潘淦+楊淑慧+酈勇+姜明+潘德寶

一、虛擬化技術(shù)簡介

1.服務(wù)器虛擬化概述。

虛擬化指的是將一個(gè)物理計(jì)算機(jī)劃分為一個(gè)或多個(gè)完全孤立的“虛擬機(jī)”，又稱VMs。具體應(yīng)用中的服務(wù)器虛擬化，是將服務(wù)器物理資源抽象成邏輯資源，讓CPU、內(nèi)存、磁盤、I/O等硬件變成可以動(dòng)態(tài)管理的資源池，不再受限于物理上的界限，在一臺服務(wù)器上運(yùn)行幾臺甚至上百臺相互獨(dú)立的虛擬服務(wù)器。每一個(gè)虛擬服務(wù)器都有一套自己的虛擬硬件，而且是一套一致的、標(biāo)準(zhǔn)化的硬件，可以在這些虛擬硬件上加載操作系統(tǒng)和應(yīng)用程序。通過虛擬化技術(shù)，可提高資源的利用率，簡化管理，實(shí)現(xiàn)服務(wù)器整合，提高IT對業(yè)務(wù)的靈活適應(yīng)力。

2.服務(wù)器虛擬化技術(shù)原理。

虛擬化是一個(gè)抽象層，通過空間上的分割、時(shí)間上的分時(shí)以及模擬，虛擬化可將一份資源抽象成多份，亦可將多份資源抽象成—份，從而提供更高的IT資源利用率和靈活性。虛擬化技術(shù)允許具有不同操作系統(tǒng)的多個(gè)虛擬機(jī)在同一物理機(jī)上獨(dú)立并運(yùn)行。每個(gè)虛擬機(jī)都有自己的一套虛擬硬件（如RAM、CPU、網(wǎng)卡等）并在這些硬件中加載操作系統(tǒng)和應(yīng)用程序。無論實(shí)際采用了什么物理硬件組件，操作系統(tǒng)都將它們視為一組一致、標(biāo)準(zhǔn)化的硬件。

二、虛擬化技術(shù)的安全策略及審計(jì)關(guān)注面

服務(wù)器虛擬化有著節(jié)省運(yùn)營成本、提高服務(wù)器的利用率，便于管理維護(hù)，動(dòng)態(tài)地改善IT基礎(chǔ)架構(gòu)的性能和效率，實(shí)現(xiàn)應(yīng)用的快速部署，備份的快速恢復(fù)，應(yīng)用升級前的測試以及升級失敗后的快速回退，集中的性能監(jiān)控和告警，保持業(yè)務(wù)的連續(xù)性，真正實(shí)現(xiàn)綠色計(jì)算等諸多優(yōu)勢，吸引了越來越多的用戶。但服務(wù)器虛擬化技術(shù)在為用戶帶來利益的同時(shí)，也存在著嚴(yán)重的信息安全問題，對當(dāng)前的安全技術(shù)提出了挑戰(zhàn)。因此，保障服務(wù)器虛擬化的信息安全不可忽視，從IT審計(jì)角度來探討服務(wù)器虛擬化的安全措施極有必要。從現(xiàn)有技術(shù)水平來看，保護(hù)虛擬系統(tǒng)的安全與保護(hù)獨(dú)立服務(wù)器的安全沒有什么不同，同樣的最佳安全實(shí)踐依然適用。即“平時(shí)怎樣保護(hù)服務(wù)器安全，現(xiàn)在就要以同樣的方法來保護(hù)虛擬機(jī)安全”。

（一）物理硬件及宿主機(jī)的安全要求。

1.審核硬件環(huán)境。在物理機(jī)上需要有足夠的處理能力、內(nèi)存、硬盤容量和帶寬，以滿足虛擬機(jī)的運(yùn)行要求，建議預(yù)留一些額外的處理能力和內(nèi)存。

2.加強(qiáng)對宿主機(jī)的硬件管理。務(wù)必要對宿主機(jī)的安全進(jìn)行細(xì)致的審核。一是宿主機(jī)的物理環(huán)境安全，包括對進(jìn)入機(jī)房的身份卡驗(yàn)證，對機(jī)器進(jìn)行加鎖（避免被人竊走硬盤）;二是在安裝完畢后拆除軟驅(qū)、光驅(qū);三是在BIOS里，禁止從其它設(shè)備引導(dǎo)，只允許從主硬盤引導(dǎo)。另外還要對BIOS設(shè)置密碼，避免被人修改啟動(dòng)選項(xiàng);四是控制所有的外部接口。

