虚拟化安全技术

虚拟化安全技术（共12篇）

虚拟化安全技术 篇1

0 引言

计算机虚拟化(Virtualization)是指计算机系统运行在虚拟硬件之上而不是真实的物理硬件之上,这种把有限固定的硬件资源根据不同需求进行抽象,重新规划成逻辑资源以达到最大利用率的方法,实现简化管理,优化资源等目的的解决方案,叫做虚拟化技术。虚拟化技术(Virtualization)起源于20世纪60年代,作为云计算领域的核心技术,在企业中得到了广泛应用,并具有巨大的市场前景。

虚拟化技术有赖于硬件资源的虚拟化技术,硬件虚拟化技术即包括CPU虚拟化技术,内存虚拟化技术,I/O虚拟化技术等。而虚拟化安全主要是指虚拟机安全隔离、受控迁移、权限访问等。

1 虚拟化安全风险

虚拟化技术带来了IT资源的整合以及桌面终端的变革,同时也引发了系列安全方面的问题。在虚拟化环境下,除了面临在传统IT架构下的安全威胁,如恶意代码、操作系统和应用软件漏洞、网络窃听和非授权访问等,还存在虚拟化自身引入的特有安全风险。

1.1 虚拟化架构安全

在虚拟化环境中,首先就是虚拟系统自身架构的安全,而系统架构安全中最重要的是虚拟机隔离和访问控制。虚拟化架构具有动态性,虚拟机可以被创建、修改、关闭或者迁移到其他物理服务器上,虚拟化的实质就是通过软件来模拟底层硬件的操作,从而存在大量的代码安全漏洞。利用这些虚拟化软件的漏洞,将可能获得虚拟机管理权限,随意对系统进行设置和修改,得到整个数据中心的控制权,进而访问到系统内存储的涉密应用和数据。

1.2 数据保密与防护

在虚拟化平台中存在集中的虚拟化管理程序,该程序与其他系统进程,以及其他虚拟机之间的通信数据中通常包含重要的信息,必须对这些数据进行保密和完整性保护。在虚拟化环境中,所有的服务器和应用都以镜像的形式进行存储,这种方式在提供系统恢复便利性的同时,也极易导致涉密数据的泄露。如果不采取安全保护措施,使用U盘、SD卡,甚至MP3都可以方便的将服务器镜像复制下来并带走。

1.3 虚拟环境网络隔离与控制

在虚拟化环境中,一切都是集中式、共享式的,有可能将不同安全级别的虚拟机部署在同一台物理主机上,使得高安全级别的服务器有可受到来自低级别用户的破坏和攻击。此外,虚拟服务器通过虚拟交换设备连接到一个虚拟网络中,终端桌面也是虚拟化,集中部署在数据中心,使得网络边界变得模糊,而且IP地址经常变动,虚拟机之间的网络流量可能不通过物理网络设备,导致传统的网络安全系统如防火墙、IDS、IPS对虚拟机之间的通信数据包及通信流量不可见,从而逃避传统网络安全设备的监管,造成安全盲点。

1.4 虚拟机迁移攻击

在虚拟化环境中,一台服务器可以跨越不同的物理设备。当进行数据灾备或性能扩充时,虚拟机可以在不同物理设备之间迁移。这使得数据中心更加灵活,节约开销,但增加了安全风险,使安全管理更加复杂,随着网络地址、端口等特性的变化,安全设置更容易出问题。

当虚拟机从一台物理服务器迁移到另一台物理服务器时,迁移过程中虚拟机镜像数据存在窃取和篡改的可能。迁移过程中虚拟磁盘被重新创建,攻击者能够改变源配置文件和虚拟机的特性。

1.5 虚拟机逃逸

虚拟机设计目的是同一台物理服务器上的多个VM共享物理硬件,如CPU、内存和I/O设备,并相互隔离,但由于技术的限制和虚拟化软件的漏洞,在某些情况下,虚拟机里运行的程序会绕开底层,取得宿主机的控制权,利用宿主机做某些攻击或破坏活动,这种技术叫做虚拟机逃逸技术。

1.6 拒绝服务(Do S)攻击

非法用户通过暴力破解云存储系统的数据分发逻辑。同时,在虚拟化环境下,由于虚拟机和宿主机共享资源(如CPU、内存、硬盘和网络),虚拟机会强制占用一些资源,从而由于没有可用资源,造成系统拒绝来自其他虚拟机的所有请求。

2 虚拟化安全策略

虚拟化系统的安全性密切依赖每个组件自身的安全,包括Hypervisor、宿主操作系统、客户操作系统、应用和存储,应确保对这些组件的安全防护。下面根据虚拟化系统中面临的安全风险,提出针对性的安全策略。

2.1 以密码技术为核心,实现数据安全

虚拟化系统主要的安全任务是涉密信息的机密性保护,阻止非法泄密事件的发生,而确保数据的机密性最核心的仍是密码技术。

在虚拟化环境中,需要考虑进行加密保护的几个环节包括:镜像数据的存储、镜像数据迁移过程以及远程访问数据中心的网络连接等。此外,可以在多个层来实现加密保护,包括应用层、网络层或者是底层存储设备层。在虚拟化层实现数据的加密,可以将同态加密等技术运用到虚拟化系统中,使得系统在无需读取涉密数据的情况下对这些数据进行处理,确保只有在最终本地用户处才会显示明文,降低数据中心数据泄露的风险。对镜像进行完整性校验也极为重要,可以防止针对镜像文件的非授权篡改。

2.2 可信虚拟机与访问控制

在确保共享资源的前提下,实现虚拟机的受控访问。控制所有到资源池管理工具的访问,控制对虚拟机文件的访问。

虚拟化软件层是保证虚拟机多用户环境下的相互隔离的重点,必须严格限制任何未经授权的用户访问虚拟化软件层,并对其进行完整性和可用性保护。同时,选择直接运行在硬件之上硬件的虚拟化管理程序而不是运行在操作系统之上的软件虚拟化管理程序。选择的底层硬件也应能支持虚拟化技术,这样可以实现多个层次上的隔离和控制。

同时,需要对虚拟机进行一定程度的隔离,处理涉密数据的虚拟机与处理非密数据的虚拟机不能共享硬件,最好根据处理涉密数据的级别和类型来进行硬件资源的划分与隔离。每台虚拟服务器分配一个独立的硬盘分区,实现各虚拟机的逻辑隔离。

在虚拟机监控器中植入可信根构建可信虚拟化环境,从虚拟机的建立到所提供的服务建立一条完整的可信信任链。可信虚拟机监控器结构如图1所示。

可信环境的建立全面制约了云计算的应用,通过虚拟机的可信环境创立到系统的安全调用,都有效阻止了恶意应用对云计算平台的安全攻击,包括信任链中每个环节的权限审查、异常检测以及完整性验证等。

2.3 跨平台虚拟安全管理

在虚拟化环境中可能既有传统的IT设备,也有虚拟化的各类服务器、网络和安全设备以及终端,运行的操作系统、平台和应用也各不相同,需要有一套能够同时解决虚拟环境和物理环境安全问题的跨平台解决方案,能够在整个数据中心执行统一的安全策略。虚拟安全管理能够随着虚拟化环境的变化而进行调整,能够动态地进行安全策略的配置和监控。

2.4 用户认证

用户认证与授权旨在授权合法用户进入系统和访问数据,防止非授权用户的访问。在进行用户身份认证时,采用基于非对称密码算法的公开密钥基础设施(PKI)以及X.509.3证书的认证体系,每个用户以及每个虚拟机和虚拟设备都相互通过数字证书来进行身份认证。只有通过认证的用户才允许访问各自经过加密的系统镜像文件,或者将镜像下载到本地进行访问。

2.5 虚拟机自省

为了支持合理的安全策略,系统中应部署一些常用的安全设备和各种必要的工具,如系统管理工具、管理清单、监管和监视工具等。

在虚拟机外,安全工具从VMM得到的虚拟机状态一般是寄存器,内存等低级别信息。而安全工具则使用程序的高层语义信息如文件行为、进程行为、系统服务行为等。虚拟机自省通过读取虚拟机的状态,利用已知的虚拟机操作系统知识,如数据结构和函数定义等,重建面对复杂的操作系统环境特别是非开源系统如何有效正确的应用已有的程序分析方法完成自省,仍需进一步研究。

3 结束语

对于虚拟化环境下安全的研究,随着虚拟化技术应用的不断深入,研究的重点集中在虚拟机的隔离,虚拟机流量的监控和虚拟的可信平台的稳固上,只有解决这些问题,才能够确保云计算平台的虚拟化安全。解决虚拟化的安全,需要统筹考虑,综合采取技术、管理、运维等手段,对虚拟化系统生命周期的各个阶段及其系统中各个层次组件做严密防护,从而保障系统的安全性。

参考文献

[1]易涛.云计算虚拟化安全技术研究[J].信息安全与通信保密,2012.

[2]房晶,吴昊,白松林.云计算的虚拟化安全问题[J].电信科学,2012.

[3]余秦勇,童斌,陈林.虚拟化安全综述[J].信息安全与通信保密,2012.

[4]赵晓东,曾庆凯.基于系统虚拟化的安全技术研究[J].计算机工程与设计,2013.

[5]蒋万春,汤立,陈震.虚拟化安全问题探析[J].信息网络安全,2010.

