王進++談宏偉

摘 要：虛擬化是一個抽象概念，指計算元件在虛擬的基礎上而不是真實的基礎上運行，它將物理硬件與操作系統(tǒng)分開，從而提供更高的資源利用率和靈活性。中國金融業(yè)信息化“十二五”發(fā)展規(guī)劃提出了推廣綠色信息技術，建設“低碳”金融的重要任務，商業(yè)銀行要實現(xiàn)這項任務，必須借助先進的虛擬化技術。該文根據(jù)金融機構應用場景來討論如何應用虛擬化技術解決傳統(tǒng)IT架構帶來的弊端，并探討了虛擬化技術應用存在的安全風險和防范策略。

關鍵詞：虛擬化 金融業(yè) 安全風險 應用方案

中圖分類號：TP391 文獻標識碼：A 文章編號：1672-3791（2017）01（b）-0013-02

1 虛擬化技術應用方案

傳統(tǒng) IT 架構應用虛擬技術的整體方案，根據(jù)應用領域的不同分為以下4層。

1.1 存儲虛擬層

在這一層中應用存儲虛擬化技術將傳統(tǒng)存儲層中的存儲設備抽象成虛擬文件系統(tǒng)，實現(xiàn)服務器對存儲設備的無關性訪問，主要技術有RAID、SAN和NAS。RAID和SAN是將磁盤和磁帶組成存儲陣列，在存儲陣列上劃分邏輯卷，以虛擬硬盤形式供服務器訪問，兩者的區(qū)別在于RAID是基于主機的形式，存儲陣列是附屬服務器的設備，而SAN是基于網(wǎng)絡的形式，存儲陣列是通過專有的存儲網(wǎng)絡（FC，光纖通道）連接服務器。NAS同樣是基于網(wǎng)絡的形式，服務器訪問的是存儲陣列上已經(jīng)建立好的虛擬文件系統(tǒng)。對存儲層進行虛擬化有效地解決了傳統(tǒng)IT架構中因存儲設備復雜面管理難的問題。

1.2 服務器虛擬層

這層虛擬化可以實現(xiàn)服務器整合、災難恢復功能，能搭建異構平臺系統(tǒng)研發(fā)和測試平臺。服務器整合將多個不同物理服務器上的信息轉移到不同的虛擬服務器上，然后將這些虛擬服務器同時運行在一臺單獨的物理服務器上，減少了運行多臺物理服務器的硬件和運營成本。

災難恢復是使用虛擬化技術（如VMontion）提供備份/恢復和負載動態(tài)遷移的功能，實現(xiàn)幾乎零宕機的實時遷移，保障業(yè)務連續(xù)性，將由系統(tǒng)故障等災難性事件帶來的威脅降低到最小。同時，虛擬化服務器可以被靈活地激活、重啟，能在限定的時間內創(chuàng)建重要服務器，也實現(xiàn)了經(jīng)濟高效且具有更高管理性能的災難恢復解決方案。研發(fā)和測試平臺就是使用虛擬化技術在一臺物理服務器為研發(fā)和測試人員提供大量虛擬的服務器，提供多個操作系統(tǒng)環(huán)境，降低研發(fā)和測試的成本。另外，快速的服務器備份和恢復、開通和重裝為研發(fā)和測試人員提供了方便快捷的測試環(huán)境。

1.3 網(wǎng)絡虛擬層

網(wǎng)絡虛擬層使用VLAN技術將局域網(wǎng)劃分成相互隔離的邏輯子網(wǎng)，使用VPN技術通過廣域網(wǎng)將遠程的計算機接入內部網(wǎng)，形成一個虛擬的私有網(wǎng)絡，這樣有效地保障了網(wǎng)絡的安全性，網(wǎng)絡中傳輸?shù)臄?shù)據(jù)的保密性也得到了保障。

1.4 桌面虛擬層

桌面虛擬層將原來傳統(tǒng)IT架構中由PC提供用戶桌面的流程改成桌面虛擬化技術向用戶提供虛擬桌面，在服務器虛擬層提供大量虛擬計算機，這些虛擬計算機安裝不同的操作系統(tǒng)和不同的應用軟件，通過網(wǎng)絡以遠程桌面的形式呈現(xiàn)給用戶。桌面虛擬化有效地解決了因PC數(shù)量多帶來的維護困難和因PC保存數(shù)據(jù)帶來的數(shù)據(jù)安全短板等問題。

