一種電力信息系統(tǒng)的云環(huán)境下虛擬機(jī)的保護(hù)裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,特別涉及一種電力信息系統(tǒng)的云環(huán)境下虛擬機(jī)的 保護(hù)裝置���。
【背景技術(shù)】
[0002] 在傳統(tǒng)的物理環(huán)境中����,對(duì)信息系統(tǒng)的防護(hù)角度來(lái)說(shuō),首先需要從業(yè)務(wù)功能和安全 特性兩方面劃分安全域�,安全域是指同一環(huán)境內(nèi)具有相同安全保護(hù)需求���、相互信任�����、并具有 相同安全訪問(wèn)控制和邊界控制策略的網(wǎng)絡(luò)系統(tǒng)����。
[0003] 通過(guò)將所有同等安全等級(jí)和安全需求的計(jì)算機(jī)劃入同一網(wǎng)段��,并在網(wǎng)絡(luò)邊界處部 署防火墻����、IDS、IPS等設(shè)備���,實(shí)現(xiàn)訪問(wèn)控制����、流量分析和安全策略配置,保證信息網(wǎng)絡(luò)的安全 性����。
[0004] 隨著服務(wù)器虛擬化技術(shù)的普及,底層計(jì)算資源的部署方式趨于動(dòng)態(tài)���,傳統(tǒng)的網(wǎng)絡(luò) 邊界逐漸被一體化的硬件資源池取代����,網(wǎng)絡(luò)層的交互數(shù)據(jù)直接在虛擬化環(huán)境的主機(jī)內(nèi)部完 成����。
[0005] 現(xiàn)有的VMware云環(huán)境系統(tǒng)結(jié)構(gòu)如圖1所示,在ESXi主機(jī)中部署著標(biāo)準(zhǔn)虛擬交換 機(jī)vSwitch 0,其上掛載著屬于不同VLAN的諸多虛擬機(jī)���。在圖1中���,VLAN 1屬于未保護(hù) 區(qū)域,運(yùn)行著安全性要求較低的系統(tǒng)�;VLAN2、VLAN3屬于保護(hù)區(qū)域���,運(yùn)行著安全性要求較高 的系統(tǒng)��。虛擬機(jī)通過(guò)虛擬網(wǎng)絡(luò)適配器與vSwitch 0上的端口組(Port Group)進(jìn)行連接�����, vSwitch 0通過(guò)上行鏈路以及物理網(wǎng)絡(luò)適配器連通物理網(wǎng)絡(luò)�,同時(shí)所有與外部物理網(wǎng)絡(luò)的 數(shù)據(jù)交換都必須經(jīng)過(guò)物理網(wǎng)絡(luò)適配器。
[0006] 這種結(jié)構(gòu)導(dǎo)致了傳統(tǒng)的安全防護(hù)手段和產(chǎn)品難以適應(yīng)新環(huán)境的安全需求����,無(wú)法實(shí) 時(shí)監(jiān)控虛擬網(wǎng)絡(luò)的網(wǎng)絡(luò)流量����,偵測(cè)潛在威脅,為系統(tǒng)安全運(yùn)行帶來(lái)了極大的安全隱患��。
[0007] 盡管VMware公司在安全性上做出了很多的努力���,例如在VMware ESXi 5. 0的版本 中集成了基于vSwitch的輕量級(jí)防火墻和簡(jiǎn)單的流量監(jiān)測(cè)功能�,以及發(fā)布了支持Netflow 技術(shù)的分布式虛擬交換機(jī)(Distributed Virtual Switch,以下簡(jiǎn)稱DVS)�。但是,對(duì)于在電 力企業(yè)中使用標(biāo)準(zhǔn)vSwitch的云環(huán)境����,VMware ESXi 5.0依然難以提供足夠的安全保障,具 體表現(xiàn)為:一是安全域劃分不明確,域邊界比較模糊�����,網(wǎng)絡(luò)流量進(jìn)出通道較多�,安全防護(hù)難 度大,不能滿足國(guó)家電網(wǎng)公司對(duì)信息系統(tǒng)"分區(qū)分域"的安全防護(hù)要求���;二是缺乏對(duì)流經(jīng)標(biāo) 準(zhǔn)虛擬交換機(jī)的網(wǎng)絡(luò)流量的有效分析方法�。嚴(yán)重影響了整個(gè)信息網(wǎng)絡(luò)的安全性�。