虚拟化安全技术 篇2

摘要：随着计算机技术的发展, 企业、机关单位、政府等数据中心产生的数据越来越多, 服务器以及数据中心每年的电费以及维修费用不断上涨, 然而高投入并没有取得良好的效果。将虚拟化技术应用在服务器中, 能提高硬件资源利用率, 降低管理和维修成本。本文主要分析了服务器虚拟化技术内容、服务器虚拟化存在的安全风险, 并根据这些安全风险, 采取相应的措施, 提高服务器的安全等级, 确保服务器运行安全。

关键词：服务器; 虚拟化技术; 安全风险;

1 服务器虚拟化技术的内容

1.1 全虚拟化

全虚拟化技术又叫硬件辅助虚拟化技术, 是通过BDT和直接执行技术实现的, BDT在虚拟机运行时, 一些敏感指令会在指令到达之前陷入到其他指令中, 将这些敏感执行命令插入到VMM中, VMM技术将这些动态指令转化为具有相同功能的指令, 按照顺序直接访问计算机虚拟硬件。从这也可以看出, 在全虚拟化技术中, 计算机用户所有的指令都是通过CPU运行的, 计算机操作系统从虚拟层硬件中抽离出来。全虚拟化技术也是唯一一个不需要硬件或者操作系统协助完成敏感指令虚拟化技术。

1.2 半虚拟化

半虚拟化技术需要修改计算机用户的操作系统内核, 替换不能虚拟化的指令, 并通过Hypervisor完成敏感指令的调用。在半虚拟化技术中, 计算机操作系统还要与虚拟化平台兼容, 否则虚拟机无法有效的操作宿主的计算机。

1.3 硬件辅助虚拟化

虚拟化技术的应用给CPU的运行增加了新的模式―Root, 这种模式下, VMM可以在Root模式下运行, 而Root模式建立在Ring O下, 敏感指令可以直接在Hypervisor执行, 不需要BT或者半虚拟技术, 计算机用户只要将操作系统状态保存在虚拟机控制结构中或者虚拟机控制模块中。

2 服务器虚拟化存在的安全风险

与传统的服务器运行模式相比, 服务器虚拟技术在物理硬件和虚拟服务器之间引入了虚拟层, 也就是虚拟机监控器。虚拟技术的应用也给服务器的安全带来了一定的风险。具体体现在以下几个方面:第一, VMM为虚拟机提供统一的资源抽象, 资源共享技术的出现增加了服务器运行的安全风险。此外, VMM理论还不够成熟, VMM出现系统漏洞时, 很容易受到hacker的攻击和病毒的感染, hacker可以直接进入到数据中心的主机系统, 随意篡改数据库的数据, 给虚拟机的运行带来了极大地安全隐患。第二, 随着计算机技术的进入, 网络边界逐渐消失, 服务器和网络逐渐融合, 在这种融合模式下, 每一个虚拟机都需要一套相对完整的防护产品保护虚拟机。使用这种新的网络模型, 将计算机十几个操作系统用虚拟机形式展现在服务器上, 虚拟机可以共享十几个操作系统的数据资料, 一旦一台计算机操作系统出现问题, 可能影响整个网络系统和其他虚拟机。第三, 由于虚拟化技术的优越性, 越来越多的企业使用虚拟机, 造成虚拟机滥用现象, 影响到物理主机CPU和网络资源, 造成计算机服务器运行负荷过重, 造成计算机操作系统崩溃或者虚拟应用中断等现象。

3 服务器虚拟化安全应对措施

虚拟化技术安全风险除了遇到病毒、木马的入侵以及恶意软件的感染等因素, 还会造成服务器负荷过重, 影响计算机运行的`速度和效率。因此必须采取有效的措施:第一, 针对共享技术带来的安全风险, 可以提高VMM安全策略。根据数据中心资料的重要性, 建立安全等级防御系统。并优化虚拟机的隔离和封装制度, 加强服务器内部的保护, 严格控制审计未通过的浏览和访问。第二, 为了解决虚拟机网络内部攻击现象, 程序设计时要根据虚拟机的重要性划分等级, 安全等级比较高的虚拟机要及时备份数据, 并采取隔离措施。创立虚拟机防护边界和安全防火墙, 防止恶意攻击和访问服务器系统。第三, 为了解决虚拟机滥用这个问题, 要加强服务器数据资源的容量分析和数据监控, 服务器资源要定期进行汇报, 一旦出现安全风险或者恶意入侵, 系统能自动发出警报, 以便维护人员第一时间掌握服务器情况。同时, 企业要加强管理人员的安全意识, 对服务器的访问、跟踪和审计等做好安全防护措施, 严格设置业务逻辑访问控制策略, 提高虚拟机网络的安全性和可靠性。

4 结语

服务器虚拟技术在网络技术中应用十分广泛, 服务器虚拟技术能降低用户硬件成本, 最大限度利用硬件资源, 让计算机系统变得更加简洁, 便于用户安装、使用和管理。但是近年来的网络安全问题使得服务器虚拟化技术的安全性成为社会关注的焦点。通过提高安全等级, 制定访问控制策略, 提高虚拟机的安全性。

参考文献

[1]伊波.服务器虚拟化技术及安全研究[J].神州 (中旬刊) , , (2) :49-49.

[2]彭锦.服务器虚拟化技术及安全性探讨[J].通讯世界, , (9) :193-193.

虚拟化安全技术 篇3

摘要：如今的世界，科技迅速发展，网络逐渐渗透到人们生活的各个方面，从衣食到住行，计算机的安全也越来越受到人们的关注。在教学中，有关于计算机安全技术的课程实验，对实验的环境要求颇高，不仅需要高成本的网络环境架构，而且极易损害计算机，同时，后期维护成本高，不易维护！虚拟机则很好的解决了这方面的问题，在电脑上安装上虚拟机，可以虚拟出需要的系统，如Windows操作系统、LINUX操作系统、Unix操作系统等，也可以虚拟出不同的版本，如windows xp、win7、win8、win10等……本文介绍虚拟机的特点，并详细讲述虚拟机在计算机安全技术的教学中的应用和意义。

关键词：虚拟机；计算机；安全技术；实验教学

引言

众所周知，科技是第一生产力。于科技而言，计算机占据重要地位。作为一门实践性极强的学科，计算机实验教学质量的高低直接影响着高应用型人才的培养。因此，完善计算机的上机实验教学，极为重要！在实验室建设、实践性教学中虚拟机技术显得非常重要！虚拟机技术的存在解决以下几大问题：一是计算机实验资金短缺；二是实验设备短缺；三是计算机安全实验对电脑极易造成破坏。虚拟机技术具有以下几大优点：一是可以在机房进行交互式验证、设计及研发型的实验[1]；二是为学生课内外的自主学习提供便捷；三是节省了资金投入。因此，将虚拟机技术应用于计算机安全技术实验教学中及其有意义的。

一、虚拟机技术的介绍

1.1虚拟机的定义

虚拟机的英文名叫virtual machine，它不是硬件，而是一种及其特殊软件，利用软件虚拟出电脑，因此虚拟机又称为电脑中的电脑。用户可以用这个软件创造出一种环境来操作其他软件。运行虚拟机的电脑分为宿主机和虚拟机。宿主机是物理计算机主机，即运行虚拟机的主机，虚拟机也称客户机，即在主系统中虚拟出来的环境，与物理计算机几乎一样。用户可以虚拟出自己需要的系统，如Windows操作系统、LINUX操作系统、Unix操作系统等，也可以虚拟出不同的版本，如windows xp、win7、win8、win10等……用户在虚拟机中进行任何操作均不会对电脑造成任何影响。

1.2虚拟机的特点

从1.1虚拟机的定义的介绍中可知，虚拟机的运行环境极易满足，只需电脑上安装上VMware即可。所以，虚拟机具有跨平台性、执行效率高等多种优点。虚拟机的主要特点如下：一是与主机进行通信。一台电脑可以装上多个虚拟机，一个虚拟机可以装多个操作系统[2]。每个虚拟机均可以与主机建立连接，即两者之间可以相互传递文件，实现资源共享；二是可以以客户端服务器形式运行，即运行C/S方式的应用；三是安全可靠。虚拟机与主机分离，所以在虚拟机上进行的操作不会对主机造成任何伤害，而且实验中对虚拟机造成的破坏能够自己快速恢复；四是硬件无关性。在PC机上虚拟的硬件是一样的，在不同的主机间具有通用性，所以具有可移植性。因此，将虚拟机运用到计算机安全的教学实验中受到师生一致的好评，虚拟机技术在计算机方面的学习中也占据重要地位！

1.3虚拟机在教学中的应用

据以上虚拟机的特点分析可知：虚拟机在教学中的应用有配置不同类型的操作系统、进行数据加密、进行病毒的分析与预防等。在教学中，仅仅用一台电脑就可以进行计算机安全技术的实验，大大节省教学资源，更具有安全性。同时，与主机的环境几乎一样的特点更加方便学生的操作，更加易学易懂！

二、网络连接方式

在安装虚拟机的过程中，要想实现计算机的主机与虚拟机的通信，首先选择客户机操作系统：有Windows、Linux、Novell NetWare、Solaris、VMware ESX等，选择版本：有32位、有64位、有企业版、有标准版、有家庭版、有win7、8、10、Xp等；然后可以进行处理器的配置，可以有多个处理器；之后是进行网络连接。

网络连接有四种：一是使用桥接网络。桥接网络为客户机操作系统提供直接访问的外部以太网网络的权限。客户机在外部的网络上必须有自己的IP地址。二是使用网络地址转换。为客户机操作系统提供使用主机IP地址访问主机拨号连接或外部以太网网络连接的权限。三是使用仅主机的模式网络。将客户机操作系统连接到主机的专用虚拟网络。四是不使用网络连接。

三、虚拟机技术在计算机安全技术实验教学中的应用

3.1虚拟机技术在计算机安全技术实验教学中的应用

虚拟机技术不仅在计算机安全技术的基础实验教学中作用重大，而且在操作系统的实验中也占据重要地位。虚拟机技术可以避免应用程序或工具软件安装过程中的风险，还可以进行磁盘分区、安装不同的操作系统、进行格式化。同时，虚拟机技术一方面可以用于计算机网络类实验，如配置家庭网、资源共享、远程控制等，另一方面，虚拟机技术还可以用于搭建机群，如搭建机群，搭建PC机群等[3]。

