福建中醫(yī)藥大學(xué)原名福建中醫(yī)學(xué)院，創(chuàng)建于1958年，是我國創(chuàng)辦較早的高等中醫(yī)藥院校之一，是福建省重點建設(shè)高校，2010年3月經(jīng)教育部批準(zhǔn)更名為福建中醫(yī)藥大學(xué)。學(xué)校擁有國家中醫(yī)藥管理局重點學(xué)科20個，福建省重點學(xué)科12個。

福建中醫(yī)藥大學(xué)校園計算機網(wǎng)絡(luò)建于1998年，2002年配合“數(shù)字福建”建設(shè)規(guī)劃，擬定《“數(shù)字福建中醫(yī)學(xué)院”建設(shè)規(guī)劃草案》。2004年制定《福建中醫(yī)學(xué)院數(shù)字化校園建設(shè)總體規(guī)劃》，同年立項建設(shè)。2007年完成數(shù)字化校園建設(shè)招標(biāo)，同年10月統(tǒng)一身份認(rèn)證、信息門戶、數(shù)據(jù)共享和辦公自動化系統(tǒng)首先投入使用，隨后其它系統(tǒng)也相繼投入使用至今。

我校校園信息化項目經(jīng)過多年的建設(shè)，現(xiàn)有數(shù)十臺機架式服務(wù)器及刀片式服務(wù)器、多套存儲硬件，通過虛擬化部署，承載數(shù)字化校園、網(wǎng)站群系統(tǒng)等眾多應(yīng)用，數(shù)據(jù)級容災(zāi)跨兩個校區(qū)，覆蓋Linux/Windows兩大平臺的數(shù)據(jù)庫、中間件等等。

近年來，我校加強了數(shù)據(jù)中心的安全防護建設(shè)，先后部署了安全網(wǎng)關(guān)、WEB應(yīng)用防護，防病毒軟件等安全系統(tǒng)，基本實現(xiàn)了物理邊界安全及終端安全。但由于虛擬化系統(tǒng)本身的特性，如何實現(xiàn)虛擬化系統(tǒng)的主機漏洞防護面臨著挑戰(zhàn)。

不管是物理服務(wù)器還是虛擬服務(wù)器，其上的操作系統(tǒng)包括各種數(shù)據(jù)庫、中間件等等應(yīng)用都可能存在安全漏洞，黑客或者病毒等可以通過這些漏洞攻擊服務(wù)器。這種攻擊的過程一般如下圖1所示：

圖1：利用漏洞實施攻擊流程

針對服務(wù)器的漏洞，如果用打?qū)嶓w補丁的方法解決，需要與涉及的所有第三方應(yīng)用軟件開發(fā)商協(xié)調(diào)及確認(rèn)應(yīng)用軟件的兼容性，且很多補丁修補都需要重啟動服務(wù)器。這種做法每年集中做一次兩次可以，但和安全漏洞同步執(zhí)行恐怕不太現(xiàn)實。目前的現(xiàn)狀是，我們一般會使用網(wǎng)絡(luò)IPS設(shè)備對一些重要的安全漏洞做策略阻止。但附加在IPS上的策略數(shù)量過多的話，IPS性能將不敷使用。實際上，這種方法也只能針對有限的幾種安全漏洞設(shè)定策略阻止，相對于各種操作系統(tǒng)及應(yīng)用軟件存在的幾千種安全漏洞來說，無異于杯水車薪。針對這種困境，對主機安全有更高要求的使用者一般會在網(wǎng)絡(luò)IPS以外再實施主機防火墻及主機IPS系統(tǒng)，在每臺服務(wù)器上部署主機加固軟件，將大部分IPS策略分擔(dān)到各臺主機上，這樣的話，由于每臺獨立的主機上的操作系統(tǒng)及應(yīng)用是有限的，其上的主機IPS需要承載的策略并不會很多，基本可以滿足安全的需要。

在傳統(tǒng)的機房中，我們可以用交換機、路由器、防火墻、IPS等傳統(tǒng)的安全設(shè)備實現(xiàn)各個安全功能。但在虛擬化的環(huán)境中，虛擬機之間的互相通訊直接通過虛擬化軟件底層的虛擬交換機進行，如果攻擊者使用某一臺虛擬服務(wù)器攻擊另外的虛擬服務(wù)器的話，我們在邊界部署的IPS、防火墻以及用來偵測內(nèi)部攻擊的IDS都將失去作用。

事實上，針對虛擬化環(huán)境下的主機安全，我們需要用“虛擬化”的眼光來看待和思考。以VMware虛擬化軟件舉例，整個VMware的虛擬化系統(tǒng)中，所有的虛擬機VM是通過vSwitch虛擬交換機進行通訊的，VMware使用兩組API來承載通信控制。其中VMsafe API負責(zé)和網(wǎng)絡(luò)相關(guān)的通信，vShield Endpoint API負責(zé)和內(nèi)容、應(yīng)用相關(guān)的通信。如果我們能讓安全軟件嵌入到VMware的虛擬化軟件底層且能夠直接調(diào)用這兩組API的話，虛擬化環(huán)境本身的安全包括虛擬服務(wù)器的安全不就可以實現(xiàn)了嗎。

