服務(wù)器虛擬化安全風(fēng)險(xiǎn)及防護(hù)措施研究

劉俊琪

摘要：隨著服務(wù)器虛擬化技術(shù)的不斷普及和應(yīng)用，同時(shí)也帶來(lái)了一定的安全風(fēng)險(xiǎn)和安全隱患，該文主要分析了服務(wù)器虛擬化存在的風(fēng)險(xiǎn)以及有針對(duì)性地提出相應(yīng)的防護(hù)措施，希望該文的研究能夠?yàn)榉?wù)器虛擬化技術(shù)的發(fā)展和不斷完善提供一定思路和建議。

關(guān)鍵詞：服務(wù)器虛擬化；安全風(fēng)險(xiǎn)；防護(hù)措施

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）03-0033-03

近幾年來(lái)，虛擬化技術(shù)受到廣泛關(guān)注，其被廣泛應(yīng)用于各個(gè)領(lǐng)域，與此同時(shí)新的安全風(fēng)險(xiǎn)和安全隱患也隨之而來(lái)。這將嚴(yán)重影響服務(wù)器虛擬化技術(shù)的發(fā)展前景，因此為了保證服務(wù)器虛擬化的安全性能，采取必要的防護(hù)措施是十分有必要的。

1 服務(wù)器虛擬化技術(shù)概述

1.1 虛擬化技術(shù)簡(jiǎn)介

服務(wù)器虛擬化是一種從邏輯角度對(duì)資源進(jìn)行重新配置的方法，而傳統(tǒng)的資源配置方式更多的是從物理的角度考慮。我們可以把服務(wù)器虛擬化技術(shù)看作是一種對(duì)硬件資源的重新配置的技術(shù)。由于服務(wù)器虛擬化技術(shù)是采用邏輯方式對(duì)資源進(jìn)行重新配置，因此在同一個(gè)物理機(jī)器上可以同時(shí)運(yùn)行一個(gè)或者多個(gè)操作系統(tǒng)的虛擬化服務(wù)器。服務(wù)器虛擬化技術(shù)的優(yōu)點(diǎn)在于大大方便了企業(yè)對(duì)系統(tǒng)的管理，它是一種最好的資源優(yōu)化整合方式。目前，隨著虛擬化服務(wù)器技術(shù)在我國(guó)的廣泛普及和應(yīng)用，產(chǎn)生了一些新的安全風(fēng)險(xiǎn)和安全隱患問(wèn)題急需解決，否則服務(wù)器虛擬化技術(shù)存在的安全隱患將嚴(yán)重影響其未來(lái)的發(fā)展前景。

1.2 如何實(shí)現(xiàn)服務(wù)器虛擬化技術(shù)

服務(wù)器虛擬化技術(shù)的實(shí)現(xiàn)方式主要有兩種，一種是將一個(gè)物理服務(wù)器虛擬化為若干數(shù)量的獨(dú)立的邏輯服務(wù)器，其中分區(qū)就是該種方式的一個(gè)典型代表。另一種方式就是將若干個(gè)不同的物理服務(wù)器看作是一個(gè)邏輯服務(wù)器，其中網(wǎng)絡(luò)就是這種形式的典型代表。其很好地詮釋了服務(wù)器虛擬化技術(shù)在我國(guó)各個(gè)領(lǐng)域的廣泛關(guān)注程度和應(yīng)用程度。