【發(fā)明內(nèi)容】
[0008] 為解決現(xiàn)有技術(shù)的問(wèn)題,本發(fā)明提出一種電力信息系統(tǒng)的云環(huán)境下虛擬機(jī)的保護(hù) 裝置����,通過(guò)改變虛擬網(wǎng)絡(luò)的結(jié)構(gòu),以及在標(biāo)準(zhǔn)虛擬交換機(jī)間部署安全軟件的方式�,為用戶提 供安全域劃分、防火墻保護(hù)和網(wǎng)絡(luò)流量分析功能���,保證了云環(huán)境下虛擬機(jī)的安全性�,具有安 全����、實(shí)用等特點(diǎn)�。
[0009] 為實(shí)現(xiàn)上述目的�,本發(fā)明提供了一種電力信息系統(tǒng)的云環(huán)境下虛擬機(jī)的保護(hù)裝 置,該裝置包括:第一標(biāo)準(zhǔn)虛擬交換機(jī)和第二標(biāo)準(zhǔn)虛擬交換機(jī)�����;其中��,在第一標(biāo)準(zhǔn)虛擬交換 機(jī)和第二標(biāo)準(zhǔn)虛擬交換機(jī)之間設(shè)置一虛擬機(jī)����,所述虛擬機(jī)上分配多塊虛擬網(wǎng)卡�,并在虛擬 機(jī)上部署安全軟件;
[0010] 所述第一標(biāo)準(zhǔn)虛擬交換機(jī)的一端口組與未保護(hù)區(qū)域中的虛擬機(jī)的虛擬網(wǎng)絡(luò)適配 器相連���,所述第一標(biāo)準(zhǔn)虛擬交換機(jī)的另一端口組與安全軟件所屬虛擬機(jī)的虛擬網(wǎng)卡相連�, 所述虛擬網(wǎng)卡用于傳輸所述第一標(biāo)準(zhǔn)虛擬交換機(jī)中未保護(hù)流量����;所述第一標(biāo)準(zhǔn)虛擬交換機(jī) 通過(guò)物理網(wǎng)絡(luò)適配器與物理網(wǎng)絡(luò)相連;
[0011] 所述第二標(biāo)準(zhǔn)虛擬交換機(jī)的一端口組與保護(hù)區(qū)域中的虛擬機(jī)的虛擬網(wǎng)絡(luò)適配器 相連�,第二標(biāo)準(zhǔn)虛擬交換機(jī)的另一端口組與安全軟件所屬虛擬機(jī)的虛擬網(wǎng)卡相連,所述虛 擬網(wǎng)卡還用于傳輸所述第二標(biāo)準(zhǔn)虛擬交換機(jī)中保護(hù)流量���;
[0012] 所述安全軟件用于對(duì)未保護(hù)區(qū)域流向保護(hù)區(qū)域的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控分析�,為電力 信息系統(tǒng)中保護(hù)區(qū)域的虛擬機(jī)提供安全保護(hù)。
[0013] 優(yōu)選地���,所述安全軟件還用于根據(jù)電力信息系統(tǒng)的安全性需求劃分邏輯區(qū)域��,將 電力信息系統(tǒng)區(qū)分為保護(hù)區(qū)域與未保護(hù)區(qū)域��。
[0014] 優(yōu)選地����,所述安全軟件還用于建立訪問(wèn)規(guī)則�����,選擇允許或阻止特殊的端口訪問(wèn)�����、協(xié) 議和流向����。
[0015] 優(yōu)選地,所述安全軟件還用于收集和匯總關(guān)于源����、目標(biāo)地�、流向和服務(wù)相關(guān)的信 息���,用于網(wǎng)絡(luò)故障診斷和可疑流量分析�;其中���,包括對(duì)保護(hù)區(qū)域輸出的網(wǎng)絡(luò)流量進(jìn)行分析�。
[0016] 優(yōu)選地�����,所述電力信息系統(tǒng)的云環(huán)境米用VMware云平臺(tái)基礎(chǔ)架構(gòu)��。
[0017] 上述技術(shù)方案具有如下有益效果:
