導(dǎo)語：服務(wù)器虛擬化技術(shù)網(wǎng)絡(luò)安全設(shè)計研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：相比于傳統(tǒng)架構(gòu)，服務(wù)器虛擬化技術(shù)實現(xiàn)了計算、網(wǎng)絡(luò)和存儲資源的統(tǒng)一管理，具有更高的平臺投資效費比、簡化管理難度及擴展性強等優(yōu)勢，將其應(yīng)用于黨政內(nèi)網(wǎng)及軍工涉密等信息敏感程度高和網(wǎng)絡(luò)安全重要性強的領(lǐng)域，建設(shè)基于服務(wù)器虛擬化技術(shù)的數(shù)據(jù)中心，對其網(wǎng)絡(luò)安全方面提出了更高的挑戰(zhàn)。文章通過分析服務(wù)器虛擬化涉及的網(wǎng)絡(luò)安全風(fēng)險點，提出了選用國產(chǎn)自主可控的安全虛擬化產(chǎn)品、三網(wǎng)分離、安全域劃分等網(wǎng)絡(luò)安全設(shè)計思路，在提升數(shù)據(jù)中心運行效能的前提下，使得數(shù)據(jù)中心網(wǎng)絡(luò)更加安全、可靠。

關(guān)鍵詞：服務(wù)器虛擬化；數(shù)據(jù)中心；網(wǎng)絡(luò)安全

在新的信息技術(shù)不斷革新，網(wǎng)絡(luò)安全形勢復(fù)雜變化的大背景下，虛擬化技術(shù)作為云計算的關(guān)鍵技術(shù)，逐漸顯現(xiàn)了其在數(shù)據(jù)集中管控、安全邊界收緊、用戶策略統(tǒng)一管理等安全優(yōu)點，并在減少投資、降低管理成本、提高資源利用效率等方面具有優(yōu)勢。將虛擬化技術(shù)應(yīng)用于黨政內(nèi)網(wǎng)及軍工涉密等信息敏感程度較高的領(lǐng)域的需求是迫切的，本文在深入分析虛擬化環(huán)境下信息系統(tǒng)安全風(fēng)險的基礎(chǔ)上，基于國產(chǎn)自主可控的安全虛擬化產(chǎn)品，從虛擬化資源管理系統(tǒng)安全、身份認(rèn)證與管理、安全監(jiān)控與審計、病毒與惡意代碼防護、端口及介質(zhì)管控、管理平臺安全等方面進行了安全設(shè)計和產(chǎn)品實現(xiàn)，有效控制了網(wǎng)絡(luò)安全風(fēng)險。

1安全風(fēng)險分析

通過對虛擬化環(huán)境下數(shù)據(jù)中心網(wǎng)絡(luò)安全風(fēng)險進行整理及評估，需要重點解決的風(fēng)險點如表1所示。

2網(wǎng)絡(luò)安全設(shè)計

2.1選用國產(chǎn)自主可控的安全虛擬化產(chǎn)品

相比于VMware、Citrix等國外虛擬化產(chǎn)品，國產(chǎn)自主可控的安全虛擬化產(chǎn)品具有全自主國產(chǎn)化優(yōu)勢，獲得了相關(guān)保密資質(zhì)，更安全可控；符合涉密信息系統(tǒng)分級保護要求，強化了虛擬化內(nèi)核安全，從結(jié)構(gòu)和全面性上保證了虛擬化環(huán)境的體系性安全。

2.2安全域劃分及邊界防護

根據(jù)系統(tǒng)處理信息的密級、責(zé)任單位、業(yè)務(wù)等將網(wǎng)絡(luò)劃分為不同的安全域，如終端安全域、安全管理服務(wù)器安全域、業(yè)務(wù)應(yīng)用服務(wù)器安全域等。為了減少虛擬機隱通道攻擊的風(fēng)險，服務(wù)器虛擬化系統(tǒng)將隸屬于不同安全域的虛擬服務(wù)器以獨立集群方式建設(shè)，位于不同安全域的虛擬服務(wù)器所使用的宿主機、存儲、交換機等均物理分開，確保不同密級的虛擬服務(wù)器不共享計算、存儲等物理設(shè)備。數(shù)據(jù)中心網(wǎng)絡(luò)拓?fù)鋱D如圖1所示，針對不同的集群，分別劃分2個安全域：服務(wù)器安全域-虛擬化、服務(wù)器虛擬化集群管理安全域。在安全域邊界采用防火墻進行安全域間的訪問控制。