1.3 服務(wù)器虛擬化的三種主流實(shí)現(xiàn)模式

目前，市場(chǎng)上的主流服務(wù)器虛擬化軟件種類(lèi)繁多，其實(shí)現(xiàn)技術(shù)各不相同，因此針對(duì)服務(wù)器虛擬化的技術(shù)分類(lèi)也沒(méi)有統(tǒng)一的說(shuō)法。服務(wù)器虛擬化技術(shù)根據(jù)實(shí)現(xiàn)模式的不同大體可以將其分為三種主流實(shí)現(xiàn)模式：全虛擬化、半虛擬化和硬件輔助虛擬化。 全虛擬化的實(shí)現(xiàn)原理是在利用一個(gè)VMM（虛擬機(jī)監(jiān)視器）來(lái)實(shí)現(xiàn)虛擬機(jī)系統(tǒng)和硬件資源之間的“溝通交流”。該種模式主要代表是VMware。它的主要優(yōu)點(diǎn)在于它可以直接安裝在原有的操作系統(tǒng)上運(yùn)行而無(wú)需對(duì)原系統(tǒng)有任何配置修改。它的缺點(diǎn)是大大增加了二進(jìn)制轉(zhuǎn)譯的工作量，而且到目前為止尚沒(méi)有一種比較好的優(yōu)化方法。

半虛擬化則是利用VMM對(duì)底層的硬件進(jìn)行訪(fǎng)問(wèn)。半虛擬化與虛擬化的區(qū)別在于它將許多與虛擬化有關(guān)的代碼植入到虛擬系統(tǒng)中，因此就不需要VMM來(lái)轉(zhuǎn)譯二進(jìn)制。半虛擬化在很大程度上降低了負(fù)荷，很大程度上提高了其性能。但它同樣存在很大的問(wèn)題，例如兼容性差就是半虛擬化服務(wù)器存在的主要問(wèn)題。其次半虛擬化的維護(hù)成本相對(duì)比較高。

硬件輔助虛擬化在原有的基礎(chǔ)之上加上了root模式，也就是說(shuō)把VMM運(yùn)行到root模式。這種模式的好處在于可以把關(guān)鍵指令放在VMM上直接執(zhí)行而不需要二進(jìn)制轉(zhuǎn)譯，這在很大程度上提高了服務(wù)器虛擬化的性能，其發(fā)展前景良好。

2 服務(wù)器虛擬化技術(shù)存在的安全風(fēng)險(xiǎn)和安全隱患

事實(shí)上，服務(wù)器虛擬化作為一種新興的熱門(mén)技術(shù)之一，不僅能夠?qū)τ布Y源進(jìn)行重新配置，實(shí)現(xiàn)硬件資源的不斷優(yōu)化，而且還大大提高了硬件資源的利用效率。雖然服務(wù)器虛擬化技術(shù)尚不成熟，還存在一些安全隱患和安全漏洞；例如由于VMWare 平臺(tái)網(wǎng)絡(luò)框架的不同而造成安全漏洞的發(fā)生等。

2.1 VMWare 平臺(tái)網(wǎng)絡(luò)架構(gòu)存在的安全隱患

根據(jù)網(wǎng)絡(luò)的覆蓋范圍可以將網(wǎng)絡(luò)分為局域網(wǎng)、城域網(wǎng)和廣域網(wǎng)，本文主要針對(duì)局域網(wǎng)中VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)進(jìn)行分析。在局域網(wǎng)中，將處于私有云上的VMWare 平臺(tái)與Internet進(jìn)行物理隔離，由于VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)不能對(duì)其自身的補(bǔ)丁庫(kù)進(jìn)行自動(dòng)更新操作，致使VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)一旦出現(xiàn)安全漏洞，補(bǔ)丁庫(kù)也不能對(duì)其進(jìn)行及時(shí)的修復(fù)，這樣就導(dǎo)致了VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)中出現(xiàn)了安全隱患，給VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)的正常運(yùn)行帶來(lái)了安全方面的威脅。網(wǎng)絡(luò)攻擊人員例如黑客、駭客等就利用了VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)中的安全漏洞侵入虛擬服務(wù)器宿的主機(jī)，進(jìn)行竊取機(jī)密或投放病毒等破壞性行動(dòng)。一旦網(wǎng)絡(luò)攻擊人員成功侵入虛擬服務(wù)器的主機(jī)，那么他就能夠輕而易舉的獲取VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)的管理權(quán)限，對(duì)其中的虛擬服務(wù)器進(jìn)行各個(gè)擊破，毫無(wú)阻礙。也就是說(shuō)，網(wǎng)絡(luò)攻擊人員可以輕而易舉的獲取他們需要的東西，網(wǎng)絡(luò)安全防護(hù)措施形同虛設(shè)，網(wǎng)絡(luò)安全成為一句空話(huà)。