2 虛擬化技術在金融業(yè)的應用

金融業(yè)的IT基礎構架是十分龐大和復雜的，既有占地數(shù)萬平方米的大型數(shù)據(jù)中心和災備中心，也有只有幾臺個人電腦的小型辦事處。下面將根據(jù)金融機構應用場景來討論如何應用虛擬化技術解決傳統(tǒng)IT架構帶來的弊端。

2.1 支行柜臺、營業(yè)部和小型分理處

這類機構中PC的運維和管理、數(shù)據(jù)安全、網(wǎng)絡接入安全一直是重點管理的對象。對于PC的運維和管理難、數(shù)據(jù)安全和網(wǎng)絡接入安全無法保障的問題，可以使用桌面虛擬化和網(wǎng)絡虛擬化解決。桌面虛擬化和網(wǎng)絡虛擬化技術使得這類機構不再需要配備 PC，所有業(yè)務都通過VPN以遠程桌面的方式接入上級機構的服務器完成，業(yè)務數(shù)據(jù)同時保存在遠程的服務器上。

2.2 分支機構和運營中心

分支機構和運營中心一般擁有大量的桌面系統(tǒng)，會有自己的機房用于部署本地的基礎和應用服務器，同時會配備少量的 IT 支持人員。在這類機構中為各部門業(yè)務人員配備了大量的PC，大量的軟件部署加大了軟件更新、補丁和許可證管理的難度，大量的硬件也為資產(chǎn)管理帶來難題，這讓IT人員運維和管理的工作量很大。在這類機構中，可以同時應用服務器虛擬化、桌面虛擬化、網(wǎng)絡虛擬化解決存在的問題。桌面虛擬化提供了統(tǒng)一管理的桌面和桌面環(huán)境，能夠減少PC的數(shù)量，可以有效解決PC運維管理上存在的難題。服務器虛擬化實現(xiàn)多臺應用服務器整合，可以很好地提高利用率并降低成本，整合后的服務器還能實現(xiàn)熱備和動態(tài)遷移，同時，服務器虛擬化還提供了與硬件無關的虛擬機環(huán)境，能部署運行老應用系統(tǒng)。網(wǎng)絡虛擬化讓這類機構可以分部門、分業(yè)務使用VLAN劃分虛擬子網(wǎng)，可以使用VPN實現(xiàn)機構間的連接，從而很好地保障了網(wǎng)絡和信息安全。

2.3 數(shù)據(jù)中心

金融業(yè)數(shù)據(jù)中心和災備中心一般有占地數(shù)千平方米的機房，其中配備了大量服務器，部署了大量的應用系統(tǒng)，使用了海量的存儲設備，同時也配備了大量的 IT支持和開發(fā)人員。數(shù)據(jù)中心里大量采用基于光纖的外置存儲和磁帶庫的方式存儲數(shù)據(jù)，但這些存儲設備由不同廠家生產(chǎn)，型號性能不一，這給使用和管理帶來了復雜性?？梢酝ㄟ^在SAN中添加虛擬化引擎實現(xiàn)基于網(wǎng)絡的存儲虛擬化，有效地降低管理的復雜度，虛擬出來的存儲資源與存儲硬件設備的相關性很低，為計算機提供的是統(tǒng)一的資源格式和類型，服務器不需要考慮存儲設備的兼容性。各種存儲設備硬件的差別也可以不用關心，只要是虛擬化存儲系統(tǒng)所支持的硬件設備就可以使用。

3 虛擬化技術應用存在安全風險

3.1 主機容災風險

使用虛擬技術進行服務器整合后，在節(jié)省資源的同時，也面臨一個嚴重的問題，即一旦服務器出現(xiàn)硬件故障，其上運行的多個系統(tǒng)都將停止運行。虛擬服務器規(guī)劃不科學，虛擬機的濫用問題會嚴重影響物理主機的CPU、內存和網(wǎng)絡資源，使服務器負載過重，從而引起虛擬應用的中斷或物理主機的崩潰。虛擬化的服務器合并程度越高，此類風險越大。

