基层央行虚拟化技术应用风险与防范

基层央行虚拟化技术应用风险与防范
摘要近年来，随着虚拟化技术在基层央行广泛的应用，数据中心IT系统架构变更导致的安全性问题引发普遍关注。

本文根据虚拟化技术在基层央行数据中心应用的实际情况，从系统安全风险、高资源利用率风险、管理模式落后风险等角度对虚拟化技术应用的风险进行了分析。

针对上述风险，从部署前系统评估、风险防范管理策略、安全技术措施三个方面探析了对策，为最小化虚拟化技术应用风险，实现虚拟化技术应用目的提供了解决办法。

关键词虚拟化技术；风险；对策
前言
虚拟化技术作为一项能够有效简化基础设施管理、提高软硬件资源利用率、降低设备能耗、实现应用系统高效迁移的热门技术，在基层央行数据中心得到了广泛应用。

然而，随着虚拟化技术在基层央行数据中心应用的不断深入，数据中心IT 系统架构逐渐改变，IT 系统架构的改变给数据中心运维带来便利的同时也引来了新的风险。

1 风险分析
1.1 系统安全风险
本质上属于资源管理技术的虚拟化技术，其实现方法通常为在应用层和硬件层之间搭建虚拟层，虚拟层的搭建增加了风险环节，引入了新的系统安全风险。

应用虚拟化技术后，常见的系统安全风险包括网络调整导致的安全风险、虚拟机脱离物理安全监管引起的安全风险、虚拟机之间数据通信传输产生的安全风险、虚拟环境管理系统反攻击能力薄弱带来的安全风险、虚拟机未及时更新系统补丁文件和杀毒软件病毒库导致的安全风险、不同信任级别的虚拟机应用未采取应有的隔离措施引起的安全风险等等。

1.2 高资源利用率风险
虚拟化技术将物理资源转变为逻辑上可以管理的资源，打破了实体结构间不可切割的障碍，使用户能够更加合理、充分的利用物理服务器的处理器、内存、网络带宽等资源。

但是当物理服务器的处理器、内存、网络带宽等资源被过度利用时，将会出现硬件设备负载过重，运行性能下降，甚至硬件故障或系统崩溃等严重情况。

当某台物理服务器出现配件过热损坏、断电、硬盘损坏等严重的可靠性问题或重大的硬件故障，引起物理服务器宕机时，其上运行的所有虚拟机都将停机，此时和上述虚拟机相关的应用都将停止运行，这相较于数据中心传统IT 架构中一台服务器停机只导致一个应用中断所带来的风险严重得多[1]。

1.3 管理模式落后风险
数据中心应用虚拟化技术之前，系统运行维护人员的硬件管理模式采用设备度量方式，其往往关注自己负责或掌握多少台硬件设备。

应用虚拟化技术后，系统运维人员的管理观念须由对具体物理设备的管理转变为对响应时间和服务级别的管理。

如果部分系统运维人员抵制转变，依然墨守成规，这将导致虚拟化技术无法发挥高效和集中的优点。

管理观念转变的同时，部门观念也须积极弱化，努力实现硬件资源共享。

除此，虚拟化技术的应用也使得服务器易于部署，其导致虚拟服务数量过多，增大了管理环境的复杂性，加大了运维人员维护系统的难度。

同时也在权限管理和认证等环节引入了新的风险。

1.4 应用迁移风险
通过实际的系统迁移工作，我们认识到数据中心应用虚拟化技术，最大的难点在于已部署系统的迁移工作。

当前，迁移技术尚不成熟，现有迁移工具和管理软件难以与任意硬件设备或应用程序协调工作，其对硬件设备和应用程序具有选择性。

因此，将海量的数据和应用程序从物理平台转移至虚拟平台存在较大难度。

在系统迁移的实际操作过程中，经常出现现阶段难以解决的技术问题，例如，部分迁移工具不支持AMD硬件系统和INTEL硬件系统之间的迁移；部分迁移工具图形性能低下，用户操作困难；部分迁移工具对存储空间具有选择性等。

2 风险防范措施
2.1 部署前系统评估
作为未来数据中心建设趋势的虚拟化技术，在基层央行实际应用时，需将其部署项目纳入到单位信息化建设规划。

部署虚拟化之前须做好调研、评估等准备工作，努力将部署风险降到最低，确保获得长远利益。

具体来说，部署前系统评估包括如下方面：首先需做好业务目标的评估工作，使部署虚拟化实现的目标必须与业务发展目标一致。

其次需做好应用环境的评估工作，重点考虑现有软件、硬件及网络环境是否满足虚拟化部署要求。

第三需要做好技术水平的评估，着重关注虚拟化部署人员是否具备较强的部署技能，能否高效解决部署工程中出现的相应问题[2]。

2.2 风险防范管理策略
在虚拟化技术应用过程中，从管理策略的角度防范风险主要包含以下三个方面。

在管理措施方面，必须严格遵守信息系统安全管理规范，虚拟服务器的审计策略和安全防护策略须与物理服务器一致，定期备份监控主机和虚拟服务器上的安全日志和事件日志。

在用户权限管理方面，必须遵循最低权限原则，管理人员权限须与其工作职责匹配，禁止共享户账号。

在监督管理方面，虚拟化平台中采用的虚拟化监控工具必须能够检测到虚拟机的各类异常现象以及未经授权行为。

虚拟机数量必须严格处于监控之下，努力减少入侵攻击面。

2.3 安全技术措施
虚拟化技术实现过程中，安全技术措施主要包括控制虚拟机蔓延、隔离虚拟机以及常规性安全防護措施。

虚拟化技术引入数据中心后，虚拟化平台中新建或者拷贝虚拟机将变得非常容易，这为系统的安全运行带来了隐患，因此必须对虚拟机进行严格的审核、监控和追踪，防止虚拟机失控蔓延。

为确保虚拟化平台中虚拟机系统的通信安全，须通过划分VLAN方式对虚拟机进行逻辑隔离，业务网络、管理网络、测试网络必须通过虚拟网实现隔离。

常规性安全防护必须严格遵守信息系统安全管理规范，及时升级虚拟机操作系统、杀毒软件、安全卫士补丁，仅安装必需应用和服务，挂起或者关掉暂不使用的虚拟机[3]。

3 结束语
虚拟化技术在为基层央行数据中心带来简化基础设施管理、提高软硬件资源利用率、降低设备能耗等便利的同时，也带来了新的安全隐患和风险。

未来，虚拟化技术应用单位在使用虚拟化技术时，应充分认识到拟化技术的潜在风险和安全隐患，并积极采取风险防护措施，努力消除风险或将风险最小化，进而实现虚拟化技术应用价值的最大化。

参考文献
[1] 郝艳广.基层央行虚拟化技术应用的研究与思考[J].金融科技时代，2014，（12）：51-53，55.
[2] 曹小刚.基层央行虚拟化技术应用的风险及建议[J].金融科技时代，2016，（12）：48-50.
[3] 周友明.浅谈虚拟化技术应用风险与防范[J].时代金融，2017，（11）：50，56.。