1.虚拟化安全挑战及防护需求
虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的安全防护及运维管理带来新的风险及问题。
总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面:
1.网络及逻辑边界的模糊化,原有的FW等网络安全防护技术失去意义
虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、网络入侵检测防护等技术都失去了应有的作用。
攻击者可以利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的其他虚拟主机进行访问、攻击甚至是嗅探等,因此必须通过基于主机的防火墙或者虚拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。
2.系统结构的变化导致新风险
虚拟化平台在传统的“网络-系统-应用”系统架构上增加了“Hypervisor及虚拟网络”层,由于不同的虚拟机主机往往承载于同一虚拟化平台服务器,即使2台完全独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor层)的某些缺陷及弱点(如虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩散
同时,单台虚拟机的安全问题,也有可能影响整个虚拟化平台的安全;虚拟机间隔离不当,可非法访问其它VM,或者窃听VM间的通信,盗取敏感数据。
因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。通过主机入侵检测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护,防止虚拟平台和虚拟主机被恶意攻击及篡改.
3.资源的共享化,原有安全防护技术面临新挑战
针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒定义更新和扫描负载,直接影响到整个虚
拟化平台的使用效率。因此,虚拟机服务器安全防护软件必须引入最新的虚拟机优化技术对虚拟化平台提供更完善、更可靠的保护。
2. 安全建设方案
2.1安全建设方案概述
虚拟化平台的虚拟网络安全:通过在虚拟机服务器主机上部署基于主机的入侵检测防护系统。实现针对虚拟机服务器主机的网络访问控制及隔离、入侵攻击防护、系统加固及审计等功能,弥补传统网络防火墙、入侵防护技术在虚拟环境下的防护缺失。满足对虚拟服务器自身防护
虚拟化Guest服务器安全:该方案针对虚拟出来的服务器的安全防护同样可以做到针对虚拟环境中的虚拟物理服务器自身的防护,并且能适应虚拟环境下的架构变化。面对新形势下的安全威胁,无论是网络攻击,存的缓存溢出攻击,零日威胁,都可以做到实时的安全防护。
虚拟化平台底层架构安全防护:通过对VMware ESXi服务器的事件日志的实时收集和分析,实现实时监控虚拟服务器的文件配置改变,针对ESXi服务器的入侵检测防护能力。通过VMware加固手册,针对vCenter服务器,集成根据该手册定义的安全加固需求的入侵防御,入侵检测策略。由于vCenter服务器架构与Windows服务器上,因此同时还应该针对Windows服务器提供足够的服务器级别加固能力,防止通过入侵Windows而间接控制vCenter服务器。通过对ESXi,vCenter,Windows服务器的整体安全防护,包括入侵检测,入侵防御,主机加固等,从而实现对整个虚拟化平台具备全部控制和管理能力的虚拟化平台自身服务器ESXi和vCenter服务器做到完整的基础架构安全防护能力。
2.2总体网络部署架构示意图
2.3虚拟桌面无代理病毒防护
2.3.1需求概述
针对虚拟化环境,一台服务器往往需要承载大量的虚拟主机,因此当所有的主机都发起病毒扫描时,将形成的扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒扫描负载,直接影响到整个虚拟化平台的使用效率。
结合VMWARE最新的NSX技术架构,赛门铁克数据中心安全防护提供了针对虚拟化服务器及桌面的无代理病毒防护,解决传统有代理防病毒方式无法适应虚拟化架构的问题,特别是虚拟化防病毒带来的扫描风暴和病毒定义升级风暴问题。
2.3.2实现方案
SDCS通过提供虚拟安全设备SVA并于VMware的软件定义网络平台NSX集成,提供无代理的虚拟化服务器病毒防护,并且通过集成,完成虚拟化架构下的自动安全策略分配到NSX定义的组,而无须关心策略分配到那个虚拟机。
SDCS提供虚拟安全设备SVA为虚拟服务器提供无代理防病毒
SDCS提供和NSX的自动化安全策略分配到组
2.4虚拟平台和虚拟服务器安全
2.4.1需求概述
在虚拟化环境中,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防
护,例如:
–虚拟层的破坏会导致其上所有虚拟桌面主机的破坏
–虚拟桌面主机防护薄弱,可直接影响其他租户的虚拟桌面主机
–虚拟机间隔离不当,可非法访问其它虚拟桌面主机,或者窃听虚拟桌面主机间的通信
这些新问题,通过传统的防火墙及入侵防护技术都不能够很好的解决,因此,必须加强针对虚拟机主机自身的主机入侵防护及加固,防止某台或某个点的安全风险及威胁扩散到整个虚拟化服务平台。
symantec的DCS-Server Advanced解决方案,针对虚拟化平台的Hypervisor层及重要的虚拟服务器主机,提供基于主机的入侵检测、防护、系统审计及加固功能,防止虚拟机服务器被恶意攻击及入侵,提升虚拟机服务器自身的安全防护能力及水平。
2.4.2实现方案
2.4.2.1虚拟架构保护
●监视Hypervisor底层server的方法(支持当前主流的Vmware平台):
?虚拟平台底层服务器上不安装任何防护软件,可以在一台特定的虚拟桌面虚机上部署
DCS 安全监控代理
?DCS安全监控代理通过命令行或者API接口访问虚拟平台底层配置文件/日志、VM配置文
件。
?DCS管理控制台上启用预定义的虚拟平台IDS 策略监视配置/日志/访问操作
?针对虚拟平台配置变更可以生成预定义的监控报告
●IDS 策略概要:
?命令行接口(CLI) 登录失败和成功事件
?命令行接口(CLI)命令操作记录
?按照各厂商安全加固指南监控虚拟平台服务器底层配置文件变更(谁?时间?操作?变
更?容?)
?按照各厂商安全加固指南监控拟平台管理组件配置文件变更(谁?时间?操作?变更?
