一種電力信息系統(tǒng)的云環(huán)境下虛擬機的保護裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,特別涉及一種電力信息系統(tǒng)的云環(huán)境下虛擬機的 保護裝置�。
【背景技術(shù)】
[0002] 在傳統(tǒng)的物理環(huán)境中,對信息系統(tǒng)的防護角度來說����,首先需要從業(yè)務(wù)功能和安全 特性兩方面劃分安全域,安全域是指同一環(huán)境內(nèi)具有相同安全保護需求��、相互信任����、并具有 相同安全訪問控制和邊界控制策略的網(wǎng)絡(luò)系統(tǒng)。
[0003] 通過將所有同等安全等級和安全需求的計算機劃入同一網(wǎng)段��,并在網(wǎng)絡(luò)邊界處部 署防火墻�、IDS、IPS等設(shè)備��,實現(xiàn)訪問控制�、流量分析和安全策略配置����,保證信息網(wǎng)絡(luò)的安全 性��。
[0004] 隨著服務(wù)器虛擬化技術(shù)的普及��,底層計算資源的部署方式趨于動態(tài)�,傳統(tǒng)的網(wǎng)絡(luò) 邊界逐漸被一體化的硬件資源池取代��,網(wǎng)絡(luò)層的交互數(shù)據(jù)直接在虛擬化環(huán)境的主機內(nèi)部完 成���。
[0005] 現(xiàn)有的VMware云環(huán)境系統(tǒng)結(jié)構(gòu)如圖1所示��,在ESXi主機中部署著標準虛擬交換 機vSwitch 0,其上掛載著屬于不同VLAN的諸多虛擬機�����。在圖1中��,VLAN 1屬于未保護 區(qū)域�,運行著安全性要求較低的系統(tǒng)�;VLAN2、VLAN3屬于保護區(qū)域�,運行著安全性要求較高 的系統(tǒng)。虛擬機通過虛擬網(wǎng)絡(luò)適配器與vSwitch 0上的端口組(Port Group)進行連接, vSwitch 0通過上行鏈路以及物理網(wǎng)絡(luò)適配器連通物理網(wǎng)絡(luò)�,同時所有與外部物理網(wǎng)絡(luò)的 數(shù)據(jù)交換都必須經(jīng)過物理網(wǎng)絡(luò)適配器。
[0006] 這種結(jié)構(gòu)導(dǎo)致了傳統(tǒng)的安全防護手段和產(chǎn)品難以適應(yīng)新環(huán)境的安全需求��,無法實 時監(jiān)控虛擬網(wǎng)絡(luò)的網(wǎng)絡(luò)流量�����,偵測潛在威脅�����,為系統(tǒng)安全運行帶來了極大的安全隱患�。
[0007] 盡管VMware公司在安全性上做出了很多的努力,例如在VMware ESXi 5. 0的版本 中集成了基于vSwitch的輕量級防火墻和簡單的流量監(jiān)測功能����,以及發(fā)布了支持Netflow 技術(shù)的分布式虛擬交換機(Distributed Virtual Switch,以下簡稱DVS)。但是����,對于在電 力企業(yè)中使用標準vSwitch的云環(huán)境,VMware ESXi 5.0依然難以提供足夠的安全保障���,具 體表現(xiàn)為:一是安全域劃分不明確���,域邊界比較模糊�����,網(wǎng)絡(luò)流量進出通道較多��,安全防護難 度大����,不能滿足國家電網(wǎng)公司對信息系統(tǒng)"分區(qū)分域"的安全防護要求�;二是缺乏對流經(jīng)標 準虛擬交換機的網(wǎng)絡(luò)流量的有效分析方法���。嚴重影響了整個信息網(wǎng)絡(luò)的安全性�。
【發(fā)明內(nèi)容】
[0008] 為解決現(xiàn)有技術(shù)的問題�����,本發(fā)明提出一種電力信息系統(tǒng)的云環(huán)境下虛擬機的保護 裝置�,通過改變虛擬網(wǎng)絡(luò)的結(jié)構(gòu),以及在標準虛擬交換機間部署安全軟件的方式���,為用戶提 供安全域劃分�、防火墻保護和網(wǎng)絡(luò)流量分析功能,保證了云環(huán)境下虛擬機的安全性�,具有安 全、實用等特點���。
[0009] 為實現(xiàn)上述目的����,本發(fā)明提供了一種電力信息系統(tǒng)的云環(huán)境下虛擬機的保護裝 置��,該裝置包括:第一標準虛擬交換機和第二標準虛擬交換機�����;其中�����,在第一標準虛擬交換 機和第二標準虛擬交換機之間設(shè)置一虛擬機�,所述虛擬機上分配多塊虛擬網(wǎng)卡,并在虛擬 機上部署安全軟件�;
[0010] 所述第一標準虛擬交換機的一端口組與未保護區(qū)域中的虛擬機的虛擬網(wǎng)絡(luò)適配 器相連,所述第一標準虛擬交換機的另一端口組與安全軟件所屬虛擬機的虛擬網(wǎng)卡相連�, 所述虛擬網(wǎng)卡用于傳輸所述第一標準虛擬交換機中未保護流量;所述第一標準虛擬交換機 通過物理網(wǎng)絡(luò)適配器與物理網(wǎng)絡(luò)相連��;
