南京市公安局虚拟化平台网络及病毒安全防护解决方案设计

摘要

虚拟化技术是在软、硬件之间引入虚拟层，将计算资源合并后切分成一个或多个运行环境为应用提供独立的运行环境,并为每个用户相互独立、计算机环境相互隔离,同时方便整个系统的软、硬件资源的高效、动态管理与维护。以南京市公安局VMware虚拟化平台为例，由于虚拟机的数据始终在虚拟计算平台中交互使得数据中心的区域边界变得越发模糊，传统的防火墙、入侵防御等外部物理安全设备无法对数据进行检测分析，导致无法对数据的流向以及内容进行有效的控制，由此带来了数据的不可视、不可控等问题。此外传统的防病毒软件针对物理环境设计，单纯的将软件部署在虚拟化平台，也给虚拟化平台带来了如资源消耗、防护滞后等问题。通过设计一套针对VMware虚拟化平台的病毒及网络安全防护解决方案，解决传统安全防护模式无法适应虚拟化平台安全防护的问题。

关键词　虚拟化技术 虚拟化安全 虚拟化病毒防护 虚拟化网络安全    

目录

摘要 3

第1章 虚拟化安全基础 6

1.1 虚拟化架构 6

1.1.1 技术术语 6

1.1.2 虚拟化技术原理 6

1.2 虚拟化技术详解 6

1.2.1 完全虚拟化 6

1.2.2 VMware 虚拟化软件 7

1.3 虚拟化环境的威胁 7

1.3.1 架构安全风险 7

1.3.2 物理和环境风 8

1.3.3 变更控制风险 8

1.3.4 权限分配风险 8

1.3.5 虚拟系统层安全风险 8

1.3.5.1 系统层安全 8

1.3.5.2 数据层安全 8

1.3.5.3 风险与合规评估 8

1.4 适应虚拟化的安全 9

1.4.1 HyperVisor架构层安全风险 9

1.4.2 虚拟系统层安全对策 9

1.4.2.1 内部边界逻辑域划分 9

1.4.2.2 虚拟化防病毒对策 10

第2章 南京市公安局虚拟化现状 12

2.1 虚拟化平台现状 12

2.2 虚拟化平台面临的威胁 13

2.2.1 虚拟机之间的互相攻击 13

2.2.2 随时启动的防护间歇 13

2.2.3 系统安全补丁安装 13

2.2.4 防病毒软件对资源的占用冲突导致AV（Anti-Virus）风暴 13

第3章 虚拟化安全解决方案 15

3.1 虚拟网络安全管理 15

3.2.1 纵向流量的安全防护 15

3.2.2 横向流量安全防护 16

3.2 虚拟机安全保护 17

4.3.1 漏洞防护 17

4.3.2 病毒防护 17

3.3 虚拟化日志管理 17

3.4 变更和配置管理 18

第4章 虚拟基础设施的其他安全考虑因素 19

3.5 桌面虚拟化 19

3.6 应用虚拟化 19

3.7 存储虚拟化 20

参考文献 21

致谢 22