从维护管理机房的角度看，虚拟机技术降低管理人员的工作强度，理由如下：一是机房不再需要安装各种操作平台就可以满足需求；二是部分上机实验的软件安装导致系统崩溃的问题得到很好的解决。

3.2案例

某高校在计算机安全技术的上机的机房中每台电脑中均装有虚拟机。场景：一是每个计算资源在虚拟化堆栈中都是逻辑隔离，相互独立。二是不需要为单独配置每个计算资源，而使他们工作在一起。三是计算资源变成一种立即生效的、按需提供的服务。收益：一是能够在系统架构中动态的添加、更新各种服务器计算资源。二是提供构建动态IT的技术基础。三是提高计算机资源的共享性。四是能够很短时间就能重新定位和恢复应用服务器，提供很好的上机环境。五是在不中断关键的上机实验前提下，具有更短的服务器维护时间。

四、结语

由以上分析可知：虚拟机技术在计算机安全技术实验教学中占据重要的地位！虚拟机技术在计算机安全技术实验教学中的意义：一是虚拟机技术给计算机的上机实践带来了安全保障；二是虚拟机技术解决了实验设备不足的问题，提高计算机资源的共享性；三是虚拟机技术满足多环境配置的需求；四是降低了实验室的管理难度，提高教学的效率。因此，虚拟机技术的使用与推广对学习计算机的学生来说是一大福音！

参考文献：

[1]石幼生.计算机网络实验室建设与实验教学的探讨[J].中国现代教育设备，2012，6（8）：97-98.

[2]罗梓元.基于虚拟机技术的虚拟实验环境的构建[J].职业教育研究，2015，5（3）：86-87.

虚拟化安全技术 篇4

所谓的虚拟化技术属于云计算技术中的核心,主要是对计算、存储、网络资源进行全面整合,实现高效率应用的一种技术[1]。对于云计算平台而言,软硬件包括IT资源与网络存储等等都形成虚拟化对象,以保证全面拓展空间,实现数据的移植和备份等多种操作。通过对虚拟化技术的应用,能够使设备的利用率不断提升,针对相同类型资源提供统一性的访问形式,便于用户更合理地使用多种IT资源。现阶段,虚拟化技术已经由纯软件虚拟化实现了硬件支持虚拟化的发展,并且通过改进与创新的方式实现自身的全面发展。

2.有关服务器虚拟化技术具体应用的阐述

通过对服务器虚拟化技术的应用,能够将各平台当中的诸多应用部署到虚拟机当中,更好地结合业务的发展需要,实现了智能化的资源调整目标。其中,某局的分局对进行了服务器虚拟化的合理部署(三个型号为I620的曙光服务器)把小型机P570等多个服务器也部署于上方。在这种情况下,考虑到资源的是情况进行动态调整,如果某一平台出现问题,就可以自动化完成迁移。在实践过程中,通过应用虚拟化环境,提高了实际成效。

另外,科技工作人员可以在办公室内部对VMware系统的运行情况进行实时监测。首先,需要对ESX中的HA配置进行严格地检查,合理应用,进而顺利登录到当中,严格地检查主机的图标,特别是红色的感叹号,同时,还应当严格检查ESX主机右边窗口“摘要”当中是否存在“配置问题”这一提示[3]。平时对ESX主机的性能进行全面查看,并且根据vCenter来检查内存、CPU等多种资源具体使用的状况。

3.灵活运用虚拟化技术以增强信息安全水平

3.1增强灾备效率

虚拟化技术本身的特点就是可以实现集中化的管理,能够对传统灾备方式进行有效地转变,尽可能降低数据备份与恢复的发生几率,实现灾备效率的全面提升,确保数据更加完整,增强其可用性[4]。对虚拟化技术的合理应用,可以在较短的时间之内把所有的工作负载转向其他资源处,实现自动化转移,与此同时,操作系统和应用也能够实现向异地虚拟机的转移,进而确保在短时间内完成恢复的目标。在v Sphere虚拟化系统中通过对的合理应用,或者是在存储复制功能的使用下,能够对恢复计划进行集中化地管理,确保开展无中断测试,最终保证站点恢复与迁移过程实施的自动化。而在灾难故障切换启动的过程中,仅仅通过简单干预就能够确保业务服务的自动化恢复。而属于另一种工具,能够在底层虚拟层当中将数据的内容进行有效地备份,这样一来,就能够避免在每一台虚拟机当中的备份环节,进而减轻ESX自身负载,确保虚拟机的应用运行更理想,全面提升资源的利用效率。3.2降低系统的运维压力

现阶段,在IT领域当中,在对IT基础设施整合与业务管理优化方面,虚拟化技术的应用十分广泛,主要是将传统物理资源抽象化,形成逻辑资源池,将其当作基于多台逻辑隔离的虚拟服务器,而通过一个资源池对若干硬件进行管理,针对实际应用的逻辑资源展开重点监控,尤其是内存具体使用的情况和磁盘空间的实际使用情况,确保物理资源管理实现动态性[5]。通过对服务器虚拟化的运用,能够对当前的硬件资源进行全面整合,构建虚拟资源池,实现集中性的部署,对现阶段运维的压力予以有效缓解。与此同时,还能够提高信息自身的安全性,使得数据中心的运行及维护资金成本减少。

3.3增强软件的测试水平

一般来讲,测试软件系统在硬件性能方面的要求并不高,部署测试环境可以在虚拟化环境中进行。若采用物理主机,那么就需要部署物理主机。若采用虚拟机,则可以利用性能较高的一台服务器对部署虚拟机进行测试,不需要更多的硬件的投入。与此同时,测试人员能够同时开展其他工作内容,全面提升部署的实际效率,以免出现人力资源的浪费情况[6]。在测试虚拟机可以通过文件形式把测试过程点的状态予以及时存储。一旦测试不成功,一定要采取回溯方式,进而将所备份的文件恢复到虚拟机中,而并不会占用物理服务器进行反复性的回归检查。

4.有关虚拟化技术自身安全的分析

通过对虚拟化技术的有效应用,使得工作的实际效率不断提升,同时还能够更好地实现灾难恢复和业务的连续性。但是,从本质上来讲,虚拟化技术本身需要对安全问题给予高速重视。

首先,在虚拟机间应该合理地设置防火墙。虚拟化服务其内部操作系统应用很多,虚拟机之间一定要通信,合理地将防火墙设置在虚拟机当中,践行过滤性控制理念,而仅允许获取认可的情况进行访问[7]。

其次,要想有效地避免虚拟机感染病毒,一定要将反病毒软件安装在主机与虚拟机之上。

再次,实现通信的加密,能够有效地避免虚拟机间或者是虚拟机与主机间通信受到破坏。

最后,虚拟化技术与物理主机管理相同,构建完整的内控机制,有效地规避人为因素影响对虚拟化网络安全性能产生的不利影响。

5.结束语

终上所述,虚拟化技术具体指的就是计算元件建立在虚拟条件之下,主要的目的就是为了对管理工作进行简化,全面优化资源方案。文章将虚拟化技术作为重点研究对象,阐述了该技术在信息安全领域中的具体应用,希望为虚拟化的推广应用提供有价值的理论依据,进一步促进信息安全等级的提升。

参考文献

[1]杨玉梅,宫纪明.虚拟化技术在企业信息安全中的应用研究[J].新余学院学报,2013,18(3):75-77.

[2]杨冰,张保稳,李号等.面向云计算中虚拟化技术的等级保护要求研究[J].信息安全与通信保密,2014(2):106-111.

[3]郭瑶.虚拟化技术在企业信息安全中的应用研究[J].大科技,2015(10):295-296.

[4]王瑞锦,周世杰,秦志光等.基于虚拟化技术的信息安全实验教学体系建设[J].实验科学与技术,2015(4):40-43.

[5]谢声时.虚拟化技术在信息安全中的应用分析[J].金融科技时代,2014(12):63-64.

[6]何国民,王代君.基于虚拟化技术的云服务平台的构建与管理[J].电脑知识与技术,2016,12(23):199-200.

虚拟化安全技术 篇5

随着计算机网络技术不断发展进步，其应用已经逐渐渗透到企业运作以及个人的日常生活中，并且数据安全通信方面的要求也越来越严格。在这一背景下，虚拟网络技术应运而生，网络节点之间无需传统上的物理链路，从而显著降低成本以及设备等方面的要求，还可以确保网络运行的稳定性和数据传递的安全性。

1虚拟网络技术概述

虚拟网络技术是一种专用网络技术，可以在公开数据环境当中创建数据网络。广大用户能够在计算机网络当中找到特定局域网完成各方面的虚拟活动，即便在不同地点也可以使用相同的虚拟网络，显著改善网络数据传输过程当中的安全性。因此虚拟网络技术有着比较突出的应用价值，在计算机网络安全当中的应用潜力巨大。虚拟网络技术特点主要体现在以下几个方面。第一，采用方式比较多。因为虚拟网络技术能够通过多种不同的方式的来改善计算机网络安全性，企业财务管理、高等院校图书馆管理以及政府单位信息通路等都可以从中获益。第二，简化能力比较强。因为虚拟网络技术有着简化能力强的特点，同传统的模式比较而言，显著减少资金方面的投入量以及专用线路铺设的问题，并且也能够最大限度避免搭建专用线路。第三，设备要求低并且扩容性好。虚拟网络技术对于设备的要求比较，扩容性也良好，这样一来能够大大减少学校以及企业等使用该技术所需要投入的成本。

