王进++谈宏伟

摘 要：虚拟化是一个抽象概念，指计算元件在虚拟的基础上而不是真实的基础上运行，它将物理硬件与操作系统分开，从而提供更高的资源利用率和灵活性。中国金融业信息化“十二五”发展规划提出了推广绿色信息技术，建设“低碳”金融的重要任务，商业银行要实现这项任务，必须借助先进的虚拟化技术。该文根据金融机构应用场景来讨论如何应用虚拟化技术解决传统IT架构带来的弊端，并探讨了虚拟化技术应用存在的安全风险和防范策略。

关键词：虚拟化 金融业 安全风险 应用方案

中图分类号：TP391 文献标识码：A 文章编号：1672-3791（2017）01（b）-0013-02

1 虚拟化技术应用方案

传统 IT 架构应用虚拟技术的整体方案，根据应用领域的不同分为以下4层。

1.1 存储虚拟层

在这一层中应用存储虚拟化技术将传统存储层中的存储设备抽象成虚拟文件系统，实现服务器对存储设备的无关性访问，主要技术有RAID、SAN和NAS。RAID和SAN是将磁盘和磁带组成存储阵列，在存储阵列上划分逻辑卷，以虚拟硬盘形式供服务器访问，两者的区别在于RAID是基于主机的形式，存储阵列是附属服务器的设备，而SAN是基于网络的形式，存储阵列是通过专有的存储网络（FC，光纤通道）连接服务器。NAS同样是基于网络的形式，服务器访问的是存储阵列上已经建立好的虚拟文件系统。对存储层进行虚拟化有效地解决了传统IT架构中因存储设备复杂面管理难的问题。

1.2 服务器虚拟层

这层虚拟化可以实现服务器整合、灾难恢复功能，能搭建异构平台系统研发和测试平台。服务器整合将多个不同物理服务器上的信息转移到不同的虚拟服务器上，然后将这些虚拟服务器同时运行在一台单独的物理服务器上，减少了运行多台物理服务器的硬件和运营成本。

灾难恢复是使用虚拟化技术（如VMontion）提供备份/恢复和负载动态迁移的功能，实现几乎零宕机的实时迁移，保障业务连续性，将由系统故障等灾难性事件带来的威胁降低到最小。同时，虚拟化服务器可以被灵活地激活、重启，能在限定的时间内创建重要服务器，也实现了经济高效且具有更高管理性能的灾难恢复解决方案。研发和测试平台就是使用虚拟化技术在一台物理服务器为研发和测试人员提供大量虚拟的服务器，提供多个操作系统环境，降低研发和测试的成本。另外，快速的服务器备份和恢复、开通和重装为研发和测试人员提供了方便快捷的测试环境。

1.3 网络虚拟层

网络虚拟层使用VLAN技术将局域网划分成相互隔离的逻辑子网，使用VPN技术通过广域网将远程的计算机接入内部网，形成一个虚拟的私有网络，这样有效地保障了网络的安全性，网络中传输的数据的保密性也得到了保障。

1.4 桌面虚拟层

桌面虚拟层将原来传统IT架构中由PC提供用户桌面的流程改成桌面虚拟化技术向用户提供虚拟桌面，在服务器虚拟层提供大量虚拟计算机，这些虚拟计算机安装不同的操作系统和不同的应用软件，通过网络以远程桌面的形式呈现给用户。桌面虚拟化有效地解决了因PC数量多带来的维护困难和因PC保存数据带来的数据安全短板等问题。

2 虚拟化技术在金融业的应用

金融业的IT基础构架是十分庞大和复杂的，既有占地数万平方米的大型数据中心和灾备中心，也有只有几台个人电脑的小型办事处。下面将根据金融机构应用场景来讨论如何应用虚拟化技术解决传统IT架构带来的弊端。

2.1 支行柜台、营业部和小型分理处

这类机构中PC的运维和管理、数据安全、网络接入安全一直是重点管理的对象。對于PC的运维和管理难、数据安全和网络接入安全无法保障的问题，可以使用桌面虚拟化和网络虚拟化解决。桌面虚拟化和网络虚拟化技术使得这类机构不再需要配备 PC，所有业务都通过VPN以远程桌面的方式接入上级机构的服务器完成，业务数据同时保存在远程的服务器上。

2.2 分支机构和运营中心

分支机构和运营中心一般拥有大量的桌面系统，会有自己的机房用于部署本地的基础和应用服务器，同时会配备少量的 IT 支持人员。在这类机构中为各部门业务人员配备了大量的PC，大量的软件部署加大了软件更新、补丁和许可证管理的难度，大量的硬件也为资产管理带来难题，这让IT人员运维和管理的工作量很大。在这类机构中，可以同时应用服务器虚拟化、桌面虚拟化、网络虚拟化解决存在的问题。桌面虚拟化提供了统一管理的桌面和桌面环境，能够减少PC的数量，可以有效解决PC运维管理上存在的难题。服务器虚拟化实现多台应用服务器整合，可以很好地提高利用率并降低成本，整合后的服务器还能实现热备和动态迁移，同时，服务器虚拟化还提供了与硬件无关的虚拟机环境，能部署运行老应用系统。网络虚拟化让这类机构可以分部门、分业务使用VLAN划分虚拟子网，可以使用VPN实现机构间的连接，从而很好地保障了网络和信息安全。