容?)
?关键的安全事件日志分析
◆未授权核心模块加载
◆USB设备事件(发现、连接VM)
◆其他告警
2.4.2.2虚拟主机(Guest OS)保护
安全锁定---保障系统最小权限的安全运行环境
服务器主机的运行环境通常比较简单和固定,且操作是可以预期的,如下:
●仅需要安装、运行和访问特定
●计算机环境轻易不进行变更
●除必要的业务访问和操作外,不允许访问其他任何资源或进行其它额外
操作
同时,考虑到服务器主机的特殊性(并不能总是及时更新补丁),传统的防病毒技术(依赖于黑:病毒特征库)无法解决一些新型未知攻击和零日漏洞攻击的威胁,因此,针对关键服务器主机,本次建议采用更严格的基于白及行为特征的系统加固及防护技术。
本次推荐的解决方案为赛门铁克的数据中心安全防护软件DCS_SA(SYMC DATA CENTER SECURITY SERVER ADVANCED),DCS_SA是业界领先的基于主机的主机安全保护和加固的解决方案,为关键服务器主机,关键业务应用提供持续的,全面的,纵深的安全防御保护。包括
?端口/服务管理(网络环境锁定):限制服务器主机上的端口开放和访问情
况,确保服务器上只开放允许的服务端口,并进行细粒度的访问控制管理,
有效控制恶意代码在网络部的传播和扩散,并避免来自于其它设备的恶意攻
击及访问(包括来自于服务器本地和安全域部其它主机的恶意访问和攻击)
?进程白(应用环境锁定):通过进程白技术,确保服务器主机只允许业务所
需的进程和程序,防止因为软件的随意安装或者程序的运行可能导致的病毒
感染、恶意代码执行风险
?漏洞攻击及保护(系统加固及锁定):提供针对服务器主机的系统加固锁定
和攻击保护。包括缓冲区溢出、进程注入等零日漏洞攻击行为的检测及保护
能力,在服务器未及时更新补丁时对服务器进行有效保护。
?安全监控及告警功能:通过监控和收集服务器主机操作系统日志和加固及防
工业控制系统信息安全防护能力评估工作管理办法 第一章总则 第一条为规范工业控制系统信息安全(以下简称工控安全)防护能力评估工作,切实提升工控安全防护水平,根据《中华人民共和国网络安全法》《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),制定本办法。 第二条本办法适用于规范针对工业企业开展的工控安全防护能力评估活动。 本办法所指的防护能力评估,是对工业企业工业控制系统规划、设计、建设、运行、维护等全生命周期各阶段开展安全防护能力综合评价。 第三条工业和信息化部负责指导和监督全国工业企业工控安全防护能力评估工作。 第二章评估管理组织 第四条设立全国工控安全防护能力评估专家委员会(以下简称评估专家委员会),负责定期抽查与复核工控安全防护能力评估报告,并对评估工作提供建议和咨询。
第五条设立全国工控安全防护能力评估工作组(以下简称评估工作组),负责具体管理工控安全防护能力评估相关工作,制订完善评估工作流程和方法,管理评估机构及评估人员,并审核评估过程中生成的文件和记录。评估工作组下设秘书处,秘书处设在国家工业信息安全发展研究中心。 第三章评估机构和人员要求 第六条评估工作组委托符合条件的第三方评估机构从事工控安全防护能力评估工作。 第七条评估机构应具备的基本条件: (一)具有独立的事业单位法人资格。 (二)具有不少于25名工控安全防护能力评估专职人员。 (三)具有工控安全防护能力评估所需的工具和设备。 第八条评估机构应建立并有效运行评估工作体系,完善评估监督和责任机制,以确保所从事的工控安全评估活动符合本办法的规定。评估机构应对其出具的评估报告负责。 第九条对于违反本办法、相关法律法规及不遵守评估工作组管理要求的评估机构,评估工
网络基础架构及数据中心规划方案 2016年11月
目录 一.网络建设需求 (3) 1.1 目标架构: (3) 1.2设计目标: (3) 二. 规划方案 (4) 2.1 方案拓扑 (4) 2.2 架构说明 (5) 2.3 为什么选用Vmware虚拟化技术(整个方案的重点) (6) 2.4 VMware方案结构 (7) 2.4.1 基础架构服务层 (7) 2.4.2 应用程序服务层 (9) 2.4.3 虚拟应用程序层 (14) 2.4.4 数据备份 (15) 2.4.5 具体方案陈述 (20) 2.5 VMWARE方案带来的好处 (21) 2.5.1 大大降低TCO (21) 2.5.2 提高运营效率 (23) 2.5.3 提高服务水平 (24) 三. 项目预算 (24) 总述
为推进公司信息化建设,以信息化推动公司业务工作改革与发展,需要在集团总部建设新一代的绿色高效能数据中心网络。 一.网络建设需求 1.1 目标架构: 传统组网观念是根据功能需求的变化实现对应的硬件功能盒子堆砌而构建企业网络的,这是一种较低效率的资源调用方式,而如果能够将整个网络的构建看成是由封装完好、相互耦合松散、但能够被标准化和统一调度的“服务”组成,那么业务层面的变更、物理资源的复用都将是轻而易举的事情。最终形成底层资源对于上层应用就象由服务构成的“资源池”,需要什么服务就自动的会由网络调用相关物理资源来实现。 1.2设计目标: 扩展性: 架构设计能应对集团未来几年的发展以及满足整合分公司资源的需要; 简化管理 使上层业务的变更作用于物理设施的复杂度降低,能够最低限度的减少了物理资源的直接调度,使维护管理的难度和成本大大降低。 高效复用 得物理资源可以按需调度,物理资源得以最大限度的重用,减少建设成本,提高使用效率。即能够实现总硬件资源占用降低了,而每个业务得到的服务反而更有充分的资源保证了。 网络安全:
1项目概述 1.1竹溪县民政局现状 竹溪县民政局机房现有设备运行年限较长,各业务系统相对独立,造成管理难度大,基于这种现状我司推荐竹溪县民政局信息化启动平台化建设。 竹溪县民政局信息化平台是提高健康水平、提高政府服务质量和效率的有力推手,是规范医疗政府服务,方便群众办事,缓解群众看病难问题的主要手段,不仅对推动竹溪县政务整改工作有重要意义,也是当前竹溪县民政局信息化平台工作迫切的需求。 1.2竹溪县民政局信息化平台建设的基本原则 1)顶层设计,统筹协调原则:竹溪县民政局信息化平台建设要按照国家有 关信息化建设的总体部署和要求,结合竹溪县民政局实际,做好顶层设 计,进行信息资源统筹规划,统一建设规范、标准和管理制度,构建竹 溪县民政局信息化平台为建设目标和任务。运用不同机制和措施,因地 制宜、分类指导、分步推进,促进竹溪县民政局信息化平台工作协调发 展。 2)标准化原则:竹溪县民政局信息化平台建设要在统一标准、统一规范指 导原则下开展,相关技术、标准、协议和接口也须遵循国际、国家、部 颁有关标准,没有上述标准要分析研究,制定出适合竹溪县民政局信息 化平台的标准、规范。 3)开放和兼容性原则:竹溪县民政局信息化平台建设不是一个独立系统, 而是搭建一下通用平台,基于平台承载各类应用系统运行,因此,系统 设计应充分考虑其开放性,同时因发展需要,应具有较好的伸缩性,满 足发展需要。 4)先进性原则:采取业界先进系统架构理念和技术,为系统的升级与拓展 打下扎实基础,如在技术上采用业界先进、成熟的软件和开发技术,面
