陈臣 高军

〔摘要〕云计算环境下，数字图书馆虚拟机面临的安全威胁日益严重。本文首先分析了云计算环境下数字图书馆虚拟机存在的安全漏洞和威胁，然后提出了全面的虚拟机安全管理方案。该方案能有效提高云计算环境下数字图书馆虚拟机及整个虚拟化系统的安全性。

〔关键词〕云计算；数字图书馆；虚拟机；安全部署

DOI：10.3969/j.issn.1008-0821.2013.07.014

〔中图分类号〕G250.76〔文献标识码〕A〔文章编号〕1008-0821（2013）07-0064-03

Study for Virtual Machine Security Deployment Policy

for Digital Library in Cloud ComputingChen ChenGao Jun

（Network Center，Lanzhou University of Finance and Economics，Lanzhou 730020，China）

〔Abstract〕The security threats of virtual machines for digital library in the cloud computing environment are getting rapid development.This paper firstly analyzed the vulnerabilities and threats of virtual machines for digital library in the cloud computing environment，and then a comprehensive virtual machine security management scheme was presented.The security management scheme should effectively increase the security not only of virtual machines but also of the whole virtual system for digital library in the cloud computing environment.

〔Key words〕cloud computing；digital library；virtual machine；security deployment

云计算环境下，虚拟化技术在降低云图书馆数据中心建设成本的前提下，提高了读者云个性化阅读服务质量和效率，实现了图书馆云资源的动态管理和低碳运营。但时，随着虚拟化技术的深入应用和虚拟机数量激增，云图书馆基础设施结构复杂度和虚拟机系统管理难度不断增长，导致图书馆云服务系统和虚拟机集群在面临传统安全问题的同时，会产生许多新的安全漏洞和威胁。因此，如何有效增强云图书馆虚拟机集群系统的自身健壮性和安全防护能力，是关系云图书馆服务有效性和安全性、可控性的关键。

1云图书馆虚拟机集群面临的安全威胁

1.1虚拟机集群安全管理环境复杂

云计算环境下，数字图书馆根据用户服务的对象、内容、资源和质量需求，将物理服务器虚拟化为多个虚拟设备，为读者群的云阅读活动和图书馆管理进行保障。

由于图书馆云阅读应用环境、读者群、云阅读内容和云服务模式的不同，导致不同的读者、云服务模式、云服务系统和虚拟机有不同的安全需求。因此，如何根据虚拟机所处的云系统网络位置、应用服务模式、运营安全需求、所处的物理服务器安全防御水平，进行准确、有效的安全级别划分，是关系虚拟机集群管理安全级别划分有效性和可控性的关键。其次，随着云图书馆虚拟机数量的快速增长，多个虚拟机将共存于同一个物理服务器，会导致虚拟机系统结构的复杂性不断升高。原有以保障物理服务器安全为基础的安全策略，已不能完全、可靠地满足虚拟机系统的安全性需求。第三，随着云图书馆虚拟机集群复杂度的快速增长，对虚拟机的管理、通信数据监控、漏洞补丁、安全防护性能监控的有效性，也成为增加虚拟机安全管理难度的又一个重要因素[1]。

1.2云图书馆虚拟机系统面临更多的安全威胁

云图书馆虚拟机系统具有用户多、逻辑隔离、虚拟机集群结构复杂、云资源管理难度大的特点。因此，黑客可能会利用虚拟机软件或者虚拟机中运行软件的漏洞实施攻击，并通过虚拟机逃逸技术，达到攻击或控制虚拟机宿主设备操作系统的目的。其次，随着云图书馆服务模式和服务内容的不断发展，如何根据虚拟机运营服务优先级别特点，为不同优先级别的虚拟机准确、及时、恰当、可控地分配云资源，是确保图书馆云服务高效、连续的关键。第三，随着虚拟机拓扑结构和管理权限复杂度的不断增长，如何加强虚拟机管理与信任关系的逻辑性、合理性，是防止虚拟机系统未授权访问和越权管理的关键。第四，虚拟机远程管理平台的漏洞、拒绝服务（DoS）攻击防范的缺陷、迁移攻击等，也会对虚拟机系统运营与管理产生新的安全威胁。

云计算环境下数字图书馆虚拟机安全部署策略研究1.3虚拟机密钥的安全管理面临严峻挑战

虚拟机密钥安全管理的有效性，是关系云图书馆虚拟机安全管理与运营活动的前提。首先，云计算复杂环境下，黑客企图通过攻击密钥管理与存储系统，获得虚拟机的访问与控制权限。其次，云服务提供商和云图书馆在虚拟机密钥生成过程中，能否在确保虚拟机运营效率的前提下，保证所生成的密钥具有较高复杂度和恰当的更新频率，也是云图书馆密钥管理工作的重要需求。第三，云图书馆在密钥管理过程中，如何加强密钥管理的安全性、有效性，以及执行正确的密钥生成、管理、隔离、粉碎策略，确保密钥管理过程符合信息系统生命周期发展规律，是虚拟机密钥安全管理面临的又一个严峻挑战。