2.3三網(wǎng)分離

如圖1所示，服務(wù)器虛擬化系統(tǒng)通過隔離網(wǎng)絡(luò)平面將業(yè)務(wù)流進行分化，將虛擬化資源管理系統(tǒng)劃分為業(yè)務(wù)網(wǎng)平面、存儲網(wǎng)平面和管理網(wǎng)平面，并且三個平面之間是隔離的，避免不同數(shù)據(jù)流交叉，混雜傳輸。業(yè)務(wù)網(wǎng)平面：為用戶提供業(yè)務(wù)通道，為虛擬機虛擬網(wǎng)卡的通信平面，對外提供業(yè)務(wù)應(yīng)用。存儲網(wǎng)平面：為存儲設(shè)備提供通信平面，并為虛擬機提供存儲資源，但不直接與虛擬機通信，而通過虛擬化資源管理系統(tǒng)轉(zhuǎn)化。管理網(wǎng)平面：負(fù)責(zé)整個虛擬化系統(tǒng)的管理、業(yè)務(wù)部署、系統(tǒng)加載等流量的通信。

2.4物理安全

門控措施：數(shù)據(jù)中心機房設(shè)置雙人認(rèn)證方式的門禁系統(tǒng)，嚴(yán)格落實審批登記管理制度。設(shè)備安放：服務(wù)器虛擬化系統(tǒng)的宿主機、集中存儲等關(guān)鍵硬件設(shè)備所在機柜加鎖防護，并確保在攝像頭覆蓋范圍內(nèi)，24小時視頻監(jiān)控。設(shè)備數(shù)據(jù)接口：在服務(wù)器虛擬化系統(tǒng)的宿主機上安裝計算機及移動存儲介質(zhì)管理系統(tǒng)，對光驅(qū)、軟驅(qū)、USB口、并口、串口等進行管控，防止被非授權(quán)使用。設(shè)備維修：機房巡檢、設(shè)備維修維護等，至少2名機房運維管理人員同進同出，外來人員進入機房，機房運維管理人員全程旁站陪同。在對服務(wù)器虛擬化系統(tǒng)宿主機、存儲等關(guān)鍵硬件設(shè)備進行維護時，至少2名機房運維管理人員同時在場方可進行物理設(shè)備操作。