应用虚拟化保卫数据安全 篇6

新法规规范企业

为了方便出差在外的业务人员随时随地登陆企业内部系统，中石油北京天然气管道有限公司（以下简称“北京管道公司”）引入移动办公系统，通过整合信息技术、传感技术等物联网技术，实现了在线监控和远程服务，可以实时进行数据的接收、发送及维护管理。但各种终端的爆发式普及以及工作地点、员工类型和接入方式的激增，传统安全战略逐渐不堪重负。

随着北京管道公司在陕甘宁至北京沿线、跨省市等多个地区的业务规模扩大，管理人员和工程师在外办公时间显著增长，因此，对快速接入公司的办公网络、对系统在长距离传输的安全性都提出了新的挑战。

以处在陕西偏远办公地点的员工为例，当地网络信号极其不稳定，一是安装ActiveX控件，只能通过接入网络后由系统后台自动安装，在网络信号极差的情况下，控件是无法安装成功的；二是ERP系统为客户端结构，由于本机系统配置低，可能导致客户端的安装失败；这些都可能导致延误信息的获取及事务的呈报，同时由于远距离传输，在数据交互的情况下安全性难以保证。

北京管道公司的远程接入应用主要有两大瓶颈——网络安全系数低和传输速度较慢。系统漏洞、网络黑客攻击及移动终端的存储介质都使得数据安全性严重缺乏保障。而一般情况下，传输数据需要占用相当大的带宽资源，而且要花费大量时间来等待网络传输的数据，尤其是在数据经过延迟较高或受带宽限制的网络(如Internet)传输时，等待时间将更加漫长。

2010年底，我国正式发布新《保密法》并开始施行，其中明确指出“机关、单位应当加强对涉密信息系统的管理，任何组织和个人不得在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换”。为确保国家秘密安全，涉密企业必须按照更严格的标准，加强对移动终端的信息保密管理。

远程接入的全新模式

应用虚拟化是一种全新的应用模式，它可以为员工提供适当级别的安全访问和协作功能，同时最有效地控制和保护企业数据、应用和基础架构，让移动办公彻底摆脱网络速度和安全的制约。

应用虚拟化集中了服务器上应用程序的安装、运行、部署和管理环节，使用户可以通过任何网络、任何设备访问它们。只有击键、鼠标点击和屏幕刷新等信息在网络中传输，用户看到的和操作的是图形界面。在外出差的移动办公员工可以利用任何设备、操作系统和连接方式(包括低带宽连接和无线网络连接)不间断地持续接入服务器。同时，所需网络带宽大大降低。

通过部署应用虚拟化，将OA系统控件及ERP客户端在应用虚拟化服务器上安装完毕，在陕西现场的员工就能快速访问OA、ERP等系统，而无需安装系统控件及客户端，在低带宽状态下访问效果与访问真实系统一样。我们分部在全国各地的员工可以使用任何类型的终端来访问虚拟桌面和应用：从PC到平板电脑和智能手机，安全性都得到了加强。

应用虚拟化可帮助企业集中管理数据，确保只有经过授权的用户可以连接到企业资源。信息部门可以快速为任何地点上的任何用户提供对特定资源的安全访问。

管道地质灾害监测评估系统结合物联网技术，在地质灾害频发区域管道上及其附近埋设传感器，在无人值守的情况下，实时监测、显示管道设备的应力和应变状态，并记录所有参数和数据，传输地质活动及管道变形情况，当监测数值超过规定值时自动报警。通过应用虚拟化的部署，管理人员能够在任何地点都能及时掌握现场管道情况，保证数据传输安全的同时，保障管道的安全。

全方位保卫信息安全

通过项目的实施，桌面、应用和数据集中保存在数据中心并受到有效保护，从各个环节防止了安全漏洞的产生。

通过在数据中心集中控制，信息部门不必再担心用户将数据保存在可移动终端介质上、在用户间通过电子邮件发送、打印出来或以其他方式传播，造成数据丢失或被盗，即使用户终端丢失或被盗的情况下也可以确保安全性。用户也只需登录就可以访问具有相关权限虚拟应用的虚拟桌面——这些应用可以按需交付到任何终端上，免去了为确保信息安全所执行的繁琐操作。

在这种模式下，用户每次退出后，他们的虚拟桌面都会刷新，恢复到初始模板。当用户下一次重新登录虚拟桌面时，他们看到的是一个从基本模板上生成的干净的环境。

由于桌面、应用和数据只以虚拟形式交付到终端设备上，与设备上的任何个人数据或应用完全隔离开来，而且不能移动到集中控制的数据仓库之外。即使病毒感染了终端设备，企业的隔离虚拟桌面也不会受到病毒影响。

没有任何一种技术可以一劳永逸地保证信息安全。在出现安全事件或配置错误的情况下，集中管理可以让信息部门快速采取行动。第一道防线是使用虚拟化来隔离敏感的应用和数据，最大限度地减小单一组件安全事件的影响；浏览器也可以通过相同的方式得到保护和隔离，防止安全事件造成大面积危害。

虚拟化安全技术 篇7

作为当今云计算的核心技术之一, 虚拟化技术因其稳定性、安全性和平台资源利用率高等特性, 得到了越来越广泛的应用。

虚拟化技术产生于1960年代, IBM在其大型主机系统VM/370正式启用该技术。当时硬件资源十分昂贵和稀缺, 虚拟化技术能够很好地解决有限的计算资源被充分利用的问题。但之后因为硬件技术的快速发展以及分时操作系统的出现, 虚拟化技术进入慢速发展阶段。随着多核处理器的出现, 计算机处理能力得到了很大的提升, 这导致服务器的利用率快速下降。虚拟化技术能够在保证提供正常服务的情况下提高服务器的利用率特别是随着云计算概念的提出, 使得虚拟化技术再次成为热门的研究课题。

虚拟化技术、超线程技术以及多任务它们三者的概念有很大区别。虚拟化指的是多个虚拟机在同一个物理机器上同时运行, 并且每个虚拟机上运行一个同时运行多个应用程序的操作系统;超线程技术是指利用单CPU来模拟多CPU的运行效果;多任务是指在操作系统中同时并行运行多个程序。

虚拟器管理器能够有效地对多个虚拟机实施隔离, 已经被广泛地应用于多个方面。根据抽象层次的不同, 虚拟化技术可以分为5类:指令级虚拟化、硬件级虚拟化、操作系统级虚拟化、运行库级虚拟化和编程语言级虚拟化。不同类别的虚拟化技术的实现原理都是一样的, 即利用某种特殊的手段对底层资源进行管理和分配, 向上层提供抽象出来底层资源。

虚拟化大体分为完全虚拟化、部分虚拟化和操作系统层虚拟化, 完全虚拟化即指在不区分物理环境和虚拟环境的前提下, 虚拟机管理器完全复制底层物理硬件。

2 基于完全虚拟化的安全监控技术

由于恶意软件层出不穷, 使得向用户提供服务的应用系统面临日益增长的安全威胁。基于系统内部的安全监测技术和基于网络监控的安全监测技术已经不能够适应这种需求, 因此选择采用虚拟化技术解决云计算环境下应用系统中存在的安全隐患。

与传统架构相比较, 虚拟化架构在安全方面具有明显优势:虚拟化架构中的虚拟机管理器介于真实硬件平台和操作系统间, 特权级高于操作系统, 并且虚拟化架构隔离性和可信计算基都更为理想;传统架构中的操作系统只拥有整个硬件平台的管理权限而已。

安全监控是指通过从网络和计算机中获得的事件信息来分析系统和用户的行为, 从而增强网络和计算机系统的安全性, 目前常见的有防火墙、入侵检测等等。

根据安全监控实现技术可将基于完全虚拟化的安全监控及其相关研究工作分为以下两类:

2.1 外部监控, 即使用虚拟机管理器拦截机中发生的异常事件, 在虚拟机外部进行事件安全性检测。

2.2 内部监控, 即通过虚拟机管理器加载和保护的内核模块进行异常事件拦截, 确保计算机系统和网络的安全。

一般虚拟监控系统的设计原则都在保证虚拟机监控器的透明性、实时性、安全性和有效性, 以防虚拟机监控器存在安全漏洞、隔离性受到破坏以及出现虚拟机逃逸等问题。目前主流的虚拟机监控器有XEN和VMware等。

3 存在问题及解决方法探析

威胁基于完全虚拟化的安全监控技术的因素主要来自于三个方面:内核、内核可加载模块和应用进程。首先, 入侵程序通常以为内核可加载模块存在, 会修改内核代码或数据, 从而篡改内核的控制流。其次, 恶意的内核可加载模块通常具有隐藏特性, 使得系统用户无法察觉。最后, 入侵程序感染系统中的应用进程, 使得其正常行为发生改变。常规的安全监控工具与被监控的程序位于同一层次, 如果被监控的恶意程序的权限高于监控工具, 那么恶意程序就完全有可能绕过或者破坏监控工具从而导致监控失效。

3.1 内核

内核作为操作系统的核心程序, 由代码和数据构成。操作系统安全最重要的一点就是内核数据的完整性, 为此保证内核的完整性成为安全监控的关键。

内核容易受到内核对象钩子和动态内核对象操作的威胁、修改数据, 为此我们必须建立起完整的内核保护模块。图1为内核保护模块结构图。

3.2 内核可加载模块

恶意的内核可加载模块通常会隐藏自身, 使得入侵行为不被系统用户察觉。其最常见的隐藏方式就是该模块加载到内存后将它自己从内核可加载模块的列表中摘除, 但并没有将它从内核内存中卸载。然而与内核可加载模块同层次的监控工具并不能很好的检测到具有隐藏特性的恶意内核可加载模块, 其监控仍存在漏洞。