3.加固宿主機(jī)的操作系統(tǒng)。宿主機(jī)的操作系統(tǒng)相對于虛擬機(jī)，需要更加審慎的安全策略，并且宿主機(jī)還應(yīng)提供一些額外的安全措施，比如防火墻、入侵檢測系統(tǒng)等。具體審計(jì)時(shí)，一是宿主機(jī)應(yīng)該只有一個(gè)賬戶能管理虛擬機(jī)。密碼應(yīng)該強(qiáng)壯，難以猜測，經(jīng)常更換，只提供給必要的管理人員;二是如果需要接入網(wǎng)絡(luò)，在開啟服務(wù)之前，要使用防火墻限制，只允許必要的人訪問;三是不需要的程序和服務(wù)不要開啟，這樣不僅可以保證安全，還可以節(jié)省資源;四是應(yīng)及時(shí)升級補(bǔ)丁。

4.配置宿主機(jī)時(shí)間同步。虛擬機(jī)缺省都是依賴于宿主機(jī)的時(shí)鐘，時(shí)鐘的不準(zhǔn)確性會導(dǎo)致任務(wù)的提前或滯后，例如我們設(shè)置周六到周日這兩天，某些服務(wù)關(guān)閉，由于時(shí)間的重大差異，可能會造成業(yè)務(wù)中斷。同時(shí)系統(tǒng)日志也充滿了未知的不確定，導(dǎo)致系統(tǒng)管理員根本無法從日志上得出事件的真實(shí)事件。解決辦法是配置同步時(shí)間服務(wù)器。

5.合理控制虛擬機(jī)的數(shù)量。在宿主機(jī)上創(chuàng)建虛擬機(jī)只要短短幾分鐘，但虛擬機(jī)數(shù)量越多，面臨的安全風(fēng)險(xiǎn)也越大，導(dǎo)致管理、維護(hù)性能及配置供應(yīng)的能力出現(xiàn)滯后。故應(yīng)根據(jù)應(yīng)用的需要，合理安排虛擬機(jī)數(shù)量，避免閑置的或測試用虛擬機(jī)在正式生產(chǎn)系統(tǒng)中的出現(xiàn)。

6.合理使用虛擬機(jī)的快照、復(fù)制技術(shù)。虛擬機(jī)的快照技術(shù)能夠在錯(cuò)誤出現(xiàn)時(shí)讓損失降到最低，是虛擬機(jī)在特定時(shí)刻的狀態(tài)、磁盤數(shù)據(jù)和配置等基于文件的一種保存方式，適當(dāng)使用可以將虛擬機(jī)恢復(fù)到任何以前有正常快照的狀態(tài)，但頻繁使用會占用很大的存儲空間，可能導(dǎo)致物理機(jī)I/O資源的大量消耗，虛擬機(jī)也可能因此崩潰。

（二）網(wǎng)絡(luò)安全要求

1.對架構(gòu)中的虛擬機(jī)進(jìn)行隔離，盡量控制在DMZ區(qū)運(yùn)行。由于宿主機(jī)內(nèi)部的虛擬機(jī)通信是通過虛擬交換機(jī)來傳送的。因此對外部網(wǎng)絡(luò)安全控制機(jī)制來說是看不見的，應(yīng)根據(jù)應(yīng)用程序類型和數(shù)據(jù)敏感程度，把虛擬機(jī)隔離到“安全區(qū)”，并參照DMZ主機(jī)系統(tǒng)的加固方案來實(shí)施，只開放應(yīng)用所需的必要服務(wù)。通常做法就是將虛擬的應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器網(wǎng)段相互隔離，即把數(shù)據(jù)庫服務(wù)器放置在另外一個(gè)對虛擬的應(yīng)用服務(wù)器而言的DMZ區(qū)。

2.控制虛擬機(jī)層端口的訪問。除了宿主機(jī)上開放的端口，虛擬機(jī)層也會使用宿主機(jī)的IP開放一些端口，這些端口可以允許其他人遠(yuǎn)程連接到虛擬機(jī)層，以查看或配置虛擬機(jī)、磁盤，或者執(zhí)行其他任務(wù)。對這些端口的訪問應(yīng)該受到嚴(yán)格的控制，至少需要一個(gè)宿主機(jī)的防火墻，只允許授權(quán)者對這些端口的訪問。最好不允許任何的遠(yuǎn)程訪問，這樣核心進(jìn)程可以絕緣于外部環(huán)境。如此要求無法適應(yīng)業(yè)務(wù)的需求，則可設(shè)置一臺單獨(dú)的管理機(jī)進(jìn)行管理。

