李 超 ，黨增江

(1.中國人民解放軍92728 部隊(duì)，上海 200040；2.中國航天科工集團(tuán)第二研究院七〇六所，北京 100854)

0 引言

隨著虛擬化技術(shù)的快速發(fā)展，服務(wù)器虛擬化作為最常用的虛擬化技術(shù)已經(jīng)在各行各業(yè)得到了廣泛應(yīng)用。服務(wù)器虛擬化通過運(yùn)用相應(yīng)的虛擬化軟件將服務(wù)器中的資源進(jìn)行整合轉(zhuǎn)換，實(shí)現(xiàn)對(duì)資源的均衡分配，并且還能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的合理利用，進(jìn)而達(dá)到提高工作效率的目的[1-4]。

目前，服務(wù)器虛擬化有“一虛多”“多虛一”和“多虛多”三種方式[5]?！耙惶摱唷笔莻鹘y(tǒng)的虛擬化方式，實(shí)現(xiàn)把一臺(tái)物理服務(wù)器虛擬為多臺(tái)邏輯服務(wù)器，虛擬出的邏輯服務(wù)器彼此獨(dú)立、互不干擾，每個(gè)邏輯服務(wù)器單獨(dú)運(yùn)行一個(gè)操作系統(tǒng)的副本，并且應(yīng)用程序都可以在相互獨(dú)立的空間內(nèi)運(yùn)行而不相互影響?！岸嗵撘弧睂?shí)現(xiàn)把多臺(tái)物理服務(wù)器虛擬成一臺(tái)邏輯服務(wù)器，多臺(tái)物理服務(wù)器之間使用高速網(wǎng)絡(luò)或?qū)Ｓ每偩€連接，在虛擬出的這臺(tái)邏輯服務(wù)器上運(yùn)行單一的操作系統(tǒng)副本，應(yīng)用程序運(yùn)行在邏輯服務(wù)器中可以同時(shí)使用多臺(tái)物理服務(wù)器中的硬件資源，構(gòu)成一個(gè)大節(jié)點(diǎn)服務(wù)器。“多虛多”是在“多虛一”的技術(shù)上，再將虛擬出的邏輯服務(wù)器劃分為多臺(tái)虛擬服務(wù)器，且性能都能根據(jù)資源池中實(shí)際資源情況進(jìn)行靈活配置和調(diào)度。無論那種服務(wù)器虛擬化方式，都存在虛擬機(jī)逃逸、跳躍、蔓延，虛擬機(jī)鏡像被非法拷貝，虛擬機(jī)間流量難以被審計(jì)等安全風(fēng)險(xiǎn)，這些安全風(fēng)險(xiǎn)一旦被黑客利用進(jìn)行網(wǎng)絡(luò)攻擊，容易造成關(guān)鍵數(shù)據(jù)被竊取，甚至虛擬機(jī)被完全控制，這對(duì)服務(wù)器虛擬化在軍工等特殊行業(yè)的應(yīng)用帶來了巨大挑戰(zhàn)[6]。

本文重點(diǎn)分析了常用的“一虛多”服務(wù)器虛擬化在網(wǎng)絡(luò)信息體系應(yīng)用中面臨的安全風(fēng)險(xiǎn)，從部署環(huán)境、宿主機(jī)、虛擬機(jī)、系統(tǒng)運(yùn)行和運(yùn)維管理等方面的采取安全防護(hù)措施，形成一套服務(wù)器虛擬化安全防護(hù)解決方案，推動(dòng)服務(wù)器虛擬化在企事業(yè)單位網(wǎng)絡(luò)信息體系中的落地應(yīng)用。

1 服務(wù)器虛擬化安全風(fēng)險(xiǎn)分析

服務(wù)器虛擬化技術(shù)的應(yīng)用提升了計(jì)算機(jī)服務(wù)器的應(yīng)用效率及價(jià)值，但在實(shí)際的技術(shù)應(yīng)用過程中，尤其在軍工企業(yè)等敏感網(wǎng)絡(luò)信息體系中，還存在一定的安全風(fēng)險(xiǎn)[7-8]，這在一定程度上影響了服務(wù)器虛擬化在軍工等特殊行業(yè)的應(yīng)用效果。下面對(duì)虛擬化技術(shù)的安全風(fēng)險(xiǎn)進(jìn)行分析和總結(jié)。

1.1 技術(shù)架構(gòu)安全風(fēng)險(xiǎn)