[0018] 根據(jù)應(yīng)用系統(tǒng)特點(diǎn)與安全需求�����,劃分?jǐn)?shù)據(jù)敏感性較高的重要業(yè)務(wù)系統(tǒng)和敏感性較 低的系統(tǒng)����,建立虛擬防火墻����,隔離安全威脅較大的應(yīng)用系統(tǒng)�,對(duì)位于安全區(qū)域的虛擬機(jī)提供 安全保障���。
[0019] 建立網(wǎng)絡(luò)流量的唯一通路���,限制物理網(wǎng)絡(luò)和未保護(hù)區(qū)域用戶直接訪問(wèn)安全域虛擬 機(jī),任何流向保護(hù)區(qū)域的網(wǎng)絡(luò)流量必須經(jīng)過(guò)安全軟件的檢查和分析��,為虛擬機(jī)提供嚴(yán)格的 訪問(wèn)控制和安全防護(hù)���。
【附圖說(shuō)明】
[0020] 為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹����,顯而易見(jiàn)地,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例�����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以 根據(jù)這些附圖獲得其他的附圖�����。
[0021] 圖1為現(xiàn)有的VMware云環(huán)境系統(tǒng)結(jié)構(gòu)示意圖�;
[0022] 圖2為本發(fā)明的VMware云環(huán)境系統(tǒng)結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0023] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完 整地描述��,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例�����。基于 本發(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍�。
[0024] 本發(fā)明的技術(shù)方案的工作原理為:首先按業(yè)務(wù)功能要求與安全需求級(jí)別劃分應(yīng)用 系統(tǒng),分為保護(hù)區(qū)域和未保護(hù)區(qū)域����。對(duì)于重要的系統(tǒng)來(lái)說(shuō),例如:核心業(yè)務(wù)系統(tǒng)����、數(shù)據(jù)庫(kù)、安 全控制管理���、后臺(tái)維護(hù)服務(wù)器等��,將被部署到保護(hù)區(qū)域����;一些需要公開(kāi)的服務(wù)器設(shè)施,例如: 企業(yè)的Web服務(wù)器���、FTP服務(wù)器和論壇服務(wù)器等��,將被放置到未保護(hù)區(qū)域��。該區(qū)域在本質(zhì)上 是一個(gè)安全緩沖區(qū)���,為重要的信息系統(tǒng)提供了一個(gè)安全地帶。未保護(hù)區(qū)域中部署的系統(tǒng)一 般不含有機(jī)密信息���,以便來(lái)自物理網(wǎng)絡(luò)的外部訪問(wèn)者可以訪問(wèn)未保護(hù)區(qū)域中的服務(wù)���,但又 不會(huì)接觸到存放在保護(hù)區(qū)域中的公司機(jī)密或私人信息,即使未保護(hù)區(qū)域中的系統(tǒng)受到破壞 或黑客攻擊�,也不會(huì)對(duì)保護(hù)區(qū)域中的重要信息造成影響。
[0025] 在本發(fā)明的技術(shù)方案中��,保護(hù)區(qū)域與未保護(hù)區(qū)域的所有虛擬機(jī)通過(guò)虛擬網(wǎng)絡(luò)適配 器與標(biāo)準(zhǔn)虛擬交換機(jī)端口組相連��,標(biāo)準(zhǔn)虛擬交換機(jī)通過(guò)物理網(wǎng)絡(luò)適配器和上行鏈路接入物 理網(wǎng)絡(luò)進(jìn)行通信�。
[0026] 在本技術(shù)方案中,需要設(shè)計(jì)擁有防火墻和網(wǎng)絡(luò)流量分析功能的基于VMware虛擬 化環(huán)境的安全軟件���,或部署成熟的第三方軟件���,為云環(huán)境提供以下安