3.使用加密通信。一是必須使用通信加密手段，可以采用HTTPS、TLS、SSH或者加密VPN來管理;二是根據(jù)應(yīng)用的僅有加密機(jī)制還是不夠的，還應(yīng)有身份鑒別和認(rèn)證，以防止偽造源IP攻擊、連接劫持、中間人攻擊。

4.采取身份驗(yàn)證。對于宿主機(jī)和虛擬機(jī)一樣，均需要同時(shí)配置身份驗(yàn)證方式。比如密碼的加密，登陸次數(shù)的鎖定或延時(shí)等。

（三）對虛擬機(jī)服務(wù)和配置的要求。

1.禁用虛擬機(jī)部分功能。對于單一操作系統(tǒng)的虛擬機(jī)來說，總會有一些不需要的服務(wù)在啟用，這些都是不必要的，而且他們占用了資源，可以關(guān)閉。例如屏幕保護(hù)、磁盤碎片整理、搜索工具（如搜索磁盤內(nèi)的文件）、病毒和惡意軟件掃描、文件完整性檢查、日志和日志分析工具、系統(tǒng)更新等。

2.禁用虛擬機(jī)文件共享。大多虛擬機(jī)軟件支持在宿主機(jī)和虛擬機(jī)之間的無縫文件共享，在帶來了方便的同時(shí)也引入了安全風(fēng)險(xiǎn)。如此共享則虛擬機(jī)就有機(jī)會訪問宿主機(jī)，甚至對共享的文件進(jìn)行操作。故除非有業(yè)務(wù)需要明確要求文件共享，否則應(yīng)禁用文件共享功能。

3.虛擬機(jī)操作系統(tǒng)安全加固。對虛擬機(jī)操作系統(tǒng)進(jìn)行各項(xiàng)安全的加固，就像它是一個(gè)物理機(jī)（宿主機(jī)）一樣。具體要求可參照前述的“加固宿主機(jī)的操作系統(tǒng)”章節(jié)執(zhí)行。

4.斷開虛擬機(jī)不使用的設(shè)備。虛擬技術(shù)允許虛擬機(jī)直接、間接的控制物理設(shè)備，比如軟驅(qū)、光驅(qū)、USB接口、打印機(jī)等。建議關(guān)閉所有可控制的物理設(shè)備，只在需要的時(shí)候才允許連接。

（四）對虛擬機(jī)管理平臺的管理要求。

1.限制虛擬化管理平臺管理員權(quán)限的發(fā)放。在虛擬環(huán)境下，虛擬機(jī)被封裝為單個(gè)或多個(gè)虛擬磁盤文件，虛擬機(jī)的便攜性帶來非常高的風(fēng)險(xiǎn)。例如，以前偷走一臺服務(wù)器是很困難的，但是現(xiàn)在虛擬化管理平臺被入侵或不合理使用后，虛擬機(jī)可以被輕松拷貝，然后在另一個(gè)虛擬化平臺進(jìn)行還原，一臺服務(wù)器的數(shù)據(jù)就如此輕易的被盜了。因此必須合理控制虛擬機(jī)訪問權(quán)限，無論是在線的還是離線的虛擬機(jī)文件都必須獲得嚴(yán)格的管理和控制，還要特別注意管理員權(quán)限的發(fā)放數(shù)量，以免虛擬機(jī)數(shù)量激增，擴(kuò)大安全風(fēng)險(xiǎn)。

2.部署虛擬化專用工具。在有條件的情況下，部署虛擬化專用產(chǎn)品進(jìn)行虛擬化平臺的防病毒部署、補(bǔ)丁管理、行為審計(jì)、運(yùn)維管理，從物理層、邏輯層，再到業(yè)務(wù)層、流程管理，對系統(tǒng)進(jìn)行全面監(jiān)控、預(yù)警、告警和故障分析。相應(yīng)的產(chǎn)品有BigFix、AuditPro、Stone ITSM、SteelEye等。

