比来几年来，福建中医药大年夜学加强了数据中间的安然防护扶植，前后摆设了安然网关、WEB利用防护，防病毒软件等安然系统，根基实现了物理鸿沟安然及终端安然。但因为虚拟化系统本身的特点，若何实现虚拟化系统的主机缝隙防护面对着挑战。

　　福建中医药大年夜学原名福建中医学院，成立于1958年，是我国创办较早的高档中医药院校之一，是福建省重点扶植高校，2010年3月经教育部核准改名为福建中医药大年夜学。黉舍具有国度中医药治理局重点学科20个，福建省重点学科12个。

　　福建中医药大年夜黉舍园计较机收集建于1998年，2002年共同“数字福建”扶植打算，拟定《“数字福建中医学院”扶植打算草案》。2004年拟定《福建中医学院数字化校园扶植整体打算》，同年立项扶植。2007年完成数字化校园扶植招标，同年10月统一身份认证、信息门户、数据共享和办公主动化系统起首投进利用，随后其它系统也接踵投进利用至今。

　　我校校园信息化项目颠末量年的扶植，现稀有十台机架式办事器及刀片式办事器、多套存储硬件，经由过程虚拟化摆设，承载数字化校园、网站群系统等浩繁利用，数据级容灾跨两个校区，笼盖Linux/Windows两大年夜平台的数据库、中间件等等。

　　比来几年来，我校加强了数据中间的安然防护扶植，前后摆设了安然网关、WEB利用防护，防病毒软件等安然系统，根基实现了物理鸿沟安然及终端安然。但因为虚拟化系统本身的特点，若何实现虚拟化系统的主机缝隙防护面对着挑战。

　　非论是物理办事器仍是虚拟办事器，其上的把持系统包含各类数据库、中间件等等利用都可能存在安然缝隙，黑客或病毒等可以经由过程这些缝隙报复打击办事器。这类报复打击的过程一般以下图1所示：

　　图1：操纵缝隙实施报复打击流程

　　针对办事器的缝隙，假定用打实体补丁的编制解决，需要与触及的所有第三方利用软件开辟商调和及确认利用软件的兼容性，且良多补丁修补都需要重启动办事器。这类做法每年集中做一次两次可以，但和安然缝隙同步履行生怕不太实际。今朝的近况是，我们一般会利用收集IPS设备对一些首要的安然缝隙做策略禁止。但附加在IPS上的策略数量过量的话，IPS机能将不敷利用。实际上，这类编制也只能针对有限的几种安然缝隙设定策略禁止，相对各类把持系统及利用软件存在的几千种安然缝隙来讲，无异于杯水车薪。针对这类窘境，对主机安然有更高要求的利用者一般会在收集IPS以外再实施主机防火墙及主机IPS系统，在每台办事器上摆设主机加固软件，将大年夜部门IPS策略分担到各台主机上，如许的话，因为每***立的主机上的把持系统及利用是有限的，其上的主机IPS需要承载的策略其实不会良多，根基可以知足安然的需要。

　　在传统的机房中，我们可以用互换机、路由器、防火墙、IPS等传统的安然设备实现各个安然功能。但在虚拟化的环境中，虚拟机之间的彼此通信直接经由过程虚拟化软件底层的虚拟互换机进行，假定报复打击者利用某一台虚拟办事器报复打击别的的虚拟办事器的话，我们在鸿沟摆设的IPS、防火墙和用来侦测内部报复打击的IDS都将掉往感化。

　　事实上，针对虚拟化环境下的主机安然，我们需要用“虚拟化”的目光来对待和思虑。以VMware虚拟化软件举例，全部VMware的虚拟化系统中，所有的虚拟机VM是经由过程vSwitch虚拟互换机进行通信的，VMware利用两组API来承载通信节制。此中VMsafe API负责和收集相干的通信，vShield Endpoint API负责和内容、利用相干的通信。假定我们能让安然软件嵌进到VMware的虚拟化软件底层且可以或许直接调用这两组API的话，虚拟化环境本身的安然包含虚拟办事器的安然不便可以实现了吗。