[0011] 所述第二標準虛擬交換機的一端口組與保護區(qū)域中的虛擬機的虛擬網(wǎng)絡(luò)適配器 相連,第二標準虛擬交換機的另一端口組與安全軟件所屬虛擬機的虛擬網(wǎng)卡相連��,所述虛 擬網(wǎng)卡還用于傳輸所述第二標準虛擬交換機中保護流量�;
[0012] 所述安全軟件用于對未保護區(qū)域流向保護區(qū)域的網(wǎng)絡(luò)流量進行監(jiān)控分析,為電力 信息系統(tǒng)中保護區(qū)域的虛擬機提供安全保護�����。
[0013] 優(yōu)選地��,所述安全軟件還用于根據(jù)電力信息系統(tǒng)的安全性需求劃分邏輯區(qū)域����,將 電力信息系統(tǒng)區(qū)分為保護區(qū)域與未保護區(qū)域。
[0014] 優(yōu)選地����,所述安全軟件還用于建立訪問規(guī)則�����,選擇允許或阻止特殊的端口訪問��、協(xié) 議和流向���。
[0015] 優(yōu)選地�����,所述安全軟件還用于收集和匯總關(guān)于源��、目標地�����、流向和服務(wù)相關(guān)的信 息�����,用于網(wǎng)絡(luò)故障診斷和可疑流量分析���;其中��,包括對保護區(qū)域輸出的網(wǎng)絡(luò)流量進行分析���。
[0016] 優(yōu)選地,所述電力信息系統(tǒng)的云環(huán)境米用VMware云平臺基礎(chǔ)架構(gòu)�。
[0017] 上述技術(shù)方案具有如下有益效果:
[0018] 根據(jù)應(yīng)用系統(tǒng)特點與安全需求,劃分數(shù)據(jù)敏感性較高的重要業(yè)務(wù)系統(tǒng)和敏感性較 低的系統(tǒng)��,建立虛擬防火墻,隔離安全威脅較大的應(yīng)用系統(tǒng)�,對位于安全區(qū)域的虛擬機提供 安全保障。
[0019] 建立網(wǎng)絡(luò)流量的唯一通路�,限制物理網(wǎng)絡(luò)和未保護區(qū)域用戶直接訪問安全域虛擬 機,任何流向保護區(qū)域的網(wǎng)絡(luò)流量必須經(jīng)過安全軟件的檢查和分析��,為虛擬機提供嚴格的 訪問控制和安全防護���。
【附圖說明】
[0020] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹����,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下���,還可以 根據(jù)這些附圖獲得其他的附圖。
[0021] 圖1為現(xiàn)有的VMware云環(huán)境系統(tǒng)結(jié)構(gòu)示意圖��;
[0022] 圖2為本發(fā)明的VMware云環(huán)境系統(tǒng)結(jié)構(gòu)示意圖。
【具體實施方式】
[0023] 下面將結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術(shù)方案進行清楚、完 整地描述���,顯然�����,所描述的實施例僅僅是本發(fā)明一部分實施例�,而不是全部的實施例����。基于 本發(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他 實施例,都屬于本發(fā)明保護的范圍�。
[0024] 本發(fā)明的技術(shù)方案的工作原理為:首先按業(yè)務(wù)功能要求與安全需求級別劃分應(yīng)用 系統(tǒng),分為保護區(qū)域和未保護區(qū)域��。對于重要的系統(tǒng)來說,例如:核心業(yè)務(wù)系統(tǒng)����、數(shù)據(jù)庫、安 全控制管理����、后臺維護服務(wù)器等,將被部署到保護區(qū)域���;一些需要公開的服務(wù)器設(shè)施��,例如: 企業(yè)的Web服務(wù)器����、FTP服務(wù)器和論壇服務(wù)器等��,將被放置到未保護區(qū)域�。該區(qū)域在本質(zhì)上 是一個安全緩沖區(qū),為重要的信息系統(tǒng)提供了一個安全地帶�。未保護區(qū)域中部署的系統(tǒng)一 般不含有機密信息,以便來自物理網(wǎng)絡(luò)的外部訪問者可以訪問未保護區(qū)域中的服務(wù)���,但又 不會接觸到存放在保護區(qū)域中的公司機密或私人信息,即使未保護區(qū)域中的系統(tǒng)受到破壞 或黑客攻擊,也不會對保護區(qū)域中的重要信息造成影響��。
[0025] 在本發(fā)明的技術(shù)方案中���,保護區(qū)域與未保護區(qū)域的所有虛擬機通過虛擬網(wǎng)絡(luò)適配 器與標準虛擬交換機端口組相連�����,標準虛擬交換機通過物理網(wǎng)絡(luò)適配器和上行鏈路接入物 理網(wǎng)絡(luò)進行通信����。
[0026] 在本技術(shù)方案中��,需要設(shè)計擁有防火墻和網(wǎng)絡(luò)流量分析功能的基于VMware虛擬 化環(huán)境的安全軟件��,或部署成熟的第三方軟件�,為云環(huán)境提供以下安