虚拟化技术下的安全

虚拟化技术下的安全（精选10篇）

虚拟化技术下的安全 第1篇

目前来说虚拟机几乎都是利用虚拟机管理器隔离以及特定的安全保护工具来进行工作的, 所以在安全监控技术实现方面来看, 其主要可以分成两大类:内部监控, 外部监控。其中内部监控就是在虚拟机的内部进行内核模块的加载, 以此对目标虚拟机的相关内部事件进行拦截, 且内核模块的安全由虚拟机管理器进行监管。外部的监控, 则是通过在所运行的虚拟机管理器中对事件进行相应的拦截, 进而在虚拟机的外部进行相关的检测, 以完成安全监控工作。

二、与现代虚拟化、云基础设施同在的安全监控问题

正是由于安全监控存在着各种可能出现的安全问题, 所以相关的执法机构以及服务商也同时会面临严峻的考验[1]。随着网络科技的发展, 安全监控问题也不再那么好控制, 过去点到点的应用程序操作起来非常容易识别, 已知端口号的对话框也可简单易操作, 但是现在基本的模式都已经发生了变化, 大量应用程度对HTTP进行通信的方式已经非常普遍, 这种现状对于监控系统安全发展造成巨大的压力与负担。。

再就是, 现代社交网络的混乱疯狂发展更是一件雪上加霜的事情, 这让很多非法分子有了利用加密通信通道方式做非法活动的机会[2]。在法律方面, 一边是网络技术的迅速发展, 且发展中会涉及到很多违法违规的技术问题, 另一方面则是在很多技术层面国家还未作出相应的法律规定, 这也使得违法分子愈发猖狂。

三、应对安全监控问题的相关策略

(1) 做好入侵检测工作。现运行的入侵工作架构已经给我们的工作人员带来了两难的选择。一种方法是在主机上安装相应的检测系统, 这样便可以完全监控到主机状态, 但是这种方式特别容易受到屏蔽甚至是攻击;另一种方法是将入侵系统进行安全部署, 并将其部署到所使用的网络上, 这样可更好地抵御来自外界的攻击, 但唯一的缺点就是对于主机上的状况一无所知, 检测不到主机上的信息, 所以这种方式很容易让攻击者逃脱。近年来已有专业人士, 提出采用既能观察到被检测系统内部情况, 同时也可以和被监控系统相互隔离的先进架构, 这种架构采用的是虚拟化技术, 此方式被我们称作是虚拟机自省。我们应该在最快的时间内, 转变之前的工作习惯于认知, 采用虚拟机自省的方式来进行工作。

(2) 充分利用好系统日志。系统日志是一种能够记录来自计算机硬件、软件、系统中出现的各种信息的工程[3]。但是目前在传统系统日志的使用中, 我们也发现了很多问题。在系统已经被非法入侵之后, 系统日志中之前所记载的信息有时候会被入侵者删除或破坏, 再就是, 系统日志中所记录的信息并不是十分准确, 其记录下来的信息都是需要管理员再度进行分析审查的, 这就会为管理员的分析工作带来很大的压力和负担。

所以我们现在应该更提倡使用Xenlog提出来的更安全的系统日志记录方法, 这种方式可以在获得被监控系统的日志后, 再由Xen所支持的共享内存机制对相关的日志信息进行传输, 并传输到可以独立的区域中, 这样的方式完全可以防止日志被攻击。再就是这样方式与之前的网络传输日志相比较, 其更为高效且错误率更低。

(3) 做好完整性保护与恶意代码检测的工作。在现在虚拟化已经得到广泛应用同时, 虚拟机管理器本身的安全问题也应该受到高度重视。在对虚拟机管理器进行完整性保护的问题上, 作者比较支持, 不可绕过的内存锁以及受到限制的指针引索这两种技术。不能绕过的内存锁对虚拟机管理器代码会有非常好的保护作用, 再就是受限制指针是完全可以拓展LLVM编译器, 进而完成重新编译管理器代码的任务。完整性是信息安全的一个十分重要的属性, 这里的完整性是指的信息被完整传输、接收以及储存。当前, 相关专业人士对信息的完整性已经有了相关的研究, 并集中在对文件完整性、内核代码完整性以及虚拟机管理代码的完整性工作的研究上。

结语

为了虚拟化模式下的安全监控能发展的越来越好, 需要不断地在技术方面加强研究, 寻找更高端的科学方法, 用更高速与高精准的技术解决问题, 而且也需要相关法律法规更加完善更加全面。所以在以后的安全监控部署工作中我们要做到扬长避短, 不断进步, 最终达到最佳状态, 提高我国整体监控水平。

参考文献

[1]张文明, 刘志金.关于虚拟模式下安全监控的研究[J].网络学报, 2012, 11:27-32.

虚拟化技术下的安全 第2篇

这里的意思并不是说 们在吃老本。用户和内核级的rootkit仍在甚嚣尘上，更加深入地进入企业网络，将其自己隐藏于处理器中，并且利用多核处理器的漏洞为非作歹。

Rootkit：万恶之恶

虽然我们很难说rootkit是如何猖狂，因为这种东西极难发现。但却不能忽视这样一个事实，即受到巨大经济利益的驱使，rootkit越来越频繁地被用于隐藏远程控制程序、键盘记录程序、垃圾邮件僵尸等恶意程序。

举例来说，如2008年最臭名昭著的Rustock.c可以如同病毒一样传播，感染内核驱动程序，并且象孙悟空一样采取多种形态来避免特征检测，可以在80号端号上打开但隐藏一个双向的通信通道。

未来的rootkit的发展趋势是与恶意软件越多地结合，或者说将自己隐藏于恶意软件之中。

这种隐藏技术的最严重后果便是rootkit不但能够轻易的将僵尸隐藏于系统的“视线”之外，还可以避开检测rootkit的最后一道防线-网络检测。

而多数公司需要开放着80号端口，因为其雇员需要使用互联网。一些恶意用户使用这个通道传输数据。作为网管员应当知道，这个端口主要用作进入的而不是发出的通信，因为网管员应当依靠网关设备上的过滤器来扫描发出的HTTP数据通信。当然，这需要好好调教你的过滤器。

恶意的通信还可以借助可接受的发出数据通信来传输。例如，它可依附于发出的DNS数据包上。因此，建议管理员密切监视三种通信，一是突发的通信，二是大文件通信，三是其它的异常通信，

这三者可能表明有人正在远程执行控制命令。

从传统上讲，检测系统上的rootkit要比检测隐藏于网络通信中的rootkit困难得多，因为多数rootkit要比反病毒软件有更高的特权。

不过，我们应当注意这样一个有趣的事实：近来，Vmware公司用其新的VMsafe安全扩展增加了对反病毒的支持，这样就可以在虚拟机监视程序的保护下运行反病毒产品，其特权更高。

可能很多人看过动画片《猫和老鼠》，其中的老鼠经常将猫玩得不亦乐乎。在安全领域中，反恶意代码和rootkit之间的控制和反控制斗争也与此类似。Rootkit可以控制安全软件，并可以控制受感染的计算机。

rootkit检测工具可以吗?

特定rootkit的检测工具，如RootkitRevealer可以找到内核系统调用和直接磁盘检查的差异，并可以据此检测隐藏的文件、注册表键值及其它属性。例如，在Windows计算机上，可以查找任务管理器的进程列表与内部系统任务列表的差异。

不过，要注意，这些工具的运行级别仍低于rootkit。运行于用户系统上的检测程序需要动态分析计算机，看看计算机是否撒谎。但最佳的方法是从一个完全干净的系统检测当前系统。或者用另外一个原来完全相同的系统对当前系统进行对比，找出其差异。

Rootkit要求深度防御

最新的内核级rootkit,将多种类型的恶意代码包装在内,它可以跳转到处理器,在BIOS检测时,再跳转到系统内核,在计算机被清除和恢复后也难于彻底根除。这种永久性rootkit已经成为最危险的rootkit，在两星期以前的黑帽大会上有研究人员已经清楚地演示了这一点。。

还有一种所谓的游戏僵尸，这种程序尤其喜欢多处理器，它可以运行多个线程，又能平衡负载。其中有些僵尸可通过自动的僵尸程序窃取虚拟币或虚拟货物，然后换卖真实的金钱。Rootkit可以从多个方面来利用固件的漏洞，如可借助于启动加载程序、设备驱动程序、闪速固件更新等。

当今的安全技术并没有很好地理解硬件的安全问题，这是一个极危险的现象。无论从硬件上讲还是从软件上看，认为安全公司能够使系统完全避免攻击是是愚蠢的。我们要做的就是要让系统尽量安全。

