在我國公安系統(tǒng)從傳統(tǒng)警務(wù)向現(xiàn)代警務(wù)轉(zhuǎn)變的過程中，信息化的作用不言而喻，而虛擬化以其低成本和高效利用資源的特點(diǎn)，已經(jīng)成為了現(xiàn)代警務(wù)戰(zhàn)略布局中的一顆關(guān)鍵棋子。甘肅省張掖市公安局在利用虛擬化技術(shù)成功“解圍”服務(wù)器硬件瓶頸之后，與全球服務(wù)器安全、虛擬化及云計(jì)算安全領(lǐng)導(dǎo)廠商趨勢科技展開合作，利用趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)將虛擬化層面的威脅一掃而光，此舉為甘肅省13個(gè)市級公安系統(tǒng)虛擬化安全建設(shè)樹立了新標(biāo)桿。

虛擬化低成本優(yōu)勢明顯 病毒防護(hù)如何齊頭并進(jìn)

張掖市公安局承擔(dān)著確保全市安全穩(wěn)定，預(yù)防、制止和偵查違法犯罪活動等警務(wù)工作。由于面臨這些多任務(wù)的挑戰(zhàn)，張掖公安迫切需要利用IT創(chuàng)新技術(shù)加速各大警用信息平臺的建設(shè)速度，給警務(wù)工作提供后臺支撐，然而，原有服務(wù)器的“不給力”直接限制了新業(yè)務(wù)的發(fā)展。同時(shí)，平臺中各個(gè)系統(tǒng)不能根據(jù)實(shí)際需要和業(yè)務(wù)變化靈活、動態(tài)調(diào)整資源，系統(tǒng)的靈活性和擴(kuò)展性較差，影響了公安業(yè)務(wù)部門管理和對外服務(wù)的能力。

此外，由于應(yīng)用系統(tǒng)與底層硬件之間形成了“豎井”結(jié)構(gòu)，要保障三大關(guān)鍵系統(tǒng)：戶籍管理平臺、警務(wù)綜合管理平臺和警用地理信息平臺高效運(yùn)轉(zhuǎn)，就需要投入大筆經(jīng)費(fèi)購買數(shù)十臺服務(wù)器。為此，張掖市公安局信息科決定引入虛擬化技術(shù)以降低成本。在經(jīng)過嚴(yán)格測試之后，張掖市公安局最終采用了VMware vSphere 5.1服務(wù)器虛擬化解決方案，徹底解決了傳統(tǒng)單一物理服務(wù)器部署應(yīng)用方式所造成的弊端，在降低采購和應(yīng)用成本的前提下大幅提升了服務(wù)器的利用率。

虛擬化技術(shù)的成功應(yīng)用雖然讓人欣喜，不過對于在系統(tǒng)安全性、可用性和可靠性方面要求更高的公安警務(wù)行業(yè)來說，虛擬化還是一個(gè)新鮮事物，如何保障其安全性成為新的挑戰(zhàn)。張掖市公安局信息科的張科長表示：“虛擬化使得警用平臺整個(gè)IT架構(gòu)都發(fā)生了變化，在這種新的環(huán)境下，安全管理策略與工具需要緊跟這一架構(gòu)變化，防毒系統(tǒng)也必須齊頭并進(jìn)，能夠提前一步發(fā)現(xiàn)虛擬化防毒可能存在的問題，這包括是否會影響整個(gè)系統(tǒng)的效率、補(bǔ)丁管理是否能更輕松、針對虛擬機(jī)內(nèi)部的數(shù)據(jù)流量是否能主動發(fā)現(xiàn)惡意代碼等。為此，我們必須在市場中選擇一款能與VMware vSphere完全兼容的、成熟度最高的虛擬化安全管理軟件。“

Deep Security成熟度可以信賴 虛擬化加速前行

在聽取了VMware虛擬化項(xiàng)目實(shí)施工程師建議后，張掖市公安局將目光聚焦在了虛擬化防毒領(lǐng)域內(nèi)應(yīng)用最多、成熟度最高、技術(shù)最新的趨勢科技Deep Security上來。并在先期轉(zhuǎn)移到虛擬化平臺上的測試中安裝了Deep Security，利用其獨(dú)有的無代理技術(shù)，實(shí)現(xiàn)了最低的資源消耗，成功地避免了防毒軟件搶占CPU、內(nèi)存、網(wǎng)絡(luò)的情況發(fā)生。據(jù)該虛擬化項(xiàng)目實(shí)施工程師熊暉先生介紹，由于趨勢科技Deep Security 8.0與VMware vSphere5.1的產(chǎn)品完全兼容，是通過底層應(yīng)用接口實(shí)現(xiàn)虛擬化防護(hù)，所以不需要在任何一臺虛擬操作系統(tǒng)中再安裝防毒軟件，整個(gè)部署過程非常迅速。

在接下來的測試階段，張掖市公安局科技科對虛擬化安全應(yīng)用狀況進(jìn)行了長期壓力測試和訪問效果跟蹤。自安裝Deep Security之后，VMware虛擬化平臺上的業(yè)務(wù)系統(tǒng)并未出現(xiàn)之前最擔(dān)心的“延遲”現(xiàn)象。在正式遷移階段，信息科將三大平臺之一的“警用地理信息平臺”率先遷移到虛擬化平臺上，并通過使用Deep Security防火墻策略、虛擬補(bǔ)丁管理等一系列的創(chuàng)新設(shè)計(jì)，充分驗(yàn)證了該平臺的易用性。對于最新發(fā)現(xiàn)的漏洞，Deep Security能夠在第一時(shí)間提供修補(bǔ)程序，無需重新啟動系統(tǒng)，即可在數(shù)分鐘內(nèi)將這些規(guī)則應(yīng)用到所有“警用地理信息平臺”上的虛擬服務(wù)器中。

張掖市公安局對Deep Security的應(yīng)用效果十分滿意，據(jù)張科長介紹：“之前，我們擔(dān)心虛擬化之后很多虛擬機(jī)產(chǎn)生的流量無法被監(jiān)測到，這在公安系統(tǒng)的網(wǎng)絡(luò)中是非常嚴(yán)重的問題。但在部署Deep Security之后，這一擔(dān)心被證明是多余的。Deep Security在虛擬化層面真正實(shí)現(xiàn)了雙向狀態(tài)防火墻，可以檢查所有傳入和傳出虛機(jī)的通信，它可以使用細(xì)?；^濾，針對虛擬交換機(jī)的底層對所有基于IP的應(yīng)用進(jìn)行檢測。并且，我們通過其內(nèi)部定制的服務(wù)器模板，在虛擬化之后仍然可以集中管理所有虛擬服務(wù)器的防火墻策略，為統(tǒng)一安全標(biāo)準(zhǔn)提供了最快捷的管理平臺。”

據(jù)了解，張掖市公安局已經(jīng)建立了虛擬化雙機(jī)熱備集群(HA Clusters)，并陸續(xù)將OA、郵件、財(cái)務(wù)系統(tǒng)遷移過來，確保三大平臺和其它業(yè)務(wù)系統(tǒng)的業(yè)務(wù)連續(xù)性。由于張掖市公安局為突破虛擬化防毒瓶頸提供了有價(jià)值的經(jīng)驗(yàn)，甘肅省其它市級公安系統(tǒng)都對虛擬化項(xiàng)目，以及下一階段的安全防護(hù)核心工作充滿了信心。