在服務(wù)器“一虛多”的虛擬化方式下，所有的虛擬機(jī)共享宿主機(jī)上的硬件資源并彼此邏輯隔離，依靠虛擬機(jī)管理器進(jìn)行統(tǒng)一管理和調(diào)度。目前，在X86架構(gòu)下，常用的虛擬化軟件大多都是國外產(chǎn)品，如VMware Station、Virtual Box 等，若這些國外虛擬機(jī)產(chǎn)品存在后門，將會(huì)影響整個(gè)虛擬化系統(tǒng)的安全運(yùn)行。

同時(shí)，虛擬化技術(shù)存在虛擬機(jī)逃逸、跳躍、蔓延等技術(shù)缺陷，非法用戶可以利用虛擬化軟件的漏洞發(fā)起攻擊，獲取宿主機(jī)的管理員權(quán)限，控制虛擬機(jī)管理器，或者以某一個(gè)虛擬機(jī)為跳板，獲得同一宿主機(jī)上其他虛擬機(jī)的訪問權(quán)限，最終實(shí)現(xiàn)越權(quán)訪問、拒絕服務(wù)，甚至對(duì)虛擬機(jī)進(jìn)行完全控制[9]。

1.2 系統(tǒng)運(yùn)行安全風(fēng)險(xiǎn)

在虛擬化環(huán)境中，同一臺(tái)宿主機(jī)上一般運(yùn)行著多個(gè)虛擬機(jī)，這些虛擬機(jī)共享宿主機(jī)上的處理器、內(nèi)存、存儲(chǔ)和網(wǎng)絡(luò)資源。所有虛擬機(jī)都連接到宿主機(jī)的同一張網(wǎng)卡或虛擬交換機(jī)上，虛擬機(jī)之間的通信流量可以不經(jīng)過外部網(wǎng)絡(luò)，傳統(tǒng)的基于交換機(jī)鏡像端口的網(wǎng)絡(luò)流量入侵檢測(cè)技術(shù)將會(huì)失效，如果一臺(tái)虛擬機(jī)發(fā)生安全問題，將可能會(huì)擴(kuò)散到同一宿主機(jī)的其他虛擬機(jī)[6]。

虛擬化環(huán)境下的端口由物理服務(wù)器映射到虛擬機(jī)，如果端口沒有設(shè)置安全規(guī)則，虛擬機(jī)的端口有可能連接到外部網(wǎng)絡(luò)，有可能會(huì)受到攻擊者的非法訪問。

在進(jìn)行服務(wù)器虛擬化時(shí)，為了部署快捷方便，管理員可能使用同一鏡像文件批量創(chuàng)建多個(gè)虛擬機(jī)，如果虛擬機(jī)的鏡像文件本身存在漏洞或攜帶病毒，虛擬機(jī)運(yùn)行時(shí)這種漏洞和病毒會(huì)影響到整個(gè)網(wǎng)絡(luò)，帶來極大的安全隱患。

虛擬機(jī)在使用過程中需要對(duì)物理服務(wù)器中的資源進(jìn)行競爭，包括處理器、內(nèi)存和帶寬等，在實(shí)際的建設(shè)過程中，一旦虛擬出的服務(wù)器過多或者同一虛擬機(jī)中出現(xiàn)過多應(yīng)用程序，就會(huì)導(dǎo)致整個(gè)服務(wù)器工作負(fù)載過重，使服務(wù)器的工作效率降低，影響整個(gè)虛擬化系統(tǒng)的運(yùn)行質(zhì)量。

1.3 配置管理安全風(fēng)險(xiǎn)

在虛擬化環(huán)境中，物理資源高度集中，管理員在配置過程中若因規(guī)劃或設(shè)計(jì)不當(dāng)，可能導(dǎo)致虛擬機(jī)存在配置缺陷而留下安全隱患。配置缺陷主要包括：管理流量和業(yè)務(wù)流量共用網(wǎng)絡(luò)鏈路，可能在管理流量中混入攻擊流量而不被監(jiān)管，造成業(yè)務(wù)系統(tǒng)正常訪問受到影響；不同密級(jí)的虛擬機(jī)共用一臺(tái)宿主機(jī)或存儲(chǔ)設(shè)備未進(jìn)行有效的安全隔離，網(wǎng)絡(luò)邊界模糊，一些敏感信息可能會(huì)被其他虛擬機(jī)非法讀??；虛擬磁盤中的文件明文存儲(chǔ)，虛擬機(jī)在遷移過程中文件被非法復(fù)制，可能造成重要數(shù)據(jù)外泄；安全產(chǎn)品缺失或者安全策略配置不合理，虛擬機(jī)中的流量無法被監(jiān)管和審計(jì)，都會(huì)導(dǎo)致安全風(fēng)險(xiǎn)[10]。

