航海保障中心基于等級保護2.0要求下的虛擬化安全

劉鵬

摘要：本文在等級保護2.0的要求下，對航海保障中心虛擬化的現狀做出了分析，并對航海保障中心虛擬化安全建設進行了分析總結。

[關鍵詞]航保中心云平臺虛擬化安全

1航海保障中心虛擬化現狀

航海保障業務信息網絡目前主要采用租用運營商專線進行航保內部業務管理、通信。該網絡由網絡系統、數據庫系統、應用系統、安全系統、終端設備等信息化基礎設施體系組成。海事業務專網是航保業務的主體承載網絡，各種航保業務系統（航標管理、電子海圖應用、通信系統管理、安全信息播發、導助航信息發布、財務管理、人事管理等）、視頻應用等業務均運行在這個網絡之上，全面提供了數據、視頻、話音業務在IP網絡上的統一承載，保障了航海保障中心對海上船舶提供安全助航的服務能力。

目前，北海航保中心和東海航保中心已經基本完成等級保護的建設，南海航保中心將要進行等級保護建設。但從整體層面來看針對虛擬化安全防護的部分仍有不足，例如：虛擬化備份安全、數據訪問安全、虛擬化流量審計安全、虛擬化安全管理等未做安全防護。

2等級保護2.0對虛擬化安全的要求

航海保障中心現有虛擬化環境主要是主機虛擬化，等保2.0對主機虛擬化安全包含身份鑒別、訪問控制、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護。身份鑒別，應在網絡策略控制器和網絡設備（或設備代理）之間建立雙向身份驗證機制。訪問控制應滿足，當進行遠程管理時，防止遠程管理設備同時直接連接其他網絡。入侵防范應滿足異常訪問、資源隔離失效以及非授權警告。惡意代碼防范，應滿足惡意代碼檢測。資源控制，應滿足屏蔽虛擬資源故障。鏡像和快照保護，應滿足提供虛擬機鏡像、快照完整性校驗功能，防止虛擬機鏡像被惡意篡改。

3航海保障中心虛擬化安全討論

3.1虛擬化數據備份安全

虛擬化數據備份需要讀取最原始的數據源，對VMware環境中虛擬機的備份方式采用的是在虛擬層安裝代理程序，然后通過LAN傳輸備份數據。但在虛擬層處理備份將占用大量虛擬化資源，并且備份在網絡中傳輸勢必會占用LAN的帶寬，影響生產環境的產出效率。

在搭建虛擬化數據備份環境時將備份核心從虛擬層遷移單獨部署的服務器中，無需在虛擬層安裝代理程序，使用這種方式無需LAN訪問即可進行虛擬機的備份，從而提高了備份效率。

對于備份的數據建設本地和異地備份，并對備份的數據每天定時檢查，查看數據備份是都正常，定期對數據備份的數據進行完整性驗證。搭建測試環境，定期對針對備份的數據進行恢復演練，保證虛擬化數據備份的可用性。

3.2虛擬化數據訪問管理安全

搭建航海保障中心虛擬安全平臺，平臺系統管理包含功能有權限管理、功能管理、人員管理等。權限管理中包含權限添加、權限查看、權限修改以及權限刪除。功能管理中包含功能添加、功能修改、功能查看以及功能刪除。人員管理中包含人員添加、人員修改、人員刪除以、行為記錄。

為保障航海保障中心虛擬化管理和訪問安全，虛擬化平臺為航海保障中心搭提供統一的虛擬化系統登錄入口，利用平臺權限管理功能對所有用戶進行按需分配最低權限，從而保障系統安全。虛擬化平臺對航海保障中心現有資源進行QoS配置，滿足不同業務對資源的需求。將資源保證在一定范圍內動態變化，在保證預留資源的下限的同時可以限制其上限，QoS資源配置包括CPU預留的頻數、內存大小等;可以保證某一虛擬機不會完全占有所有的資源，導致其他一些關鍵業務達不到資源的要求，從而實現業務資源的合理管理，從而保障航海保障中心虛擬化系統安全穩定的運行。

3.3虛擬化流量安全防護

以北海航海保障中心為例，在網絡等級保護建設完成后對南北流量有了較好的防護。在虛擬化環境中，多臺虛擬服務器在一臺物理服務器上，在物理主機出口的安全設備上無法配置適用于物理主機上所有虛擬機的安全策略，而在物理主機內部，同一物理服務器上的虛擬服務器可直接在內部進行數據通信，流量不會經過物理服務器外的安全設備，無法做到對虛擬化流量的防護。三個航海保障中心都面臨同樣問題。

在航海保障中心部署虛擬化防火墻，一臺物理防火墻虛擬多臺邏輯墻，降低投資成本;通過統一的虛擬化平臺進行管理，在各個業務服務器直接部署邏輯防火墻，構建北保虛擬化安全環境。虛擬化防火墻的高靈活性和可擴展性可滿足航海保障中心的虛擬化安全行為控制要求。

3.4虛擬化主機安全

做好航海保障中心的虛擬化流量安全防護的同時需要做好對虛擬主機的安全防護，避免因某臺服務器中病毒或者漏洞導致整體虛擬化環境出現問題，從而影響航保業務。

（1）定期檢查虛擬主機系統的補丁更新情況，檢查服務器及系統漏洞，及時對服務器進行更新升級。

（2）部署虛擬化防病毒軟件，為避免"防病毒風暴”，部署無代理模式的防病毒系統，降低防病毒系統對系統資源占用率。

（3）定期檢查物理機的漏洞情況，及時更新。

（4）虛擬主機訪問權限按需分配最低權限。

（5）對虛擬主機進行分類，根據安全級別和故障影響范圍進行分類，對不同安全級別的虛擬主機合理調整安全策略。

3.5虛擬化運維安全

在虛擬化運維過程中，須由具有一定虛擬化水平的人員對虛擬化系統進行專人專職維護，每次對系統的維護須由虛擬化系統的管理員進行授權保留授權記錄，且遵守關于隱私保護的政策和法規。對現有的虛擬化環境進行轉臺監測，根據業務需要動態調整虛擬化資源，提高航海保障中心業務處理效率。定期檢查虛擬化系統整體運行狀態，更新系統，保障航保虛擬化系統的穩定運行。

4結論

綜上所述，本文在等保2.0的要求下，對航海保障中心虛擬化安全建設進行了分析總結。虛擬化技術降低了三大航海保障中心硬件設備投入的成本，提高了現有資源的利用率，推動了航海保障中心業務發展，同時為了有效支撐航海保障中心業務安全穩定的運行則需要不斷加強虛擬化安全技術的應用，提升對虛擬化系統的安全管理能力。

參考文獻

[1]趙曉東，曾慶凱。基于系統虛擬化的安全技術研究[J].計算機工程與設計，2013，34（01）：18-22.

[2]汪來富，金華敏，沈軍，虛擬化安全防護關鍵技術研究[J].電信科學，2014（s2）：107-110.

[3]系統安全隔離技術研究綜述[J].計算機學報，2017，40（05）：1057-1079.