浅析虚拟专用网VPN的安全技术 第3篇

【关键词】VPN；特点；安全技术

虚拟专用网（virtual private network，VPN）指的是在公用网络上建立专用网络的技术。之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端一端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM（异步传输模式）、FrameRelay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。

由于VPN是在Internet上临时建立的安全专用虚拟网络，用户节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP（Internet服务提供商）支付一定的上网费用，也节省了长途电话费，相对于专线连接来说，通信成本最高可降低70%。这就是VPN价格低廉的原因。随着网络办公自动化的普及，越来越多的企业和单位开设VPN服务，为异地安全办公提供便利。

VPN主要由服务器网关、隧道和客户机3部分组成，其结构如下图所示。在企业内部，需要配置一台VPN服务器网关，在外部网络中的客户端通过VPN隧道访问服务器，数据传输是经过压缩、加密的，具有较高的通信安全性。

1.虚拟专用网VPN的优势及特点

相对于专线网络，VPN的优势和特点主要有以下几点：

1.1安全保障

虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

1.2服务质量保证（QoS）

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其他应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

1.3可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

1.4可管理性

从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，但企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险，具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

2.虚拟专用网（VPN）的安全技术

由于VPN传输的是企业或单位的私有信息，VPN用户对数据的安全性都很重视。目前VPN主要采用4项技术来保证安全，这4项技术分别是隧道技术（tunneling）、加解密技术（encryption & decryption）、密钥管理技术（key management）、使用者与设备身份认证技术（authentication）。

2.1隧道技术

隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装人隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F（1ayer 2 forwarding，第二层转发协议）、PPTP（point-to-pointtunnelingprotocol，点对点隧道协议）、L2TP（1ayer 2 tunneling protocol，第二层隧道协议）等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。

第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP，IPSec（IP security）等。IPSec是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用的密钥等服务，从而在IP层提供安全保障。

2.2加解密技术

基于VPN的网络通信中，为了保障数据的安全性，传输的数据都是经过加解密处理的。最基本使用的对称加解密算法主要有DES，3DES，AES，RC4，RC5等，常用的非对称加解密算法主要有RSA、椭圆曲线等。

2.3密钥管理技术

密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用和私用。

2.4身份认证技术

VPN采用了身份认证技术，常用的有PAP（password authentication protocol，密码认证协议）、CHAP（challenge handshake authentication protocol，质询握手认证协议）等。VPN连接中一般都包括以下两种形式的认证。

（1）用户身份认证：在VPN连接建立之前，VPN服务器对请求建立接连的VPN客户机进行身份认证，检查其是否为合法的授权用户，如果使用双向认证，还需进行VPN客户机对VPN服务器的身份认证，以防伪装的非法服务器提供错误信息。

（2）数据完整性和合法性认证：检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。在VPN链路中传输的数据包包含密码检查和校验，密钥只由发送者和接收者双方共享。

3.结束语

随着Internet技术的不断发展，企业办公越来越离不开网络，VPN技术对于企业的贡献越来越受到重视，因此，VPN会在今后一段时间内保持强劲的发展势头，在这个背景之下，其安全性需要得到我们的充分重视，采取切实有效的措施，抵御各类网络安全性。

【参考文献】

[1]项顺伯.VPN安全性分析[J].承德石油高等专科学校学报，2011.

服务器虚拟化下的安全问题与对策 第4篇

如今虚拟化技术不管是从广度还是深度上都对传统的企业IT结构带来极大的冲击, 桌面和应用的虚拟化, 服务器的虚拟化, 存储的虚拟化和网络的虚拟化等技术的应用, 在提高企业IT效率的同时, 也缩减了建设成本。从2000年以来服务器虚拟化技术从星星之火发展到今天的燎原之势, 尤其是2006年后, 从处理器层面的AMD和Intel到操作系统层面的微软的加入, 从数量众多的第三方软件厂商的涌现到服务器系统厂商的高调, 我们看到一个趋于完整的服务器虚拟化的产业生态系统正在逐渐形成, 这一系统的形成大大加快了企业服务器虚拟化的进程, 企业内部虚拟机的数量成倍增长, 原有物理机也被迁移到虚拟机上。随着使用的深入, 一些问题也开始显露出来, 如何安全的部署我们的虚拟服务器?如何在虚拟服务器上线运行后保障它安全的运行?这些问题也成为制约企业服务器虚拟化发展的障碍。如何在安全的范畴内使用服务器虚拟化技术, 成为迫在眉睫需要解决的问题。

2. 服务器虚拟化技术

服务器作为企业IT应用的核心平台, 如何在部署新应用服务的同时, 又可以在缩减成本和提高效率上寻求一种平衡, 这一直是企业IT管理人员工作中孜孜以求的目标。服务器虚拟化技术为这一目标找到一个理想的解决方案。服务器虚拟化技术就是将服务器物理资源抽象成逻辑资源, 让一台服务器变成几台甚至上百台相互隔离的虚拟服务器, 或者让几台服务器变成一台服务器来用, 我们不再受限于物理上的界限, 而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”, 从而提高资源的利用率, 简化系统管理, 实现服务器整合, 让IT对业务的变化更具适应力, 企业在部署新的应用时也更加迅捷的便利, 同时又避免了服务器数量的盲目增加, 降低了企业的成本。

3. 服务器虚拟化部署阶段的安全问题和对策

当你的公司决定在企业内部进行服务器虚拟化改造后, 摆在你面前是原来数量可观的物理机, 它们性能不一, 所用的操作系统也不尽相同。如何安全地将这些物理服务器迁移到虚拟机上去而不影响现有的业务运作, 这是一个需要认真考量的问题。通常我们用工具来完成这一工作。其一用VMware提供的迁移工具VMware P2V Assistant来完成迁移工作, 但这一工具的不足之处是不能迁移Windows之外的主机, 对于非Windows系列的主机那就要使用另一款工具Symantec Ghots企业版, 它通过把想要迁移的服务器硬盘制作成镜像文件, 并通过网络恢复到虚拟机中。这两款工具对原有服务器只是一个拷贝的动作, 不会造成危害, 相对来说较安全。当你一台机器上部署多台虚拟机后, 那么这台机器要承担多少并发访问量, 性能是否满足需求就应当考虑在内, 发生单点故障后如何解决?当你把承载企业应用的多个虚拟服务器部署在一台物理服务器上时, 如何应对单点故障风险是必须考虑的, 否则当发生故障时, 不能及时恢复将给企业带来灾难性的后果。因此在条件允许的情况下, 最好使用另一台物理服务器做相应的镜像备份和冗余设置, 以便故障发生时, 备用服务器能立刻上线运行, 同时使用UPS电源来保障电力供应的稳定, 并使用多合一防雷器和可靠的接地系统来预防雷电的损害。此外, 物理主机的位置、机房的散热条件, 以及其它能减少自然灾害的因素都必需考虑到。

虚拟机的逻辑划分上应当为每台虚拟服务器分配一个独立的硬盘分区, 以便将各虚拟服务器之间从逻辑上隔离开来, 就算其中有一台虚拟服务器存在故障也不至于影响到其它虚拟服务器。在更多的情况下企业拥有由众多的服务器组成的服务器集群, 在这种情况下, 其中的一台机器发生故障, 要能够及时将这台机器上的运用动态迁移到别的机器上, VMware和微软两大虚拟化平台提供商都提供了类似故障迁移的功能, 就是当其中的一台物理服务器发生故障时, 虚拟化管理平台会自动在极短的时间内将其上的应用迁移到其它物理机上, 也就在在其它机器上启动了该项应用, 从而保证应用服务不会被中断, 提供了高可靠性。当然类似的功能还有待在实践中得到检验, 但随着虚拟化管理平台功能的日趋完善, 相信在将来类似单点故障的问题一定会得到妥善解决。

网络架构是服务器虚拟化的过程中, 变动最大的一环, 也是最有可能产生安全问题的关键所在。当多台虚拟服务器上线运行后, 它们之间的网络如何被相互隔离, 它们彼此通信时又是以什么方式进行, 如何保证这些通信是安全的, 是不被侦听的?尚未进行服务器虚拟化之前, 企业可以在前端的防火墙设备上订立出多个隔离区, 针对不同功能的服务器个别套用合适的存取规则进行管理, 假使日后有服务器不幸遭到攻击, 危害通常也仅局限在单一个DMZ区之内, 不容易对于所有运作中的服务器都造成影响。虚拟化之后, 所有的虚拟机器很可能就集中连接到同一台虚拟平台 (如VMware ESX/ESXi, 微软的Hyper-V) , 或者由「虚拟──实体」网卡之间的桥接 (如VMware Server/Workstation, 微软的Virtual Server/PC) , 与外部网络进行通讯。在这种架构之下, 原本可以透过防火墙采取阻隔的防护就会消失不见, 届时只要一台虚拟机器发生问题, 安全威胁就可以透过网络散布到其它的虚拟机器。因此应当通过VLAN和不同的IP网段的方式进行逻辑隔离, 对需要相互通信的虚拟服务器之间的网络连接应当通过VPN的方式来进行, 以保护它们之间网络传输的安全。除此之外你还要建立起一套行之有效的监控手段, 以便让你了解各个虚拟机之间联系记录, 否则你将而对一个失控的虚拟服务器网络。