1.4 運(yùn)維管理安全風(fēng)險(xiǎn)

在虛擬化環(huán)境中，對(duì)服務(wù)器硬件維修、軟件維護(hù)、虛擬機(jī)遷移和刪除等運(yùn)維過程缺少相應(yīng)的安全監(jiān)管，極易發(fā)生運(yùn)維安全事件。如虛擬機(jī)管理員權(quán)限過大，宿主機(jī)的管理員賬號(hào)隨意使用，運(yùn)維操作缺乏安全審計(jì)導(dǎo)致隨意創(chuàng)建虛擬機(jī)和修改虛擬機(jī)配置，不能及時(shí)更新病毒庫和系統(tǒng)補(bǔ)丁，非授權(quán)人員隨意接觸虛擬機(jī)管理器，運(yùn)維過程中移動(dòng)存儲(chǔ)介質(zhì)隨意接入虛擬機(jī)等，都會(huì)對(duì)虛擬化系統(tǒng)帶來惡意攻擊和數(shù)據(jù)泄密等安全隱患，更有甚者造成整個(gè)虛擬化系統(tǒng)癱瘓和業(yè)務(wù)中斷。

2 服務(wù)器虛擬化安全防護(hù)設(shè)計(jì)

為推動(dòng)服務(wù)器虛擬化在企事業(yè)單位網(wǎng)絡(luò)信息體系中的落地應(yīng)用，保證虛擬化系統(tǒng)的安全運(yùn)行，本文提出了一種服務(wù)器虛擬化的安全防護(hù)設(shè)計(jì)方案，從部署環(huán)境安全、宿主機(jī)安全、虛擬機(jī)安全、系統(tǒng)運(yùn)行安全和運(yùn)維安全管理方面進(jìn)行了詳細(xì)闡述。

2.1 安全防護(hù)架構(gòu)

本文提出的安全防護(hù)設(shè)計(jì)總體架構(gòu)如圖1 所示，該安全防護(hù)架構(gòu)的設(shè)計(jì)思路如下：

圖1 安全防護(hù)總體架構(gòu)

(1)分級(jí)分域設(shè)計(jì)，將整個(gè)網(wǎng)絡(luò)劃分為高密級(jí)應(yīng)用服務(wù)域、低密級(jí)應(yīng)用服務(wù)域、高密級(jí)用戶終端域、低密級(jí)用戶終端域、安全監(jiān)管域、運(yùn)維管理域和核心交換域，對(duì)服務(wù)器宿主機(jī)、虛擬機(jī)、存儲(chǔ)資源、用戶終端等進(jìn)行安全分級(jí)管理。

(2)安全域訪問控制，各安全域之間的通信通過核心交換域進(jìn)行安全防護(hù)控制，嚴(yán)禁低密級(jí)終端訪問高密級(jí)的虛擬機(jī)和存儲(chǔ)資源。

(3)“三網(wǎng)設(shè)計(jì)”，將整個(gè)網(wǎng)絡(luò)中按照流量類型設(shè)計(jì)為業(yè)務(wù)網(wǎng)、存儲(chǔ)網(wǎng)和管理網(wǎng)，業(yè)務(wù)交換機(jī)、管理交換機(jī)和存儲(chǔ)交換機(jī)獨(dú)立設(shè)置，在服務(wù)器虛擬化宿主機(jī)上配置3 塊不同的網(wǎng)卡承載相應(yīng)的數(shù)據(jù)流量，避免流量交叉[10]。

(4)加密存儲(chǔ)，各虛擬機(jī)的系統(tǒng)文件和數(shù)據(jù)文件均存儲(chǔ)在磁盤陣列中，并使用存儲(chǔ)密碼機(jī)進(jìn)行透明加密存放，保證虛擬機(jī)的文件和數(shù)據(jù)安全[7]。