2.5運行安全

（1）備份與恢復(fù)虛擬化資源管理系統(tǒng)的服務(wù)器采用雙機熱備方式部署，出現(xiàn)系統(tǒng)故障時，可實現(xiàn)快速恢復(fù)或自動切換。采用備份系統(tǒng)對虛擬機進行定期自動備份，當(dāng)虛擬機崩潰或系統(tǒng)異常時對其進行恢復(fù)，保證磁盤文件和系統(tǒng)存儲的完整性；對應(yīng)用相關(guān)數(shù)據(jù)（數(shù)據(jù)庫、非結(jié)構(gòu)化業(yè)務(wù)數(shù)據(jù)、系統(tǒng)配置文件、日志文件等）進行定期自動備份，當(dāng)應(yīng)用相關(guān)數(shù)據(jù)因誤刪或損壞時對其進行恢復(fù)，保證應(yīng)用數(shù)據(jù)的完整性。（2）惡意代碼與計算機病毒防治虛擬化環(huán)境下采用輕代理的防病毒方案，在宿主機和虛擬機上安裝防病毒軟件驅(qū)動進行病毒查殺和實時監(jiān)控。（3）虛擬機安全監(jiān)控與審計在虛擬機中安裝審計監(jiān)控客戶端軟件，實現(xiàn)虛擬機中的操作行為審計。包括對主機狀態(tài)、配置信息、賬戶、進程、服務(wù)、主機網(wǎng)絡(luò)連接、打印、刻錄、非授權(quán)接入、共享、補丁安裝、文件和目錄操作、違規(guī)以及異常行為進行監(jiān)控和審計。將服務(wù)器虛擬化系統(tǒng)中的虛擬交換機流量外遷至指定虛擬交換機端口和物理交換機端口，之后再接入入侵檢測系統(tǒng)，監(jiān)控宿主機內(nèi)各虛擬機之間的網(wǎng)絡(luò)行為。利用國產(chǎn)化安全虛擬化產(chǎn)品自身對虛擬資源管理、虛擬機管理、賬戶管理、策略設(shè)置等管理員操作行為和系統(tǒng)事件、資源狀況、更新維護等行為進行審計。（4）端口及介質(zhì)管控在宿主機和虛擬機中安裝計算機及移動存儲介質(zhì)管理系統(tǒng)客戶端，進行違規(guī)外聯(lián)監(jiān)控，以及端口使用控制、監(jiān)控和審計，并對違規(guī)外聯(lián)行為進行報警和阻斷。（5）運維安全設(shè)置專門用于服務(wù)器虛擬化運維管理的終端，進行地址綁定，專人使用，運維人員對該終端的使用采取視頻監(jiān)控；宿主機的運維管理網(wǎng)絡(luò)單獨組網(wǎng)。（6）虛擬化資源管理系統(tǒng)安全加固宿主機的操作系統(tǒng)均采用經(jīng)過剪裁的Linux系統(tǒng)，在剪裁過程中，僅保留必要的硬件驅(qū)動及虛擬化資源管理必要的服務(wù)，僅開放虛擬機管理系統(tǒng)進行業(yè)務(wù)管理必需的網(wǎng)絡(luò)端口，針對有限的開放端口也進行綁定保護。關(guān)閉不必需的多余賬戶，并對root賬戶進行加固，禁止使用root賬戶直接登錄，提高賬戶密碼復(fù)雜性要求，減少密碼錯誤重試次數(shù)，并增大重試錯誤后的間隔期，提高系統(tǒng)在密碼暴力破解面前的安全性。對系統(tǒng)重要組件和文件進行定期文件一致性檢查，確保系統(tǒng)的安全性。（7）虛擬機安全管理制訂虛擬服務(wù)器使用管理制度，對虛擬服務(wù)器的申請、審批、創(chuàng)建、使用、廢止等環(huán)節(jié)進行全生命周期管控，明確根賬號的管理、虛擬服務(wù)器管理、鏡像模板管理、機房進出、運維管理、備份與恢復(fù)、應(yīng)急演練等。（8）安全性能檢測采用漏洞掃描系統(tǒng)，定期對服務(wù)器虛擬化系統(tǒng)進行漏洞檢測、分析和評估，及時發(fā)現(xiàn)存在的安全漏洞并進行修復(fù)。

2.6信息安全

（1）物理隔離服務(wù)器虛擬化系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)物理隔離。（2）虛擬機密級標(biāo)識服務(wù)器虛擬化系統(tǒng)中，根據(jù)虛擬機處理涉密信息的最高密級，標(biāo)識其虛擬機的密級。密級標(biāo)識與虛擬機不可分離，并在其全生命周期過程中不得非授權(quán)修改。（3）身份認(rèn)證管理員登錄虛擬化資源管理系統(tǒng)，業(yè)務(wù)用戶登錄應(yīng)用系統(tǒng)均采用基于雙因子身份鑒別方式，如數(shù)字證書的USBKey與PIN碼相結(jié)合的方式進行身份認(rèn)證。

3結(jié)語

基于服務(wù)器虛擬化技術(shù)作為數(shù)據(jù)中心的基礎(chǔ)架構(gòu)，雖然使得數(shù)據(jù)中心運行更加高效，但其安全隱患也非常多。本文梳理了涉及的各種網(wǎng)絡(luò)安全風(fēng)險，提出了相應(yīng)的安全設(shè)計思路，可供各種應(yīng)用場景進行參考，尤其是政府內(nèi)網(wǎng)及軍工涉密等領(lǐng)域。在保障服務(wù)器虛擬化為數(shù)據(jù)中心提供高效的技術(shù)架構(gòu)的前提下，強化網(wǎng)絡(luò)安全的研究設(shè)計，更好服務(wù)于各種應(yīng)用場景。

參考文獻：

[1]苑順周，姚曉冬，刑羽.基于超融合技術(shù)的數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021.

[2]翟勝軍.談分級保護網(wǎng)絡(luò)中的安全域劃分[J].保密科學(xué)技術(shù)，2011.

[3]向嵬，王東.計算機技術(shù)中虛擬化技術(shù)的運用研究[J].計算機工程應(yīng)用技術(shù)，2021.

[4]張玉賀，李陸，續(xù)煥超，等.國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)的應(yīng)用與實踐[J].網(wǎng)信軍民融合，2019.

作者：金俊玲 王昕 單位：中國艦船研究設(shè)計中心