隐藏内核可加载模块检测的关键在于交叉视图对比技术, 在虚拟机监控器层次访问虚拟机系统中的/proc/modules文件来获得不可信的内核可加载模块列表。虚拟机监控器层次视图, 也就是可信的内核可加载模块列表。我们知道内核模块在创建和卸载时会进行系统调用, 进而由内核分配它所需资源, 因此虚拟机层次视图的构建可以通过虚拟机监控器截获客户操作系统的系统调用来实现。最后将不可信视图与可信视图进行交叉对比, 检测出隐藏的内核可加载模块。

4 结束语

传统环境下, 安全监控是基于相对稳定的网络和系统环境。在虚拟计算环境下, 虚拟机管理器可以对操作系统运行的多个虚拟机进行隔离。因此利用虚拟机管理器将安全监控系统部署在管理器上, 不仅可以增强监控系统的安全性, 同时相对于目标虚拟机而言具有透明性。然而, 由于虚拟机本身所具有的动态性和多样性, 这也给安全监控带来了巨大的挑战, 仍需要后续技术发展进行改进。

参考文献

云计算技术下的虚拟化安全研究 篇8

1 虚拟化技术

1.1 完全虚拟化

当前使用最为普及的虚拟化方式就是结合Linux系统所开发的hypervisor软件。该软件是一款介于虚拟服务器以及硬件之间的抽象层。该软件的运作逻辑流程为, hypervisor获取CPU的指令, 这一虚拟机技术可以在不变动操作系统的基础上对服务器上的虚拟技术进行运用。所以hypervisor的实质性作用就是指令访问硬件控制器与外部设备之间沟通的桥梁。在完全虚拟的情况下, hypervisor即为主机操作系统的角色, 而虚拟服务器的运行环境则为用户端操作系统。

1.2 准虚拟化

虚拟化技术在云计算过程中的虚拟服务器管理中最为关键的任务就是实现虚拟服务器之间的独立。然而这一技术为处理密集型技术, 会给虚拟环境的工作带来一定的负载。为了妥善解决这一问题, hypervisor在工作中需要对客户操作系统进行改动, 使运行环境与完全虚拟化实施技术之间能够和谐运行, 正常工作。这种技术方案即为准虚拟化实施方案。目前来说, 典型的准虚拟化技术有Xen[1]。各操作系统在虚拟化服务器运行过程中首先要对操作系统的核心层面进行虚拟化处理。相对于完全虚拟化技术来说, 准虚拟化技术的优势更加明显, 其性能优越, 响应能力强。

1.3 操作系统层虚拟化

操作系统层虚拟化即为在操作系统层上加设虚拟服务器功能的虚拟化方式, 其中典型代表有Container。在操作系统层虚拟化技术中每一实例用户都有相应的账号与应用程序, 而且全部的虚拟服务器均处于相同的操作系统。在操作系统层虚拟化中并没有独立的hypervisor等, 而且在多个虚拟服务器之间分配硬件资源。

2 云计算技术下的虚拟化安全隐患

云计算技术中的安全包括身份管理、访问管理、数据信息安全、隐私保护等。云计算与传统IT环境最大的区别就是存在的虚拟计算环境。正是由于这一本质区别导致其存在不可忽视的安全问题。其中, 身份管理、数据安全等问题可以利用访问控制、数据加密、信息备份等传统的安全防护手段来解决, 而虚拟化技术是云计算技术中的核心, 因此难以使用传统的安全措施来解决问题, 需要根据云计算的虚拟化环境来采取新的安全策略。当前云计算技术下的虚拟化安全隐患主要有几点: (1) 虚拟机安全隔离。基于虚拟机的运行模式特点使虚拟机存在着隔离需求, 并且无法使用传统方式进行安全隔离, 只能够使用虚拟机监视器等软件实现, 这一情况要求虚拟机管理者能够严格划分虚拟区间, 以避免数据泄露。 (2) 虚拟机迁移。在虚拟环境中服务器能够跨越多个物理设备, 根据实际情况实现性能扩充等工作。虽然能在多个物理设备之间迁移, 但是在迁移的过程中会使得安全管理工作更加复杂, 更加容易受到安全威胁。 (3) 虚拟机逃逸。虚拟机的使用目的是分享主机资源并且进行隔离, 但是由于技术瓶颈以及虚拟化软件漏洞, 有时候虚拟机会绕开底层获取宿主机的控制权, 导致安全模型濒临危险。

3 云计算技术下的虚拟化安全防范措施

3.1 保障虚拟化服务器安全

在硬件的配置方面物理主机需要达到高配置、设备稳定性良好的需求。所使用的处理器要能够支持虚拟技术CPU, 并且可以保证CPU之间的物理隔离, 进而降低安全隐患。软件方面, 由于虚拟化服务器软件层位于裸机之上, 因此需要提供能够建立、运作、销毁虚拟服务器的各种能力, 虚拟化服务器软件层作为虚拟机的核心要对其进行足够的安全保护。

3.2 防范黑客攻击

攻击虚拟化服务器通常都是通过应用程序接口攻击或者使用网络攻击的方式, 也可以利用虚拟化服务器管理下的虚拟机进行攻击。基于方法对虚拟化服务器攻击的目的, 应该对任何没有授权的用户访问虚拟化软件层进行严格的限制与禁止。云服务提供商应该建立完善的安全保护控制措施, 限制相关的虚拟化层次的物理与逻辑访问控制。

3.3 有限分发

所有的虚拟机都是经过系统管理员进行安全防护的。管理员需要控制所有资源区域的访问, 从而保证只有被信任的访客才能够进行访问, 获得信息。管理员需要控制资源池管理访问, 只有有权限的访客才能够访问资源池组件、物理服务器、共享信息存储等。其中资源池包括虚拟机、虚拟存储、虚拟机文件、存储文件等。所有虚拟机的文件, 不论打开与否都需要获得严格的控制与管理。

3.4 安全迁移

安全迁移是一种备份方式。将虚拟机复制到其他地方, 如果遇到虚拟机故障就可以启动备份虚拟机进行迁移, 实现无缝对接切换。管理员在进行虚拟机分支的过程中要贯彻安全意识, 保证虚拟机能够拥有一定的安全保障。要最大程度地避免在迁移过程中指定虚拟机失去必要保护而遭到攻击。

4 结语

虚拟化技术是云计算的基础, 云计算与传统IT最为本质的区别就在于云计算所采用的是虚拟计算模式。正是由于云计算采用了虚拟化技术, 使其存在十分重大的安全隐患。要最大程度地保证云计算技术的虚拟化安全就要有针对性地制定相关的策略与方案, 在不断优化与改善的过程中进行安全防护。

摘要：云计算是一种全新的计算模式, 是信息系统未来的发展方向。其以开放式的方式给用户提供各种多元化的服务, 但是在给用户提供便捷与高效的过程中难免存在一些安全隐患。在云计算中虚拟机是其重要的核心部分, 所以虚拟机的安全性直接关系着云计算的安全。文章主要针对云计算技术下的虚拟化安全进行研究, 阐述了虚拟化技术、云计算技术下虚拟化的安全隐患以及应对策略, 以期能够提升云计算的安全性。

关键词：云计算,虚拟化技术,安全防护

参考文献

[1]袁援, 凌卉.云计算技术驱动下构建数字图书馆虚拟化环境的探讨[J].情报理论与实践, 2010 (12) :119-123, 128.

[2]房晶, 吴昊, 白松林.云计算的虚拟化安全问题[J].电信科学, 2012 (4) :135-140.

[3]张智勇, 施游.云计算技术下的高校信息化建设[J].电脑知识与技术, 2010 (35) :10173-10174.

[4]柴亚辉, 涂春萍, 刘觉夫.基于云计算的计算机与软件实验资源管理[J].实验室研究与探索, 2010 (10) :254-256, 276.

[5]何晨亮, 施亮.基于云计算的虚拟化PXE技术在企业的应用模式[J].微型电脑应用, 2011 (12) :15-17, 69.

虚拟化安全技术 篇9

数据中心在银行信息化建设中的地位越来越重要, 在有效支持银行业务发展和产品创新的同时, 数据中心自身管理问题也日益凸现:各个系统相互独立, 形成多个应用结点和信息孤岛, 系统之间难以共享数据和资源;服务器与存储设备的性能得不到充分利用, 数量却不断增加;管理和维护费用居高不下、运行成本不断攀升;信息安全面临挑战;供电、散热等能源问题十分突出。针对上述问题, 主流IT厂商纷纷提出了数据中心的虚拟化解决方案。虚拟化技术有着提高资源利用率、增强执行效率以及部署灵活等优点, 而以安全、稳定为第一要务的银行业更加注重虚拟化技术的安全性。

(一) 虚拟化技术的发展现状

虚拟化技术于上世纪70年代开始在IBM System 370等大型主机上应用。通过将硬件层抽象化, 减少物理资源的管理, 虚拟化技术把应用、数据和物理系统分开, 从而增加了灵活性, 使得物理资源可以更好地配合工作负载和数据要求。此前, 虚拟化技术在x86架构上进展缓慢的主要原因是x86架构本身不适合进行虚拟化, 不过这个障碍己经由英特尔、AMD解决;还有一个原因是x86处理器的性能不足, 这一原因也由x86处理器在性能上的飞速提高得到了解决。由于x86架构的广泛普及, x86架构上的虚拟化技术也得到了比以前更大的关注。

随着在x86平台上的成功实现, 虚拟化技术首次向人们展示了其广阔的应用前景, 因为x86平台可以提供便宜的、高性能和高可靠的服务器。更重要的是, 一些用户己经开始配置虚拟化的生产环境, 他们需要得到新的管理工具, 从而随着虚拟化技术的发展而得到更大的收益。

(二) 虚拟化产品的分类及介绍

针对虚拟化产品, 从技术角度看, 我们可以将其分为两大类:模拟器技术 (Emulation) 和虚拟化技术 (virtualization) 。虚拟化技术又可以分为半虚拟化技术和全虚拟化技术。