向对象的设计方法,可视化的面向对象的开发工具,支持 Internet/Ineternet网络环境下的分布式应用;客户/应用服务器/数据 服务器体系结构与浏览器/服务器(B/S)体系相结合的先进的网络计算 模式。 5)安全与可靠的原则:作为竹溪县民政局信息化平台,关乎到民生及医疗 数据安全,其数据库硬件平台必须具备最高的安全性及可靠性,可接近 连续可用。平台一旦出现故障可能会导致群体性事件,因此竹溪县民政 局信息化平台需要建立在一个科学稳定的硬件平台上,并达到系统要求 的安全性和可靠性。二是网络安全。在系统架构和网络结构设计上首先 考虑安全性,必须加强领导、落实责任,综合适用技术、经济、制度、 法律等手段强化网络的安全管理。三是信息安全。主要是数据安全即保 证数据的原始性和完整性,运行数据不可被他人修改或访问,记录者的 记录不容抵赖,访问和修改可追踪性等。在系统设计时既考虑系统级的 安全,又考虑应用级的安全。应用系统采用多级认证(系统级认证、模 块认证、数据库认证和表级认证)等措施,采用用户密码的加密技术以 防止用户口令被破解。同时需制定不断完善的信息系统应急处理预案和 合理的数据库备份策略,在灾难时也能快速从灾难中恢复。四是信息化 平台应具有较强数据I/O处理能力,同时系统在设计时必须考虑在大规 模并发,长期运行条件下的系统可靠性,满足竹溪县民政局信息化7× 24小时的服务要求,保证各机构单位数据交换和资源共享的需要。 6)协调合作原则:要求各有关方将以往的行为方式从独立行事向合作共事 转变,从独立决策向共同决策方式转变。各方在合作基础上,应在人力 资源和设备实体方面全力建立更加稳定的信息技术设施。 1.3平台需求 1.3.1硬件需求 竹溪县民政局信息化平台是支撑整个系统安全、稳定运行的硬件设备和网络设施建设,是系统平台的基础设施。主要包括支撑整个系统安全、稳定运行所需
网站系统安全防护体系建设方案
目录 一、需求说明 (3) 二、网页防篡改解决方案 (5) 2.1 技术原理 (5) 2.2 部署结构 (6) 2.3 系统组成 (7) 2.4 集群与允余部署 (9) 2.5 方案特点 (10) 2.5.1 篡改检测和恢复 (10) 2.5.2 自动发布和同步 (10) 三、WEB应用防护解决方案 (12) 3.1 当前安全风险分析 (12) 3.2 防护计划 (13) 3.2.1 开发流程中加入安全性验证项目 (13) 3.2.2 对网站程序的源代码进行弱点检测 (14) 3.2.3 导入网页应用程序漏洞列表作为审计项目 (14) 3.2.4 部署Web应用防火墙进行防御 (15) 3.3 WEB应用防火墙功能 (16) 3.3.1 集中管控功能 (16) 3.3.2 防护功能 (16)
3.4 预期效益 (17) 四、内容分发网络解决方案 (19) 4.1 内容分发网络简介 (19) 4.2 CDN服务功能 (19) 4.3 CDN服务特点 (21) 五、负载均衡解决方案 (22) 5.2 广域负载均衡 (24) 5.3 关键功能和特点 (25) 六、应急响应服务体系 (27) 6.1 事件分类与分级 (27) 6.1.1 事件分类 (27) 6.1.2 事件分级 (27) 6.1.3 预警服务事件严重等级 (28) 6.2 应急响应服务体系 (29)
一、需求说明 针对Web应用防护安全需能实现以下功能: 一、针对网站主页恶意篡改的监控,防护和快速恢复: (1)支持多种保护模式,防止静态和动态网页内容被非法篡改。 (2)能够防止主页防护功能被恶意攻击者非法终止。 (3)具备核心内嵌技术,能实现高效快速实现大规模的网页攻击防护。 (4)支持实时检测和快速恢复功能。 (5)支持多服务器、多站点的主页防护 (6)支持对常见的多种网页文件类型的保护。 (7)支持网页快照功能,根据需要即时提供快照页面,以满足客户端的访问。 二、对Web网站进行多层次检测分析与应用防护: (1)有效保护网站静动态网页以及后台DB信息,实现多方位攻击防护。 (2)灵活的策略设置,能够针对各个WEB应用的特点,设置个性化的防护策略。 (3)不反射保护网站(或WEB应用)程序代码防止受到各种已知攻击(如SQL 注入,跨站脚本,钓鱼攻击等)和未知攻击;并能限制未授权用户透过网 站访问数据中心,防止入侵者的通信流程。 (4)能够根据操作系统、应用平台及评估渗透工具等特征,形成完备的特征库。综合并发连接、并发请求及流量限制,阻断攻击探测或扫描;同时 能够对访问数据流进行协议检查,防止对WEB应用的恶意信息获取和特征 收集。 三、行为审计: (1)能够记录和有效统计用户对WEB应用资源的访问,包括页面点击率、客户对端地址、客户端类型、访问流量、访问时间及搜索引擎关键字信息;并 实现有效的用户行为访问统计分析,如基于区域的访问统计,便于识别 WEB应用的访问群体是否符合预期,为应用优化提供依据。 (2)对攻击来源和攻击行为支持分类记录探测,数据处理结果形成详细的统计及排序,支持依据威胁的级别生成防护策略。 (3)提供多种审计报表,为系统的安全审计提供详细的数据并作为可靠的决策依据。