1.4云图书馆虚拟机应用的安全问题突出

云图书馆虚拟化环境与应用系统复杂、多变，导致虚拟机应用管理与安全问题突出。首先，云图书馆管理程序在设计过程中可能存在不可预测的风险。入侵者会通过攻击虚拟机管理程序，以避开虚拟化安全管理系统对虚拟机的防护，进而获取虚拟机的控制权限而导致虚拟机溢出，造成虚拟机安全问题蔓延。其次，随着云图书馆虚拟机数量、系统结构和应用程序复杂度的增长，云服务对虚拟机管理系统与应用程序补丁更新的数量、时限要求不断提高，要求虚拟机补丁更新具有较高的智能、自动化水平。第三，为了提高图书馆云服务平台的安全性和运营效率，管理员会将对服务时限要求高、用户访问量大和系统安全级别低的虚拟机放置在隔离区（DMZ）运行，云图书馆对DMZ区域虚拟机的安全性与运营效率提出了较高要求。第四，对位于同一个物理主机上不同虚拟机之间通信流量的监控，以及对虚拟机访问和流量传输合法性的判定，也是准确、及时地发现虚拟机攻击源和攻击方法的有效途径[2]。

1.5云图书馆虚拟机管理机制存在的安全问题

云图书馆虚拟机管理机制存在着较突出的安全问题。首先，图书馆虚拟机采用大量云资源多用户共享的管理机制，并且多种虚拟化应用服务和虚拟机管理程序可能存在不同的安全漏洞，导致虚拟机管理具有较强的突发性和随意性。其次，虚拟机在运行过程中会根据读者云阅读需要进行云迁移和云资源动态调度。当虚拟机处于实时迁移过程中时，黑客可能会对迁移控制层、迁移数据层、迁移模块等发动攻击。第三，虚拟化环境下，云图书馆数据中心虚拟化网络的拓扑结构将更加复杂、多变。在同一物理服务器内不同虚拟机之间的数据传输，将不经过传统的硬件防火墙、IDS和IPS等网络安全设备，传统的网络安全监控和防护设备无法完全保障虚拟化系统网络的安全。

2云图书馆虚拟机集群的安全部署策略

2.1加强对虚拟化硬件设备的安全管理

加强对虚拟化硬件设备的安全管理，是虚拟机安全、高效运营的前提。首先，应根据图书馆开展读者云阅读服务对虚拟机性能的需求，制定详细的虚拟机创建、管理、资源分配和删除计划，保证虚拟机的创建、管理与资源分配过程安全、合理、经济、低碳。其次，应严格控制虚拟机创建的数量，并执行符合虚拟机生命周期发展规律的监控、管理策略。可通过限制、减少云图书馆虚拟机的数量，不断提高虚拟机集群的安全可控性和降低安全管理成本。第三，在满足云阅读服务活动对虚拟机数量和云资源需求的前提下，应加强对虚拟机分配、运行、云资源管理过程的监控。并及时断开与虚拟机连接且不工作的硬件设备，以减少虚拟机的启动延迟。第四，应通过设置用户对硬件设备的接入条件限制对虚拟机的访问，不断加强对物理设备存储空间逻辑划分与隔离的安全管理。同时，执行可信、高效的虚拟机硬件设备安全审计[3]。

2.2提高虚拟机自身的安全、健壮性

提高虚拟机自身的安全、健壮性，是加强虚拟机系统安全预测和防范能力的前提。首先，在对虚拟机操作系统进行安全检测和漏洞补丁的同时，增加虚拟机安全管理密码的复杂性和更换频率，并通过虚拟化防火墙和安全防御系统，提高虚拟机操作系统平台安全性。其次，应增强虚拟机管理系统的安全管理功能，实现虚拟机通信数据的可靠性监控、网络管理、安全日志管理、虚拟机管理认证等，保证虚拟机运行具备可靠的安全保障。第三，应加强对虚拟机运营安全和效率的管理。图书馆应根据云服务安全性、云资源使用效率和开展读者云个性化阅读服务需求，在虚拟机上启用适当的应用与服务。可选择性地开放诸如屏幕保护、磁盘碎片整理、搜索工具、病毒和恶意软件扫描、文件完整性检查、日志和日志分析工具、系统更新等应用与服务。

2.3部署安全的虚拟防火墙和划分DMZ网络安全边界云图书馆虚拟化网络拓扑结构复杂、多变，同时，虚拟机迁移随意性较大，虚拟数据流在同一物理设备内不同虚拟机之间的交换，具有虚拟数据传输复杂和难以监控的特性。因此，虚拟化网络系统应部署安全、可靠的虚拟防火墙，不断提高虚拟化网络的安全性和可控性。