當(dāng)然，我們知道虛擬化環(huán)境下，各虛擬服務(wù)器的資源利用率普遍會達到50%以上，這要比物理機時代的平均10%左右增加5倍。從這個角度來看，如果適用于虛擬化環(huán)境的安全軟件是需要部署于每個虛擬機的話，我們需要慎重考慮。畢竟安全軟件本身就是很耗資源且習(xí)慣“爭搶”資源的，而安全軟件的掃描、更新等更是極耗資源。

綜上所述，解決虛擬化環(huán)境下的主機安全的最好方法是“無代理安全”，即在虛擬化軟件的底層安裝一個嵌入式軟件，實現(xiàn)防火墻及IPS功能。這個無代理防火墻、IPS既可以控制各虛擬機之間及虛擬機與外界之間的通信，又可以不在各個虛擬服務(wù)器上安裝代理的前提下對各個虛擬機實現(xiàn)定制化的IPS及防火墻策略。簡單的說，在VMware的ESX上安裝一臺安全虛擬機，這臺安全虛擬機可以針對ESX上虛擬出來的不同虛擬服務(wù)器及其上的應(yīng)用實施不同的漏洞防護安全策略，同時也可以阻斷虛擬機之間可能存在的互相攻擊或者跳板式攻擊。這種安全防護需要考慮到前文提到的虛擬化系統(tǒng)的資源利用率緊湊的問題，不能對虛擬化系統(tǒng)產(chǎn)生很大的資源負擔(dān)。更重要的是，這種實施策略及防護的過程不能修改操作系統(tǒng)和數(shù)據(jù)庫、中間件等應(yīng)用的內(nèi)核，不能產(chǎn)生“兼容性問題”，更不能重啟動服務(wù)器。

我校目前虛擬化環(huán)境現(xiàn)有服務(wù)器包括九個UCS刀片、BladeCenter H的9個刀片。應(yīng)用覆蓋整個數(shù)字化校園，數(shù)據(jù)庫采用Oracle，中間件采用IBM WAS。在依據(jù)《國家發(fā)展改革委辦公廳關(guān)于組織實施2013年國家信息安全專項有關(guān)事項的通知》的第2點的(2)提到的“云操作系統(tǒng)安全加固和虛擬機安全管理產(chǎn)品”的規(guī)范，同時參考了福建省內(nèi)其他兄弟單位及教育主管單位的實際案例。我們考察了趨勢科技及其他幾個廠商的產(chǎn)品，其中趨勢科技的DeepSecurity有很大的優(yōu)勢，體現(xiàn)在以下幾個方面：

1、 產(chǎn)品功能全面，趨勢科技的DeepSecurity能全面實現(xiàn)虛擬化環(huán)境的整體安全。

2、 產(chǎn)品相對成熟， DeepSecurity產(chǎn)品從2006年推出至今，已經(jīng)有很長的歷史，而其他廠商的相似產(chǎn)品推出大多僅有一年甚至幾個月。

3、 應(yīng)用案例很多，虛擬化及云計算的領(lǐng)軍者VMware和Amazon自身也在使用趨勢科技的DeepSecurity產(chǎn)品。在省內(nèi)的兄弟高校及教育主管單位有成功的應(yīng)用。

趨勢科技的DeepSecurity以無代理的方式實現(xiàn)虛擬化環(huán)境的整體安全。以下是無代理安全的示意圖：

圖2：無代理安全示意圖

通過在虛擬化環(huán)境部署趨勢科技的DeepSecurity，我們可以在VMware的vCenter中直接調(diào)用DeepSecurity的控制臺，對虛擬化環(huán)境做一次主機漏洞掃描，再應(yīng)用DeepSecurity根據(jù)掃描后的結(jié)果給的“虛擬補丁”推薦策略，即可對整個虛擬化環(huán)境的主機漏洞作統(tǒng)一的漏洞防護。當(dāng)然，我們也可以額外制定自己的防護策略。以上過程只需鼠標(biāo)操作，不需要管理員自行編寫任何防護策略，節(jié)約了大量時間，也不需要過于專業(yè)的知識。

IT技術(shù)日新月異，高校信息化建設(shè)的虛擬化時代的來臨不可抗拒。如何在新的時代、新的技術(shù)體系架構(gòu)下考慮高校網(wǎng)絡(luò)的安全是每個高校IT管理者的責(zé)任。面對新技術(shù)、新架構(gòu)帶來的挑戰(zhàn)，我們只能在分析并掌握新技術(shù)原理的前提下重新考慮我們的網(wǎng)絡(luò)安全體系，才能面對最新的網(wǎng)絡(luò)安全威脅，讓信息技術(shù)更好的服務(wù)于高校的建設(shè)與發(fā)展。