3.加強(qiáng)遠(yuǎn)程控制的管理。一是指定管理機(jī)的IP地址。設(shè)置強(qiáng)壯的用戶名、密碼，如果對安全有更高要求的話，可以使用雙因素認(rèn)證，PKI機(jī)制或一次性密碼;二是使用SSH遠(yuǎn)程連接。還要禁止管理員直接登錄，用普通賬戶登錄然后切換到管理員，如安全要求較高，應(yīng)選用DSA/RSA機(jī)制以防止中間人攻擊;三是盡量禁用VNC（Virtual Network Computing）和WEB管理。

4.關(guān)注虛擬機(jī)日志的管理。應(yīng)該給虛擬機(jī)們提供一個(gè)集中的日志服務(wù)器，這個(gè)日志服務(wù)器也可以以虛擬機(jī)的狀態(tài)來運(yùn)行。好的虛擬機(jī)日志要包括：電源狀態(tài)（開啟、關(guān)閉、暫停、恢復(fù)），對硬件配置的更改，登錄嘗試、提升權(quán)限的賬戶。此外根據(jù)具體應(yīng)用情況還應(yīng)對文件的復(fù)制、移動(dòng)、刪除做日志記錄。

三、虛擬化技術(shù)在人民銀行的應(yīng)用情況及審計(jì)實(shí)施建議

（一）虛擬化技術(shù)在人民銀行的應(yīng)用情況。

基于安全性及穩(wěn)定性考量，目前人民銀行在涉及資金的關(guān)鍵應(yīng)用系統(tǒng)中尚未使用虛擬化技術(shù)，但在非關(guān)鍵領(lǐng)域的輔助系統(tǒng)中已有虛擬化平臺的生產(chǎn)應(yīng)用。一是整合資源，簡化管理的要求。如外匯局省分局將散布于Sco Unix、Linux、Windows等多個(gè)不同軟硬件平臺的輔助應(yīng)用系統(tǒng)（文件接收、web網(wǎng)站、運(yùn)維軟件監(jiān)控等）集中部署在Vmware虛擬平臺上;二是提高硬件資源利用率，減少服務(wù)器運(yùn)行數(shù)量的需求。如部分中心支行將機(jī)房環(huán)境監(jiān)控系統(tǒng)、門禁管理系統(tǒng)整合;三是探索新技術(shù)，替代陳舊設(shè)備的原因。如部分中心支行探索使用虛擬機(jī)，將使用率極低的辦公網(wǎng)電子公文傳輸系統(tǒng)、電子郵件系統(tǒng)整合于一臺物理PC服務(wù)器上運(yùn)行。

從整體情況來看，除外匯局省分局采用了總局統(tǒng)一采購的正版且有全面技術(shù)支持的Vmware虛擬平臺外，其余單位、部門均存在缺少統(tǒng)一規(guī)劃，各自使用free甚至破解版虛擬機(jī)平臺的情況，雖然目前僅限于輔助應(yīng)用，但信息安全風(fēng)險(xiǎn)不容忽視。

隨著技術(shù)的進(jìn)步、數(shù)據(jù)整合上收的深入以及提效降耗的管理強(qiáng)化，未來虛擬化技術(shù)在人民銀行必將有更多的實(shí)踐應(yīng)用。在今后的一段時(shí)間內(nèi)，人民銀行IT審計(jì)人員應(yīng)及時(shí)了解虛擬化系統(tǒng)面臨的威脅以及虛擬化在發(fā)展過程中的安全創(chuàng)新，以面對運(yùn)行于異構(gòu)基礎(chǔ)設(shè)施的物理機(jī)和虛擬服務(wù)器的信息安全挑戰(zhàn)。