4. 服务器虚拟化管理阶段的安全问题和对策

当服务器虚拟化改造结束后, 随之而来的管理问题就浮出水面。企业IT管理人员, 除了像以前一样面对一台台物理机外, 还要面对一台台隐藏在物理机内部的虚拟机, 而且它们的数量可能随时都会增加。当然现在日趋完善的虚拟化管理平台可以有效地管理这些虚拟机, 但这些虚拟机的安全问题是同样不容忽视的。对待虚拟服务器应当像对一台物理服务器一样地对它进行系统安全加固, 对于访问者而言它和物理服务器没有区别, 同样面临被人恶意攻击的风险, 一旦一台有漏洞的虚拟机被攻陷, 它有可能成为进一步攻击行为的平台, 威胁到其它虚拟机甚至整个虚拟机管理系统, 因此及时更新包括系统补丁、应用程序补丁在内的补丁, 所允许运行的服务、开放的端口等等都应进行审慎的考量。如今大多数企业通过保持少量的通用的“黄金”镜像, 从这些镜像推出用于许多用途的新的虚拟机, 当然这样的好处是快速便捷, 但其中存在安全隐患就在于虚拟机系统的补丁可能落后于更新。虽然VMware和微软两大虚拟平台提供商在自己的产品都提供了补丁管理的功能, 但由于管理者疏忽而导致的系统漏洞也许会成为攻击者的可趁之机, 同时每台虚拟机的安全策略也应当针对不同的运用而有所区别。要特别注意物理主机的安全防范工作, 消除影响主机稳定和安全性的因素, 防止间谍软件、木马、病毒和黑客的攻击, 因为一旦物理主机受到侵害, 所有在其中运行的虚拟服务器都将面临安全威胁, 或者直接停止运行。

病毒的防护同样重要, 通常的解决之道是在每一台虚拟机安装杀毒软件和防木马工具等, 但这样带来问题, 当你对同一台物理服务器上的虚拟机都安装了杀毒软件之后, 累积占用的系统资源对服务器来说也是很可观的, 甚至有可能影响到正常的应用。现在一个新的解决办法是虚拟化平台的厂商与杀毒软件厂商合作, 开发与虚拟化平台相整合的杀毒软件, 运作架构相对简单, 相当于在每一台虚拟机器前面放置一台安全检查设备, 去过滤进出这些虚拟机的所有流量, 于是虚拟机器就不需要安装任何的软件便能得到保护, 因此可以省下不少的资源。

此外虚拟机的数据安全也应引起足够的重视。就系统的型态来说, 虚拟机只是存储在实体硬盘的几个文件, 一旦有办法取得存取硬盘扇区的权限, 就能将这些文件复制到其它装置, 然后从企业内部流出。要注意管理员或其它管理物理主机以及虚拟机的账号及密码的安全, 严格控制访问权限和访问的时间, 防止其它非授权用户停止虚拟机。文件共享也应当使用加密的网络文件系统方式进行。对于每台虚拟服务器, 都必需分别实施相应的备份策略, 包括它们的配置文件、虚拟机文件及其中的重要数据都要进行备份。备份也必需按一个具体的备份计划来进行, 应当包括完整、增量或差量备份方式。另外, 将数据和备份数据保存至异地将是不错的方法, 但是会增加一定的成本和管理复杂度。

在日常管理中还要加强对新开虚拟机的审核, 做好虚拟机的备案工作, 避免虚拟机的盲目扩张, 及时关停停止使用的虚拟服务器。虚拟机蔓延是虚拟机没有控制的扩散。IT经理、开发人员或者业务部门的经理为了某些具体的应用需要一些额外的服务器。他们推出了这些虚拟机, 但是后来忘记了并且失去了对这些虚拟服务器的跟踪。虚拟机蔓延浪费资源, 创建了可能访问敏感数据的没有人监视的服务器。当以后出现问题的时候, 整个公司和IT部门要清除这些虚拟机是很痛苦的。因此建立一套虚拟机的管理制度是行之有效的方法。

5. 总结

以上从虚拟服务器的部署和管理两个方面阐述了服务器虚拟化后面临的安全问题和对策, 从虚拟化的发展来看, 这项技术带来了极大的便利, 它提升企业IT架构适应企业业务的能力, 提升效率的同时也缩减了成本, 从它推出至今, 人们在欢呼雀跃它带来便利的同时, 往往也忽视它带来的潜在风险 (这里也不排除服务方案提供商们的一面之辞) , 所以一项新技术的成熟往往需要一段很长的时间, 服务器虚拟化技术当然也不例外。我们在充分享用它带来便利的同时, 也应将风险控制在可控的范围之内, 使这项技术更好地为我们服务。在面对一项新技术时, 我们不能裹足不前, 更不能因噎废食, 而应在安全的范畴内勇于探索和尝试, 并在不断的实践中去学习和掌握新的知识, 因为这是我们个人及到整个社会前进的动力!H

摘要：本文阐述了在虚拟化技术的浪潮下, 企业在服务器虚拟化进程中遇到的安全问题和对策, 以及我们如何更好地利用服务器虚拟化技术为企业服务。

关键词：服务器,虚拟化,安全,对策

参考文献

[1]《虚拟化与云计算》小组.虚拟化与云计算[M].北京:电子工业出版社, 2009.

[2]金海著.计算系统虚拟化——原理与应用[M].北京:清华大学出版社, 2008.

虚拟化技术下的安全 第5篇

虚拟现实技术在煤矿安全中的应用研究

李珍香1, 杜红兵1,2, 夏征义2(11山西阳泉煤炭专科学校,山西阳泉045001;21中国矿业大学北京校区,北京100083)摘 要:介绍了虚拟现实技术及该技术在煤矿安全中应用的必要性和可行性,并提供了该应用领域中编制虚拟现实软件的工具。关键词:虚拟现实;煤矿安全;应用

中图分类号:TD7

文献标识码:A

文章编号:1008-8725(2000)06-0027-02 0 引言

多年以来,煤炭科技的发展,使得煤矿安全技术水平有了很大的提高,但是由于本身所处的自然条件,煤炭行业仍然被认为是比较危险的行业,各种事故(如顶板冒落、火灾、瓦斯煤尘爆炸等)的发生严重威胁着矿工的生命安全和煤炭生产的正常进行。在各种灾害事故中,矿井火灾是煤矿主要灾害之一,据统计,在全国统配煤矿和重点煤矿中,有自燃发火危险的矿井约占47%。当矿井火灾发生后,火势发展迅猛,变化复杂,影响范围广,往往造成人员伤亡和财产的损失,极易酿成重大灾害事故[1]。在救灾时,救灾行动的成功与否取决于救灾人员能否迅速、正确地决策并实施,而这些又取决于救灾人员的素质和他们平时训练水平。然而在矿山救护队的平时训练中,传统的训练方法很难给他们提供一个与真正的矿井灾害相近的训练环境,这样他们在救灾时,由于缺乏亲身的感受和实践经验,面对井下灾害时期极其危险复杂的场面,就很可能不知所措,而不能正确运用平时训练中学来的理论和技术[2]。虚拟现实技术完全可以模拟一个真正的矿井灾害和在火灾时期矿井的风流和烟流流动情况,并实时采取一些救灾措施,把救灾措施的效果逼真地反映给参与者。救护人员可以通过进入这个虚拟的环境,尝试采取各种各样的救灾措施,从而获得训练[3~4]。虚拟现实还可以模拟一个已发生 的事故,便于调查事故原因,吸取事故教训。1 虚拟现实技术[5]

虚拟现实,作为一门新兴的交叉学科,是当今计算机界广泛关注的一个热点。特别是VRML这一基于WWW上虚拟现实建模语言的出现和发展更推动了虚拟现实技术的发展。

虚拟现实来自于英文/Virtual Reality0(VR),它是利用计算机生成一种模拟环境(如飞机驾驶舱,分子结构世界等),通过多种传感设备使用户/沉浸0到该环境中,实现用户与该环境直接进行自然交互的技术。实际上它就是一种先进的人机接口,通过给用户同时提供诸如视、听、触等各种直观而又自然的实时感知交互手段,最大限度地方便用户的操作,从而减轻用户的负担,提高整个系统的工作效率。它是多年以来在实时图像显示技术、控制理论、数据库设计、机器人技术、多媒体技术、立体声、跟踪定位技术、计算机辅助设计和影视技术基础上发展的结果。它可以完全彻底地转化人们的想象力,可以在计算机中产生另一种境界,然后将境界的有关信息传给人的感觉器官,使人们获得一种全新的感受,让人觉得他的确是在另外一个三维世界中。