2.2虛擬機(jī)跳板式攻擊

將服務(wù)器進(jìn)行虛擬化后會(huì)有多個(gè)虛擬機(jī)同時(shí)存在，這些虛擬機(jī)共同自動(dòng)運(yùn)行在相同的一臺(tái)物理主機(jī)上，由于網(wǎng)絡(luò)安全系統(tǒng)不可能同時(shí)對(duì)同一臺(tái)物理主機(jī)上的多個(gè)虛擬機(jī)進(jìn)行同時(shí)監(jiān)控，致使這些虛擬機(jī)在進(jìn)行通信過(guò)程中的安全防護(hù)和安全性能都比較差，這給網(wǎng)絡(luò)攻擊人員提供了侵入主機(jī)的機(jī)會(huì)。進(jìn)行服務(wù)器虛擬化以后的虛擬機(jī)在安全防護(hù)方面存在很大的問(wèn)題，網(wǎng)絡(luò)攻擊者完全可以利用安全防護(hù)漏洞進(jìn)行攻擊，網(wǎng)絡(luò)攻擊人員一旦將虛擬機(jī)的安全防護(hù)措施攻破就很容易對(duì)其進(jìn)行控制；與此同時(shí)，網(wǎng)絡(luò)攻擊者完全可以利用已經(jīng)控制的虛擬機(jī)對(duì)網(wǎng)絡(luò)中其他未攻破的虛擬機(jī)進(jìn)行攻擊，這樣將給整個(gè)數(shù)據(jù)中心虛擬化環(huán)境帶來(lái)嚴(yán)重的安全威脅。

2.3 VMM設(shè)計(jì)上存在缺陷

虛擬機(jī)的安全機(jī)制是建立在VMM完全可信的基礎(chǔ)之上的，但是就目前的服務(wù)器虛擬化技術(shù)而言，VMM的安全性能并非牢不可破。VMM在設(shè)計(jì)方面存在的一些安全漏洞給了攻擊者可趁之機(jī)，此外，VMM自身并不能對(duì)外部的篡改和替換等操作進(jìn)行識(shí)別和阻止。例如如果攻擊者在成功控制了虛擬機(jī)后將VMM關(guān)閉，這將造成運(yùn)行在宿主機(jī)上的其他虛擬系統(tǒng)也跟著全部關(guān)閉。

網(wǎng)絡(luò)攻擊人員可以通過(guò)應(yīng)用接口程序（API）來(lái)操控其中的一臺(tái)虛擬機(jī)，并利用這臺(tái)虛擬機(jī)向VMM發(fā)送請(qǐng)求。由于VMM自身缺乏對(duì)請(qǐng)求的判斷和識(shí)別機(jī)制，導(dǎo)致其很容易獲取VMM的信任，從而對(duì)其發(fā)動(dòng)攻擊。除此之外，網(wǎng)絡(luò)攻擊人員還可以利用網(wǎng)絡(luò)對(duì)VMM發(fā)動(dòng)攻擊，他們利用的網(wǎng)絡(luò)通常是在配置上存在缺陷的網(wǎng)絡(luò)，并沒(méi)有安裝相應(yīng)的安全訪(fǎng)問(wèn)控制，入侵者很容易通過(guò)網(wǎng)絡(luò)連接到VMM的IP地址。即使網(wǎng)絡(luò)攻擊人員無(wú)法通過(guò)暴力途徑將VMM的登錄口令破解掉，但依然可以通過(guò)拒絕服務(wù)攻擊的形式將VMM的資源消耗殆盡，那么也就間接的將運(yùn)行在VMM上的所有虛擬機(jī)宕機(jī)，這樣管理人員就不能在通過(guò)網(wǎng)絡(luò)與VMM連接，解決的辦法只能是重啟VMM以及所有的虛擬機(jī)。

