高校虚拟化环境下的主机漏洞防护浅析

福建中医药大学原名福建中医学院，创建于1958年，是我国创办较早的高等中医药院校之一，是福建省重点建设高校，2010年3月经教育部批准更名为福建中医药大学。学校拥有国家中医药管理局重点学科20个，福建省重点学科12个。

福建中医药大学校园计算机网络建于1998年，2002年配合“数字福建”建设规划，拟定《“数字福建中医学院”建设规划草案》。2004年制定《福建中医学院数字化校园建设总体规划》，同年立项建设。2007年完成数字化校园建设招标，同年10月统一身份认证、信息门户、数据共享和办公自动化系统首先投入使用，随后其它系统也相继投入使用至今。

我校校园信息化项目经过多年的建设，现有数十台机架式服务器及刀片式服务器、多套存储硬件，通过虚拟化部署，承载数字化校园、网站群系统等众多应用，数据级容灾跨两个校区，覆盖Linux/Windows两大平台的数据库、中间件等等。

近年来，我校加强了数据中心的安全防护建设，先后部署了安全网关、WEB应用防护，防病毒软件等安全系统，基本实现了物理边界安全及终端安全。但由于虚拟化系统本身的特性，如何实现虚拟化系统的主机漏洞防护面临着挑战。

不管是物理服务器还是虚拟服务器，其上的操作系统包括各种数据库、中间件等等应用都可能存在安全漏洞，黑客或者病毒等可以通过这些漏洞攻击服务器。这种攻击的过程一般如下图1所示：

图1：利用漏洞实施攻击流程

针对服务器的漏洞，如果用打实体补丁的方法解决，需要与涉及的所有第三方应用软件开发商协调及确认应用软件的兼容性，且很多补丁修补都需要重启动服务器。这种做法每年集中做一次两次可以，但和安全漏洞同步执行恐怕不太现实。目前的现状是，我们一般会使用网络IPS设备对一些重要的安全漏洞做策略阻止。但附加在IPS上的策略数量过多的话，IPS性能将不敷使用。实际上，这种方法也只能针对有限的几种安全漏洞设定策略阻止，相对于各种操作系统及应用软件存在的几千种安全漏洞来说，无异于杯水车薪。针对这种困境，对主机安全有更高要求的使用者一般会在网络IPS以外再实施主机防火墙及主机IPS系统，在每台服务器上部署主机加固软件，将大部分IPS策略分担到各台主机上，这样的话，由于每台独立的主机上的操作系统及应用是有限的，其上的主机IPS需要承载的策略并不会很多，基本可以满足安全的需要。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友