VR技术具有以下四个重要特征:(1)多感知性(Multi-Sensory)。所谓多感知,就是说除一般计算机技术所具有视觉感知外,还有听觉感知、力觉感知、触觉感知、运动感知,甚至还应该包括味觉感知、嗅觉感知。(2)存在感(Presence)。又称为临场感(Immer-sion),是指用户感到作为主角存在于模拟环境中的 真实程度。

(3)交互性(Interaction)。指用户对模拟环境内物体的可操作程度和从环境中得到反馈的自然程度(包括实时性)。

(4)自主性(Autonomy)。指虚拟环境中的物体依据物理定律动作的程度。2 国内外研究现状

随着虚拟现实技术的兴起和发展,有关它的应用也得到了很大的发展,目前在军事、航空航天、医学、建筑工程、娱乐方面的应用研究比较多。比如,医学上的虚拟解剖,建筑上的辅助设计,军事上的虚拟现实飞行模拟训练及联网战场模拟,以及各种各样精彩的虚拟现实游戏等等。虚拟现实已经形成了一个很大的潜在市场。

但是在煤炭行业,虚拟现实的应用研究还不是很多。英国的诺丁汉大学矿产资源工程系的AIMS研究小组利用虚拟现实技术模拟了一个井下房柱式开采系统。人们可以随时从真三维的各个方位观察这个开采系统中各个设备的运转情况及整个系统的运行状况,还可以实时的改变开采系统的配置,系统自动给出各种情况下的效率参数,通过对比来获得最佳的开采效率下的设备和人员配置。他们还模拟了露天矿的交通安全训练与教育系统,井下矿车出轨撞人的场景[3,4]。现有国内的安全技术及工程的各种理论技术已经相当丰富并且还在不断发展,但虚拟现实技术作为一门新技术在煤炭行业的安全技术中的应用研究可以说还是一个空白。3 矿井灾害的虚拟现实技术模拟及意义

用虚拟现实技术来模拟一个真正的矿井灾害,使人们更彻底更直观地了解矿井灾害的各方面因素,从而更有效地采取防灾和救灾措施。用Visual C++程序设计语言、Open GL程序设计语言、虚拟现实建模语言VRML、Visual J++程序设计语言、计算机图形学等知识编制虚拟现实软件,主要模拟采区的通风系统,当运输巷皮带跑偏与机架磨擦引起火灾时,先是自动喷淋系统喷水灭火;如果火灾发生蔓延,就模拟火的蔓延过程;工程人员关闭风门的过程;矿工撤退的过程;人员的巷道中行走时,烟流对人员造成的影响等。以及救护人员采用水龙头喷水灭水时,如果在上风侧灭火,发生的烟流滚退现象等。

为此,该虚拟过程的实现有着重要的意义:它可以减少矿山救护时的实际训练费用,并大大减少训练时的危险性,而且还可以不受时间、地点、天气的影响,任意设置实际灾害中可能出现的一些特殊情况。它也可以提高煤矿安全及生产管理人员的安全意识,提高管理水平,预防重大灾害的发生,提高矿井救灾人员处理灾害的决策应变水平,并把矿井灾害的伤亡和损失降到最低。同时可以协助调查事故原因。另外,通过软件演示可以实现矿井安全救灾防灾的实际培训。4 结束语

虚拟现实技术的应用具有巨大实用性、真实性和灵活性。随着这种技术研究工作的不断深入和相关技术的发展(I/O设备的普遍使用、视频显示质量的提高以及功能很强且易于使用的软件的实用化),它在煤矿安全中的应用一定会有更广阔的前景。参考文献: [1] 周心权,吴兵1矿井火灾救灾理论与实践[M]1北京:煤炭工业出版社,19961 [2] 戚宜欣,秦跃平1矿井通风安全技术与管理[M]1北京:煤炭工业出版社,19981 [3] Aims ResearchUnit.Board and Pillar SystemUserManual.Department of Mineral Resources Engineering University of Nottingham.[4] Aims Research Unit.VR System General User Manual.Department of Mineral Resorurce Engineering University of Nottingham1 [5] 俞志和,曾建超1虚拟现实技术[M]1大连:大连理工大学出版社,19961 Application of VR technology in mining safety

LI Zhen xiang1DUHong-bing1、2XIA Zheng-yi2(1.Yangquan Training Iustitute of Coal,Yangquan 045001 China;2.China Univ.of Mining&Tech.,Beijing Campus,Beijing 100083,China)Abstract:This paper introduces VR technology and its application in minning safety and presentes the programming tools of VR technology in this field.Key words:VR;minning safety;application

煤 炭 技 术

虚拟化技术下的安全 第6篇

关键词：虚拟网络技术；计算机网络安全；有效运用

1.虚拟网络技术概述

1.1定义

顾名思义，虚拟网络技术就是一种保护计算机网络安全的专用技术。同时，该技术也是一种私有化的数据网络，并且是以公用的数据网络为基础建立起来的。在这种环境中，计算机网络用户可以对局域网进行针对性的虚拟处理，这样就可以使数据存在于不同的局域网中，并且相互之间能进行数据的安全传递。

1.2主要特点

第一，具有高效性和简化性的特点。该技术的应用可以明显减轻技术人员的工作压力，而且不需要进行线路的铺设，降低了工作的难度。第二，具有操作简单的特点。这一特点决定了该技术具有广阔的应用范围，和其他技术相比，它的竞争优势更加显著。

2.威胁计算机网络安全的主要因素

2.1自然因素

这一因素对计算机网络安全的影响主要来自设备之间产生的电磁辐射、突发性的自然灾害、计算机设备的老化、场地环境比较恶劣等。在上述自然因素的直接或者间接的影响下，都会给计算机网络安全带来不同程度的威胁。

2.2病毒因素

这是威胁计算机网络安全的最主要因素。计算机病毒就是能够进入计算机运行程序，并且对其正常工作产生干扰或者破坏的指令或者是代码。同时，计算机病毒往往具有较强的复制能力。以蠕虫病毒为例，此类病毒攻击的主要对象就是计算机应用和操作系统中存在的漏洞，可以主动发起对计算机程序的攻击。蠕虫病毒可以通过网线快速传播，而且不易被发现，会导致比较严重的安全问题。同时，在内存中也可能存在蠕虫病毒，会导致网络服务不畅，还能够和其他的黑客技术结合起来，给计算机网络安全带来更大的威胁。除了蠕虫病毒之外，常见的计算机病毒还有意大利香肠病毒和宏病毒等，都具有很大的破坏性。

2.3非授权登录

这种因素主要是指人为因素对计算机网络安全产生的威胁，在没有管理员授权的情况下，非法入侵企业的内部网络，属于一种违法的侵权行为。之所以要非法入侵企业的内部网络，主要就是为了窃取访问权限，获取相关数据的协作权和储存权，并以此为踏板，非法侵入其他企业的内部系统，对其进行恶意攻击和破坏，使网络系统陷入瘫痪，无法提供正常的网络服务。

3.虚拟网络技术的技术构成

虚拟网络技术的内容包含了很多技术种类，例如加密和解密技术、隧道技术、身份认证技术和密钥管理技术等，其中加密技术、解密技术和隧道技术居于核心地位。下面，我们就对其主要技术进行简单介绍。

3.1加密和解密技术

该技术的主要作用是确保数据包传输的安全性。如果没有加密和解密技术，那么不法分子就很容易获取传输中的数据包，其中包含的信息也会被他们窃取。由此可知，加密和解密技术就类似于计算机网络中的一把安全钥匙。该技术的主要工作原理为：对明文件进行特殊处理，将它们转化为无法读取出来的秘密代码，在传输完成后，输入密钥，才能正常显示。因此，加密和解密技术是维护计算机网络安全的重要手段。

3.2隧道技术

数据包是这种技术的主要传播形式，所以网络数据传播的通道并不具备良好的稳定性，具有极大的不确定性，会受到多种因素的干扰和影响。从目前隧道技术发展的实际情况来看，其应用的主要方式就是对局域网内的数据包进行重新包装。技术人员还可以通过路由器等调制解调器来添加数据包，这种编辑数据包的途径就是隧道。通过隧道技术，数据包可以实现不同局域网之间的传输。