　　当然，我们知道虚拟化环境下，各虚拟办事器的资本操纵率遍及会达到50%以上，这要比物理机期间的平均10%摆布增加5倍。从这个角度来看，假定合用于虚拟化环境的安然软件是需要摆设于每个虚拟机的话，我们需要慎重考虑。事实安然软件本身就是很耗资本且习惯“争抢”资本的，而安然软件的扫描、更新等更是极耗资本。

　　综上所述，解决虚拟化环境下的主机安然的最好编制是“无代办署理安然”，即在虚拟化软件的底层安装一个嵌进式软件，实现防火墙及IPS功能。这个无代办署理防火墙、IPS既可以节制各虚拟机之间及虚拟机与外界之间的通信，又可以不在各个虚拟办事器上安装代办署理的前提下对各个虚拟机实现定制化的IPS及防火墙策略。简单的说，在VMware的ESX上安装一台安然虚拟机，这台安然虚拟机可以针对ESX上虚拟出来的不合虚拟办事器及其上的利用实施不合的缝隙防护安然策略，同时也能够阻断虚拟机之间可能存在的彼此报复打击或跳板式报复打击。这类安然防护需要考虑到前文提到的虚拟化系统的资本操纵率紧凑的标题问题，不克不及对虚拟化系统产生很大年夜的资本承担。更首要的是，这类实施策略及防护的过程不克不及点窜把持系统和数据库、中间件等利用的内核，不克不及产生“兼容性标题问题”，更不克不及重启动办事器。

　　我校今朝虚拟化环境现有办事器包含九个UCS刀片、BladeCenter H的9个刀片。利用笼盖全部数字化校园，数据库采取Oracle，中间件采取IBM WAS。在根据《国度成长鼎新委办公厅关于组织实施2013年***安然专项有关事项的通知》的第2点的(2)提到的“云把持系统安然加固和虚拟机安然治理产品”的规范，同时参考了福建省内其他兄弟单位及教育主管单位的实际案例。我们考查了趋势科技及其他几个厂商的产品，此中趋势科技的DeepSecurity有很大年夜的优势，表此刻以下几个方面：

　　1、产品功能周全，趋势科技的DeepSecurity能周全实现虚拟化环境的整体安然。

　　2、产品相对成熟， DeepSecurity产品从2006年推出至今，已有很长的汗青，而其他厂商的类似产品推出大年夜多独一一年乃至几个月。

　　3、利用案例良多，虚拟化及云计较的领军者VMware和Amazon本身也在利用趋势科技的DeepSecurity产品。在省内的兄弟高校及教育主管单位有成功的利用。

　　趋势科技的DeepSecurity以无代办署理的编制实现虚拟化环境的整体安然。以下是无代办署理安然的示意图：

　　图2：无代办署理安然示意图

　　经由过程在虚拟化环境摆设趋势科技的DeepSecurity，我们可以在VMware的vCenter中直接调用DeepSecurity的节制台，对虚拟化环境做一次主机缝隙扫描，再利用DeepSecurity按照扫描后的成果给的“虚拟补丁”保举策略，便可对全部虚拟化环境的主机缝隙作统一的缝隙防护。当然，我们也能够额外拟定本身的防护策略。以上过程只需鼠标把持，不需要治理员自行编写任何防护策略，节俭了大年夜量时候，也不需要过于专业的常识。

　　IT手艺日新月异，高校信息化扶植的虚拟化期间的到临不成抗拒。如安在新的期间、新的手艺系统架构下考虑高校收集的安然是每个高校IT治理者的责任。面对新手艺、新架构带来的挑战，我们只能在阐发并掌控新手艺道理的前提下从头考虑我们的收集安然系统，才能面对最新的收集安然威胁，让信息手艺更好的办事于高校的扶植与成长。