◆孙梅玲李降宇王寅永

（1.大连市地方税务局 辽宁 116015；2.大连理工大学网络与信息化中心 辽宁 116024；3.大连智通信息技术有限公司 辽宁 116023）

基于虚拟化环境的信息安全防护体系构建

◆孙梅玲1李降宇2王寅永3

（1.大连市地方税务局 辽宁 116015；2.大连理工大学网络与信息化中心 辽宁 116024；3.大连智通信息技术有限公司 辽宁 116023）

随着信息数字化的进一步深入发展，大连地税局大部分关键应用系统已经采用服务器虚拟化解决方案。虚拟服务器解决了企业信息化建设所需硬件成本的压力，但是鉴于目前网络安全和信息安全的建设需要，迫切需要包括入侵检测和防护、防火墙、完整性监控与日志检查的服务器防御以及现在可以部署的恶意软件防护，提供必要的防护措施，以提高在虚拟化环境中关键任务应用的安全性。

虚拟化；信息安全；防护体系

0 引言

目前地税局大多关键应用系统已经采用Vmware服务器虚拟化解决方案，服务器虚拟化使大连市地税局能够在效率、成本方面获得显著收益，使综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。同时，数据中心的虚拟系统面临许多与物理服务器相同的安全挑战，从而增加了风险暴露，再加上在保护这些IT资源方面存在大量特殊挑战，最终将抵消虚拟化的优势。尤其在虚拟化体系结构，从根本上影响如何对于关键任务应用进行设计、部署和管理，满足用户对物理服务器和虚拟服务器的安全保障需要[1]。基于目前网络安全和信息安全的建设需要，迫切需要包括入侵检测和防护、防火墙、完整性监控与日志检查的服务器防御以及现在可以部署的恶意软件防护，提供必要的防护措施，以提高安全性。

1 虚拟化安全面临威胁分析

虚拟服务器基础架构除了具有传统物理服务器的风险之外，同时也会带来其虚拟系统自身的安全问题。新安全威胁的出现自然就需要新方法来处理。通过前期调研分析，总结了目前虚拟化环境内存在的几点安全隐患。

（1）虚拟机之间的互相攻击。由于在虚拟化环境采用传统的防护模式，导致主要的防护边界还是位于物理主机的边缘，从而忽视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的安全隐患。

（2）随时启动的防护间歇。由于目前大量使用Vmware的服务器虚拟化技术，使IT服务具备更高的灵活性和负载均衡，但由于资源动态调整关闭或开启虚拟机会导致防护间歇问题。

（3）系统安全补丁安装。在虚拟化环境内仍会定期采用传统方式对阶段性发布的系统补丁进行测试和手工安装。虽然虚拟化服务器本身有一定状态恢复的功能机制，但此种做法仍有一定安全风险。

（4）防病毒软件对资源的占用冲突导致AV（Anti-Virus）风暴。目前在虚拟化环境中对于虚拟化服务器仍使用每台虚拟操作系统安装Offiescan防病毒客户端的方式进行病毒防护。在防护效果上可以达到安全标准，但如从资源占用方面考虑存在一定安全风险。

通过以上的分析是我们了解到虽然传统安全设备可以在物理网络层和操作系统提供安全防护，但是虚拟环境中存在新的安全威胁，例如：虚拟主机之间通讯的访问控制问题，病毒通过虚拟交换机传播问题等，传统的安全设备无法提供相关的防护，急需为虚拟环境提供全面的安全保护。

2 虚拟化安全解决方案设计

针对虚拟环境建设全新的信息安全防护方案，通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护，并满足信息系统合规性审计要求，构建虚拟化平台的基础架构多层次的综合防护[2]。设计网络拓扑结构图如图1。

图1 网络拓扑结构图

2.1 病毒防护

传统的病毒针防护解决方案都是通过安装Agent代理程序到虚拟主机的操作系统中，在整合服务器虚拟化后，要实现针对病毒的实时防护，同样需要在虚拟主机的操作系统中安装防病毒Agent程序。

通过VMshield接口实现对虚拟系统和虚拟主机之间的全面防护，无需在虚拟主机的操作系统中安装Agent程序，即虚拟主机系统无代理方式实现实时的病毒防护，这样无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗，最大化利用计算资源的同时提供全面病毒的实时防护。

2.2 访问控制

传统技术的防火墙技术常常以硬件形式存在，用于通过访问控制和安全区域间的划分，计算资源虚拟化后导致边界模糊，而传统防火墙在物理网络层提供访问控制，如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。

防火墙提供基于状态检测细粒度的访问控制功能，可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离，同时支持各种泛洪攻击的识别和拦截。

2.3 入侵检测/防护

在 VMware的NSX环境中，可通过NSX专用接口可以对虚拟交换机允许交换机或端口组运行在“混杂模式”，这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。除了提供传统IDS/IPS系统功能外，还在虚拟环境中基于政策的（policy-based）监控和分析工具，更精确的流量监控、分析和访问控制，还能分析网络行为，为虚拟网络提供更高的安全性。

2.4 虚拟补丁防护

通过虚拟补丁技术完全可以解决由于补丁导致的问题，通过在虚拟系统的接口对虚拟主机系统进行评估，并可以自动对每个虚拟主机提供全面的漏洞修补功能，在操作系统在没有安装补丁程序之前，提供针对漏洞攻击的拦截。虚拟补丁防护功能既不需要停机安装，也不需要进行广泛的应用程序测试。虽然此集成包可以为IT人员节省大量时间。

2.5 完整性审计

针对系统支持依据基线的文件、目录、注册表等关键文件监控和审计功能，当这些关键位置为恶意篡改或感染病毒时，可以提供为管理员提供告警和记录功能，从而提供系统的安全性。

服务器系统日志和应用程序日志正以惊人的速度生成，这就可以详细记录下来IT活动。例行的日志检查及深入分析保存日志不但可以立即识别出现不久的安全事件、违反政策情况、欺诈活动以及运作问题，还有助于提供有用的信息，从而解决问题。

建设全面的系统日志和详尽的报告功能，通过对日志进行分析可以让管理员跟踪IT基础设施的活动，评估服务器数据泄密事件是否发生、如何发生、何时发生、在何处发生的有效方法[4]。

3 结束语

大连市地方税务局VMware 平台下及华为平台下采用物理服务器多台，部署了DeepSecurity后，无需在虚拟主机操作系统中Agent程序就可以实现基础的多种防护功能，为每台虚拟主机的多层次安全防护，包括：防病毒功能、访问控制功能、虚拟补丁、攻击防御、完整性监控等。管理员通过浏览器就可以实现DeepSecurity的管控，包括Agent程序的策略下发，状态检测、风险监控等功能，并且支持VMware vCenter的集中控管，在提供最大化的服务器基础防护的同时大大提高了管理的便捷性，同时也降低了对IT资源的影响。

[1]李宇宏.企业虚拟化环境中的安全防护[J].中国新技术新产品, 2014.

[2]鲁松.计算机虚拟化技术及应用[M].北京:机械工业出版社, 2008.

[3]王建永.虚拟化系统的安全防护[J].电脑知识与技术, 2013.

[4]王摇茜，朱志祥，葛摇新，杜摇迟.应用于云计算中心的虚拟主机安全防护系统[J].计算机技术与发展, 2014.