1.模拟器技术。这是在一个硬件平台之上通过软件来模拟其它平台硬件的技术, 基本上所有的指令都是通过软件来模拟运行的, 没有直接在硬件之上运行, 因此这种技术最大的缺点就是性能损失比较大;从另一个角度来说, 虚拟客户操作系统的代码不需要做任何修改就可以在模拟器软件上面运行, 因此该项技术具有较强的通用性。

2.全虚拟化技术。也称为原始虚拟化技术, 在虚拟化的操作系统和硬件之间插入一个层, 这个层被称为Hypervisor。它搭建了一层完整的虚拟硬件平台, 客户操作系统 (Guest0S) 完全在这层虚拟硬件平台上运行。该类技术需要特定的硬件支持, 目前AMD公司和Intel公司的CPU都能提供这种硬件支持。与裸机相比, 全虚拟化技术会造成性能大约10%至30%的下降。目前支持全虚拟化的产品有VMWare ESX Server、XEN、KVM等。

3.半虚拟化技术。也称为准虚拟化、超虚拟化或部分虚拟化技术, 是另一种类似于全虚拟化的热门技术。它同样也使用Hypervisor共享底层硬件资源, 但半虚拟化技术不需要特殊硬件支持, 而是需要Guest0S配合Hypervisor做一些修改。由此可见, 半虚拟化技术对Guest0S的兼容性下降了, 只能运行如Linux、Unix这样的开源系统, 不能运行非开源的系统。目前支持半虚拟化的有Xen、User-ModeLinux等软件。

在虚拟化技术中, 虚拟监控软件 (VMM) 是位于客户系统和服务器上面的一个比较普通的虚拟软件层, 被用于协调Guest0S和硬件之间的工作, 一些受保护的指令必须由VMM来捕获和处理。VMM同Guest0S以及其上运行的程序是完全隔离开来的, 随着应用不断发展, VMM在提供对上层操作系统部分隔离这种特性的同时, 也提供可控制的安全通讯和安全资源共享环境, 从而构建VMM级别、操作系统级别、应用级别的多层次安全控制模型。

二、虚拟监控软件安全机制的研究与设计

计算机硬件级别的安全控制机制主要包括内存管理、运行域保护和I/O管理;软件级别的安全控制机制主要包括标识与鉴别机制、访问控制机制、最小特权管理机制、可信通路机制、隐通道的分析与处理以及安全审计机制等。其中, 访问控制策略是实现安全最主流最重要的方式。

(一) 基于虚拟监控软件的安全机制总体架构

在虚拟监控软件中, 对虚拟资源的访问控制的关键点是引用监控器, 它具有通用的软件隔离性的功能, 使用控制策略来控制域之间数据流动。总体框架结构如图1所示。

虚拟监控软件引用监控器进行访问控制有以下三个特点:一是统一处理所有安全相关的调用, 是安全管理在逻辑上一致、可靠;二是可以防止虚拟监控软件本身被非法修改;三是资源占用率小, 运行简单快速。在图1的总体架构中, 安全策略管理域负责管理具体的安全策略, 作为一个Guest0S的应用程序存在于VMM平台之上, 安全策略实施模块则处于虚拟监控软件中, 实施对虚拟资源的访问控制, 而安全钩子 (是个实现如何对虚拟资源访问权限的函数) 存在于VMM中数据通讯的代码路径上。虚拟监控软件能够实现不同的域之间数据的流动控制, 一方面确保属于同一个聚合域中的Guest0S之间可以进行通讯和共享虚拟资源, 另一方面则保障非聚合域之间的Guest0S相互隔离。

(二) 基于虚拟监控软件的安全机制的设计目标

通过对信息流进行控制, 实现虚拟环境下的系统安全, 是虚拟监控软件最终作用和目标。通过对各个域的共享虚拟资源实施监控, 从而控制域之间的数据通路, 监控独占虚拟资源的分配状况。具体来说, 基于虚拟监控软件的安全机制设计主要有以下几个目标:

1.实现非聚合域之间Guest0S的强隔离性;

2.对各个Guest0S之间的虚拟资源的共享进行控制;

3.保证整个平台和Guest0S的完整性;

4.管理和控制所有虚拟资源;

5.通过安全服务程序实现访问控制。

从功能上看, 通过虚拟监控软件设计安全控制机制, 目标在于保证对非聚合域进行隔离的同时, 为上层的Guest0S提供合理的资源共享以及域间通讯机制。对整个系统来说, 则是从最底层开始构建一个安全机制, 形成“虚拟监控软件层、操作系统、上层应用程序”三个层次的安全控制机制。

(三) 虚拟监控软件安全机制的设计要点

在使用虚拟监控软件设计安全控制机制时, 主要需要考虑以下方面的问题。一是系统性能问题。虚拟监控软件是在系统的硬件层之上增加一个虚拟软件层, 这种方式本身已经对整个系统的性能产生了一定的影响, 如果再增加相应的安全控制机制, 性能的损失可能会进一步加剧。所以, 安全机制的设计要特别注重尽量减少系统性能的损失。二是系统的隔离问题。相互隔离可以提高系统安全, 其中一个GuestOS出现问题, 其危害只会局限于本系统之内, 相对的提高整个系统的健壮性。三是安全策略管理方式的灵活性问题。安全控制机制需要能够实现有效的安全管理和安全策略的实施, 减少安全策略管理的成本。四是部署效率问题。可以考虑对已有的VMM平台进行改造, 减少工作量, 尽快实现目标功能。

(四) 基于虚拟监控软件的安全机制的流程设计

基于虚拟监控软件的安全控制机制的参考实现流程如图2。

在图2中, 安全控制机制的执行流程按照以下三个步骤执行:首先是收集访问控制相关信息 (域安全属性、虚拟资源属性, 访问操作类型等) ;然后通过对安全访问控制模块的调用来获取安全决策结果;再次是执行安全决策的结果。

安全控制机制的具体实现涉及三个方面:安全控制服务器、安全控制实施模块、安全属性获取。虚拟监控软件对GuestOS的访问控制仲裁是通过GuestOS在进行数据通讯前的代码执行路径中插入安全钩子的方式来实现的, 在此基础上再根据由安全钩子将搜集到的安全控制属性, 根据所设计的安全控制策略来实现GuestOS之间数据通讯的安全控制。

(五) 安全控制服务器的设计

安全控制服务器用来实现对安全控制机制中相关控制策略的维护, 它采用的是类Flask架构, 其主要功能包括安全策略更新和安全策略管理。为了使安全策略便于维护, 可以考虑将安全控制服务器放置在GuestOS之中, 将具体的安全实施维护 (在GuestOS中) 和安全控制实施模块 (在VMM中) 分割开来, 这样也有利于整个系统的模块化, 有利于系统的升级更新, 从而实现了动态安全策略, 支持策略部署的灵活性。服务器的参考结构如图3所示。

虚拟监控软件使用XML语言来描述安全策略, 当安全策略发生更改的时候, 安全控制服务器使用超级调用将二进制格式的安全策略更新到安全实施模块中。只有安全控制服务器才能够实现对安全策略的更新, 这个是虚拟监控软件中进行授权的。

在整个安全控制机制中, 需要为每个虚拟资源和安全域绑定一个安全属性, 并通过安全属性存储的安全信息。当各个虚拟资源或者某个域进行初始化的时候, 虚拟监控软件通过安全策略管理模块中的标记来分配安全属性。

(六) 安全控制实施模块的设计

虚拟监控软件的安全控制模块在整个安全体系中主要是用来进行安全检查、进行安全判定, 该模块中存储的是具体的安全策略数据, 这些安全数据是以二进制的格式存放的, 构成了一个个安全控制访问表格。安全控制模块的需要支持动态的安全策略更新, 而这种策略本身在一定程度上消耗了部分系统资源, 因此, 在设计过程中必须充分考虑性能因素。对此, 可以考虑在安全控制模块中使用安全策略缓存机制来提高系统的整体性能。当安全策略更改时, 可以通过回调机制通知安全控制模块, 同时对缓存中的安全控制数据进行更新。

对于虚拟资源的初始化, 安全控制模块通过安全初始化函数来调用二进制安全策略和系统域启动属性, 从而初始化虚拟资源和域的安全属性;安全初始化函数被插入到虚拟资源和GuestOS创建的地方, 并由安全控制模块来管理。

当GuestOS在第一次访问虚拟资源时, 安全钩子函数查找虚拟资源和域的安全属性, 将这些安全属性和对虚拟资源的访问操作类型传递给安全策略实施模块, 由该模块根据二进制的安全策略来对访问权限进行检查, 从而决定是否具有权对虚拟资源进行访问。如果具备访问权限, 则实现绑定;否则, 拒绝实现绑定并返回错误信息。

(七) 安全控制钩子的设计

安全控制钩子函数实现了GuestOS对虚拟资源访问的相关安全属性的检查。安全钩子函数的安全参数有以下几个:GuestOS的属性、虚拟资源的属性、操作的类型。安全钩子函数负责将安全信息传递给安全控制模块, 安全实施模块则根据安全参数和安全策略来决定是否具有对虚拟资源的访问权限。如图4所示。

使用安全钩子函数实施对虚拟资源的访问控制时, 可以在以下几个情况下使用钩子函数, 实施安全决策。

1.域管理操作:使用钩子函数在安全控制模块中报告对域的安全引用, 以及相应的对域的创建, 注销。

2.事件管道:事件钩子函数仲裁域之间的事件管道的创建和注销;安全控制模块通过此类钩子函数来决定在同一个聚合域中的两个GuestOS是否能够建立事件管道、能否进行通讯。