3.3身份认证技术

该技术在当前网络信息中的应用日益普遍，例如支付宝和购买火车票的实名认证。银行相关业务的办理都会涉及到用户的真实信息，当我们利用绑定的银行卡进行在线支付时，银行就会通过发送短信验证的方式，来保护个人的信息和财产安全，这其中应用的技术就是身份认证技术。随着我国电子商务的迅速发展，该技术的应用前景非常广阔。

3.4密钥管理技术

SKIP和ISAKMP是该技术的两大组成部分，在互联网的数据传输中，对于保护数据的安全性具有非常重要的作用。其中SKIP技术利用的是Diffie规则，具有较好的隐蔽性，能够确保密钥的隐蔽传播。但是ISAKMP技术则不然，它是公开传播的，所以在使用时应小心谨慎。

4.虚拟网络技术在计算机网络安全中的具体应用

4.1应用于企业和客户的联系

在企业和客户的合作过程中，会经常分享大量的数据资源。为了保障共享数据的安全性，企业会有所保留，并不会将所有的数据传输给客户。应用虚拟网络技术可以帮助企业很好地解决这一问题，将数据进行筛选和过滤之后，将可以共享的信息放入共享的文件夹，再建立相应等级的防火墙，避免信息泄露，保障信息的安全性。客户只需要在虚拟网络的客户端中登录，就可以访问文件夹中的共享信息。

4.2应用于企业和其他部门的联系

通过充分运用虚拟网络技术，企业可以将位于同一个局域网内的分支部门连接在一起，实现最大限度的资源和信息共享。在这种情况下，虚拟网络技术的应用就好比企业建构的一个虚拟的局域网，有助于实现企业的跨地区和跨国经营。同时，虚拟网络技术在该局域网中的应用属于硬件式，既能够提高数据传输速度的加密性，又可以提高密钥的安全等级。

4.3应用于企业和远程职工的联系

企业在虚拟的专用网络中，经常作为中心连接点。通过该技术，企业可以在内部系统的局域网中设置防火墙，并将防火墙作为计算机网络的出口网关。这样设置之后，用户就必须登录虚拟网络中的客户端，才能进入防火墙，可以明显增强计算机网络的安全性。同时，该虚拟技术的应用还可以减少成本，便于采购人员和销售人员输入相关的信息和数据，实现远程员工之间的信息共享。

4.4应用于计算机网络信息

在社会经济快速发展的形势之下，传统的计算机网络安全的管理模式已经取法满足企业发展和时代进步的需求了。所以，企业的计算机网络安全管理开始朝着精细化管理的方向发展，实现不同部门之间的有机融合，打破传统企业信息资源空间上的限制，实现企业管理信息的同步化。虚拟网络技术的应用，不仅可以实现信息通路的扩展，突破空间上的制约，使得企业的信息管理系统更加的安全、高效。

5.结束语

大型企业虚拟化安全技术研究探讨 第7篇

传统的安全解决方案,大多是将防火墙(FW)、入侵防御(IPS)、防病毒(AV)、应用层防护、流量控制等设备作补丁式的设备堆叠。此解决方案存在投资高、维护成本高、效率低、维护复杂等缺点,尤其是多种功能的“串糖葫芦式”的叠加。

同时,传统的安全解决方案还存在以下弊病:服务器之间如果发生攻击无法防范。由于安全设备众多当发生安全事件后,需要从每台设备上调取日志,大大增加了信息中心的负担一个数据包需要经过多次解封包,延时变高,效率降低。

2 威胁分析

2.1 服务器主机安全威胁

漏洞主要是因为设计和实施中出现错误所致,造成信息完整性、可获得性和保密性受损。错误通常在软件中,也存在于各个信息系统层,从协议规格到设计到物理硬件。网络漏洞还可能是恶意用户或自动恶意代码故意为之。重要系统或网络中单个漏洞可能会严重破坏一个机构的安全态势。

漏洞会影响到很大范围的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。

2.2 服务器内网安全威胁

学校网络复杂,区域众多,一旦发生区域之间的网络攻击威胁,会严重影响到学校的网络和业务的正常运行。任何一个联网的用户个人终端或服务器,都可能成为攻击整个学校网络的跳板,危及整个学校的网络安全。

2.3 外部、内部攻击针对Web的攻击

现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。我目前已建有多种WEB应用服务如OA系统、门户网站等,部门之间得到有效协同,业务流程得到有效优化,工作效率得到有效提高,运行成本也大大降低。

然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75% 都是发生在Web应用而非网络层面上。同时,数据也显示,2/3 的Web站点都相当脆弱,易受攻击。利用网上随处可见的攻击软件,攻击者不需要对网络协议有深厚理解,即可完成诸如盗取、篡改重要信息数据、更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。

3 可行性方案

3.1 总体设计思路

针对大型企业信息系统存在的风险,同时根据安全事件发生的三个时间点,设计了一个防御功能强大的可行性方案,做到事前、事中、事后成为一个可闭环又可循环的方式去降低潜在的威胁,对于事中疏漏的攻击,可用事前的预发现和事后的弥补,形成环环相扣的动态安全防护。事前是用扫描方式主动检查服务器、网络设备、Web应用,发现漏洞并及时修补,同时把结果形成新的防护规则增加到事中的防护策略中,而事后的防篡改可以保证即使疏漏也让攻击的步伐止于此,不能进一步修改和损坏网站文件。

3.2 技术可行性

完全不同于以往传统的硬件糖葫芦式的安全部署方式,而是通过在虚拟机上部署专业、定制的安全防护软件的方式实现硬件设备的安全防护目的。每一台应用服务器都有自己专用的一套防护体系,相互独立,安全性最高,避免了服务器之间的相互攻击。解决之前集中管理的弊病,各安全防护设备的权限下发到各应用服务器的分管人,既大大降低了网络中心的工作量,也提高了工作效率;同时,还能使安全策略在定制的时候更为精细。同时,信息中心也拥有对所有的安全设备的最高权限,进行统一调配。随着应用的不断增加,只需要部署相应的虚拟化安全软件即可,而无需再去购买新的安全硬件设备,既可以平滑升级,同时大大降低了成本。虚拟安全设备采用双机热备的方式,避免了单点故障。漏洞扫描系统(NVS)接入网络核心层,对全网主机进行漏洞扫描,定期对Web服务器安全检查。

3.3 Web应用防护系统(WAF)

铱迅Web应用防护系统”支持多种灵活的部署方式,如透明网线模式、旁路反向代理模式、路由模式、混合部署模式、虚拟化部署模式。通过对大型企业现有网络环境进行分析,提出透明部署建议。可对网络信息中心IDC机房的WEB服务器、及各应用系统服务器,进行全方位的防护,使其所有HTTP流量都通过“铱迅Web应用防护系统”检测过滤,防止被黑客入侵、窃取及篡改文件及资料,减少损失。

铱迅Web应用防护系统”通过对网络协议底层的深层次优化,可以达到百万级别的并发连接。并提供每秒超过8 万个HTTP请求的七层深度包检测的能力。在网站数量超过500的情况下,仍然能够提供高带宽吞吐与极低的网络带宽延迟。通过铱迅独有的碎片包重组技术,可以有效防止黑客通过发送碎片的数据包来绕过检测引擎的检测。而”铱迅Web应用防护系统”可以准确的模拟TCP/IP栈进行完整重组数据包。铱迅Web应用防护系统可以有效防止黑客利用大小写变换、ASCII编码、UNICODE编码、注释和混淆等方式绕过检测引擎。铱迅内置的解码模块可以将复杂编码后的数据还原为最基本的数据格式进行匹配。

4 结语

虚拟化技术下的安全 第8篇

关键词：VMware虚拟化技术,安全问题,物理服务器

近几年, 我国计算机技术得到了飞速发展, 许多硬件和软件都得到了广泛应用, 其中硬件设备的快速发展与应用, 为虚拟化软件的应用奠定了基础。同时, 虚拟化技术的应用, 也很好地实现了对硬件资源的整合, 为人们提供了一个良好的平台, 因此, 人们要想强对数据的合理应用, 提高硬件工作效率, 提高经济性, 就必须合理应用虚拟化网络技术。

1 VMware的运行模式

1.1 桥接模式

该模式是将网络与虚拟机相连的一种基本方式。当有一个真实的主机存在于以太网中时, 可以通过手动的方式完成对子网掩码、IP地址等内容的合理配置, 并且可以将同宿主机构建在一个网段上, 最终实现通讯的目的[1]。

1.2 NAT模式

该模式可以使NAT功能得到充分利用, 在具体操作过程中, 可以利用宿主机器处于的网络环境下, 实现对公网的合理访问, 从而在虚拟环境下, 能够实现网络互联的目的。

