航海保障中心基于等级保护2.0要求下的虚拟化安全

来源:用户上传      作者:

　　摘要：本文在等级保护2.0的要求下，对航海保障中心虚拟化的现状做出了分析，并对航海保障中心虚拟化安全建设进行了分析总结。
　　[关键词]航保中心云平台虚拟化安全
　　1航海保障中心虚拟化现状
　　航海保障业务信息网络目前主要采用租用运营商专线进行航保内部业务管理、通信。该网络由网络系统、数据库系统、应用系统、安全系统、终端设备等信息化基础设施体系组成。海事业务专网是航保业务的主体承载网络，各种航保业务系统（航标管理、电子海图应用、通信系统管理、安全信息播发、导助航信息发布、财务管理、人事管理等）、视频应用等业务均运行在这个网络之上，全面提供了数据、视频、话音业务在IP网络上的统一承载，保障了航海保障中心对海上船舶提供安全助航的服务能力。
　　目前，北海航保中心和东海航保中心已经基本完成等级保护的建设，南海航保中心将要进行等级保护建设。但从整体层面来看针对虚拟化安全防护的部分仍有不足，例如：虚拟化备份安全、数据访问安全、虛拟化流量审计安全、虚拟化安全管理等未做安全防护。
　　2等级保护2.0对虚拟化安全的要求
　　航海保障中心现有虚拟化环境主要是主机虚拟化，等保2.0对主机虚拟化安全包含身份鉴别、访问控制、入侵防范、恶意代码防范、资源控制、镜像和快照保护。身份鉴别，应在网络策略控制器和网络设备（或设备代理）之间建立双向身份验证机制。访问控制应满足，当进行远程管理时，防止远程管理设备同时直接连接其他网络。入侵防范应满足异常访问、资源隔离失效以及非授权警告。恶意代码防范，应满足恶意代码检测。资源控制，应满足屏蔽虚拟资源故障。镜像和快照保护，应满足提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改。
　　3航海保障中心虚拟化安全讨论
　　3.1虚拟化数据备份安全
　　虚拟化数据备份需要读取最原始的数据源，对VMware环境中虚拟机的备份方式采用的是在虚拟层安装代理程序，然后通过LAN传输备份数据。但在虚拟层处理备份将占用大量虚拟化资源，并且备份在网络中传输势必会占用LAN的带宽，影响生产环境的产出效率。
　　在搭建虚拟化数据备份环境时将备份核心从虚拟层迁移单独部署的服务器中，无需在虚拟层安装代理程序，使用这种方式无需LAN访问即可进行虚拟机的备份，从而提高了备份效率。
　　对于备份的数据建设本地和异地备份，并对备份的数据每天定时检查，查看数据备份是都正常，定期对数据备份的数据进行完整性验证。搭建测试环境，定期对针对备份的数据进行恢复演练，保证虚拟化数据备份的可用性。
　　3.2虚拟化数据访问管理安全
　　搭建航海保障中心虚拟安全平台，平台系统管理包含功能有权限管理、功能管理、人员管理等。权限管理中包含权限添加、权限查看、权限修改以及权限删除。功能管理中包含功能添加、功能修改、功能查看以及功能删除。人员管理中包含人员添加、人员修改、人员删除以、行为记录。
　　为保障航海保障中心虚拟化管理和访问安全，虚拟化平台为航海保障中心搭提供统一的虚拟化系统登录入口，利用平台权限管理功能对所有用户进行按需分配最低权限，从而保障系统安全。虚拟化平台对航海保障中心现有资源进行QoS配置，满足不同业务对资源的需求。将资源保证在一定范围内动态变化，在保证预留资源的下限的同时可以限制其上限，QoS资源配置包括CPU预留的频数、内存大小等;可以保证某一虚拟机不会完全占有所有的资源，导致其他一些关键业务达不到资源的要求，从而实现业务资源的合理管理，从而保障航海保障中心虚拟化系统安全稳定的运行。
　　3.3虚拟化流量安全防护
　　以北海航海保障中心为例，在网络等级保护建设完成后对南北流量有了较好的防护。在虚拟化环境中，多台虚拟服务器在一台物理服务器上，在物理主机出口的安全设备上无法配置适用于物理主机上所有虚拟机的安全策略，而在物理主机内部，同一物理服务器上的虚拟服务器可直接在内部进行数据通信，流量不会经过物理服务器外的安全设备，无法做到对虚拟化流量的防护。三个航海保障中心都面临同样问题。
　　在航海保障中心部署虚拟化防火墙，一台物理防火墙虚拟多台逻辑墙，降低投资成本;通过统一的虚拟化平台进行管理，在各个业务服务器直接部署逻辑防火墙，构建北保虚拟化安全环境。虚拟化防火墙的高灵活性和可扩展性可满足航海保障中心的虚拟化安全行为控制要求。
　　3.4虚拟化主机安全
　　做好航海保障中心的虚拟化流量安全防护的同时需要做好对虚拟主机的安全防护，避免因某台服务器中病毒或者漏洞导致整体虚拟化环境出现问题，从而影响航保业务。
　　（1）定期检查虚拟主机系统的补丁更新情况，检查服务器及系统漏洞，及时对服务器进行更新升级。
　　（2）部署虚拟化防病毒软件，为避免"防病毒风暴”，部署无代理模式的防病毒系统，降低防病毒系统对系统资源占用率。
　　（3）定期检查物理机的漏洞情况，及时更新。
　　（4）虚拟主机访问权限按需分配最低权限。
　　（5）对虚拟主机进行分类，根据安全级别和故障影响范围进行分类，对不同安全级别的虚拟主机合理调整安全策略。
　　3.5虚拟化运维安全
　　在虚拟化运维过程中，须由具有一定虚拟化水平的人员对虚拟化系统进行专人专职维护，每次对系统的维护须由虚拟化系统的管理员进行授权保留授权记录，且遵守关于隐私保护的政策和法规。对现有的虚拟化环境进行转台监测，根据业务需要动态调整虚拟化资源，提高航海保障中心业务处理效率。定期检查虚拟化系统整体运行状态，更新系统，保障航保虚拟化系统的稳定运行。
　　4结论
　　综上所述，本文在等保2.0的要求下，对航海保障中心虚拟化安全建设进行了分析总结。虚拟化技术降低了三大航海保障中心硬件设备投入的成本，提高了现有资源的利用率，推动了航海保障中心业务发展，同时为了有效支撑航海保障中心业务安全稳定的运行则需要不断加强虚拟化安全技术的应用，提升对虚拟化系统的安全管理能力。
　　参考文献
　　[1]赵晓东，曾庆凯。基于系统虚拟化的安全技术研究[J].计算机工程与设计，2013，34（01）：18-22.
　　[2]汪来富，金华敏，沈军，虚拟化安全防护关键技术研究[J].电信科学，2014（s2）：107-110.
　　[3]系統安全隔离技术研究综述[J].计算机学报，2017，40（05）：1057-1079.
转载注明来源:https://www.xzbu.com/1/view-14925708.htm