（二）對人民銀行應(yīng)用的虛擬化技術(shù)專項(xiàng)審計(jì)實(shí)施建議。

目前，人民銀行尚未對虛擬化技術(shù)應(yīng)用開展過全面或?qū)ｍ?xiàng)的審計(jì)，只是在近年以來的信息技術(shù)審計(jì)中對虛擬化應(yīng)用風(fēng)險(xiǎn)有過一些初步關(guān)注。歸納起來主要體現(xiàn)在：一是虛擬化平臺未使用正式版軟件，多為free或測試版，甚至有盜版破解的情況;二是虛擬機(jī)管理平臺Hypervisor管理不嚴(yán)格，如不加限制多人使用管理員用戶，用戶權(quán)限劃分模糊，直接以telnet等不加密方式遠(yuǎn)程訪問等;三是網(wǎng)絡(luò)界限不嚴(yán)格，體現(xiàn)在一臺宿主機(jī)上運(yùn)行的多個(gè)虛擬平臺跨網(wǎng)接入。如同一宿主機(jī)中有的虛擬機(jī)接入人民銀行業(yè)務(wù)網(wǎng)，而有的虛擬機(jī)則接入防火墻DMZ區(qū)的金融城域網(wǎng);四是只重視宿主機(jī)及其操作系統(tǒng)的安全加固，而對基于其運(yùn)行的多個(gè)虛擬機(jī)未予安全加固。

鑒于目前虛擬化技術(shù)尚未在人民銀行關(guān)鍵應(yīng)用系統(tǒng)中投入，筆者認(rèn)為，實(shí)施審計(jì)時(shí)應(yīng)根據(jù)本文第三節(jié)提及的安全策略和審計(jì)關(guān)注面，結(jié)合人民銀行的實(shí)際情況，有所取舍，制訂出合理的審計(jì)方案。

一是關(guān)注風(fēng)險(xiǎn)，按風(fēng)險(xiǎn)導(dǎo)向模式開展審計(jì)。按照風(fēng)險(xiǎn)導(dǎo)向模式“審前調(diào)查→構(gòu)建指標(biāo)體系→固有風(fēng)險(xiǎn)評估→現(xiàn)場審計(jì)，重點(diǎn)評價(jià)風(fēng)險(xiǎn)控制措施→揭示問題，評估剩余風(fēng)險(xiǎn)”的流程開展審計(jì)。

1.加強(qiáng)審前調(diào)查。通過審計(jì)前期查閱相關(guān)技術(shù)文檔，與系統(tǒng)管理員、網(wǎng)絡(luò)管理員、信息安全員等被審計(jì)系統(tǒng)（單位）的相關(guān)人員充分溝通交流，從而了解被審計(jì)對象，有針對性的開展審計(jì)。

2.構(gòu)建虛擬化技術(shù)風(fēng)險(xiǎn)評價(jià)指標(biāo)體系。可將對虛擬化技術(shù)的審計(jì)內(nèi)容具體劃分為八個(gè)指標(biāo)域：一、內(nèi)部控制管理;二、硬件與設(shè)施管理;三、網(wǎng)絡(luò)管理;四、宿主機(jī)安全管理;五、各虛擬機(jī)安全管理;六、Hypervisor管理監(jiān)控平臺管理;七、基于虛擬機(jī)的業(yè)務(wù)應(yīng)用系統(tǒng)管理;八、應(yīng)急、備份和采購、服務(wù)、技術(shù)支持管理。各類指標(biāo)域的下設(shè)一、二級指標(biāo)（可參照人民銀行常規(guī)信息技術(shù)審計(jì)的內(nèi)容及指標(biāo)體系，此處不再詳述）。指標(biāo)體系可采用人民銀行系統(tǒng)廣為應(yīng)用的層次分析法來構(gòu)建判斷矩陣并計(jì)算指標(biāo)權(quán)重。

3.開展審前固有風(fēng)險(xiǎn)評估。可走訪虛擬技術(shù)涉及的相關(guān)業(yè)務(wù)管理、業(yè)務(wù)應(yīng)用及技術(shù)支持部門，采取查閱相關(guān)文檔，調(diào)取以往開展過的審計(jì)、專項(xiàng)檢查的檔案資料，電話訪談技術(shù)及服務(wù)供應(yīng)商等方法開展有針對性的審前固有風(fēng)險(xiǎn)評估，了解虛擬技術(shù)管理基本情況和薄弱環(huán)節(jié)，確定審計(jì)的重點(diǎn)范圍。同時(shí)根據(jù)風(fēng)險(xiǎn)評估情況結(jié)合審計(jì)經(jīng)驗(yàn)及科技部門對信息安全管理的相關(guān)要求，根據(jù)每個(gè)指標(biāo)的固有評估風(fēng)險(xiǎn)等級和風(fēng)險(xiǎn)事件發(fā)生的可能性計(jì)算出固有風(fēng)險(xiǎn)評估值。