1.3 Host-only模式

在遇到比较特别的网络环境时, 要将虚拟和真实相分离, 这种状态下可以采取在Host-only模式下运行, 虚拟交换间能够相互访问, 外界无法访问内容。

2 VMware虚拟化技术的应用

2.1 VMware虚拟服务器

VMware服务器虚拟化是Iaa S的核心技术, 将一个物理服务器虚拟成若干个独立虚拟服务器使用, 使服务器的硬件性能能够得到充分发挥, 服务器虚拟化技术CPU、I/O设备、内存设备等传统物理资源, 转化为统一管理的逻辑资源, 为每一个虚拟服务器提供抽象资源。

服务器虚拟化技术是一个抽象层, 将操作系统和物理硬件分离, 从而提高系统的灵活性和IT资源利用率[2]。通过虚拟化层的实现, 在单一物理服务器独立运行多个虚拟服务器, 虚拟服务器安装不同的应用程序和操作系统, 满足不同IT硬件需求。

通过构建一个“vmx”虚拟机配置文件, 创建VMware虚拟服务器。一般在构建过程中, 可以通过选择“自定义”选型, 使系统可以自行调整虚拟服务器的硬盘空间和内存大小, 也可通过手工的方式合理分配磁盘空间和物理内存。

为了使系统的稳定性和兼容性能够得到保证, VMware把大部分硬件设备虚拟呈兼容性、标准的虚拟设备, 并且在具体操作过程中并不需要安装驱动程序。

VMware软件服务器能够在同一时间启动多台服务器, 能够完成多台虚拟操作系统的相互切换。在具体操作过程中, 通过对某台服务器的硬盘资源、部分内存, 构建一个“独立”虚拟服务器平台, 而“独立”的虚拟机具有各自的硬盘、显卡、网卡等多种硬件, 因此, 不仅能够在同一台虚拟机中完成当前流行操作系统的安装, 并且也可以在虚拟机中完成对各种不同应用软件的安装, 同时可以像对待新服务器一样, 完成相应的格式化、分区等多项操作, 每一项操纵都不会造成不良影响[3]。

在一个主机上出现多个虚拟机时, 部分实体主机的空间内存可能无法满足虚虚拟机的运行需要, 或者存储空间所属物理磁盘性能将会受到限制, 在该情况下, 可以将虚拟机迁移到同一主机存储上, 利用VMware的VMotion技术, 动态迁移虚拟服务器, 发挥该技术的最大优势, 避免因为硬件升级和高峰期而引发宕机事件, 并且严格依据虚拟的需求, 配置共享资源中的硬件, 提高了安全性。

2.2 VMware虚拟桌面

虚拟化桌面指的是虚拟化计算机的桌面, 用户在具体操作过程中可以利用任何终端设备完成相应的操作, 并不受时间和空间的限制。与传统PC系统相比, 需桌面具有以下优势: (1) 可以进行集中管理, 统一配置, 从而降低了系统的办公成本; (2) 设备的接入不会受到时间和空间的限制, 访问灵活方便; (3) 采取集中的方式存储数据, 使数据的安全性得到了进一步提升; (4) 依据动态情况, 实现对硬件资源的合理调配, 使硬件资源的使用率能够得到进一步提升, 使硬件的效能能够得到最大程度发挥[4]; (5) 占用空间小。

VMware View桌面虚拟技术的应用, 打破了硬件、软甲、操作系统三者之间的关系, 并且将桌面操作系统、用户数据、应用程序都封闭到一个相对理想的层次, 从而使IT管理员能够从桌面环境管理和终端设备安装中解放出来。

3 确保虚拟化安全的有效措施

3.1 选择性能良好的主机硬件

主机如果不支持虚拟化, 在具体应用中可能存在潜在安全风险, 并且从实际情况来看, 虚拟化厂商都列出了虚拟机兼容硬件列表清单, 因此, 在购买硬件时, 应选择支持虚拟机的硬件。虚拟机对资源的需求十分复杂, 具体计算如公式 (1) 所示。

硬件资源需求=H+G1+G2+G3+…+GN+O (1)

在公式 (1) 中, H=虚拟机软件所需要资源, G=虚拟机操作系统所需资源+应用程序所需资源, O=额外开销。

3.2 细化设置, 分区隔离

虚拟化环境中, 系统的分区和隔离意义重大, 因为尽管虚拟机的虚拟硬件与其他虚拟机的虚拟硬件之间相互隔离, 但是虚拟机的底层网络一般都是共享的, 介入这样一个共享网络的任何虚拟机或虚拟机组, 都可能通过这基层网络完成通信, 正因为如此, 虚拟机有可能会成为被攻击的对象。通过隔离虚拟网络, 既可依据位置将虚拟机分开, 也可以将专用虚拟机和公共虚拟机分开, 也可以依据服务类型的差别分隔虚拟机[5]。将各个虚拟机组隔离在它们各自网络分段中, 也就说在不同的VLAN中, 最大程度降低数据通过网络从一个虚拟机分区泄漏到其他虚拟机分区的概率。从实际情况来看, 对网络进行合理分段, 可以使不同种类的网络攻击得到控制。

3.3 双重身份认证, 提高安全性

通过双重身份认证, 使安全性得到进一步提升。用户的身份认证是虚拟化环境中一个关键环节, 现在许多企业都构建了区域管理模式, 利用区域控制器对计算机资源和用户账号进行集中管理, 用户访问企业的资源时, 首先需要通过AD身份认证, 但是如果在认证过程中, 仅利用用户名+密码的方式, 即使设置的密码很复杂, 仍然有被暴力破解的风险, 但是如果通过区域认证+Ukey认证的双重认证方式, 可以有效降低身份认证过程中的安全风险。

3.4 合理配置, 加固系统

通过合理配置, 禁用和终止不必要服务, 从而确保虚拟机操作系统精简, 避免存在不必要的攻击。措施如下: (1) 禁用部分功能, 针对单一操作系统虚拟机来说, 闭屏幕保护、搜索工具、系统更新等各项功能, 都不会对虚拟机的运行造成不良影响[6]; (2) 文件共享功能的使用一定要慎重, 除非业务需要, 并且具有明确要求共享文件, 否则要禁止应用共享功能; (3) 设置时间同步, 在操作中, 可以将物理域控服务器配置为时间服务器, 宿主服务器和其他虚拟服务器的NTP源都指向该服务器; (4) 将不使用的设备断开, 虚拟机技术允许虚拟机间接或直接控制物理设备, 例如USB接口、光驱、打印机等。在启动虚拟机时, 其会对一些硬件设备进行检测, 若同时启动多个虚拟机, 第一个启动的虚拟机可以优先使用, 其他虚拟机的检测将被锁定, 会造成不必要的延迟。此外, 若光驱器里的光盘存在恶意代码, 虚拟机可能会自动加载, 但是并执行, 从而感染木马或病毒。安全做法是将所有可控的物理设备全部关闭, 只有在需要时才进行连接。

3.5 选择科学的备份方案

虚拟机备份的核心问题在于限制资源少, 而备份需要消耗大量CPU、内存、服务器输入/输出资源, 如果多个备份方案计划存在重叠执行现象, 将会由于占有过多系统资源对系统的运行效率造成较为严重的不良影响。由此可见, 不能将传统的备份方案直接应用在虚拟化环境中, 适合虚拟机的备份方案应具有以下特点: (1) 能够为附属于客户端虚拟机的虚拟硬盘创建快速、空间高效的高性能快照; (2) 通过可感知应用程序备份, 完成低快照的创建和管理; (3) 访问服务器上的快照, 并非活动虚拟机快照, 从活动中应用将备份负载及资源消耗分离, 对系统的运行来说意义重大; (4) 具有长期可用快照, 多数快照在具体应用过程中都具有空间高效性, 这也就表示基镜像及其子快照中的数据块都只能保留一次, 这也就可以通过廉价的方式长期保存许多快照, 使数据的恢复变得更加简单; (5) 增量备份, 虚拟机镜像文件通常都很大, 若备份软件能感知上次备份之后镜像发生变化的部分进行增量备份, 可以使其效果得到进一步提升。

4 结语

VMware虚拟技术的应用, 能够在原硬件设备不变的情况下, 使硬件设备的应用潜力被全面发掘, 提高硬件的利用率。此外, 提升了信息部门的工作效率, 解放了劳动力, 从而在不改变资源的基础下, 获取了更好的回报。

参考文献

[1]朱海涛.VMware虚拟化系统在高校图书馆中的构建与应用[J].现代图书情报技术, 2012 (1) :68-72.