首先，应根据虚拟机集群运营的安全需求，为虚拟化数据中心网络、虚拟机集群、虚拟机端口，配置不同安全等级的虚拟化防火墙规则。通过减少虚拟机流量重复检测的次数和虚拟化防火墙的资源消耗量，来提高虚拟防火墙安全防御的有效性。其次，应坚持物理防火墙与虚拟防火墙共同防护的原则，确保所有网络层数据流量均被监控与保护，保证安全策略可随着虚拟机的迁移而迁移。第三，应加强对虚拟机通信端口的安全管理，对用户访问的对象、方式和类型进行安全限制，并对虚拟化数据传输通信进行加密、用户身份鉴别和虚拟机认证。第四，创建虚拟化网络安全的DMZ边界。为了提高云服务安全性和读者云阅读活动质量，云图书馆通常会在DMZ中运行虚拟化服务器。DMZ在对虚拟化网络安全威胁有效隔离的同时，也降低了数据通信的效率。因此，应根据DMZ的特点进行虚拟化网络安全边界设置，提高用户对DMZ内部虚拟机访问的安全性和有效性[4]。

2.4不断提高虚拟机安全管理的有效性

虚拟化环境下，黑客可利用虚拟机自身存在的进程、内存共享或内存错误，或者其他错误信息来进行代码的植入和攻击。同时，云图书馆虚拟机安全管理过程的复杂性和个性化要求，也对虚拟机安全管理提出了较高要求。

首先，云图书馆在建设虚拟化防火墙和入侵检测系统（IDS）的同时，应通过虚拟机嵌入式管理程序设计，来提高虚拟机资源的管理效率和降低资源损耗。特别应加强对“非法”虚拟机和可疑虚拟化应用的监控。其次，应通过高效的虚拟机及其镜像安全加固策略，自动审核虚拟机系统结构与应用服务的安全漏洞，进行安全审计、漏洞补丁、虚拟机隔离和系统加固。第三，云图书馆应制定合理、可行的虚拟机系统安全成本预算，保证虚拟化系统安全建设与应用服务可控、可操作和可持续发展。

2.5构建科学、可操作的虚拟机安全评估模型

根据微软公司STRIDE威胁建模技术，云图书馆虚拟机系统面临欺骗标识、篡改数据、拒绝履约、信息泄漏、拒绝服务、特权提升等6种安全威胁。因此，在虚拟机安全评估模型建立过程中，应坚持虚拟机系统安全分析、安全威胁发现与识别、安全风险量化、科学评估4个步骤，并分阶段进行安全部署和系统评估。

在虚拟机系统的安全分析中，应重点加强对云基础设施物理设备安全、网络安全、虚拟机应用安全、虚拟机系统安全可扩展性的分析，保证分析过程科学、全面、可靠和重点突出。在安全威胁的发现与识别过程中，应借助虚拟化网络与虚拟机监测系统，保证安全威胁监测系统运行精确、快速和易于量化。安全风险量化过程中，应保证量化过程科学、可控、经济和易于操作。科学评估过程中，应根据各评估子指标对虚拟机系统安全的作用力与威胁程度，为各子指标合理分配影响因子。并根据虚拟机运行安全环境的变化，以及对评估结果的科学性、有效性与精度要求，对评估方法和指标内容进行动态调整[5]。

3结语

云计算环境下，数字图书馆虚拟机的创建、管理、运营与维护安全，关系着图书馆云个性化服务有效性和读者云阅读活动满意度，是决定云图书馆市场竞争力和可持续发展的重要因素。因此，只有将虚拟机的安全保障工作融入到云图书馆的建设和日常运营中去，与云图书馆系统的整体安全性、服务能力和安全可持续发展相结合，才能制定科学、合理、经济和易操作的虚拟机安全管理策略，才能确保虚拟机运行安全、高效、低碳和易控。

参考文献

[1]秦中元，沈日胜，张群芳，等.虚拟机系统安全综述[J].计算机应用研究，2012，29（5）：1618-1622.

[2]赖英旭，胡少龙，杨震.基于虚拟机的安全技术研究[J].中国科学技术大学学报，2011，41（10）：907-914.

[3]Hines M R，Deshpande U，Gopalan K.Post-copy live migration of virtual machines[J].ACM SIGOPS Operating systems Review，2009，43（3）：14-26.

[4]程川.一种基于Xen的信任虚拟机安全访问设计与实现[J].计算机与数字工程，2010，38（3）：109-111.

[5]孙磊，杨星，马自堂.云环境下基于BN模型的虚拟机安全部署模型[J].计算机科学，2013，40（3）：210-214.

（本文责任编辑：马卓）基于区域高校图书馆联盟的合作储存图书馆建设

收稿日期：2013-04-03

基金项目：本文系安徽省高校省级科学研究重点项目“安徽省高校图书馆联盟建设模式与运行机制研究”（2011sk370zd）和安徽省高校省级科学研究重点项目“安徽省低利用率文献区域合作储存图书馆研究”（SK2013A180）成果之一。

作者简介：阳国华（1972-），男，副研究馆员，硕士，研究方向：信息资源共建共享、高校图书馆社会服务，发表论文近二十篇，出版专著1部。