软件学报ISSN 1000-9825, CODEN RUXUEW E-mail: jos@https://www.doczj.com/doc/bb7447127.html, Journal of Software,2012,23(8):2173?2187 [doi: 10.3724/SP.J.1001.2012.04219] https://www.doczj.com/doc/bb7447127.html, +86-10-62562563 ?中国科学院软件研究所版权所有. Tel/Fax: ? 基于虚拟化的安全监控 项国富1+, 金海1, 邹德清1, 陈学广2 1(华中科技大学计算机科学与技术学院,湖北武汉 430074) 2(华中科技大学控制科学与工程系,湖北武汉 430074) Virtualization-Based Security Monitoring XIANG Guo-Fu1+, JIN Hai1, ZOU De-Qing1, CHEN Xue-Guang2 1(School of Computer Science and Technology, Huazhong University of Science and Technology, Wuhan 430074, China) 2(Department of Control Science and Engineering, Huazhong University of Science and Technology, Wuhan 430074, China) + Corresponding author: E-mail: whxgf1984@https://www.doczj.com/doc/bb7447127.html, Xiang GF, Jin H, Zou DQ, Chen XG. Virtualization-Based security monitoring. Journal of Software, 2012, 23(8):2173?2187 (in Chinese). https://www.doczj.com/doc/bb7447127.html,/1000-9825/4219.htm Abstract: In recent years, virtualization technology is the novel trendy of computer architecture, and it provides a solution for security monitoring. Due to the highest privilege and the smaller trusted computing base of virtual machine monitor, security tools, deployed in an isolated virtual machine, can inspect the target virtual machine with the help of virtual machine monitor. This approach can enhance the effectiveness and anti-attack ability of security tools. From the aspect of the implementation technologies, existing research works can be classified into internal monitoring and external monitoring. According to the different targets, the related works about virtualization-based monitoring are introduced in this paper in detail, such as intrusion detection, honeypot, file integrity monitoring, malware detection and analysis, security monitoring architecture and the generality of monitoring. Finally, this paper summarizes the shortcomings of existing works, and presents the future research directions. It is significant for virtualization research and security monitoring research. Key words: virtualization; virtual machine monitor; security monitoring; virtual machine introspection 摘要: 近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管 理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机 进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部 监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件 完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了 未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义. 关键词: 虚拟化;虚拟机管理器;安全监控;虚拟机自省 中图法分类号: TP316文献标识码: A ?基金项目: 国家自然科学基金(60973038, 61142010); 国家高技术研究发展计划(863)(2012AA012600); 武汉市科技攻关项目 (201010621211); 信息网络安全公安部重点实验室开放课题(C11602) 收稿时间:2011-05-04; 修改时间: 2011-11-02; 定稿时间: 2012-03-23
工业控制系统信息安全防护技术
目 录 0102 03工控事件攻击技术概述工控系统安全技术工控系统防护体系思考04 结束语 信息化和软件服务业司
HAVEX病毒 ?2014年,安全研究人员发现了一种类似震网病毒的恶意软件,并将其命名为:Havex,这种恶意软件已被用在很多针对国家基础设施的网络攻击中。 ?就像著名的Stuxnet蠕虫病毒,Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件,这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、使核电站过载、甚至有能力关闭一个地区和国家的电网。