[2]李西岳.基于服务器虚拟化技术的构建、测试和建议[J].电力与能源, 2012 (5) :449-451.

[3]张旭.企业桌面虚拟化系统的设计与实现[J].数字技术与应用, 2012 (9) :140-141.

[4]田建伟, 刘潇潇, 黎曦, 等.VMware Esxi虚拟化技术在电力信息资源整合中的应用[J].湖南电力, 2012 (6) :5-9.

[5]麻书钦.基于VMware虚拟化平台的信息化校园探讨与部署[J].广东技术师范学院学报, 2012 (9) :14-17.

虚拟化技术下的安全 第9篇

1.1 研究背景

国家电网公司是国有特大型企业，关系国家能源安全和国民经济命脉，承担着为经济社会发展提供安全、经济、清洁、可持续的电力供应的基本使命。国家电网公司致力于推进信息化企业建设，自2006年开展SG186工程，构筑横向集成、纵向贯通的一体化企业级信息集成平台，建设八大业务应用系统，健全完善六个保障体系。实现公司人、财、物三大基本要素和业务处理的全过程信息化，促进公司各项业务流程的规范化、标准化，达到工作流、资金流、物资流、信息流的高度整合和共享，实现公司生产自动化、管理现代化、决策科学化。

随着电力系统信息网络的迅速发展，网络结构日趋复杂化。如何在保障信息网络系统各项业务的正常运行下，有效的简化网络的复杂度，是目前信息网络发展的重要课题。

1.2 研究目的

当前我司的局域网承载了财务、营销、生产、科技信息、以及其他各类业务应用。另一方面，随着企业业务规模的不断增大，各业务部门的职能和权责划分也越来越清晰，对网络安全要求随之增高。各业务部门为实现业务系统的网络安全加固，多种防火墙等安全设备不断的接入网络，使得当前网络结构变的更加复杂。

虚拟化概念的提出，是未来网络综合性能发展方向，尤其在有限的物理环境里，能够满足不同环境及需求的应用部署。此次课题研究的主要目的在于如何使用虚拟化技术简化当前日趋复杂的网络安全结构。

2 供电企业系统网络部署安全产品

2.1 原有系统的防火墙应用分析

网络系统安全是既想利用信息网分布式系统的优势，而又不希望破坏信息网络保密性和完整性的企业，所面临的一个重要问题。因此网络系统中必然存在各种业务系统的安全产品。其中最普及的防火墙已经被普遍应用，它不仅被部署在供电企业的网络出口出，也被广泛部署在企业内部，作为特定业务系统的安全门户，防止企业内部遭受攻击。

内部防火墙的应用模式主要包含以下2个部分。

2.1.1 数据过滤

数据包过滤(packetfiltering)是通过防火墙对向网络上传或从网络下载的数据流进行有选择的控制过程。数据包过滤通常是将数据包从一个网站向另一个网络传送的过程中允许或阻止它们的通过(一般表现为从因特网向内部网络传输数据时，或从内部网络向因特网传输时)。在局域网中主要通过设置访问控制策略来实现。

数据包过滤是防火墙中应用的一项重要功能，它对IP数据包的报头进行检查以确定数据包的源地址、目的地址和数据包利用的网络传输服务。传统的数据包过滤器是静态的，仅依照数据包报头的内容和规则组合达到允许或拒绝数据包的通过。侵入检测系统利用数据包过滤技术和通过将数据包与预先定义的特征进行匹配的方法来分析各种数据包，然后对可能的网络黑客和入侵者予以警告。

2.1.2 安全区域

安全区域是一个逻辑的结构，是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时，必须通过事先定义的策略检查才能通过;当在同一个安全区域进行通讯时，默认状态下允许不通过策略检查，经过配置后也可以强制进行策略检查以提高安全性。

在网络中，出于网络安全考虑，管理人员往往通过在防火墙上定义不同的安全区域，从逻辑上隔离不同的业务应用。

2.2 电力系统对网络安全的需求

当前电力系统信息网，主要包含财务、营销、生产、科技信息、以及其他各类应用等。因此出于网络安全考虑需要对各业务应用进行安全隔离，建立不同的安全区域。

传统的防火墙部署主要基于2点应用，1)基于应用的安全区域划分;2)基于数据包的安全过滤。

2.2.1 基于安全区域划分的防火墙应用

在电力系统中基于安全区域划分的业务主要包含以下几类：

1)财务应用。以财务应用为例，财务人员只需要访问信息内网中的财务服务器以及通用服务器。财务应用是一个典型的基于安全区域划分的防火墙安全应用，其网络安全结构图如下：

如上图所示，将财务防火墙划分为三个安全区域，分别为DMZ、Ins ide、以及Outs ide区域。通过对不同安全区域的安全等级划分，实现了很好的效果，即作为Outside区域的信息内网用户无法访问位于Ins ide区域的财务用户和位于DMZ区域的财务服务器，允许财务用户访问财务服务器。

2)自助收费及GPRS空中缴费。

自助收费及GRPS空中缴费系统也是防火墙对安全区域划分很好的应用实例，如上图所示整个业务应用划分为三个区域，分别是DMZ、Ins ide、Outs ide区域。通过对安全区域的划分实现效果：自助收费终端以及银行前置机无法直接访问Inside区域中的营销数据库。其主要实现的安全效果如下：

a.阻止银行前置机、GPRS终端以及自助缴费终端直接访问营销数据库，保障了营销数据库的安全性。

b.阻止营销数据库直接访问银行前置机、GPRS终端以及自助缴费终端，避免了营销数据库对其造成的影响。

c.业务开展时，银行前置机、GPRS终端以及自助缴费终端通过访问自助终端服务器，再由自助终端服务器调用营销数据库中的数据来实现业务应用。

3)负控采集系统。电力系统常用的业务系统中还包含负控采集等系统，其防火墙部署同样是基于区域划分的应用。其部署方式类似财务应用，不再赘述。

2.2.2 基于数据包过滤的防火墙应用

在电力系统中基于数据包过滤的防火墙应用主要有以下几类：

1)信息服务器及网络设备安全性控制。供电企业科技信息部负责电力系统的运维管理，其访问权限主要是网管设备及信息服务器。在信息安全防火墙上开放诸如telnet、ssh、snmp、tcp514端口(日志使用)，禁止了其他业务流量。

2)通用服务器及数据库服务器访问控制。通用服务器以及数据库服务器其网络安全结构与信息安全防火墙架构相同，其主要区别在于防火墙过滤了不同的数据包。例如通用服务器当中，对web服务器需要开放80端口，开放邮件服务器的SMTP端口等等。再如数据库服务器，当用户访问通用服务器时，服务器需要调用数据库服务器中的数据才能正常使用，故此需要在数据库服务器中开放比如SQL的1433, ORACAL的1521等端口。

采用传统的部署方式虽然能解决网络安全需求，但从上面的分析不难看出，其网络结构存在以下几点弊端：

1)高成本管理人员需要为每一个业务至少增加一台防火墙才能实现业务隔离与区域划分。2)网络结构混乱众多的防火墙势必会增加网络结构的复杂性，也必然会造成故障点的增多，并且均为单点故障。3)兼容性由于采用传统方式部署，将有可能导致网络中出现不同厂家的防火墙，不利于网络的扩充。4)管理困难由于当前各厂家防火墙设备，没有采用统一的管理与配置方式，管理人员需要花费大量的精力来学习各类防火墙的运维管理。5)系统繁杂采用传统部署，将导致整体网络被打乱成多套网络结构。综上所述，传统的网络安全部署方式已不能满足当前信息网络安全发展的需求。

2.3 防火墙虚拟化的转变

2.3.1 虚拟防火墙的应用

由于防火墙拥有很高的性能和转发能力，可以部署在企业网的网络边界连接互联网，作为企业网络防护外部攻击的第一道防火墙，增加企业网络对网络攻击的承受能力。防火墙可以部署在企业外部网的边缘分布层，制定服务器流量策略，提供防火墙功能、入侵检测、虚拟专用网等。

虚拟防火墙可以在单一的硬件平台上提供多个防火墙实体。添加“虚拟”这个形容词的目的是为了表明单一的硬件实体可以支持多个防火墙实体。

2.3.2 虚拟防火墙的架构

所有常规的防火墙设备功能及其与外部世界的互动独立管理、独立设置、每个虚拟防火墙专用的系统日志服务器和AAA服务器等，以及每个虚拟防火墙的各种内部组件例如独立路由表、转换数据库、ACL等，都将被虚拟化。企业客户利用虚拟防火墙功能限制同一个企业网络中的不同部门之间的流量。虚拟防火墙还特别适于和一个虚拟的IPSec?VPN解决方案搭配，为某个企业的各个“保密”部门的移动员工提供服务。这种使用模式的实例，如公司的人力资源和财务部门都拥有一些远程办公人员，这些员工需要访问他们各自所在部门的保密资源。但由于这两个部门所控制的信息都非常敏感，所以都通过一个防火墙与公司其他部门隔离开包括这两个部门之间。