2.4 虛擬機(jī)通信上存在安全風(fēng)險(xiǎn)

隨著網(wǎng)絡(luò)虛擬化的廣泛普及和應(yīng)用，安全問(wèn)題的發(fā)生概率有所上升。在傳統(tǒng)網(wǎng)絡(luò)中比較有效的安全防護(hù)措施，將其移植到虛擬化的網(wǎng)絡(luò)環(huán)境中其效果并不顯著。

虛擬機(jī)通信上存在的安全風(fēng)險(xiǎn)主要有以下幾個(gè)方面：網(wǎng)絡(luò)安全防護(hù)困難、VM hopping攻擊、拒絕服務(wù)DOS攻擊等。其中網(wǎng)絡(luò)安全防護(hù)困難主要體現(xiàn)在服務(wù)器虛擬化之前通過(guò)使用防火墻將其劃分為不同等級(jí)的安全區(qū)域，不同級(jí)別的區(qū)域其管理策略也各不相同。從理論上可以認(rèn)為最嚴(yán)密的網(wǎng)絡(luò)安全隔離可以防止一臺(tái)服務(wù)器被網(wǎng)絡(luò)攻擊者攻破后對(duì)其他的服務(wù)器進(jìn)行攻擊。自從應(yīng)用了服務(wù)器虛擬化技術(shù)之后，同一臺(tái)機(jī)器上的所有虛擬機(jī)都共用物理機(jī)上的一塊網(wǎng)卡與網(wǎng)絡(luò)中的其他主機(jī)進(jìn)行通信，這就導(dǎo)致安全隱患問(wèn)題很容易擴(kuò)展到網(wǎng)絡(luò)中的其他主機(jī)上。因此傳統(tǒng)的防火墻部署形式并不能滿(mǎn)足服務(wù)器虛擬化對(duì)網(wǎng)絡(luò)安全的要求，還需要對(duì)防火墻技術(shù)進(jìn)行不斷的改進(jìn)和優(yōu)化。

VM Hopping攻擊是指為了提高虛擬化技術(shù)的性能而進(jìn)行內(nèi)存共享、交換，導(dǎo)致虛擬機(jī)在通信過(guò)程中存在風(fēng)險(xiǎn)，網(wǎng)絡(luò)攻擊人員利用已經(jīng)控制的虛擬機(jī)對(duì)處于同一物理機(jī)上的另一臺(tái)虛擬機(jī)進(jìn)行入侵，一旦成功后就可以借助其以同樣的形式對(duì)其他虛擬機(jī)進(jìn)行攻擊。網(wǎng)絡(luò)攻擊人員甚至可以直接控制宿主機(jī)，進(jìn)一步控制運(yùn)行在該宿主機(jī)上的所有虛擬機(jī)，因此一旦宿主機(jī)失去控制權(quán)，其后果相當(dāng)嚴(yán)重。

此外，還有一種對(duì)虛擬化危害比較嚴(yán)重的安全問(wèn)題就是拒絕服務(wù)（DOS）攻擊，在虛擬的服務(wù)器中，在同一個(gè)物理機(jī)上的所有硬件資源和網(wǎng)絡(luò)等都是由虛擬機(jī)和宿主機(jī)共同使用。拒絕服務(wù)攻擊的主要目標(biāo)是耗盡宿主機(jī)的所有資源，使其不能夠在為運(yùn)行在宿主機(jī)上的虛擬機(jī)服務(wù)，從而達(dá)到是虛擬機(jī)宕機(jī)的目的。

3 服務(wù)器虛擬化的安全防范措施

網(wǎng)絡(luò)安全防范措施是確保服務(wù)器正常穩(wěn)定安全運(yùn)行的屏障，服務(wù)器虛擬化技術(shù)改變了傳統(tǒng)網(wǎng)絡(luò)安全防范措施的部署形式，因此加強(qiáng)安全防范措施的改良、優(yōu)化對(duì)確保服務(wù)器的安全運(yùn)行有重大意義。下面將詳細(xì)介紹如何防范服務(wù)器虛擬化技術(shù)中存在的安全隱患和安全漏洞。

