四川信息通信调度运行监控中心
虚拟化基础架构技术及应用,就像供电系统将多个电站发出的电力进行统一输送管理一样,将孤立分散的服务器提供的计算能力进行集中管理形成资源池,根据需要对水池里的水进行调配,再高效地分配给应用系统,并保障应用系统安全、可靠运行——这一技术是21世纪信息化和计算技术发展的热点和方向。目前,我国缺乏具有竞争力的自主核心技术,虚拟化基础架构平台市场主要被国外厂商占据,国内几乎所有重要行业的信息系统均使用的是国外产品。
由电子科技大学、国网四川省电力公司、中电普华、成都盛思睿等单位产、学、研、用一体化合作研制的安全虚拟化基础架构平台成果,打破了国外垄断,实现虚拟化基础架构的国产化替代,该成果荣获2015年度成都市科学技术进步奖一等奖。
昨日,本报记者专访了该课题组的负责人电子科技大学长江学者张小松教授及其团队,对这一“成都造”安全虚拟化基础架构平台项目进行了深入了解。
省电力公司智能电网信息技术实验室
可靠
提高服务器等资源利用效率3倍以上
国产自主化降低系统建设投资50%以上
我国一直缺乏国产自主的安全虚拟化基础软件,传统物理服务器存在资源利用率低、机房占地面积大、运维成本高等问题,而采用国外虚拟化产品存在建设成本高、安全可控性低、功能定制性差等一系列问题。“以电网营销应用系统为例,如果该系统出了问题,那么用户就无法充电费,以前采用传统物理服务器运行营销应用系统,当服务器出现故障时,即使马上进行人工故障恢复,对于严重硬件故障可能耗费数小时进行安装恢复。而采用虚拟化基础架构后,从发生营销应用系统服务器硬件故障,到自动恢复故障服务器上应用系统正常运行仅需要几分钟,用户几乎不受到任何充电费等营销服务中断的影响,有效地提高了应用系统的可靠性和用户满意度。”据张小松教授介绍,按国网四川省电力公司已有应用系统规模计算,如果采用传统物理服务器技术,至少需要3倍以上数量的服务器及配套的数据中心机房空间,而如果采用国外虚拟化产品的话,系统建设费用至少要高出50%以上。
据悉,2011年11月起至今,国网四川省电力公司已将项目成果应用到多个电力业务信息化支撑系统建设项目中,并在“4·20”雅安芦山地震中,保障了电网调度生产等信息系统的稳定运行,为灾区电网快速抢修恢复发挥了重要作用。
安全
降低安全隐患
有效为我国网络与信息安全提供保障
该项目成果具有标志性的虚拟化安全防护功能包括安全访问网关和虚拟机逃逸攻击监测。
安全访问网关就是虚拟机的访问提供统一的入口,只有具有合法身份的用户才能通过该入口访问虚拟机,并对访问过程进行安全管控。“如果把虚拟机比作房间,虚拟化基础架构就像一栋大厦,里面有很多房间,安全访问网关就像大厦唯一的入口,对所有进入大厦的用户进行安全监控,确保只允许合法用户进入大厦。”
逃逸攻击就是利用软件漏洞突破虚拟机隔离保护机制,获得对宿主服务器或其他虚拟机的控制,它会侵入一台安全防御较低的服务器来“打入内部”,再以此为跳板来达到目的。“就像小偷配有一把你家大门钥匙一样,他只要通过了防盗门,剩下的就很容易了,这是目前虚拟化安全面临的最大威胁和难题。”张小松教授告诉记者,“我们的虚拟机逃逸攻击监测系统就是专门针对这一威胁所研发。举个简单的例子吧,我们就是把家里所有房间的门,都升级为防盗门,并且还在每个房间中都装上了和屋主手机联通的摄像头,小偷进入后不仅不能轻易达到目的,屋主还能第一时间看到家里的情况,及时作出反应。这样就能有效防止虚拟机逃逸攻击。”
据了解,该“成都造”项目从2009年至今,已在国家电网公司下属的国网四川省电力公司、国网江西省电力公司等多家单位推广应用,并推广到中航工业集团、国家信息技术研究中心、中国人民武装警察部队警官学院、成都市武侯区政务中心、都江堰市教育局、西南医科大学附属医院等政府、企事业单位,并且一直运行良好,安全稳定。该项目成果在电力等行业成功大规模推广应用,不但推动了电力系统信息化自主可控国产化技术替代的升级转型,而且对于降低运维成本,节能减排,保障智能电网业务系统的运行和发展具有重要意义,同时为国家信息技术应用关键行业提供了国产基础平台支撑。
替代了VMware、Citrix国外著名产品,推动了我国的信息化基础平台技术国产化替代与升级转型,对于环保节能,降低运维成本,保障电网调度生产等信息系统的安全、稳定、可靠运行具有重要意义。
本报记者 文豪 摄影 谢明刚