3 虚拟安全系统的部署架构

3.1 基于防火墙的多环境虚拟化设计

根据现有网络资源，我们推荐部署虚拟防火墙，构建扁平化网络安全结构。整体网络采用一套安全体系架构即可满足电力系统信息网当前及未来发展需求。

3.2 虚拟防火墙部署

虚拟防火墙可当成物理防火墙来对每一个独立的业务进行安全隔离。可以为每个业务虚拟出两块虚拟防火墙，采用冗余技术实现故障切换，提高网络安全的可靠性。采用故障切换技术的两块虚拟防火墙配置自动同步，管理人员只需要配置一块防火墙。

3.3 基于Cisco FWSM虚拟防火墙部署论证

为论证虚拟防火墙部署的有效性，这里以事实说明，我司目前部署了2台cisco6509作为局域网核心设备，同时配置2块FWSM防火墙模块。当前网络中各个业务应用前端皆部署了相应的物理防火墙，如联想网域、H3C防火墙等。现决定基于FWSM虚拟防火墙技术，构建我公司安全网络架构，以简化当前我司信息网络安全架构。

采用基于Cisco FWSM虚拟防火墙技术整合各业务系统安全架构实现扁平化网络设计。

3.4 采用虚拟防火墙部署的优点

采用虚拟防火墙部署主要有以下优点：1)每个虚拟防火墙维护自己一组安全区域;2)每个虚拟防火墙维护自己的一组资源对象(地址/地址组，服务/服务组等);3)每个虚拟防火墙维护自己的包过滤策略;4)每个虚拟防火墙维护自己的NAT策略、ACL策略等;5)限制每个虚拟防火墙占用资源数：防火墙并发连接数码数目;6)廉价的成本。

3.4.1 独立的安全区域

针对当前以及未来电力网络系统的迅速发展，新业务及应用的不断上线，通过使用虚拟防火墙技术，为当前以及未来的各部门独立划分防火墙，从而为各部门之间实现独立的安全区域隔离，可以为各部门部署独立的安全策略。

3.4.2 独立的安全策略

对于虚拟防火墙而言，从逻辑上可以看成一台完全独立的防火墙设备。可以任意的为一组需要保护的对象增加防火墙设备。对管理人员而言，等于增加了一台全新的防火墙，管理人员可以针对这台新的防火墙配置独立的安全策略，独立的NAT转换，等等。且新增加的虚拟防火墙配置，只影响其保护的对象。

3.4.3 独立的资源分配

对于一台防火墙而言，如何保障其资源合理分配尤其重要。在大型局域网络中，网络攻击是有发生，防火墙作为隔离设备，一旦发生因资源耗尽而DOWN机。将导致整体网络出现瘫痪。采用虚拟防火墙后，由于采用针对各部门或各业务应用来划分防火墙，故此可以针对每一块虚拟防火墙分配资源，可根据不同部门的日常数据访问流量的大小来防火墙的连接数，从而充分发挥防火墙的性能。

3.4.4 低成本

采用虚拟防火墙技术，只需购买license即可，例如FWSM防火墙模块同时支持256个虚拟防火墙，足以应对大型企业的业务应用，比购买硬件防火墙要廉价很多。

4 结语

随着IT业务的爆炸性增长，硬件和软件性能不断提升，基于IT的行业解决方案将会被越来越多的企业所接受。在有限的资金成本和物理设备采购下，虚拟化将带来非常好的解决方案。随着国家电网信息化的迅速发展，虚拟防火墙技术，势必将成为未来各地市公司信息网络安全的首选技术。

参考文献

[1]BAIDU百科网.虚拟防火墙.

[2]BAIDU文库网.国家电网训材料之2-国家电网公司信息安全等级保护工作交流.

[3]BAIDU百科网.数据包过滤.

虚拟化技术在信息安全中的应用分析 第10篇

一、服务器虚拟化技术应用

随着信息化建设的推进, 很多系统以不同操作环境的服务器形式存在。因此产生新服务器, 增加了硬件经费, 且部分硬件设备资源利用率低, 加重机房的物理空间和电荷等负载, 并且安全隐节点增多。因此需要采用服务器虚拟化技术, 将不同平台的多应用虚拟到一台虚拟机上, 并且根据业务发展需要, 智能地不间断调整资源。外汇局海南省分局采用了VMware ESX Server进行服务器虚拟化的部署, 在3台联想R630上各部署1台虚拟机, 将小型机P 570等服务器上的应用部署在上面, 并且视资源情况进行动态调整, 若其中1台出现故障, 可自动进行迁移。虚拟化环境上线后, 成效明显。服务器的资源利用率大幅提高, 提高运维效率, 保障了外汇业务系统的安全生产运行, 图1为分局虚拟化环境结构图。

科技人员可在办公室远程监测VMware系统运行情况。一是检查ESX的HA配置, 使用v Sphere Client登录到v Center, 检查ESX主机图标上是否有红色的感叹号, 以及在ESX主机右边窗口的“摘要”中是否提示“配置问题”, 如果修改过ESX主机的主机名称、IP地址, 就必须确保每一个ESX主机的hosts文件中的内容与修改后的主机名称和IP地址一致。二是查看ESX主机性能, 从v Center中可对内存、磁盘、CPU等资源的使用情况进行查看。各项资源的使用临界值, 一般CPU为75%, 内存为85%, 磁盘为80%。对于指标超过警戒值或者报警的要及时予以处理, 可以通过查看日志进行分析系统运行时发生的情况。

二、虚拟化技术提高信息安全水平

(一) 虚拟化技术提高灾备效率。

虚拟化技术的一个重要特点是能实现管理集中化和恢复自动化, 可以改变传统的灾备方式, 减少数据备份和恢复的代价, 提高灾备效率和数据完整性、可用性和高可用性。传统的灾备需要复杂的备份服务器、存储设备及网络设施, 还需根据数据量增大扩容硬件设备。但采用虚拟化技术后, 能快速把工作负载自动转移到其他资源, 能把操作系统和应用转移到异地的虚拟机, 使应用快速恢复。VMware是目前先进的虚拟化技术, VMware v Center Site Recovery Manager软件能为所有虚拟化应用提供简单可靠的灾难保护。v Center Site Recovery Manager利用经济高效的v Sphere Replication或基于存储的复制功能来集中管理恢复计划, 实现无中断测试, 并自动实施站点恢复和迁移过程。v Center Site Recovery Manager可与v Center Server紧密集成的界面轻松设置集中式自动恢复计划, 仅需花数分钟可完成。启动灾难故障切换时, 只需简单干预即可自动恢复业务服务。VMware Consolidated Backup是另外一个工具, 直接在底层的虚拟层上进行数据的备份, 避免了在每台虚拟机上进行备份, 减轻ESX Server上的负载, 使得虚拟机可以运行更多应用, 提高资源利用率。

(二) 虚拟化技术减少系统运维压力, 提高信息安全水平。

随着信息技术的发展和虚拟化应用的深入, 在当今IT行业, 虚拟化技术广泛用于整合IT基础设施和优化业务管理, 它通过将传统物理资源抽象成逻辑资源, 让1台服务器同时作为多台逻辑上隔离的虚拟服务器, 将主机CPU、主机内存、磁盘空间等硬件通过1个资源池管理, 重点监控应用真正使用到的逻辑资源, 如CPU主频Hz、内存使用情况、磁盘空间使用情况以及存储状态等, 实现物理资源统一动态管理。通过服务器虚拟化整合现有硬件资源, 构建虚拟资源池和集中部署, 减轻了运维压力, 提高信息安全水平, 同时降低数据分中心的运行和维护成本。

(三) 虚拟化技术提升软件测试水平。

在大部分软件系统的测试中, 对硬件性能要求不是很高, 可以采用虚拟机进行部署测试环境。如分别由8个人同时对跨境资金监测分析系统的8个模块进行测试, 考虑到性能问题, 若是物理主机, 需要部署8台主机, 但采用虚拟机的话, 可以在1台高性能服务器上部署8个虚拟机同时进行测试, 并且可以支持远程测试, 测试者可以并行开展其他工作, 这样大大提高了部署效率, 减少了人力资源的浪费。采用虚拟机进行测试可以将测试过程点的各种状态保存为文件, 当测试失败需要回溯时, 将备份文件直接恢复到虚拟机, 不需要占用物理服务器进行反复回归检查。

三、虚拟化技术自身安全分析