3.2 網(wǎng)絡安全風險

進行虛擬化后，原有網(wǎng)絡架構的網(wǎng)絡邊界消失，將服務器安全和網(wǎng)絡安全進行部分融合，如將原來部署在資金子網(wǎng)的和辦公子網(wǎng)的服務器整合在一起，可能使不能訪問資金子網(wǎng)辦公的用戶能訪問資金子網(wǎng)。傳統(tǒng)模式下安全防護產(chǎn)品可以探測到每臺服務器通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)，從而發(fā)現(xiàn)服務器受到的攻擊，在虛擬化后，虛擬機間的網(wǎng)絡流量不被外部網(wǎng)絡感知，安全防護產(chǎn)品無法探測到異常行為，當一臺虛擬機因受到攻擊后發(fā)生問題時，安全威脅就會通過網(wǎng)絡蔓延至其他的虛擬服務器。

4 虛擬化技術風險防范策略研究

4.1 部署基于端點的安全防護

網(wǎng)絡架構改變引起的問題，在管理中最簡單也最有效的方式，就是在虛擬后的每個端點實施安全防護措施。如使用VMware vShield在VMM層檢測每臺虛擬機的數(shù)據(jù)和行為，提高敏感數(shù)據(jù)的可見性和控制力。vShield還可以創(chuàng)建邏輯隔離，通過隔離虛擬機，提高管理層功能的有效性與廣泛性，降低虛擬機的溢出，更好地阻止出現(xiàn)不合理的虛擬或物理設定。

4.2 科學規(guī)劃虛擬設備負載

虛擬服務器負載過重，要通過不間斷地監(jiān)視服務器利用率來進行容量大小、負載能力的分析，根據(jù)使用的量得出高峰期運營的時間與資源需求來創(chuàng)建合理使用的工作平臺。

主機容災風險方面，可以引入虛擬服務器間的雙機熱備和負載動遷移，保障業(yè)務的容災能力，可使用專門的容錯服務器硬件，軟件實現(xiàn)方式有VMontion、EverRun FT提供的解決方案。

4.3 加強配置管理

合并后的基礎設施需要更嚴格的控制和操作實踐來防止非預期停運現(xiàn)象，需要加強配置管理，要確認系統(tǒng)、硬件或者軟件的配置，管理配置變化，并在整個產(chǎn)品生命周期中記錄配置。

5 虛擬化技術應用性能優(yōu)化

虛擬化帶來了很多好處，整個IT架構基礎設施的利用將大大提高。虛擬機大量使用和增加帶來的是存儲空間使用的直線增加；桌面虛擬機的使用使得原來存放在客戶機磁盤上的文件現(xiàn)在也以磁盤映像的形式出現(xiàn)在存儲陣列上，數(shù)據(jù)量大增，同樣給網(wǎng)絡帶寬帶來巨大的壓力。從存儲和網(wǎng)絡入手，能很好地優(yōu)化虛擬化技術應用性能。

5.1 重復數(shù)據(jù)刪除

虛擬機使用磁盤鏡像作為存儲介質，而同一種操作系統(tǒng)的系統(tǒng)文件幾乎都相同，虛擬機使用統(tǒng)一的虛擬硬件，甚至驅動程序都一模一樣，大量的虛擬機都需要相同的OS鏡像，造成了大量的冗余數(shù)據(jù)。通過重復數(shù)據(jù)刪除，可以消除大量重復的虛擬機鏡像中的數(shù)據(jù)塊，能大幅減少存儲數(shù)據(jù)量，節(jié)省數(shù)量可觀的存儲空間，從而減小了存儲系統(tǒng)容量以及網(wǎng)絡帶寬的壓力。

5.2 廣域網(wǎng)加速

桌面虛擬機使用戶都是通過網(wǎng)絡以遠程桌面登錄虛擬機，大量的網(wǎng)絡訪問給網(wǎng)絡帶來的壓力很大，網(wǎng)絡帶寬不夠使呈現(xiàn)給用戶的桌面視覺效果不佳，會降低用戶體驗。同時，虛擬化后，大量的服務器集中在數(shù)據(jù)中心，也會加大網(wǎng)絡流量。通過廣域網(wǎng)加速等基礎設備的建設，加大網(wǎng)絡吞吐量，提供更佳的用戶體驗。

參考文獻

[1] 崔倩楠.基于云計算環(huán)境的虛擬化資源平臺研究與評價[D].北京郵電大學，2011.

[2] 蔚趙春，凌鴻.商業(yè)銀行虛擬化技術應用研究[J].金融理論與實踐，2012（8）：25-29.