(5)在服務(wù)器虛擬化宿主機(jī)上部署服務(wù)器審計(jì)系統(tǒng)，對(duì)宿主機(jī)的操作和運(yùn)行狀態(tài)進(jìn)行安全審計(jì)，在網(wǎng)絡(luò)中部署入侵檢測(cè)設(shè)備，對(duì)服務(wù)器交換機(jī)和核心交換機(jī)上的流量進(jìn)行安全分析和異常檢測(cè)。

(6)設(shè)置專用的運(yùn)維管理終端，對(duì)虛擬化系統(tǒng)和其他設(shè)備進(jìn)行日常運(yùn)維管理。

2.2 部署環(huán)境安全

服務(wù)器虛擬化系統(tǒng)的服務(wù)器、存儲(chǔ)設(shè)備及相關(guān)網(wǎng)絡(luò)設(shè)備等要放置在機(jī)房進(jìn)行集中管理，并對(duì)機(jī)房進(jìn)行安全防護(hù)和訪問控制：

(1)機(jī)房配置電子門禁系統(tǒng)，通過身份認(rèn)證后方可進(jìn)入，控制、鑒別和記錄出入人員。

(2)機(jī)房配置視頻監(jiān)控和紅外入侵監(jiān)控，及時(shí)發(fā)現(xiàn)非法人員進(jìn)入，防止對(duì)機(jī)房設(shè)備進(jìn)行破壞。

(3)機(jī)房配置動(dòng)環(huán)監(jiān)控系統(tǒng)，實(shí)時(shí)調(diào)節(jié)機(jī)房的溫濕度環(huán)境，監(jiān)控機(jī)房的供電狀態(tài)，防止對(duì)技術(shù)設(shè)備造成損壞，保障機(jī)房環(huán)境運(yùn)行安全。

(4)機(jī)房內(nèi)業(yè)務(wù)網(wǎng)、存儲(chǔ)網(wǎng)和管理網(wǎng)使用不同顏色的線纜，并設(shè)置相應(yīng)標(biāo)志，防止不同網(wǎng)絡(luò)之間交叉使用。

(5)對(duì)服務(wù)器、交換機(jī)等設(shè)備上不使用的接口進(jìn)行物理關(guān)閉。

2.3 宿主機(jī)安全

宿主機(jī)的安全是整個(gè)服務(wù)器虛擬化系統(tǒng)的前提，宿主機(jī)一旦被控制，其上運(yùn)行的虛擬機(jī)都有可能被攻擊，可以從以下幾方面對(duì)宿主機(jī)進(jìn)行安全加固：

(1)設(shè)置宿主機(jī)BIOS 密碼，設(shè)置默認(rèn)從本地硬盤啟動(dòng)，禁止從網(wǎng)絡(luò)或USB 口啟動(dòng)，確保宿主機(jī)的啟動(dòng)安全。

(2)宿主機(jī)優(yōu)先使用國產(chǎn)服務(wù)器，并安裝配套的融合系統(tǒng)，對(duì)外設(shè)端口進(jìn)行管控，控制開放的網(wǎng)絡(luò)服務(wù)和端口，安裝服務(wù)器審計(jì)系統(tǒng)，對(duì)宿主機(jī)的登錄、運(yùn)行狀態(tài)和指令操作進(jìn)行審計(jì)，保障宿主機(jī)的運(yùn)行安全。

(3)在宿主機(jī)中安裝相應(yīng)的安全管理軟件，定期對(duì)宿主機(jī)進(jìn)行病毒和惡意代碼查殺、漏洞修復(fù)。

(4)設(shè)置高強(qiáng)度的宿主機(jī)操作系統(tǒng)登錄密碼，密碼由字母、數(shù)字和特殊字符混合組成，并定期進(jìn)行密碼更換。

(5)宿主機(jī)配置不同的網(wǎng)口和HBA 卡，分別用于連接業(yè)務(wù)網(wǎng)、管理網(wǎng)和存儲(chǔ)網(wǎng)。

(6)按照設(shè)備密級(jí)，對(duì)宿主機(jī)進(jìn)行分機(jī)柜放置，嚴(yán)禁在低密級(jí)的宿主機(jī)上創(chuàng)建高密級(jí)的虛擬機(jī)。

2.4 虛擬機(jī)安全

虛擬機(jī)中承載著網(wǎng)絡(luò)中各業(yè)務(wù)系統(tǒng)的運(yùn)行，虛擬機(jī)的安全是保障業(yè)務(wù)系統(tǒng)安全的關(guān)鍵所在，虛擬機(jī)一旦被攻擊，業(yè)務(wù)系統(tǒng)將會(huì)受到破壞或直接癱瘓?？梢詮囊韵聨追矫鎸?duì)虛擬機(jī)進(jìn)行安全防護(hù)：