3.内存共享钩子函数:虚拟监控软件调用接口允许一个GuestOS获得其它GuestOS的内存的访问权, 可以在建立内存共享前设置安全钩子函数。

4.虚拟网络访问钩子函数:虚拟监控软件调用接口将决定一个域是否能够与其它域建立虚拟资源访问通路, 可在通路创建过程中设置钩子函数。

一旦GuestOS已经绑定某项可共享虚拟资源, 或者那个已经建立好域之间的通讯机制时, 往后的通讯就不再需要进行访问控制决策, 这样有利于节约系统资源。但是这种机制要求虚拟资源在使用前, 必须经过明确的安全判定, 同时在必要的时候, 能够重新对资源的访问权限进行审核。上述方法可以明显的提高系统的运行性能, 降低虚拟监控软件造成的性能耗损。同时结合安全策略缓存机制, 进一步减少系资源消耗, 提高访问性能。

三、虚拟监控技术有待改善的方面

虚拟化技术的发展使一个硬件平台之上可以同时运行多个GuestOS, 虚拟监控软件则为不同的GuestOS提供了良好的隔离功能, 相对提高整个平台的安全等级。但与此同时, 很多新的计算机应用模式 (例如网格计算、网络服务程序等) 要求操作系统对关键应用程序所提供的安全保障功能也越来越复杂、越来越庞大, 而且不同的应用程序对安全的功能需求还会相互制约。在这种发展趋势下, 虚拟环境下的监控技术必须将自身的安全控制功能扩大到整个平台体系结构的各个层次上, 实现更大范围、更加全面地安全隔离和访问控制方式。

摘要：区域数据中心虚拟化技术的采用, 极大地提高了服务器的利用率, 降低了运维能耗, 但以安全、稳定为要务的银行业, 更加注重虚拟化技术的安全性。为此, 本文对虚拟化技术的安全性措施进行探讨, 初步提出虚拟化安全机制建设的方法。

关键词：金融信息化,数据中心,区域数据中心,虚拟化,安全性

参考文献

[1]银行业数据中心虚拟化渐行渐近[J].中国金融电脑, 2008.

[2]基于IntelVT技术的虚拟化系统性能测试研究.浙江大学.

[3]朱鸿伟.虚拟化安全关键技术研究.浙江大学.

虚拟化安全技术 篇10

关键词：云存储,虚拟化,网络,安全

一、引言

云存储是以存储设备为核心, 通过应用软件对外提供数据存储和业务访问服务[1]。云存储安全的关键技术研究中, 又以虚拟化安全技术和存储网络的安全技术为研究核心之一。

二、云存储技术之虚拟化的安全

虚拟化技术在逻辑上分离了物理设备与操作系统和应用软件, 基于虚拟化的计算资源调配可使有限的硬件和软件资源按需重新规划分配, 灵活扩展硬件容量, 简化软件配置和资源的访问与管理, 提高硬件与软件的综合效率和应用能力[2]。

基于虚拟化的云存储应用环境中, VM Hopping可以访问被接入宿主机的存储和内存;VM Escape攻击可获得Hypervisor的访问权限, 从而对其他虚拟机进行攻击[3];通过管理平台进行跨站脚本攻击、SQL入侵;拒绝服务攻击会获取宿主机资源, 造成系统拒绝客户所有请求;Rootkit能够获得Hypervisor的管理员级访问控制权, 进而取得整个物理机器的控制权[4];在虚拟机迁移过程中, 随着虚拟磁盘的重建, 攻击者可改变源配置文件和虚拟机特性[3];虚拟机的镜像安全漏洞、生命周期的复杂性和故障会导致其承载的数据和服务不可用和控制难度。

因此, 可以将所有虚拟机全部安装防毒软件或杀毒软件;提高容错监视服务器的利用率, 避免服务器过载;在数据库和应用层之间设置防火墙, 防止虚拟机溢出;使用可信平台模块;为虚拟服务器分配独立硬盘分区, 并使用VLAN技术和网段划分, 对虚拟服务器逻辑隔离;使用VPN在虚拟服务器间通信;按计划备份, 进行虚拟化的灾难恢复;监测分析网络流量确保存储网络安全运行;通过可信第三方机构的安全认证和监管。

三、云存储的安全网络

云存储服务的应用中, 其网络防护不当会导致用户私密数据被非法访问;云存储网络应用在服务提供商的控制下, 用户无法通过网络监管自己的程序和数据的使用情况;网络传输协议和数据移动过程容易被窃听和分析;云存储服务平台中的软硬件故障和其他灾难会导致服务的异常终止和数据丢失;云存储集中存储的大量数据容易引起攻击者的注意;基于虚拟化技术的访问控制、认证和授权的实现更为困难;云存储中大量廉价计算资源和数据资源可能成为攻击者的工具。

由虚拟机监控器实现基于存储区域网络及应用层的域分割为寻址提供了逻辑隔离, 可以在虚拟的网络域执行全面的状态监视以及其他网络安全监测;如能承担足够资源开销, 可由服务提供商完成网络访问控制和安全防火墙服务;使用SSL、IPSec、数字签名等技术对传输中的数据进行有效加密;选择使用安全传输协议;加强安全日志审计和应用基于网络的入侵检测和防御系统;及时修补虚拟机实例配置和迁移中的管理漏洞和补丁;实现存储网络信任边界的通信控制;限制访问管理程序及其他虚拟化层面;阻止所有到虚拟服务器的端口;限制应用程序栈功能, 加固镜像, 限制主机所有攻击面;防止未授权访问;在镜像中除解密文件系统的密钥外, 不包含其他身份认证作证[5];保护访问主机私钥, 从数据所在的平台中隔离密钥;关闭不必要的服务。

四、结束语

随着云服务层次的提高, 基于云存储的虚拟化安全技术与网络存储安全技术为云存储的发展提供了有效的保障。研究可信的虚拟化云存储将是提高云存储服务的主要方向之一。

参考文献

[1]黄晓云.基于HDFS的云存储服务系统研究.大连海事大学.硕士论文.2010年6月

[2]黄振华.基于云计算的虚拟化存储技术研究.硅谷.2012年第20期.24, 71

[3]房晶等.云计算的虚拟化安全问题.电信科学.2012年第4期.135-140

[4]Hanqian Wu, Yi Ding, Winer Chuck, et al.Network security for virtual machine in cloud computing.Proceedings of 5th International Conferenceon Computer, Sciences and Convergence Information Technology (ICCIT) .Seoul, Korea.2010.18-21

虚拟化 为信息安全打开一扇窗 篇11

实际上，Citrix、VMware等虚拟化厂商正是以“安全”作为桌面虚拟化和应用虚拟化的主要卖点，而一些应用层网络安全厂商，如深信服科技有限公司，则在这方面走得更远一些，把虚拟化和自己的应用安全产品融合到了一起，提供一个端到端更加完整的安全解决方案，从而为信息安全“趟”出了一条新的解决之道。

应用虚拟化

“搂草打兔子”

虚拟化技术在安全领域的应用其实很早就已经开始了，而且是以一种比较简单的方式。比如，很多用户都会通过安装虚拟机来进行各种测试，一个虚拟机出现了问题，并不会影响到其他虚拟机和主机（Host）。这其实就是一种安全措施。而桌面虚拟化和应用虚拟化则为信息安全提供了更多的保护手段。

本质上，桌面虚拟化和应用虚拟化都是基于服务器的虚拟化技术，是一种集中管控的模式。典型的桌面虚拟化应用场景如下：用户发出请求，虚拟化软件先在服务器端为用户创建出一个虚拟的桌面，然后通过网络交付给最终用户。虽然用户仍然可以像操作普通的桌面一样完成各种操作，但所有的后台执行其实发生在服务器端，推送到用户面前的只是前端呈现的部分。应用虚拟化技术的工作原理也与此类似，所不同的是用户桌面显示的是某个指定的应用而已。比如，通过深信服的远程应用发布+SSL VPN的终端虚拟化解决方案，可以为用户交付在远端服务器上的虚拟桌面/应用，并且可以跨平台支持Windows、iOS、安卓等终端。其最大的优势在于，为用户提供较好用户体验的同时，还具备更高的性价比。同时，由于与SSL VPN设备的天然融合特性，这一产品也具备了更优异的安全性。

桌面虚拟化和应用虚拟化的好处很多，集中管控为应用程序的升级和补丁发放带来了很大方便，同时，还可以真正实现在任何时间、任意地点，通过任意一台设备上网。以甘肃联通用户为例，采用深信服的远程应用发布方案实现了1000多人的应用虚拟化，让移动出差的员工可以随时随地访问内网的OA、运维等业务系统。

事实上，从市场反馈来看，用户采用桌面虚拟化和应用虚拟化的最大需求正是来自安全考虑，其次才是移动办公、降低终端维护成本等内容。目前桌面虚拟化的几个大型成功案例，包括IBM的中国开发中心（CDL）和华为的桌面虚拟化项目，其最大的价值也是体现在数据的安全上。然而，正是因为“安全性”只是桌面虚拟化和应用虚拟化众多优点中的一个部分，缺乏专一性和针对性，所以，其在满足复杂的安全需求时也存在一定局限性。

虚拟化为安全所用

与虚拟化厂商主要提供全功能的产品和解决方案不同，安全厂商采用虚拟化技术的目的非常明确——为安全服务。所以，安全厂商通常会根据自己的需要对虚拟化技术进行定制和裁减，让虚拟化“为我所用”。以深信服为例，除了常见的桌面/应用虚拟化方案外，其还推出了专门针对终端安全的“虚拟化安全门户系统设备（VSP）”。

