dú)特的安全控制虛擬機(jī)成為可能，通過(guò)部署專用安全虛擬機(jī)和經(jīng)特別授權(quán)訪問(wèn)管理程序的API，達(dá)到虛擬化安全防護(hù)的目的，安全虛擬機(jī)是一種在虛擬環(huán)境中實(shí)現(xiàn)安全控制的新技術(shù)，在虛擬化環(huán)境中從根本上改變了安全和管理的概念。

安全虛擬機(jī)利用API訪問(wèn)關(guān)于每臺(tái)虛擬機(jī)的特權(quán)狀態(tài)信息，包括內(nèi)存、狀態(tài)和網(wǎng)絡(luò)通信流量等。并將包括防病毒、防火墻、IDS/IPS和系統(tǒng)完整性監(jiān)控等在內(nèi)的安全功能應(yīng)用于各虛擬機(jī)中。無(wú)代理安全防護(hù)通過(guò)實(shí)時(shí)掃描、預(yù)設(shè)掃描、清除修復(fù)等數(shù)據(jù)接口，對(duì)虛擬機(jī)中的數(shù)據(jù)進(jìn)行病毒代碼的掃描和判斷，并結(jié)合防火墻、IDS策略對(duì)虛擬機(jī)的實(shí)時(shí)數(shù)據(jù)進(jìn)行安全過(guò)濾。無(wú)代理虛擬化安全是基于虛擬化底層進(jìn)行安全防護(hù)的技術(shù)手段，其主要考慮四個(gè)方面的安全要素。

3.1.1 訪問(wèn)控制防護(hù)

傳統(tǒng)的防火墻技術(shù)通常以硬件形式存在，部署在網(wǎng)絡(luò)邊界處，通過(guò)訪問(wèn)控制和安全區(qū)域間的劃分，來(lái)保障不同整體網(wǎng)絡(luò)架構(gòu)區(qū)域中的信息數(shù)據(jù)資產(chǎn)。然而隨著計(jì)算資源的虛擬化，導(dǎo)致邊界模糊，虛擬系統(tǒng)通過(guò)底層硬件組網(wǎng)隨意性增強(qiáng)，很多信息交換在虛擬系統(tǒng)底層內(nèi)部就實(shí)現(xiàn)了。而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問(wèn)控制，如何在虛擬系統(tǒng)內(nèi)部實(shí)現(xiàn)訪問(wèn)控制和惡意代碼傳播抑制是虛擬系統(tǒng)面臨的安全問(wèn)題。使用虛擬防火墻技術(shù)來(lái)解決虛擬化中針對(duì)訪問(wèn)控制層面的防護(hù)問(wèn)題，針對(duì)虛擬化的特點(diǎn)做好訪問(wèn)控制防護(hù)，就需要針對(duì)虛擬化部署虛擬防火墻來(lái)實(shí)現(xiàn)。虛擬防火墻可以提供全面基于狀態(tài)檢測(cè)細(xì)粒度的訪問(wèn)控制功能，可以實(shí)現(xiàn)針對(duì)虛擬交換機(jī)基于網(wǎng)口的訪問(wèn)控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離，同時(shí)還支持各種泛洪攻擊的識(shí)別和攔截。

如圖1所示，結(jié)合虛擬化環(huán)境的特點(diǎn)，部署虛擬化防火墻安全防護(hù)措施，在虛擬化的HyperVisor層上部署獨(dú)立的安全虛擬機(jī)用以實(shí)現(xiàn)防護(hù)功能；安全虛擬機(jī)通過(guò)HyperVisor層中的API接口在HyperVisor的vSwitch層實(shí)現(xiàn)對(duì)所有運(yùn)行的虛擬機(jī)的細(xì)粒度、端口級(jí)的訪問(wèn)控制保護(hù)。虛擬防火墻使用訪問(wèn)控制策略實(shí)現(xiàn)對(duì)端口和協(xié)議的通信控制，能夠有效地阻止病毒傳播端口和不安全協(xié)議，降低未授權(quán)訪問(wèn)服務(wù)器的風(fēng)險(xiǎn)，且具備企業(yè)級(jí)、雙向性和狀態(tài)型的特點(diǎn)。

3.1.2 惡意代碼防護(hù)