(1)優(yōu)先使用國產(chǎn)化虛擬化軟件，防止非國產(chǎn)化虛擬化軟件存在后門，對(duì)業(yè)務(wù)系統(tǒng)帶來潛在的安全威脅。

(2)對(duì)KVM、QEMU 等虛擬化軟件已知的漏洞進(jìn)行修復(fù)和加固，持續(xù)追蹤和修復(fù)最新發(fā)現(xiàn)的虛擬機(jī)漏洞。

(3)虛擬機(jī)的系統(tǒng)文件和數(shù)據(jù)文件存放在磁盤陣列中，磁盤陣列設(shè)置RAID 進(jìn)行冗余，并經(jīng)存儲(chǔ)加密機(jī)進(jìn)行文件存儲(chǔ)加密，防止硬盤損壞或丟失帶來的數(shù)據(jù)損壞或泄密，同時(shí)保證虛擬機(jī)遷移過程的安全性。

(4)在虛擬機(jī)中開啟虛擬化防火墻，對(duì)進(jìn)出虛擬機(jī)的流量進(jìn)行訪問控制，及時(shí)阻斷非法網(wǎng)絡(luò)連接。

(5)定期對(duì)虛擬機(jī)進(jìn)行快照操作，防止虛擬機(jī)因意外情況無法正常運(yùn)行，可對(duì)狀態(tài)異常的虛擬機(jī)進(jìn)行及時(shí)恢復(fù)。

(6)對(duì)虛擬機(jī)的操作系統(tǒng)設(shè)置高強(qiáng)度登錄密碼，密碼由字母、數(shù)字和特殊字符混合組成，并定期進(jìn)行密碼更換。

2.5 系統(tǒng)運(yùn)行安全

為進(jìn)一步加強(qiáng)整個(gè)虛擬化系統(tǒng)的安全防護(hù)，應(yīng)部署防火墻、網(wǎng)絡(luò)接入控制系統(tǒng)、違規(guī)外聯(lián)系統(tǒng)、終端安全登錄系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)和安全審計(jì)系統(tǒng)等，提升虛擬化系統(tǒng)的整體安全防護(hù)能力。

(1)訪問策略控制

在網(wǎng)絡(luò)中部署防火墻，可以在虛擬化服務(wù)器與用戶終端、不同級(jí)別的安全域之間提供網(wǎng)絡(luò)安全隔離服務(wù)，提供基于IP、協(xié)議、端口等要素的安全訪問策略，通過制定合理的訪問規(guī)則防止各安全域設(shè)備之間的非法網(wǎng)絡(luò)訪問。

(2)網(wǎng)絡(luò)接入控制

在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)接入控制系統(tǒng)，對(duì)接入交換機(jī)上的端口進(jìn)行入網(wǎng)管控，并在計(jì)算機(jī)終端上安裝網(wǎng)絡(luò)接入控制客戶端，計(jì)算機(jī)入網(wǎng)時(shí)校驗(yàn)IP 地址、MAC 地址、交換機(jī)管理IP、交換機(jī)端口和用戶名密碼等信息。同時(shí)，網(wǎng)絡(luò)接入控制客戶端可以對(duì)計(jì)算機(jī)終端進(jìn)行健康檢查，如檢測(cè)是否安裝了防病毒軟件、主機(jī)監(jiān)控和審計(jì)軟件、終端安全登錄軟件等，只有通過終端健康檢查后才能通過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證，確保只有授權(quán)的計(jì)算機(jī)終端可以接入網(wǎng)絡(luò)中，訪問業(yè)務(wù)服務(wù)。

(3)違規(guī)外聯(lián)管控

在計(jì)算機(jī)終端上安裝違規(guī)外聯(lián)軟件，制定違規(guī)外聯(lián)策略，對(duì)計(jì)算機(jī)中的外設(shè)接口進(jìn)行有限管控，防止移動(dòng)存儲(chǔ)介質(zhì)交叉使用帶來數(shù)據(jù)外泄風(fēng)險(xiǎn)。實(shí)時(shí)檢測(cè)計(jì)算機(jī)是否連接到互聯(lián)網(wǎng)，發(fā)現(xiàn)外聯(lián)后立即阻斷網(wǎng)絡(luò)通信，避免受到外部網(wǎng)絡(luò)的攻擊。

