秦绪伟

摘要：网络信息技术的发展非常迅速，增强计算机信息系统的安全防护是计算机行业中需要重视的问题。在传统的信息技术系统安全防护中，还是存在着一些漏洞，不能对信息系统进行有效的防护，而虚拟化技术的出现，改善了传统安全防护系统的中存在的问题，利用一种新型的防护手段对信息系统进行安全防护，本文对在虚拟化技术的基础上信息系统安全防护框架的构建进行了先关研究。

关键词：虚拟化技术；虚拟机监视器；信息系统；安全

引言：

传统的安全防护框架大多以信息系统软件栈中上层业务应用软件或者底层操作系统作为安全防护的立足点，采用安全加目作为主要技术手段，提高网络和主机系统的安全性和抗攻击能力。由于上层应用软件和操作系统软件各不相同，且每个企业对于信息系统的安全需求也不尽相同，导致缺少一种有效的、易于移植的安全防护解决方案。

一、虚拟化技术的介绍

虚拟化技术通过在底层硬件设备与上层操作系统之间增加一个额外的软件层，即虚拟机监控器（VMM，VirtualMachineMoni-tor），屏蔽硬件平台的分布性、异构性和动态性，支持硬件资源的共享，并采用软硬件分时服务、仿真执行与模拟等技术在单个计算机物理设备上为每个用户提供属于个人的独立、隔离的计算环境，即虚拟机（VM，VirtualMachine），用于运行操作系统软件及上层应用软件，确保在虚拟出的运行环境中操作系统与应用软件的运行状况与在真实的物理设备上运行的状况基本相同，藉此带来更好的安全性、容错性和可维护性等。

二、基于虚拟技术的安全防护构架

信息技术系统的安全防护是目前需要注意的问题，使用虚拟化技术进行安全系统的防护，开辟了新途径，主要的操作方式是通过监测其他入侵信息，对信息系统进行防御抵抗，保证信息数据的安全性，根据具体的操作建立一个安全防护的框架。主要使用的虚拟机监视器对信息系统进行安全防护，通过虚拟机监视器设立隔离加密的机制，增加对计算机信息的保护层，可以使用各种类型的防护措施，增强对信息系统的防护。

1、安全增强层

通过使用虚拟机监视器，增强了的信息系统的安全性，通过使用虚拟机监视器中拦截隔离，和数据加密的相关体系，信息系统又增加了一个强大安全保护层，在使用的过程中，可以相对的工作的流程和企业信息进行加密，并且的可以对所有的计算机信息进行监控，对企业中的工作人员起到一个约束的作用。

对操作系统而言，每个上层应用都是由多个操作系统进程构成，而每个进程所需资源均可被抽象成3种类型：内存、CPU下文、I/O数据。所以在使用虚拟监视器对上层应用软件的保护就是对企业中的相关机密材料进行的保护。避免企业中的信息资源受到入侵和泄漏，设置相应的恶意攻击预防机制必须由整体系统的协调调用才可以进行监控防御行为，所以通过对的上层系统调用进行隔离监控，可以有效避免病毒的恶意攻击，防止信息系统遭到破坏。

在传统的操作系统中，系统调用直接从用户态进入到操作系统内核态，存在对操作系统破坏的威胁，因此可以在安全增强层提供拦截机制，在系统调用从用户态进入内核态之前，由VMM截获所有系统调用，检测每个系统调用所涉及的系统资源是否违背预先定义好的安全策略，以及该系统调用是否超过了安全策略已授权的权限，过滤掉具有一定危害性的系统调用操作；接着利用I/O数据加解密机制对用户数据进行加密，防止操作系统在被入侵与破坏后窃取或篡改用户数据；最后利用隔离机制，以写拷贝的方式隔离进程对关键系统资源的操作，只有当没有异常发生时，进程对系统资源的修改才会被同步到操作系统和运行环境中。

2、典型的安全服务

不光是设置安全增强层，在信息系统的各个环节中也可以根据实际情况设置安全服务，在对信息系统的访问时增加的安全服务，设立相关的隐私信息保护措施，在进行数据处理、传输和保存的过程中设立安全服务。在各种类型的安全服务中心，入侵检测的安全服务是目前比较常用的一种方法。在增加安全层的基础上进行典型的安全服务的安全防护框架的构建过程是非常重要的。

之前使用的入侵检测方法是以主机为基础设立的入侵检测方法，还有以网路为基础的入侵检测方法。但是在使用的过程中发现，这两种方法都存在着不足，以主机为技术的入侵检测方式不能对自己的受到的恶意攻击进行及时的处理，没有办法对其进行有效的控制，另一种方法不能对受到攻击后的信息数据进行检测，所以在使用中不能有效的对信息系统进行安全防护。虚拟化技术的出现有效的解决了以上两种方法中存在的不足。虚拟机监视器的性质是对信息系统进行隔离、防御和信息加密。可以把两种方法中存在漏洞的环节隔离到安全層以外，让其可以正常的工作，但是对其存在的安全隐患也进行了有效的控制。

借助VMM的支持，使之能够同时兼有基于网络的入侵检测系统和基于主机的入侵检测系统的优点。相对于基于网络的入侵检测系统与宿主检测系统而言，在具备较好的抗攻击性前提下，又能获得较多信息以降低误报率与漏报率。VMIDS可以看作VMM上的一个特权虚拟机（VM），较其他VMS相比有着特殊的优先权。VMIDS主要包含3个部件：权限审计器、异常检测器和隔离管理器。权限审计器负责检测每个系统调用所涉及的资源是否违背预先定义好的安全策略，以及该系统调用是否超过了安全策略已授权的权限，过滤掉具有一定危害性的系统调用操作；异常检测器对进程的系统调用序列进行动态监控，通过机器学习、数据挖掘等方式获得系统调用行为的正常模型或异常模型，而后在一般的执行中对进程的行为进行监控，并将其行为与正常的行为进行比较，以实现异常系统调用的检测。隔离管理器将不可信进程对关键系统资源的操作通过写拷贝的方式进行隔离。只有当没有异常发生时，不可信进程对系统资源的修改才会被同步到操作系统与运行环境中。

结语：

在虚拟化技术的条件下对信息系统安全防护有了新的防护框架，利用虚拟机监视器特有的性质，对信息系统在运行过程中受到的恶意攻击可以进行有效的防御和隔离，并且信息系统中的相关信息资源进行加密处理，为信息系统增加了安全层，及时操作系统受到破坏，虚拟机监视器中的安全服务也不会受到威胁，有效提高了对计算机信息系统安全防护的效率。

参考文献：

[1]娄睿.虚拟多域环境的安全保护技术研究[D].解放军信息工程大学，2014.

[2]张献忠. 基于虚拟化技术的嵌入式安全操作系统的研究与实现[D]. 电子科技大学，2015.