傳統(tǒng)的惡意代碼防護(hù)技術(shù)是采取安裝Agent代理程序到虛擬機(jī)操作系統(tǒng)中，實(shí)現(xiàn)針對(duì)惡意代碼的實(shí)時(shí)防護(hù)的目的，但是虛擬化后的服務(wù)器中的每臺(tái)虛擬主機(jī)倘若都部署Agent程，將會(huì)帶來(lái)節(jié)點(diǎn)計(jì)算資源的重復(fù)占用和大量消耗，并且惡意代碼庫(kù)的更新也會(huì)帶來(lái)更多網(wǎng)絡(luò)資源的開(kāi)銷，不利于服務(wù)器資源合理利用和運(yùn)算效率的提升。使用底層無(wú)代理惡意代碼防護(hù)技術(shù)能夠解決這一問(wèn)題，通過(guò)使用虛擬化層相關(guān)的API接口達(dá)到惡意代碼防護(hù)的目的。底層無(wú)代理惡意代碼防護(hù)是基于虛擬系統(tǒng)環(huán)境的通過(guò)底層接口實(shí)現(xiàn)虛擬系統(tǒng)和虛擬主機(jī)之間的全面防護(hù)，無(wú)需在每臺(tái)虛擬機(jī)操作系統(tǒng)中安裝Agent程序，即可實(shí)現(xiàn)實(shí)時(shí)的惡意代碼的防護(hù)功能，且無(wú)需額外消耗分配給虛擬主機(jī)的計(jì)算資源和網(wǎng)絡(luò)資源，保證了計(jì)算資源的利用率，降低了重復(fù)資源的開(kāi)銷。

如圖2所示，無(wú)代理惡意軟件防護(hù)的部署是在VMware的HyperVisor層上部署獨(dú)立的安全虛擬機(jī)，并結(jié)合VMware的vShield Manager安全管理套接層開(kāi)放的API接口和每個(gè)虛擬機(jī)中的VMware Tools工具對(duì)每臺(tái)虛擬機(jī)進(jìn)行惡意代碼防護(hù)，這種無(wú)代理的防護(hù)方法可以實(shí)現(xiàn)針對(duì)每臺(tái)虛擬機(jī)的實(shí)時(shí)掃描、全盤(pán)掃描、計(jì)劃性掃描等安全防護(hù)目的。

3.1.3 入侵檢測(cè)與防護(hù)

在主機(jī)和網(wǎng)絡(luò)層面進(jìn)行入侵監(jiān)測(cè)和預(yù)防，是當(dāng)前信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。由于虛擬交換機(jī)不支持建立SPAN或鏡像端口，且禁止將數(shù)據(jù)流拷貝至IDS傳感器，因此網(wǎng)絡(luò)入侵監(jiān)測(cè)手段將會(huì)變得困難。同樣，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)也無(wú)法輕易地集成到虛擬環(huán)境中，尤其是面對(duì)虛擬網(wǎng)絡(luò)的內(nèi)部流量時(shí)；然而基于主機(jī)的IDS系統(tǒng)或許仍能在虛擬機(jī)中正常運(yùn)行，但會(huì)消耗共享資源，使得安裝安全代理軟件的效果變得并不理想。隨著虛擬化技術(shù)的不斷應(yīng)用，傳統(tǒng)的入侵檢測(cè)工具已經(jīng)無(wú)法運(yùn)行或融入到虛擬化網(wǎng)絡(luò)或系統(tǒng)中，需要使用虛擬化入侵檢測(cè)技術(shù)來(lái)解決虛擬環(huán)境中的主機(jī)和網(wǎng)絡(luò)的監(jiān)測(cè)和防護(hù)等問(wèn)題。

如圖3所示，在ESX中的HyperVisor層部署安全虛擬機(jī)，安全虛擬機(jī)會(huì)通過(guò)HyperVisor層調(diào)用VMware的VMsafe接口，進(jìn)而與HyperVisor中的vSwitch結(jié)合。因?yàn)関Switch會(huì)為每臺(tái)虛擬機(jī)生成虛擬網(wǎng)卡，并最終將每臺(tái)虛擬機(jī)的網(wǎng)絡(luò)流量與物理網(wǎng)卡交互。在虛擬環(huán)境的內(nèi)部vSwitch會(huì)交互虛擬機(jī)之間的流量，安全虛擬機(jī)會(huì)下發(fā)策略和部署虛擬補(bǔ)丁，并對(duì)所有類型的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)防護(hù)，對(duì)惡意流量進(jìn)行匹配并攔截。