(4)終端登錄管控和身份認(rèn)證

在網(wǎng)絡(luò)中建立統(tǒng)一的身份認(rèn)證體系，結(jié)合USB Key 等物理硬件，保證各用戶身份的唯一性，部署終端安全登錄系統(tǒng)和身份認(rèn)證網(wǎng)關(guān)，實(shí)現(xiàn)計(jì)算機(jī)終端安全登錄管控和應(yīng)用認(rèn)證，記錄終端登錄和應(yīng)用認(rèn)證日志，方便管理員進(jìn)行日常審計(jì)。

(5)網(wǎng)絡(luò)防病毒

在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)防病毒系統(tǒng)，服務(wù)器和終端上安裝防病毒客戶端，在防病毒系統(tǒng)的控制中心制定病毒和惡意代碼查殺策略，對(duì)各客戶端進(jìn)行升級(jí)管理，通過控制中心可以查看整個(gè)網(wǎng)絡(luò)中的病毒查殺和主動(dòng)防御信息。

(6)網(wǎng)絡(luò)入侵檢測(cè)

在網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)，實(shí)時(shí)檢測(cè)核心交換機(jī)、服務(wù)器交換機(jī)上的網(wǎng)絡(luò)流量，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量并進(jìn)行報(bào)警。將虛擬化宿主機(jī)連接的服務(wù)器交換機(jī)的鏡像流量接入到入侵檢測(cè)系統(tǒng)，可以監(jiān)控宿主機(jī)之間、虛擬機(jī)之間的非法網(wǎng)絡(luò)訪問，通過分析服務(wù)器交換機(jī)上的網(wǎng)絡(luò)流量，可以對(duì)應(yīng)用服務(wù)的訪問事件進(jìn)行記錄和分析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的潛在攻擊行為。

(7)安全審計(jì)

在網(wǎng)絡(luò)中部署安全審計(jì)系統(tǒng)，可以接收來自其他安全設(shè)備的審計(jì)日志，實(shí)現(xiàn)對(duì)審計(jì)日志的集中存儲(chǔ)、統(tǒng)一管理、關(guān)聯(lián)分析，可以對(duì)安全事件進(jìn)行溯源和定位。

2.6 運(yùn)維安全管理

任何系統(tǒng)的安全防護(hù)僅僅依靠技術(shù)措施是不夠的，必須輔助管理手段，做到人防和技防相結(jié)合。針對(duì)服務(wù)虛擬化所在的網(wǎng)絡(luò)，可以從以下幾個(gè)方面進(jìn)行日常運(yùn)維和安全管理：

(1)設(shè)置專用的運(yùn)維管理終端，對(duì)虛擬化系統(tǒng)宿主機(jī)和虛擬機(jī)進(jìn)行日常運(yùn)維，做到管理信息和業(yè)務(wù)信息安全隔離。

(2)設(shè)置系統(tǒng)“三員”，即系統(tǒng)管理員、安全管理員和安全審計(jì)員，三員相互獨(dú)立，彼此監(jiān)督，明確各管理員的權(quán)限和職責(zé)，禁止權(quán)限交叉，嚴(yán)禁越權(quán)操作。

(3)建立與服務(wù)器虛擬化日常運(yùn)行相適應(yīng)的安全管理制度，對(duì)虛擬機(jī)的創(chuàng)建、修改、刪除、遷移以及開機(jī)、重啟、關(guān)機(jī)、快照等日常操作制定操作規(guī)程，必要時(shí)進(jìn)行審批流程，做好日常操作記錄。

(4)定期對(duì)虛擬化系統(tǒng)的運(yùn)維日志和安全防護(hù)設(shè)備日志進(jìn)行安全審計(jì)，及時(shí)發(fā)現(xiàn)違規(guī)操作，并采取針對(duì)性的補(bǔ)救措施。

3 試驗(yàn)驗(yàn)證

本節(jié)對(duì)上文中提出的服務(wù)虛擬化安全防護(hù)設(shè)計(jì)方案進(jìn)行了試驗(yàn)驗(yàn)證。

3.1 試驗(yàn)設(shè)備

試驗(yàn)驗(yàn)證需要用到的主要設(shè)備如表1～表3 所示。

表1 服務(wù)器列表

表2 交換機(jī)及存儲(chǔ)設(shè)備列表

表3 安全防護(hù)設(shè)備列表

試驗(yàn)中使用的管理終端和業(yè)務(wù)終端使用普通的X86 電腦，高密級(jí)業(yè)務(wù)終端配置2 臺(tái)，低密級(jí)業(yè)務(wù)終端配置2 臺(tái)，管理終端配置3 臺(tái)。

