在我國公安系統(tǒng)從傳統(tǒng)警務向現(xiàn)代警務轉變的過程中，信息化的作用不言而喻，而虛擬化以其低成本和高效利用資源的特點，已經成為了現(xiàn)代警務戰(zhàn)略布局中的一顆關鍵棋子。甘肅省張掖市公安局在利用虛擬化技術成功“解圍”服務器硬件瓶頸之后，與全球服務器安全、虛擬化及云計算安全領導廠商趨勢科技展開合作，利用趨勢科技服務器深度安全防護系統(tǒng)(Deep Security)將虛擬化層面的威脅一掃而光，此舉為甘肅省13個市級公安系統(tǒng)虛擬化安全建設樹立了新標桿。

虛擬化低成本優(yōu)勢明顯 病毒防護如何齊頭并進

張掖市公安局承擔著確保全市安全穩(wěn)定，預防、制止和偵查違法犯罪活動等警務工作。由于面臨這些多任務的挑戰(zhàn)，張掖公安迫切需要利用IT創(chuàng)新技術加速各大警用信息平臺的建設速度，給警務工作提供后臺支撐，然而，原有服務器的“不給力”直接限制了新業(yè)務的發(fā)展。同時，平臺中各個系統(tǒng)不能根據(jù)實際需要和業(yè)務變化靈活、動態(tài)調整資源，系統(tǒng)的靈活性和擴展性較差，影響了公安業(yè)務部門管理和對外服務的能力。

此外，由于應用系統(tǒng)與底層硬件之間形成了“豎井”結構，要保障三大關鍵系統(tǒng)：戶籍管理平臺、警務綜合管理平臺和警用地理信息平臺高效運轉，就需要投入大筆經費購買數(shù)十臺服務器。為此，張掖市公安局信息科決定引入虛擬化技術以降低成本。在經過嚴格測試之后，張掖市公安局最終采用了VMware vSphere 5.1服務器虛擬化解決方案，徹底解決了傳統(tǒng)單一物理服務器部署應用方式所造成的弊端，在降低采購和應用成本的前提下大幅提升了服務器的利用率。

虛擬化技術的成功應用雖然讓人欣喜，不過對于在系統(tǒng)安全性、可用性和可靠性方面要求更高的公安警務行業(yè)來說，虛擬化還是一個新鮮事物，如何保障其安全性成為新的挑戰(zhàn)。張掖市公安局信息科的張科長表示：“虛擬化使得警用平臺整個IT架構都發(fā)生了變化，在這種新的環(huán)境下，安全管理策略與工具需要緊跟這一架構變化，防毒系統(tǒng)也必須齊頭并進，能夠提前一步發(fā)現(xiàn)虛擬化防毒可能存在的問題，這包括是否會影響整個系統(tǒng)的效率、補丁管理是否能更輕松、針對虛擬機內部的數(shù)據(jù)流量是否能主動發(fā)現(xiàn)惡意代碼等。為此，我們必須在市場中選擇一款能與VMware vSphere完全兼容的、成熟度最高的虛擬化安全管理軟件。“

Deep Security成熟度可以信賴 虛擬化加速前行

在聽取了VMware虛擬化項目實施工程師建議后，張掖市公安局將目光聚焦在了虛擬化防毒領域內應用最多、成熟度最高、技術最新的趨勢科技Deep Security上來。并在先期轉移到虛擬化平臺上的測試中安裝了Deep Security，利用其獨有的無代理技術，實現(xiàn)了最低的資源消耗，成功地避免了防毒軟件搶占CPU、內存、網絡的情況發(fā)生。據(jù)該虛擬化項目實施工程師熊暉先生介紹，由于趨勢科技Deep Security 8.0與VMware vSphere5.1的產品完全兼容，是通過底層應用接口實現(xiàn)虛擬化防護，所以不需要在任何一臺虛擬操作系統(tǒng)中再安裝防毒軟件，整個部署過程非常迅速。

在接下來的測試階段，張掖市公安局科技科對虛擬化安全應用狀況進行了長期壓力測試和訪問效果跟蹤。自安裝Deep Security之后，VMware虛擬化平臺上的業(yè)務系統(tǒng)并未出現(xiàn)之前最擔心的“延遲”現(xiàn)象。在正式遷移階段，信息科將三大平臺之一的“警用地理信息平臺”率先遷移到虛擬化平臺上，并通過使用Deep Security防火墻策略、虛擬補丁管理等一系列的創(chuàng)新設計，充分驗證了該平臺的易用性。對于最新發(fā)現(xiàn)的漏洞，Deep Security能夠在第一時間提供修補程序，無需重新啟動系統(tǒng)，即可在數(shù)分鐘內將這些規(guī)則應用到所有“警用地理信息平臺”上的虛擬服務器中。

張掖市公安局對Deep Security的應用效果十分滿意，據(jù)張科長介紹：“之前，我們擔心虛擬化之后很多虛擬機產生的流量無法被監(jiān)測到，這在公安系統(tǒng)的網絡中是非常嚴重的問題。但在部署Deep Security之后，這一擔心被證明是多余的。Deep Security在虛擬化層面真正實現(xiàn)了雙向狀態(tài)防火墻，可以檢查所有傳入和傳出虛機的通信，它可以使用細粒化過濾，針對虛擬交換機的底層對所有基于IP的應用進行檢測。并且，我們通過其內部定制的服務器模板，在虛擬化之后仍然可以集中管理所有虛擬服務器的防火墻策略，為統(tǒng)一安全標準提供了最快捷的管理平臺。”

據(jù)了解，張掖市公安局已經建立了虛擬化雙機熱備集群(HA Clusters)，并陸續(xù)將OA、郵件、財務系統(tǒng)遷移過來，確保三大平臺和其它業(yè)務系統(tǒng)的業(yè)務連續(xù)性。由于張掖市公安局為突破虛擬化防毒瓶頸提供了有價值的經驗，甘肅省其它市級公安系統(tǒng)都對虛擬化項目，以及下一階段的安全防護核心工作充滿了信心。