4.以風(fēng)險(xiǎn)控制有效性為核心，開展現(xiàn)場審計(jì)。對風(fēng)險(xiǎn)評估模型框架中各級指標(biāo)的風(fēng)險(xiǎn)管理控制情況逐一開展檢查評估，并集中審計(jì)力量對風(fēng)險(xiǎn)評估為高風(fēng)險(xiǎn)領(lǐng)域的指標(biāo)開展重點(diǎn)檢查。對于各項(xiàng)指標(biāo)的風(fēng)險(xiǎn)控制有效性做出“持續(xù)有效（風(fēng)險(xiǎn)控制全覆蓋）、有效（風(fēng)險(xiǎn)控制大部覆蓋）、基本有效（風(fēng)險(xiǎn)控制基本覆蓋）、輕微效果（風(fēng)險(xiǎn)控制少量覆蓋）、無效”等五類定性評價(jià)結(jié)論，并根據(jù)定性評價(jià)結(jié)論所對應(yīng)的等比數(shù)列量化轉(zhuǎn)換比例，將定性評價(jià)結(jié)論轉(zhuǎn)化為定量得分。對于審計(jì)發(fā)現(xiàn)的因風(fēng)險(xiǎn)控制缺失與不足而導(dǎo)致的問題，采用風(fēng)險(xiǎn)與控制并重的原則，根據(jù)可能潛在的損失程度，對問題的嚴(yán)重性進(jìn)行判斷，并區(qū)分為嚴(yán)重、較嚴(yán)重、一般、輕微四級。

5.定量與定性相結(jié)合，披露剩余風(fēng)險(xiǎn)。根據(jù)人民銀行風(fēng)險(xiǎn)量化評估的基本模型：剩余風(fēng)險(xiǎn)=固有風(fēng)險(xiǎn)-控制有效性，通過權(quán)重計(jì)算、風(fēng)險(xiǎn)等級界定賦值計(jì)算固有風(fēng)險(xiǎn)，減去風(fēng)險(xiǎn)控制有效性的定量轉(zhuǎn)換分值，再通過加權(quán)累積，計(jì)算得出人民銀行虛擬化技術(shù)風(fēng)險(xiǎn)評估模型各指標(biāo)域的剩余風(fēng)險(xiǎn)評分以及虛擬化技術(shù)應(yīng)用管理總體剩余風(fēng)險(xiǎn)評分。需要關(guān)注的是，審計(jì)不僅要對宿主機(jī)、虛擬機(jī)、管理系統(tǒng)等虛擬技術(shù)整體架構(gòu)（硬件、軟件、網(wǎng)絡(luò)及管理）進(jìn)行剩余風(fēng)險(xiǎn)披露，還需對基于虛擬化平臺運(yùn)行的應(yīng)用系統(tǒng)風(fēng)險(xiǎn)承受情況及剩余風(fēng)險(xiǎn)作出判斷。通過對剩余風(fēng)險(xiǎn)做出詳盡披露，便于管理層開展橫、縱向的分析比較，從而做出相關(guān)決策。

二是突出重點(diǎn)，兼顧績效。結(jié)合人民銀行尤其是分支機(jī)構(gòu)的虛擬技術(shù)只應(yīng)用于非關(guān)鍵領(lǐng)域的輔助系統(tǒng)這一實(shí)際情況，不僅要對宿主機(jī)、虛擬機(jī)、管理系統(tǒng)等虛擬技術(shù)整體架構(gòu)（硬件、軟件、網(wǎng)絡(luò)及管理）進(jìn)行風(fēng)險(xiǎn)評估，還需對基于虛擬化平臺運(yùn)行的輔助系統(tǒng)風(fēng)險(xiǎn)承受情況作出判斷，將審計(jì)的重點(diǎn)放在宿主機(jī)管理及虛擬機(jī)管理系統(tǒng)方面，著重審核基礎(chǔ)平臺安全及運(yùn)行管理水平，對于虛擬機(jī)的審核重點(diǎn)關(guān)注虛擬機(jī)的快照、復(fù)制情況（傳統(tǒng)平臺上的備份），確保業(yè)務(wù)連續(xù)性;從績效視角出發(fā)，可通過比較計(jì)算虛擬技術(shù)的投入（主要是軟件支出）與整合資源后節(jié)省的費(fèi)用（硬件設(shè)備、能耗與運(yùn)營費(fèi)）孰高等計(jì)算方式得出結(jié)論。

（作者單位：中國人民銀行南昌中心支行）