3.2 試驗(yàn)過程

3.2.1 搭建試驗(yàn)環(huán)境

將試驗(yàn)設(shè)備按照?qǐng)D1 進(jìn)行組網(wǎng)，搭建試驗(yàn)環(huán)境。網(wǎng)絡(luò)VLAN 劃分如表4 所示，服務(wù)器的IP 地址分配如表5 所示，其他設(shè)備按照VLAN 劃分分配相應(yīng)的IP 地址。

表4 VLAN 劃分

表5 服務(wù)器IP 地址分配

3.2.2 防護(hù)策略配置

(1)宿主機(jī)安全配置

2 臺(tái)天玥服務(wù)器和2 臺(tái)浪潮服務(wù)器均設(shè)置BIOS啟動(dòng)密碼，安裝天擎終端安全管理系統(tǒng)客戶端軟件，并在天擎系統(tǒng)控制中心設(shè)置違規(guī)外聯(lián)和外設(shè)管控措施。同時(shí)，在物理服務(wù)器中加裝HBA 卡，使用光纖通過存儲(chǔ)密碼機(jī)連接到相應(yīng)的磁盤陣列，磁盤陣列配置的硬盤組建RAID5，并為相應(yīng)的服務(wù)器提供存儲(chǔ)空間。

2 臺(tái)天玥國產(chǎn)服務(wù)器中安裝服務(wù)器審計(jì)代理軟件，進(jìn)行服務(wù)器狀態(tài)監(jiān)控和操作審計(jì)。

(2)虛擬機(jī)安全配置

在天玥服務(wù)器中使用QEMU 創(chuàng)建虛擬機(jī)，浪潮服務(wù)器使用VMware Station 創(chuàng)建虛擬機(jī)，將虛擬機(jī)的系統(tǒng)文件保存到磁盤陣列提供的存儲(chǔ)空間中，確保虛擬機(jī)中的文件通過存儲(chǔ)密碼機(jī)進(jìn)行安全加密。在虛擬機(jī)中開啟系統(tǒng)自帶的防火墻，并設(shè)置復(fù)雜的登錄口令。

(3)系統(tǒng)運(yùn)行安全配置

在核心交換機(jī)中配置ACL 列表，控制各VLAN之間的網(wǎng)絡(luò)通信，在防火墻中設(shè)置訪問控制策略保證業(yè)務(wù)終端只能訪問授權(quán)的業(yè)務(wù)資源。在網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)中配置802.1X 準(zhǔn)入模式，同時(shí)在接入交換機(jī)中啟用802.1X 認(rèn)證，確保只有授權(quán)的設(shè)備才可以接入網(wǎng)絡(luò)。利用天擎終端安全管理系統(tǒng)對(duì)服務(wù)器、終端電腦進(jìn)行外設(shè)使用控制和違規(guī)外聯(lián)控制，違反外聯(lián)控制策略時(shí)及時(shí)斷開主機(jī)網(wǎng)絡(luò)。

使用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和服務(wù)器審計(jì)系統(tǒng)對(duì)網(wǎng)絡(luò)中的異常事件、違規(guī)操作以及服務(wù)器的狀態(tài)和操作進(jìn)行安全審計(jì)。

(4)運(yùn)維安全配置

設(shè)置系統(tǒng)管理員、安全管理員和安全審計(jì)員，并配置專用的管理終端，對(duì)整個(gè)系統(tǒng)進(jìn)行配置和維護(hù)，虛擬機(jī)的創(chuàng)建、修改、刪除、遷移操作由系統(tǒng)管理員負(fù)責(zé)，安全管理員對(duì)系統(tǒng)管理員和安全審計(jì)員的操作進(jìn)行安全審計(jì)，安全審計(jì)員對(duì)安全管理員的操作進(jìn)行安全審計(jì)。

3.3 防護(hù)效果

通過試驗(yàn)驗(yàn)證，本文提出的服務(wù)器虛擬化安全防護(hù)方案能夠達(dá)到以下防護(hù)效果：

(1)做到業(yè)務(wù)數(shù)據(jù)流和管理數(shù)據(jù)流分離，降低內(nèi)部人員或外部惡意人員通過業(yè)務(wù)終端攻擊虛擬化服務(wù)器的安全風(fēng)險(xiǎn)；