3.1應(yīng)用互感器邏輯隔離技術(shù)

在對(duì)服務(wù)器虛擬化進(jìn)行改良優(yōu)化過(guò)程中，負(fù)責(zé)網(wǎng)絡(luò)信息安全的工作人員可以將虛擬機(jī)當(dāng)作是AD服務(wù)器，在搭建網(wǎng)絡(luò)服務(wù)器時(shí)根據(jù)互聯(lián)網(wǎng)環(huán)境的實(shí)際情況分配不同的IP地址，利用這種方式來(lái)確保信息傳播過(guò)程中的安全性能，除此之外，網(wǎng)絡(luò)信息安全工作人員還可以采用劃分VLAN的方式，對(duì)網(wǎng)站上的各種信息進(jìn)行邏輯上的隔離操作。至于用于處理虛擬機(jī)內(nèi)部信息的操作軟件，將其進(jìn)行一體化連接，物理服務(wù)器是其信息交流的橋梁，這樣就有效防止了網(wǎng)卡橋出現(xiàn)安全問(wèn)題。由于虛擬器裝備在進(jìn)行信息傳遞的過(guò)程中很可能出現(xiàn)負(fù)荷越來(lái)越大的情況，這樣十分不利于網(wǎng)絡(luò)接受方對(duì)信號(hào)的動(dòng)態(tài)捕捉，致使原本能夠正常傳播的各種信號(hào)如視頻信號(hào)、音頻信號(hào)和圖片信息等發(fā)生畸變而不能正確傳播。

為了有效避免網(wǎng)絡(luò)攻擊人員對(duì)服務(wù)器虛擬化操作系統(tǒng)進(jìn)行各種攻擊侵入行為，信息安全維護(hù)人員可以通過(guò)應(yīng)用信息安全的技術(shù)系統(tǒng)來(lái)改善虛擬服務(wù)器的環(huán)境，來(lái)避免虛擬服務(wù)器被惡意攻擊。除此之外，負(fù)責(zé)網(wǎng)絡(luò)信息安全的工作人員還可以利用大數(shù)據(jù)庫(kù)提供的一些信息數(shù)據(jù)對(duì)虛擬環(huán)境進(jìn)行安全檢測(cè)，一旦數(shù)據(jù)庫(kù)中有異常情況發(fā)生就立即執(zhí)行安全的操作策略。vShield可以通過(guò)在虛擬的環(huán)境中建立隔離來(lái)解決主機(jī)和虛擬機(jī)之間的隔離問(wèn)題。此外，通過(guò)強(qiáng)化管理的功能層的性能，可以有效提升服務(wù)器虛擬化系統(tǒng)的抗攻擊能力，大大提高其安全系數(shù)。

3.2對(duì)虛擬機(jī)的操作系統(tǒng)進(jìn)行日常維護(hù)