深信服的虚拟化安全门户系统设备（VSP）是一种安全桌面隔离的解决方案。与桌面虚拟化等通过基于计算机硬件层面的虚拟机，来实现终端数据的安全隔离不同，VSP实际上是一种在应用层实现的轻量级虚拟机。其通过沙盒虚拟化隔离技术，将用户终端PC从逻辑上隔离成两个虚拟工作桌面，用户可以在一个虚拟桌面内访问高级别业务系统，而在另一个虚拟桌面中访问低级别系统。两个虚拟桌面之间的网络、文件访问、应用程序进程、注册表等都是受到安全隔离保护的，高级别的业务系统数据无法通过用户终端泄漏出去。如果通过虚拟桌面访问互联网，也能够实现安全隔离功能，从而实现了对终端操作系统安全的防护。

本质上，沙盒虚拟化技术是一种分布式的终端虚拟化方案，其运行在用户端，并不需要占用太多服务器、网络和存储资源。然而，与传统的终端虚拟机方案相比，沙盒又不是一个严格意义上的虚拟机（比如，这个虚拟机中就不包括操作系统），而更像是一个应用，所以仅需要80MB内存左右就能够运行一个虚拟桌面。这样一个巧妙定制的虚拟机，既能对数据、物理、注册表、系统服务等资源进行安全隔离，满足数据防泄漏、防感染病毒等数据安全的需求，同时还能降低部署成本。

虚拟化安全技术 篇12

1云计算中虚拟化技术概述

1.1云计算的概念

当前阶段云计算定义可以说是众说纷纭, 市场上存在超过一百种的云计算解释。人们普遍认可的定义方面, 云计算是将任务分配给公共资源集的一种计算模式, 这一公共资源集是由大量的设备组成的, 被称为“云”。供应商按照云计算用户的需求以及用量收费, 用户要在网络条件下访问“云”。公共资源集也就是“云”的公共资源使用专门软件实现自动管理, 能够根据用户的需求提供所需要的计算资源。

1.2虚拟化技术

所谓虚拟化指的是资源管理技术, 能够将计算机资源抽象转换之后呈现出来, 从而打破实体结构存在的障碍, 让用户用更好方式利用资源。通过虚拟化技术一方面可以统一管理计算机的物理资源以及虚拟资源, 同时还可以共同使用计算机资源。虚拟化技术可以使得系统架构更为灵活, 并且具备弹性。这些资源包括计算能力以及存储能力, 虚拟部分并不受当前资源架设方式、物理组态或者地理位置的限制。

1.3云计算以及虚拟化技术之间的关系

网络技术的发展可以说是日新月异, 云计算技术也应运而生。网络计算属于云计算的典型特征, 本质是实现计算机虚拟化。虚拟化技术的最初目的是为改进机器利用效率。当前情况下, 从研究以及应用领域分析, 虚拟化有着单机虚拟化以及多机虚拟化这两个不同的发展方向。其中单机虚拟化是把普通的PC机模拟成为同时运行不同操作系统的技术, 自VMWare问世之后得到蓬勃的发展。VMWare诞生之后, 单机虚拟化得到长足的发展改进。在这一背景下, 人们容易混淆云计算以及单机虚拟化。多机虚拟化使用分布式计算, 是真正的云计算。在推动云计算发展的因素当中, 多机虚拟化扮演着重要角色。云计算就是基于集群的虚拟技术, 虽然虚拟化发挥着相当重要的作用, 不过效用计算以及分布式计算同样不容忽视。

2云计算中虚拟化技术的安全问题

2.1虚拟机管理方面的安全问题

在云计算环境中, 用户创建以及删除等核心操作均通过虚拟机的管理来完成, 虚拟机的管理具备系统的最高管理权限, 因此虚拟机管理的安全性特别重要, 一旦遭到攻击破坏, 数据隐私将会面临非常严重的威胁。

2.2虚拟机之间的安全问题

因为虚拟机之间属于互相联通的, 通过其中的一台能够得到访问另一台虚拟机的权限, 攻击者可以借助这一方式来监控网络参数等方面的信息, 甚至能够修改配置文件、强制下线以及访问敏感数据等操作来破坏系统。

2.3操作系统的安全问题

全部用户虚拟资源都属于服务器的硬件资源, 所以攻击者通过攻击Dos能够导致使用资源的紧缺, 系统难以回应正常的用户资源请求。

2.4虚拟机移植的安全问题

虚拟机属于动态创立的, 服务结束或者是用户离线之后, 虚拟机将被销毁。不过用户操作会保留痕迹, 攻击者就能够借助于操作日志得到用户操作的特性与用户数据在空间当中占据的比例, 从而窥探并且分析用户数据。

2.5云计算管理的安全问题

在传统计算模式当中, 用户拥有绝大多数的服务器管理权限, 而管理员的职责局限于机房网络环境以及机器物理维护等。不过在云计算条件下, 用户并没有管理服务器的权限, 无法实现物理机控制, 这一部分的权限会由管理员承担。管理员不合理的操作有可能终止用户服务甚至造成数据丢失。

3云计算中虚拟化技术安全问题的对策

3.1虚拟机软件的安全对策

虚拟机的监控软件属于底层硬件设备以及虚拟化系统之间, 能够监控并且管理虚拟化系统。为了保证该层安全, 需要严格审核用户访问的权限, 那些没有得到授权的用户, 需要禁止她们访问虚拟化的软件层, 对于拥有访问权限的用户, 需要完整保存他们访问虚拟化软件层的记录, 从而便于执行审计.在数据安全防护方面, 需要使用加密技术来加密处理存储在云当中的数据, 避免恶意云“租户”以及云服务商滥用权限, 确保数据安全。数据传输的时候, 需要使用加密协议, 例如安全复制协议SCP以及超文本传输协议TTPs, 从而保护数据的完整性与机密性。

3.2虚拟化硬件安全对策

在硬件设备环节, 需要使用能够信赖的TPM物理服务器, 这一模块在服务器启动的时候可以验证用户的身份。如果用户没有通过身份验证, 就不允许该虚拟服务器的启动。为确保服务器CPU之间能够实现物理隔离, 需要选择那些支持硬件虚拟化的CPU, 这样一来就能够最大限度降低安全风险。除此之外, 在安装虚拟服务器的过程当中, 需要为各个虚拟服务器划分独立硬盘分区, 从而实现逻辑层面各个虚拟服务器的隔离。在物理主机安全防护方面, 可以采用常规防护措施, 例如使用防火墙、杀毒软件以及主机防御系统。为防止被攻击之后虚拟服务器影响物理主机, 应当在物理主机上仅仅运行虚拟服务, 并且需要严格控制运行数量, 禁止其它的网络服务在物理主机上面运行。与此同时应当使用虚拟专用网络, 从而实现物理主机以及虚拟服务器之间的连接以及资源共享, 还应当应用加密网络系统的方式来实现资源的共享。

3.3虚拟化系统安全对策

一方面在将虚拟机迁移到另一台物理主机的时候, 云管理员需要首先确保之前物理主机硬盘当中的数据得到彻底的擦除, 或者是干脆物理销毁硬盘。与此同时, 还需要为各个虚拟化系统安装入侵检测软件、杀毒软件、入侵防御系统以及防火墙等。除此之外, 在虚拟机的使用过程当中, 需要对重要虚拟机的镜像文件实现加密处理, 避免文件遭到黑客的窃取。另一方面, 需要建立镜像文件资源库, 用来保存那些有着重要价值的虚拟机镜像文件以及虚拟化系统备份文件, 从而避免虚拟化系统崩溃或者是遭到攻击之后出现瘫痪。在日常运行过程当中, 需要控制镜像文件库的访问权限, 避免非法用户访问以及窃取。管理人员需要定期进行镜像文件库的病毒扫描以及漏洞修复, 同时要构建镜像文件库的信息记录表, 准确完整地记录各个镜像文件的发布人、名称、访问用户、访问日期以及访问内容等信息, 从而便于实现系统安全追踪。在此前提上, 构建镜像文件库发布机制以及访问机制。虚拟化系统当中, 用户发布镜像文件或者是访问镜像文件的时候, 需要借助于镜像文件来过滤敏感信息, 删除掉那些涉及到用户隐私的敏感信息。用户发布以及访问镜像文件的时候, 操作系统需要把发布信息以及访问信息储存到镜像文件库的信息记录表当中, 从而便于系统进行安全跟踪。

3.4用户安全对策

要想改进云计算虚拟化的安全性, 仅仅依靠上述几各方面的应对措施显然是不够的, 还需要用户不断提高自身的防范意识, 最大限度避免将涉密资料以及涉及个人隐私的相关资料存储到云端。除此之外, 云计算供应商也需要严格进行登录用户的身份认证, 并且不断强化验证程序, 避免恶意人员非法入侵。随着云计算虚拟化的发展, 仅仅依靠提供商自觉性难以从根本上确保安全问题, 还需要从法律法规层面提供安全防护。这就要求政府以及相关权威机构制定云计算虚拟化安全运行的机制, 并对云计算服务的提供商进行监督检查, 强制其做好安全保障, 最终确保云计划虚拟化服务的安全。

综上所述, 云计算可以说是近年来发展壮大的新兴产业, 有着广阔发展前景, 不过随着云计算的广泛应用, 面临安全问题也越来越多, 并且这些安全问题涉及到的范围以及领域较广, 包括安全技术、法律法规、监管模式以及通信安全等方面。所以云计算虚拟化服务的安全需要产业领域、学术界以及政府层面的协调配合, 从而保证云计算的健康发展。

参考文献

[1]袁援, 凌卉.云计算技术驱动下构建数字图书馆虚拟化环境的探讨[J].情报理论与实践, 2015, 10 (12) :119-123, 128.

[2]柴亚辉, 涂春萍, 刘觉夫.基于云计算的计算机与软件实验资源管理[J].实验室研究与探索, 2015, 15 (10) :254-256, 276.