(2)實(shí)現(xiàn)虛擬機(jī)系統(tǒng)文件和數(shù)據(jù)文件的透明加密存儲(chǔ)，在保障業(yè)務(wù)正常運(yùn)行的同時(shí)，防止因硬盤丟失造成虛擬機(jī)中的數(shù)據(jù)泄密風(fēng)險(xiǎn)；

(3)高密級(jí)虛擬機(jī)和低密級(jí)虛擬機(jī)嚴(yán)格邏輯隔離，分域使用，杜絕數(shù)據(jù)高密低用；

(4)在國產(chǎn)服務(wù)器中安裝服務(wù)器審計(jì)系統(tǒng)客戶端，對(duì)服務(wù)器的系統(tǒng)狀態(tài)、系統(tǒng)登錄、操作行為、網(wǎng)絡(luò)配置等進(jìn)行審計(jì)，能夠追溯登錄用戶對(duì)虛擬機(jī)的創(chuàng)建、刪除、修改等操作行為；

(5)通過入侵檢測(cè)系統(tǒng)和安全審計(jì)系統(tǒng)對(duì)網(wǎng)絡(luò)中的業(yè)務(wù)流量進(jìn)行檢測(cè)和審計(jì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為，識(shí)別可能的虛擬機(jī)攻擊行為；

(6)通過網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)、終端安全登錄系統(tǒng)確保只有授權(quán)的用戶可以接入網(wǎng)絡(luò)并訪問虛擬出的業(yè)務(wù)應(yīng)用，有效防止非法用戶的接入和訪問。

3.4 功能性能提升

以本文的試驗(yàn)為例，在保持業(yè)務(wù)應(yīng)用系統(tǒng)部署需求不變的情況下，使用服務(wù)器虛擬化方案可以達(dá)到以下提升效果：

(1)物理服務(wù)器需求數(shù)量減少50%，服務(wù)器資源利用率可以提升1 倍；

(2)在模擬100 人同時(shí)訪問業(yè)務(wù)系統(tǒng)的情況下，服務(wù)器的網(wǎng)絡(luò)帶寬實(shí)際利用率可以提高近30%；

(3)可擴(kuò)展性較好，在物理服務(wù)器硬件性能滿足的情況下，新增業(yè)務(wù)系統(tǒng)可以通過創(chuàng)建新的虛擬機(jī)快捷部署，業(yè)務(wù)系統(tǒng)停用可以通過刪除虛擬機(jī)快速停用，釋放硬件資源，在一定程度上減少業(yè)務(wù)系統(tǒng)安裝維護(hù)工作量；

(4)虛擬機(jī)均存儲(chǔ)在磁盤陣列中，當(dāng)物理服務(wù)器發(fā)生故障時(shí)，可以將對(duì)應(yīng)的分區(qū)掛載到新的服務(wù)器中，實(shí)現(xiàn)虛擬機(jī)的快速遷移，并可以保證業(yè)務(wù)數(shù)據(jù)不丟失。

4 結(jié)論

本文針對(duì)服務(wù)器虛擬化的技術(shù)特點(diǎn)，從技術(shù)架構(gòu)、系統(tǒng)運(yùn)行、配置管理和運(yùn)維管理四方面分析了服務(wù)器虛擬化在網(wǎng)絡(luò)信息體系應(yīng)用中面臨的安全風(fēng)險(xiǎn)，提出了一種服務(wù)器虛擬化的安全防護(hù)設(shè)計(jì)方案，介紹了設(shè)計(jì)方案的安全防護(hù)總體架構(gòu)，在部署環(huán)境安全、宿主機(jī)安全、虛擬機(jī)安全、系統(tǒng)運(yùn)行安全和運(yùn)維安全管理等方面進(jìn)行了詳細(xì)的技術(shù)防護(hù)措施設(shè)計(jì)和安全管理設(shè)計(jì)，為服務(wù)虛擬化的應(yīng)用提供了一種可行的安全解決方案，并搭建試驗(yàn)環(huán)境進(jìn)行了安全防護(hù)試驗(yàn)驗(yàn)證，有助于推動(dòng)服務(wù)器虛擬化在企事業(yè)單位信息化和數(shù)字化轉(zhuǎn)型中的落地應(yīng)用。