3.1.4 虛擬補(bǔ)丁防護(hù)

隨著新漏洞的不斷涌現(xiàn)，系統(tǒng)管理員往往在修補(bǔ)系統(tǒng)漏洞或給系統(tǒng)打補(bǔ)丁的工作上疲于應(yīng)付，加上安裝重要安全補(bǔ)丁可能會(huì)造成系統(tǒng)軟件沖突或是系統(tǒng)重啟造成業(yè)務(wù)中斷的情況。此外，部分操作系統(tǒng)或應(yīng)用程序尚未提供漏洞補(bǔ)丁，或補(bǔ)丁發(fā)布時(shí)間滯后，從而造成信息系統(tǒng)無(wú)法及時(shí)修補(bǔ)漏洞而陷入威脅的風(fēng)險(xiǎn)之中。

虛擬補(bǔ)丁修復(fù)技術(shù)使用基于主機(jī)的過(guò)濾器來(lái)檢測(cè)和過(guò)濾網(wǎng)絡(luò)流量，當(dāng)惡意軟件危及受到攻擊的目標(biāo)機(jī)之前，在不中斷應(yīng)用程序和運(yùn)營(yíng)業(yè)務(wù)的情況下，高效地修復(fù)或阻止可能造成漏洞攻擊的數(shù)據(jù)流。虛擬補(bǔ)丁修復(fù)一般基于主機(jī)的安全功能，針對(duì)數(shù)據(jù)流，檢測(cè)入站數(shù)據(jù)流量并保護(hù)應(yīng)用程序免受漏洞攻擊。虛擬補(bǔ)丁技術(shù)可以解決由漏洞補(bǔ)丁導(dǎo)致的問(wèn)題，通過(guò)在虛擬環(huán)境中針對(duì)特定的接口對(duì)虛擬機(jī)系統(tǒng)進(jìn)行評(píng)估，并自動(dòng)對(duì)每個(gè)虛擬機(jī)提供全面、完整的漏洞修補(bǔ)功能，當(dāng)操作系統(tǒng)尚未安裝補(bǔ)丁程序之前，提供針對(duì)漏洞攻擊的攔截。并且虛擬補(bǔ)丁技術(shù)無(wú)需停機(jī)安裝，也無(wú)需進(jìn)行廣泛的應(yīng)用程序匹配測(cè)試，為IT運(yùn)維人員節(jié)省大量勞力和時(shí)間。

如圖4所示，虛擬補(bǔ)丁技術(shù)是通過(guò)相關(guān)接口在虛擬網(wǎng)卡和虛擬交換機(jī)之間建立起嵌套層，利用安全虛擬機(jī)對(duì)所有出站、入站的數(shù)據(jù)流進(jìn)行過(guò)濾，將數(shù)據(jù)包解開(kāi)讀取包中的報(bào)文內(nèi)容，并判定是否存在利用漏洞的攻擊行為，若是則丟棄或者阻擋該包，從而實(shí)現(xiàn)漏洞防護(hù)的功能，如此虛擬機(jī)系統(tǒng)也就無(wú)需再單獨(dú)安裝補(bǔ)丁了。

3.2 未知風(fēng)險(xiǎn)感知及防護(hù)