篡改供应商网站,在下载软件升级包中包含恶意间谍软件 被攻击用户下被载篡改的升级包 恶意间谍代码自动安装到OPC客户端 OPC服务器回应数据信息黑客采集获取的数据 恶意间谍代码通过OPC协议发出非法数据采集指令 1 24将信息加密并传输到C&C (命令与控制)网站 3 5 7 6 通过社会工程向工程人员发送包含恶意间谍代码的钓鱼邮件 1 供应商官方网站 工控网络 OPC客户端OPC客户端 OPC服务器 OPC服务器 生产线 PLC PLC HAVEX病毒攻击路径概述
Havex 传播途径 在被入侵厂商的主站上,向用户提供包含恶意代码的升级软件包 利用系统漏洞,直接将恶意代码植入包含恶意代码的钓鱼邮件 l有三个厂商的主站被这种方式被攻入,在网站上提供的软件安装包中包含了Havex。这三家公司都是开发面向工业的设备和软件,这些公司的总部分别位于德国、瑞士和比利时。 l其中两个供应商为ICS系统提供远程管理软件,第三个供应商为开发高精密工业摄像机及相关软件。
虚拟化解决方案
虚拟化解决方案 深圳市深信服科技有限公司 11月
第一章需求分析 1.1高昂的运维和支持成本 PC故障往往需要IT管理员亲临现场解决,在PC生命周期当中,主板故障、硬盘损坏、内存没插紧等硬件问题将不断发生,而系统更新、补丁升级、软件部署等软件问题也非常多,对于IT 管理员来说,其维护的工作量将是非常大的。同时,桌面运维工作是非常消耗时间的,而这段时间内将无法正常进行网上工作,因此也会影响到工作效率。最后,从耗电量方面来讲,传统PC+显示器为250W,那么一台电脑将产生高达352元/年【0.25(功耗)*8(每天8小时工作)*0.8(电费,元/千瓦时)*240(工作日)】本机能耗成本,而电脑发热量也比较大,在空间密集的情况下,散热的成本也在逐步上升。 因此,IDC预测,在PC硬件上投资10元,后续的运营开销将高达30元,而这些投资并不能为学校带来业务方面的价值,也即投入越大,浪费越多。 1.2 不便于进行移动办公 传统的PC模式将办公地点固定化,只能在办公室、微机房等固定区域进行办公,大大降低了工作的效率和灵活性,无法适应移动化办公的需求。
1.3数据丢失和泄密风险大 信息化时代,其数据存储和信息安全非常重要,在信息系统中存储着大量的与工作相关的重要信息。可是传统PC将数据分散存储于本地硬盘,PC硬盘故障率较高,系统问题也很多,这使得当出现问题时数据易丢失,同时由于数据的分散化存储,导致数据的备份及恢复工作非常难以展开,这些都是棘手的问题。另外,PC/笔记本上的资料能够自由拷贝,没有任何安全策略的管控,存在严重的数据泄密风险。 综上所述,桌面云解决方案是业界IT创新技术,当前已在众多行业机构得到广泛应用。经过基于服务器计算模式,将操作系统、应用程序和用户数据集中于数据中心,实现统一管控。此方案可经过革新的桌面交付模式,解决当前桌面管理模式中存在的运维难、不安全、灵活性差等问题,实现高效、便捷、防泄密的经济效益。
发电厂工控系统网络信息安全防护典型部署列表 序号安全设备 (系统) 名称 部署位置 部署模 式 参考 数量 备注 1.1 工业防火 墙(接口 机) 安全区I 和安全区 II边界 网络串 联 3台 (依 接口 机数 量定) 安全区I向SIS传输数据 的业务系统需单独部署 工业防火墙 1.2 工业防火 墙(日志/ 网络审 计) 安全区I 和安全区 II边界 网络串 联 1 台 此防火墙应具备高吞吐 量的性能 1.3 工业防火 墙(生产 控制大区 网络安全 监测装 置) 安全区I 和安全区 II边界 网络串 联 1 台 安全区I传输数据至厂 级生产控制大区网络安 全监测装置处,须单独部 署工业防火墙 2.1 日志审计 功能安全区I 内 此功能实现对安全区I 机组主控辅控系统及NCS
(安全区I)控制系统的日志审计,并保留至少6个月的日志数据 2.2 日志审计 (安全区 II) 安全区 II核心 交换机 网络可 达 1台 在安全区II应单独部署 一台日志审计 3 入侵检测安全区 II核心 交换机 旁路镜 像 1台 4 网络审计 安全区I 内旁路镜 像 3台 在安全区I机组主控DCS 及辅控系统中应单独部 署一台网络审计 5 生产控制 大区网络 安全监测 装置 安全区 II核心 交换机 网络串 联 1套 实现对工控系统网络安 全数据的采集存储 6 网络安全 监测装置 (涉网 侧) 安全区I /安全区 II和电 力调度数 据网边界 网络串 联 2套 满足电网侧安全监控需 求,同时数据需同步上传 到厂级生产安全监测平 台 7.1 正向隔离生产控制网络串1台此设备为电力专用横向
xxxxxxx客户虚拟化杀毒技术建议书
................................................................................................................................. 1.1.项目背景 (1) 1.2.建设目标 (1) 1.3.设计原则 (2) 1.4.客户价值 (3) ................................................................................................................................. 2.1.安全威胁分析 (3) 2.2.安全必要性分析 (4) 2.3.项目建设需求 (5) ................................................................................................................................. 3.1.防病毒能力设计实现 (6) 防病毒整体设计实现 (6) 防病毒模块设计实现 (7) 3.2.防病毒部署设计实现 (8) 部署设计 (8) 兼容性设计 (9) ..........................................................................................................................