在深入分析、研究了服務(wù)器虛擬化存在的安全風(fēng)險(xiǎn)之后，我們發(fā)展負(fù)責(zé)維護(hù)網(wǎng)絡(luò)信息安全的工作人員應(yīng)該對(duì)虛擬機(jī)的操作系統(tǒng)進(jìn)行規(guī)范化、常規(guī)化的維護(hù)工作，網(wǎng)絡(luò)安全部門(mén)應(yīng)該充分重視虛擬化服務(wù)器的安全問(wèn)題，嚴(yán)格監(jiān)督控制信息分配和處理過(guò)程。與此同時(shí)，網(wǎng)絡(luò)信息安全部門(mén)應(yīng)該設(shè)有專(zhuān)門(mén)的虛擬機(jī)系統(tǒng)維護(hù)人員，一般2到3人為最佳，對(duì)系統(tǒng)中安裝的所有軟件進(jìn)行維護(hù)、升級(jí)等操作，確保一旦有病毒入侵能夠第一時(shí)間被安全防護(hù)人員發(fā)現(xiàn)并進(jìn)行有效攔截。此外，通過(guò)定期對(duì)信息通道監(jiān)控還可以有效減少垃圾信息的數(shù)量，從而有效避免了信息信號(hào)傳輸受阻情況的發(fā)生。必須定期排查服務(wù)器虛擬化的安全防范措施，并將其作為一種常態(tài)化操作保留下來(lái)，這樣能夠在很大程度上提高制度的執(zhí)行效率。最后，引進(jìn)并使用先進(jìn)的殺毒軟件系統(tǒng)，對(duì)運(yùn)行在虛擬機(jī)上的操作系統(tǒng)進(jìn)行及時(shí)的漏洞修補(bǔ)，將出現(xiàn)安全鏈斷裂的地方及時(shí)修復(fù)。此外，還要適時(shí)的對(duì)運(yùn)行在虛擬機(jī)上的操作系統(tǒng)進(jìn)行升級(jí)操作，與之配套的防火墻軟件也要進(jìn)行相應(yīng)的升級(jí)，這樣才能更好地避免安全隱患的發(fā)生，確保服務(wù)器虛擬機(jī)的安全穩(wěn)定運(yùn)行。

3.3對(duì)服務(wù)器進(jìn)行鏡像處理和冗余設(shè)置

如果網(wǎng)絡(luò)攻擊人員利用硬盤(pán)故障發(fā)動(dòng)對(duì)服務(wù)器的攻擊的話(huà)，那么對(duì)服務(wù)器虛擬化的打擊可以說(shuō)是十分致命的，因此，網(wǎng)絡(luò)信息安全的工程人員在對(duì)服務(wù)器進(jìn)行安全防護(hù)的過(guò)程中，首要工作就是對(duì)服務(wù)器進(jìn)行一系列的評(píng)估活動(dòng)，對(duì)網(wǎng)絡(luò)硬盤(pán)的內(nèi)存和運(yùn)行速度等性能進(jìn)行評(píng)估，判斷其能否滿(mǎn)足服務(wù)器虛擬化的實(shí)際需求。為了阻止網(wǎng)絡(luò)攻擊人員的攻擊行為，弱化網(wǎng)絡(luò)信息安全的安全隱患，信息安全維護(hù)人員可以采用應(yīng)用多臺(tái)物理服務(wù)器的方式對(duì)硬件資源進(jìn)行鏡像處理和冗余設(shè)置，從而達(dá)到虛擬軟件動(dòng)態(tài)遷移的目標(biāo)。對(duì)服務(wù)器進(jìn)行鏡像處理和冗余設(shè)置可以從根本上不斷地對(duì)服務(wù)器虛擬化軟件進(jìn)行更新?lián)Q代，使服務(wù)器虛擬化一直保持在動(dòng)態(tài)遷移的狀態(tài)，這樣即使服務(wù)器虛擬化系統(tǒng)被網(wǎng)絡(luò)攻擊人員攻擊破壞，出現(xiàn)網(wǎng)絡(luò)安全的威脅，它也能夠及時(shí)發(fā)現(xiàn)并進(jìn)行有效修復(fù)，從而避免了因?yàn)殚L(zhǎng)時(shí)間的連接而造成的連接中斷問(wèn)題。

3.4 部署網(wǎng)絡(luò)安全產(chǎn)品

為了保證虛擬機(jī)的安全穩(wěn)定的運(yùn)行，可以通過(guò)部署網(wǎng)絡(luò)安全產(chǎn)品如網(wǎng)絡(luò)殺毒軟件等的方式防止網(wǎng)絡(luò)攻擊人員的惡意攻擊和病毒入侵。通過(guò)安裝殺毒軟件可以實(shí)時(shí)更新惡意代碼庫(kù)和病毒庫(kù)，從而更好的查殺病毒，防范病毒的入侵。此外，部署網(wǎng)絡(luò)防火墻也是一種比較常見(jiàn)的防止網(wǎng)絡(luò)攻擊的方式，它的工作原理遵循最小授權(quán)訪(fǎng)問(wèn)原則，即訪(fǎng)問(wèn)虛擬主機(jī)和虛擬機(jī)IP地址和端口號(hào)都要受到控制，只有這樣才能確保虛擬機(jī)運(yùn)行環(huán)境的安全可靠。