傳統(tǒng)基于特征碼匹配或狀態(tài)檢測(cè)的安全防護(hù)辦法已無(wú)法應(yīng)對(duì)虛擬環(huán)境中存在的未知風(fēng)險(xiǎn)的感知和防護(hù)的需要。利用在虛擬網(wǎng)絡(luò)層部署的數(shù)據(jù)采集和分析技術(shù)，監(jiān)測(cè)網(wǎng)絡(luò)層的可疑活動(dòng)從而定位惡意程序，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的感知和識(shí)別，以適應(yīng)網(wǎng)絡(luò)虛擬化安全防護(hù)的要求。虛擬化安全防護(hù)技術(shù)可以用來(lái)檢測(cè)基于Web威脅或郵件內(nèi)容的攻擊，如：Web攻擊、跨區(qū)跨站點(diǎn)腳本攻擊、網(wǎng)絡(luò)釣魚(yú)等。并且，一旦惡意程序在網(wǎng)絡(luò)中出現(xiàn)傳播或感染其它用戶的行為時(shí)，惡意程序就會(huì)被做上特定的標(biāo)記，以有針對(duì)的辨識(shí)其向外界傳送的信息或從攻擊源接收的命令，并方便管理員及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)和做出判斷、處理。虛擬化安全防護(hù)技術(shù)還能用于識(shí)別違反安全策略、中斷網(wǎng)絡(luò)以及消耗大量帶寬或構(gòu)成潛在安全威脅的未經(jīng)授權(quán)的程序訪問(wèn)等行為，如：即時(shí)通訊、P2P文件共享、流媒體、SMTP中繼和DNS欺騙等。利用基于網(wǎng)絡(luò)層的數(shù)據(jù)報(bào)文內(nèi)容檢測(cè)技術(shù)偵測(cè)網(wǎng)絡(luò)流量和病毒掃描引擎對(duì)報(bào)文內(nèi)容的分析、過(guò)濾，同時(shí)采取在網(wǎng)絡(luò)層鏡像數(shù)據(jù)流的方式進(jìn)行內(nèi)容檢查，及時(shí)發(fā)現(xiàn)已知攻擊，提前預(yù)知未知攻擊，最終達(dá)到應(yīng)對(duì)漏洞掃描、蠕蟲(chóng)、病毒、木馬等惡意軟件和未知惡意程序攻擊的安全防護(hù)的需要，確保信息網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)健康、穩(wěn)定的運(yùn)行。此外，管理員也可以根據(jù)收集的反饋信息，靈活的調(diào)整當(dāng)前的安全策略，并制訂后續(xù)的安全防護(hù)規(guī)劃和建設(shè)重點(diǎn)。

4 結(jié)束語(yǔ)

隨著信息技術(shù)的飛速發(fā)展，虛擬化時(shí)代已經(jīng)到來(lái)，虛擬化作為全新計(jì)算模式——云計(jì)算的基礎(chǔ)支撐，在安全方面將面臨復(fù)雜多樣的挑戰(zhàn)。因此，需要重視對(duì)虛擬化安全防護(hù)技術(shù)的應(yīng)用與研究，才能化解云計(jì)算應(yīng)用中突發(fā)多變的安全威脅，充分發(fā)揮優(yōu)勢(shì)規(guī)避劣勢(shì)，使云成為一朵安全、健康的藍(lán)天白云。

專業(yè)術(shù)語(yǔ)注釋

無(wú)代理虛擬化防護(hù)：無(wú)代理虛擬化防護(hù)（Virtual Agent Protection）是針對(duì)虛擬化安全防護(hù)提出的新的防護(hù)思路，改變了在傳統(tǒng)操作系統(tǒng)中部署Agent端的局面，無(wú)代理虛擬化防護(hù)是在HyperVisor層進(jìn)行的防護(hù)，通過(guò)部署安全虛擬機(jī)，實(shí)現(xiàn)無(wú)需在每臺(tái)虛擬機(jī)上部署Agent即可達(dá)到安全防護(hù)的能力。

虛擬補(bǔ)丁：虛擬補(bǔ)丁（Virtual Patch）通過(guò)控制受影響的操作系統(tǒng)或應(yīng)用程序的數(shù)據(jù)流，來(lái)改變或消除該應(yīng)用程序的漏洞，從而實(shí)現(xiàn)在不影響應(yīng)用程序及其相關(guān)庫(kù)和操作系統(tǒng)運(yùn)行環(huán)境的情況下，為應(yīng)用程序安裝補(bǔ)丁，達(dá)到安全防護(hù)的目的。

APT：APT（Advanced Persistent Threat）高級(jí)持續(xù)性威脅，是指組織（特別是政府）或者小團(tuán)體利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的形式。 APT攻擊的原理相對(duì)于其他攻擊形式更為高級(jí)和先進(jìn)，主要體現(xiàn)在APT在發(fā)動(dòng)攻擊之前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集，在收集過(guò)程中會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，并在此基礎(chǔ)上形成攻擊者所需的C&C網(wǎng)絡(luò)。由于該攻擊方式?jīng)]有采取任何可能觸發(fā)警報(bào)或者引起懷疑的行為，因此更接近于融入被攻擊者的系統(tǒng)或程序中。

參考文獻(xiàn)

[1]王建永.虛擬化系統(tǒng)的安全防護(hù)[J].電腦知識(shí)與技術(shù)，2013（23）.

作者單位

國(guó)網(wǎng)宜昌供電公司信通分公司 湖北省宜昌市 443000