安全生产双重预防体系建设实施工作方案为切实有效指导企业建设安全生产风险分级管控和隐患排查治理双重预防体系,并有效运行,现制定安全生产双重预防体系建设实施工作指导方案。 一、目的 建立完善的安全生产双重预防体系,对排查出的风险点分类分级管理,把事故预防的“关口前移”向“纵深防御”推进,提升企业全员风险管理认知,形成标准化、信息化的安全生产风险分级管控与隐患排查治理的双重预防体系。 二、依据 安全生产风险分级管控体系通则DB37/T 2882-2016 生产安全事故隐患排查治理体系通则DB37/T 2883-2016 工贸企业安全生产风险分级管控体系细则DB37/T 2974-2017 工贸企业生产安全事故隐患排查治理体系细则DB37/T 3011-2017 化工企业安全生产风险分级管控体系细则DB37/T 2971-2017 化工企业生产安全事故隐患排查治理体系细则DB37/T 3010-2017 用人单位职业病危害风险分级管控体系细则DB37/T 2973-2017 用人单位职业病隐患排查治理体系细则DB37/T 3012-2017 三、实施指导方案 结合公司实际情况,按照九步走工作法指导企业落实双重预防体系建设。 (1)准备
①建组织、定职责 指导成立组织机构,确定人员职责。成立由主要负责人牵头,分管负责人和各职能部门负责人以及安全、设备、工艺、电气、仦表等各类与业技术人员组成的“双重预防体系”领导小组,明确从企业基层操作人员到最高管理层的职责,主要负责人全面负责组织风险分级管控工作,为该项工作的开展提供必要的人力、物力、财力支持,分管负责人及各岗位人员应负责分管范围内的风险分级管控和隐患排查治理工作。 ②做制度 指导建立风险分级管控和隐患排查治理制度、方案、指南、相关作业指导书、风险点统计表、作业活动清单、设备设施单、工作危害分析(JHA)评价记录、安全检查表分析(SCL)评价记录、风险分级管控清单、危险源统计表、隐患排查计划表、排查记录表、整改通知单、重大隐患评价表、重大隐患整改方案、隐患整改验收档案、重大隐患整改评价表、隐患整改统计汇总表等有关记录文件。形成一体化的安全管理体系,使风险分级管控和隐患排查治理贯穿于生产活动全过程,成为企业各层级、各专业、各岗位日常工作重要组成部分。建立“双重预防体系”目标责任考核及奖惩机制,并严格执行。 组织机构和相关制度执行通知以红头文件的形式下发到各个部门,召开部门碰头会,传达文件相关细节内容,让部门各司其职,相互联动,确保双重预防体系建设开好局。
虚拟化平台安全防 护方案
1.虚拟化安全挑战及防护需求 虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的安全防护及运维管理带来新的风险及问题。 总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面: 1.网络及逻辑边界的模糊化,原有的FW等网络安全防护技术失去意 义 虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、网络入侵检测防护等技术都失去了应有的作用。 攻击者能够利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的其它虚拟主机进行访问、攻击甚至是嗅探等,因此必须经过基于主机的防火墙或者虚拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。 2.系统结构的变化导致新风险 虚拟化平台在传统的“网络-系统-应用”系统架构上增加了“Hypervisor及虚拟网络”层,由于不同的虚拟机主机往往承载于同
一虚拟化平台服务器,即使2台完全独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor层)的某些缺陷及弱点(如虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩散 同时,单台虚拟机的安全问题,也有可能影响整个虚拟化平台的安全;虚拟机间隔离不当,可非法访问其它VM,或者窃听VM间的通信,盗取敏感数据。 因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。经过主机入侵检测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护,防止虚拟平台和虚拟主机被恶意攻击及篡改. 3.资源的共享化,原有安全防护技术面临新挑战 针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒定义更新和扫描负载,直接影响到整个虚拟化平台的使用效率。因此,虚拟机服务器安全防护软件必须引入最新的虚拟机优化技术对虚拟化平台提供更完善、更可靠的保护。 2. 安全建设方案 2.1安全建设方案概述 虚拟化平台的虚拟网络安全:经过在虚拟机服务器主机上部署基
SYS PRACTICE 系统实践 ◆ 摘要:针对石油行业的工控系统的应用现状,从管理与技术两方面分别进行风险分析并针对性的 提出解决方案。通过整体安全防护体系建设,有效提升工控系统的安全防护工作。 关键词:工控系统;石油;管理体系;技术体系 一、前言? 工业控制系统(Industrial?Control?System,ICS)是指由计算机与工业控制过程部件组成的自动控制系统,它由控制器、传感器、传送器、执行器和输入/输出接口等部分组成。这些组成部分通过工业通信线路,按照一定的通信协议进行连接,形成一个具有自动控制能力的工业生产制造或加工系统。工业控制系统又简称工控系统。 二、工控系统在石油行业的应用 石油行业主要业务包括石油天然气勘探、油气田开发、炼油化工、油气销售、油气调控、管道运输、国际贸易、工程技术服务、工程建设、装备制造等领域。 工业控制系统主要应用在油气田开发企业、炼化企业、油气调控企业以及成品油销售企业,其中油气田开发企业的工控系统应用于联合站及其下属站点(包括油井、计量站、接转站、转油站等)。炼化企业在石油炼化的常减压蒸馏、催化裂化重整、合成树脂、合成纤维和合成橡胶等工艺中不断应用工业控制系统[1]。油气调控企业通过工业控制系统用于输油气管道、储运场等。