2.3 数据中心

金融业数据中心和灾备中心一般有占地数千平方米的机房，其中配备了大量服务器，部署了大量的应用系统，使用了海量的存储设备，同时也配备了大量的 IT支持和开发人员。数据中心里大量采用基于光纤的外置存储和磁带库的方式存储数据，但这些存储设备由不同厂家生产，型号性能不一，这给使用和管理带来了复杂性。可以通过在SAN中添加虚拟化引擎实现基于网络的存储虚拟化，有效地降低管理的复杂度，虚拟出来的存储资源与存储硬件设备的相关性很低，为计算机提供的是统一的资源格式和类型，服务器不需要考虑存储设备的兼容性。各种存储设备硬件的差别也可以不用关心，只要是虚拟化存储系统所支持的硬件设备就可以使用。

3 虚拟化技术应用存在安全风险

3.1 主机容灾风险

使用虚拟技术进行服务器整合后，在节省资源的同时，也面临一个严重的问题，即一旦服务器出现硬件故障，其上运行的多个系统都将停止运行。虚拟服务器规划不科学，虚拟机的滥用问题会严重影响物理主机的CPU、内存和网络资源，使服务器负载过重，从而引起虚拟应用的中断或物理主机的崩溃。虚拟化的服务器合并程度越高，此类风险越大。

3.2 网络安全风险

进行虚拟化后，原有网络架构的网络边界消失，将服务器安全和网络安全进行部分融合，如将原来部署在资金子网的和办公子网的服务器整合在一起，可能使不能访问资金子网办公的用户能访问资金子网。传统模式下安全防护产品可以探测到每台服务器通过网络传输的数据，从而发现服务器受到的攻击，在虚拟化后，虚拟机间的网络流量不被外部网络感知，安全防护产品无法探测到异常行为，当一台虚拟机因受到攻击后发生问题时，安全威胁就会通过网络蔓延至其他的虚拟服务器。

4 虚拟化技术风险防范策略研究

4.1 部署基于端点的安全防护

网络架构改变引起的问题，在管理中最简单也最有效的方式，就是在虚拟后的每个端点实施安全防护措施。如使用VMware vShield在VMM层检测每台虚拟机的数据和行为，提高敏感数据的可见性和控制力。vShield还可以创建逻辑隔离，通过隔离虚拟机，提高管理层功能的有效性与广泛性，降低虚拟机的溢出，更好地阻止出现不合理的虚拟或物理设定。

4.2 科学规划虚拟设备负载

虚拟服务器负载过重，要通过不间断地监视服务器利用率來进行容量大小、负载能力的分析，根据使用的量得出高峰期运营的时间与资源需求来创建合理使用的工作平台。

主机容灾风险方面，可以引入虚拟服务器间的双机热备和负载动迁移，保障业务的容灾能力，可使用专门的容错服务器硬件，软件实现方式有VMontion、EverRun FT提供的解决方案。

4.3 加强配置管理

合并后的基础设施需要更严格的控制和操作实践来防止非预期停运现象，需要加强配置管理，要确认系统、硬件或者软件的配置，管理配置变化，并在整个产品生命周期中记录配置。

5 虚拟化技术应用性能优化

虚拟化带来了很多好处，整个IT架构基础设施的利用将大大提高。虚拟机大量使用和增加带来的是存储空间使用的直线增加；桌面虚拟机的使用使得原来存放在客户机磁盘上的文件现在也以磁盘映像的形式出现在存储阵列上，数据量大增，同样给网络带宽带来巨大的压力。从存储和网络入手，能很好地优化虚拟化技术应用性能。

5.1 重复数据删除

虚拟机使用磁盘镜像作为存储介质，而同一种操作系统的系统文件几乎都相同，虚拟机使用统一的虚拟硬件，甚至驱动程序都一模一样，大量的虚拟机都需要相同的OS镜像，造成了大量的冗余数据。通过重复数据删除，可以消除大量重复的虚拟机镜像中的数据块，能大幅减少存储数据量，节省数量可观的存储空间，从而减小了存储系统容量以及网络带宽的压力。

5.2 广域网加速

桌面虚拟机使用户都是通过网络以远程桌面登录虚拟机，大量的网络访问给网络带来的压力很大，网络带宽不够使呈现给用户的桌面视觉效果不佳，会降低用户体验。同时，虚拟化后，大量的服务器集中在数据中心，也会加大网络流量。通过广域网加速等基础设备的建设，加大网络吞吐量，提供更佳的用户体验。

参考文献

[1] 崔倩楠.基于云计算环境的虚拟化资源平台研究与评价[D].北京邮电大学，2011.

[2] 蔚赵春，凌鸿.商业银行虚拟化技术应用研究[J].金融理论与实践，2012（8）：25-29.