為了確保虛擬機(jī)的安全穩(wěn)定運(yùn)行，對(duì)虛擬機(jī)中出現(xiàn)的任何漏洞問(wèn)題都要進(jìn)行及時(shí)的修補(bǔ)操作和系統(tǒng)的更新處理。即使做了上述防范措施也無(wú)法避免虛擬化平臺(tái)出現(xiàn)安全問(wèn)題，造成這種現(xiàn)象發(fā)生的主要原因是補(bǔ)丁的更新速度跟不上漏洞產(chǎn)生的速度；同時(shí)，在虛擬化平臺(tái)上同時(shí)運(yùn)行著多個(gè)虛擬機(jī)，致使虛擬化平臺(tái)的運(yùn)行速度比較慢。即使虛擬機(jī)受到虛擬化平臺(tái)的保護(hù)，但由于虛擬機(jī)自身存在安全漏洞，同樣會(huì)給虛擬機(jī)的正常運(yùn)行帶來(lái)安全威脅。

3.5建立完善的審計(jì)機(jī)制

建立完善的審計(jì)機(jī)制也是一種保證服務(wù)器虛擬化系統(tǒng)安全運(yùn)行的有效措施。該審計(jì)機(jī)制主要包括以下幾個(gè)方面的內(nèi)容。首先要嚴(yán)格監(jiān)控虛擬服務(wù)器上負(fù)載的數(shù)量。其次提高用戶(hù)對(duì)操作行為的審計(jì)水平，通過(guò)檢查和分析系統(tǒng)日志來(lái)發(fā)現(xiàn)是否有異常的情況發(fā)生，從而及時(shí)發(fā)現(xiàn)異常并進(jìn)行修復(fù)工作。

3.6加強(qiáng)系統(tǒng)管理

世界上并不存在無(wú)懈可擊的事物，因此即使在網(wǎng)絡(luò)中采取了安全防范措施也不能夠完全保證網(wǎng)絡(luò)的安全運(yùn)行，因此，我們應(yīng)該根據(jù)不同風(fēng)險(xiǎn)的實(shí)際情況而采取不同策略的安全防范措施，從而最大程度的保障其安全性能。為了實(shí)現(xiàn)這一目標(biāo)制定完善的安全管理措施是十分有必要的。與此同時(shí)，加強(qiáng)系統(tǒng)管理人員自身的安全防范意識(shí)對(duì)避免安全隱患的發(fā)生的意義也是十分重大的。

4 總結(jié)

綜上所述，服務(wù)器虛擬化技術(shù)已經(jīng)實(shí)現(xiàn)了多個(gè)操作系統(tǒng)在同一個(gè)物理服務(wù)器上運(yùn)行，使得硬件資源被最大程度的利用，與此同時(shí)還大大降低了對(duì)服務(wù)器的管理工作的工作量，從一定程度上減少了管理成本。然而，隨之而來(lái)的還有新的安全風(fēng)險(xiǎn)和安全隱患，為了確保服務(wù)器的安全性能，加強(qiáng)防護(hù)是必要的。

參考文獻(xiàn)：

[1] 孫志明.服務(wù)器虛擬化安全風(fēng)險(xiǎn)防范措施[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2013（12）：69-72.

[2] 車(chē)立陽(yáng).服務(wù)器虛擬化安全風(fēng)險(xiǎn)及防護(hù)措施研究[J].信息技術(shù)與信息化，2014（12）：61-62.

[3] 王煥民，裴華艷.云計(jì)算環(huán)境下虛擬化服務(wù)器的安全研究[J].鐵路計(jì)算機(jī)應(yīng)用，2014，23（12）：49-51.