成品油销售企业则主要用于加油站、油库。 三、石油行业工控系统安全风险 工业控制系统的安全可靠运行一直是行业较为关注的指标,但传统的工业控制安全技术主要是针对系统本身的功能安全,主要考虑由于随机软硬件故障所导致的组件或系统失效对应用带来的影响。而在信息安全领域中,要从全方位去考虑整个网络系统的信息安全,?既要考虑随机工控系统软硬件功能故障等技术安全问题,?还需要进一步考虑结构安全、?本体安全、?行为安全、?基因安全问题及信息安全管理问题。针对石油行业,从管理与技术两方面进行风险分析 (一)管理体系 1.组织机构不完善。石油行业大多数大多数板块企业尚未成立工控系统安全管理专职机构,没有明确工控系统安全职责,工控系统的安全决策、管理、执行与监管职责不够清晰,部分企业工控系统安全管理归属本单位生产运行部门负责,或者由本单位的信息部门负责,管理权责不统一、政出多门,难以保障工控系统信息安全各项工作的落实。 2.标准规范缺失。目前中石油、中石化及中海油在工控系统信息安全管理制度与标准规范方面仍处于空白状态,导致下属各板块企业进行工控系统安全管理与建设工作过程中缺乏相应的工作依据以及必要的指导参考,出现了很多高风险的网络接入问题。运维阶段存在较多弱口令、漏洞等。 3.专业人才匮乏。目前企业缺少拥有网络安全专业背景和能力的安全管理与技术人员,一旦企业出现工业控制系统信息安全问题则无法及时调动组织相应的内部应急力量。另外,现有传统IT信息安全领域管理与技术人员对工控系统安全的理解与认识不足,缺乏相应的工控安全专业技术支持与应急能力。 4.安全意识不足。业内对工控系统信息安全问题重视程度不一致,部分单位对网络安全工作的认识还不能完全到位,存在重应用轻安全,网络安全投入严重不足等问题。另外,相对于传统IT信息安全,针对工控系统信息安全的宣贯培训工作不足,员工的工控系统信息安全意识欠缺,增加了工控信息安全风险管理的难度[2]。 (二)?技术体系 1.工控网络安全隔离简单。由于办公网需要与工控管理进行必要的信息交互,为生产管理系统提供决策信息。同时,一线管理层,需要监测生产环境的生产过程,信息交互必将带来安全风险。现有的生产环境往往采用双网卡或防火墙策略控制,缺乏整体的安全解决方案。 2.工控网络操作人员的认证授权单一。工业控制系统操作与指令下达,必须要具备严格的认证与授权,来自管理层的指令不能直接对现场操作层构成影响,保证执行层对现场操作层的唯一控制。现有工业控制系统基本上采用的是用户名、密码方式,对用户控制较弱。同时,远程运维人员的安全管理与审计能力较弱。 3.主机安全防护较弱。主机安全是工控安全的主要威胁,需要防范病毒和来自外部的侵入,目前大多数工控网络不具备防病毒和入侵防护能力,即使配置杀毒软件和入侵检测系统,也由于相对隔离的环境,没有升级条件,长期不升级病毒库和特征库,系统就失去了效用。同时也由于杀毒软件存在误杀可能,会直接影响工控系统正常生产。 4.工控安全运维手段较少。网络运维监控、漏洞处理、应急处理、风险评估等是网络运维过程中必不可少的手段, 工业控制系统在石油行业安全防护体系建设 贾君君 杨 扬 信息系统工程 │ 2019.2.20 34
Deep-Security虚拟化安全解决方案
XXX 虚拟化安全解决方案
趋势科技(中国)有限公司 2011年9月
目录 第1章.概述 (3) 第2章.XXX虚拟化安全面临威胁分析 (4) 第3章.XXX虚拟化基础防护必要性 (7) 第4章.趋势科技虚拟化安全解决方案 (8) 第5章.XXX虚拟化安全部署方案 (14) 5.1.VMware平台部署方案 (14) 5.2.趋势虚拟安全方案集中管理 (15) 5.3.XXX虚拟化防护解决方案拓扑 (15) 第6章.趋势科技DeepSecurity介绍 (16) 6.1.DeepSecuirty架构 (16) 6.2.DeepSecuirty部署及整合 (18) 6.3.DeepSecuirty主要优势 (19) 6.4.DeepSecuirty模块 (21)
第1章.概述 XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展,数据中心空间、能耗、运维管理压力日趋凸显。应用系统的部署除了购买服务器费用外,还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用,相当昂贵。如果这些服务器的利用率不高,对企业来说,无疑是一种巨大的浪费。 在XXX,这些关键应用系统已经被使用Vmware服务器虚拟化解决方案。这解决企业信息化建设目前现有的压力,同时又能满足企业响应国家节能减排要求。 而服务器虚拟化使XXX能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。但同时,数据中心的虚拟系统面临许多与物理服务器相同的安全挑战,从而增加了风险暴露,再加上在保护这些IT资源方面存在大量
凯迈测控服务器虚拟化资源整合建设方案
一、前言 云计算如何让IT 改头换面 在这个必须先发制人、IT 对每个决策都很关键的商业世界,IT 响应能力和敏捷性可为企业带来竞争优势。然而,许多IT 组织却难以作出足够快的反应,这是因为他们的基础架构不但管理成本高昂,而且还由于过于复杂而难以进行调整。 云计算提供了一种更为高效、灵活和经济的方法,可帮助IT 组织满足不断增长的业务需求:IT 即服务。VMware 提供了一种向这种新模式转型的变革性实用方法,采用的解决方案既能够充分利用云计算的强大功能,又能够确保安全并实现对现有技术投资的保值。 VMware 的方法:踏上“你的云”之旅 虚拟化是云计算的基本促进因素。作为虚拟化领域的领导企业,VMware 将这一坚实的基础作为立足之本,其平台和解决方案可为云计算基础架构提供动力、构建并运行强健的云计算应用程序,并将终端用户计算作为基于云的服务提供。 我们的方法具备全面性,但与其他云计算产品不同,它并不试图用一种云满足所有需求。为了实现竞争优势,必须灵活地对云计算进行量身定制和调整以满足您的个性化需要。对于您的企业而言,云可以是内部私有云、利用外部服务的公有云,或二者相结合的混合云。 无论哪个云选项最适合您,都只有VMware 可提供用于构建和管理云的完整解决方案体系,而且VMware 拥有广泛的合作伙伴体系,可以确保其解决方案中的一切均安全、无缝地正常运转。我们不会向所有客户都提供同样的云,我们提供的是“你的云” - 通过促进IT 交付能力来促进您更快取得业务成效。 VMware 的定制方法能通过实现以下方面带来灵活性和安全性,并同时保护您的现有投资: ?通过提高利用率和实现自动化来提高效率 池化资源以及动态优化的自助管理环境可以显著提高IT 性能- 利用现有资源以避 免不必要的基础架构投资和技术锁定。这样可以降低总体拥有成本(TCO)。 ?敏捷性和可控性 云计算旨在加强终端用户的计算能力,同时确保安全性并保留IT 的监督和授权能 力。VMware 解决方案将所有三种云计算环境结合在一起,从而可极大地简化IT 服务调配和部署,同时保持IT 控制力、防护性保护以及合规性。因而,IT 组织可以更加快速安全地响应不断发展的业务需求。 ?自由选择 IT 保留了支持传统系统的能力,并获得了在内部或外部部署传统系统的灵活性,而不必局限于任何一种技术或一家供应商。开发人员可以构建可在通用的管理和安全框架内的混合云、私有云和公有云之间移植的应用程序。
企业网络安全防护体系的建设 摘要网络的信息共享和交流给人们的日常生活、工作和学习带来了极大的便利,但与此同时,蠕虫、木马、病毒等在网络中层出不穷,严重威胁着网络信息安全。如何构建企业网络安全防护体系是当前企业进行信息化建设必须要考虑的问题,应结合企业网络的特点,优化企业网络设置,引进先进的网络安全技术,构建灵活安全的企业网络防护体系,推动现代化企业的可持续发展。 关键词企业网络建设;安全防护体系;网络环境 1 企业网络安全性需求 现在企业很多商业业务、商业活动和财务管理系统协同工作等,都需要借助计算机网络进行。如果没有网络安全性的保障,就会发生系统延迟、拒绝服务、程序错误、数据篡改等现象,甚至很多情况下会发生木马病毒的侵蚀。过去企业数据是以文本文件的形式存在,虽然处理和操作不具有便捷性,但是能够起到保密性和可靠性的作用。计算机网络时代财务数据流能够实现财务数据的快速传递,但是在数据传输的过程中安全性难以得到有效的保障。所以在企业数据信息管理的过程中需要有保密性和可靠性的保障,维护企业的商业机密。其次,网络交易渠道容易发生数据信息丢失或损坏,交易双方的信息结果发生差异的现象时有发生,严重影响了企业数据的精准性。所以企业急需完整性的交易信息凭证,避免交易信息的篡改或者删除,保证交易双方数据的一致性[1]。 2 企业网络面临的安全风险 2.1 物理安全风险 近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。 2.2 入侵审计和防御体系不完善 随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。 2.3 管理安全的风险 企业网络与信息的安全需要有效的安全管理措施作为制度体系保障,但是企
XXX服务器虚拟化安全解决方案范文 录 1、环境概述 42、面临安全威胁 42、1、针对操作系统漏洞的攻击 42、2、针对应用的攻击 42、3、虚拟化带来新的威胁 42、4、统一管理和审计 53、安全防护需求 64、安全防护方案 64、1、架构设计 74、2、方案部署104、3、功能模块105、和传统防护方案的区别1 46、方案价值14 1、环境概述XXX目前对部分应用系统进行了虚拟化,情况概述如下:l4台物理服务器,每台服务器采用4个6核CPUl 每一个虚拟服务器采用3核CPU 标准配置l 总共有32台虚拟服务器 2、面临安全威胁 2、 1、针对操作系统漏洞的攻击海事局目前的虚拟服务器都安装Windows Server操作系统,众所周知,微软操作系统每年都会发现大量的漏洞,利用这些漏洞:l 大量的蠕虫病毒、木马攻击感染,导致系统异常或者是不能正常运行l 黑客利用漏洞进行攻击,窃取机密资料或者是导致系统异常由于服务器应用系统的重要性,通常来讲对于发现的漏洞都没有进行及时的修复,补丁的安装都需要经过严格的测试之后才能够进行部署,但是在实际修复的这段时间内,服务器就会面临大量利用漏洞的攻击。 2、2、针对应用的攻击虚拟服务器操作系统上面构建各种各样的应用及服务,类似Web服务、邮件服务、数据库服务以及一些自己构建的应用系统,这些应用系统都是由大量代码构成的,通常这些服务也都有大量的代码级漏洞,这些漏洞由于被黑客或者是商业间谍等破坏分子利用,窃取应用系统上面的机密数
据,或者是导致应用不能正常对外提供服务。 2、3、虚拟化带来新的威胁当对物理服务器进行虚拟化之后,除了物理服务器所面临的来自恶意程序、黑客攻击之外,虚拟化之后,在部署使用安全软件的时候,会遇到一些新的问题:l 硬件资源利用率受到限制当完成服务器虚拟化之后,为了保护虚拟服务器的安全运行,通常都会在每一个虚拟服务器上面安装安全软件,比如防病毒、防火墙、入侵防护等等,运行这些安全软件需要占用相同的CPU、内存等硬件资源,对于做虚拟化的物理服务器来说,其硬件资源的利用率降低,有相当部分的硬件资源要来运行虚拟服务器的安全软件。l 后台资源冲突每个虚拟服务器操作系统上面单独安装安全软件,会随着虚拟服务器数量增加造成对后端存储的负荷越来越大,最终会影响到虚拟服务器的运行速度。l 物理边界模糊当服务器虚拟化之后,每台物理服务器上面运行了8个虚拟服务器系统,在虚拟化环境里面,使用靠可用性功能之后,这8个系统并不是固定的,而是有可能在几台物理服务器之间进行自动切换。那么当需要对不同的虚拟服务器进行不同的安全防护的时候,以往使用的硬件防火墙、入侵防护就不能满足虚拟环境的要求 2、4、统一管理和审计服务器的管理不仅仅是基本的安全防护,同时也需要进行受到攻击后的追溯以及取证,这就需要根据一些法规要求,对系统以及应用的日志进行统一收集,一旦服务器上面的操作触发了事先设定条件,就上传日志,便于事后管理和审计 3、安全防护需求通过对XXX服务器虚拟环境的了解,以及面临的威胁分析,目前XXX服务器虚拟化存在的安全需求有几下几点: 1、对虚拟化操作系统提供全面的安全防护:防病毒、防火墙、深度数据包检测等 2、检测和拦截外界针对操作系统以及应用程序的漏洞进行的已知和未知攻击 3、针对虚拟化的特色,提供无代理安全防护,节省物理服务器硬件资源,提高虚拟服务器的搭载密度