索世恒

（文化和旅游部信息中心，北京 100020）

在当前的云计算体系下，虚拟技术作为其中的代表，所能承载的业务也在逐渐变化之中，核心业务的影响越来越明，因此其信息安全问题逐渐得到了社会的广泛关注。在当前虚拟化环境中，信息安全风险一直制约着虚拟化技术的发展，所以针对这种问题，就需要工作人员能够进一步了解信息安全风险问题，提出应对措施，切实保证系统安全。

1 虚拟化环境中的信息安全风险

1.1 虚拟化环境中的传统安全问题依然存在

从相关技术的发展情况来看，虚拟化环境中的传统安全风险情况尚未得到有效解决。例如，在当前虚拟化的环境中，物理服务器的体系结构得到了分解，并以不同的业务承载形式表现出来，在这种情况下，操作系统本身的漏洞、业务系统问题等都会造成问题运行问题，尤其是防病毒系统、文件存储安全问题等还存在很大的改进空间[1]。

同时，对系统资源的争夺已经成为虚拟机功能的重要组成部分，在正常的系统运行阶段，需要通过多个虚拟机同时运行的基础上，同时为了考虑未来的病毒更新的业务要求，尽可能避免网络负担问题而对虚拟机的运行产生影响。

1.2 虚拟化环境中本身存在缺陷

在虚拟化客户端体系下，传统的Hypervisor 管理层的属性要求，避免造成安全问题。这是因为Hypervisor 管理层本身具有特殊性，为了可以有效适应物理服务器的运行要求之后，通过一套具有稳定性的物理硬件来实现多种模式下的虚拟操作。在这种操作特征下，Hyperbisor 作为一种新的软件层，其完整性并不理想，并且系统的漏洞或者管理员安全配置不当都会到引发安全隐患问题。例如，当虚拟机在物理服务器之间迁移时，不会产生警告，增加出现风险的隐患；或者在虚拟机共享数据或者重新分配资源时，也有可能造成内存泄露风险。除此之外，少数不法分子会通过Hyperbisor 层的运行虚拟机内部子操作系统，开展超越虚拟机范围的攻击，在进入到子系统内部后，攻击会蔓延至升整个虚拟服务器，造成巨大损失。

1.3 虚拟机的管理存在问题

虚拟机本身存在一定的安全管理问题，在虚拟化环境下，随着设备运行时间的增加，会导致管理终端数量快速增长，相对应的，安全防护范围也在逐渐扩大。而管理网络与生产网络之间未实现隔离，这会导致管理人员在维护虚拟化平台阶段，难以对虚拟机的自动设置、迁移过程等做全面追踪管理，一些潜在的安全风险无法被及时发现[2]。同时，虚拟机运行过程中会产生大量且难以计算的数据，对这些数据的监控与识别存在难度，若不能及时对这些数据进行做监控，会导致物理主机的安全风险增加，并向其他虚拟机传染“虚拟机溢出”的补丁，引发安全问题。

2 虚拟化环境下信息安全防护体系的构建策略

针对虚拟化环境下所构建的新型信息安全防护方案，是以不同虚拟安全防护为基础逐渐演变的，满足信息系统合规性审计要求，是一种多层次的综合安全防护系统。

2.1 病毒防护

传统的虚拟化环境下病毒防护解决方案，主要是通过安装Agent 代理程序来实现的，通过Agent 代理程序在虚拟主机操作系统中构建病毒安全防护网络，并且在整合服务器虚拟化之后，完成对病毒的实时防护。在这种模式下，虚拟化信息环境下的病毒防护同样需要在虚拟操作系统中安装相应的病毒防护Agent 代理程序。从效果来看，这种方法的工作效率第一，并且若没有及时安装程序，系统将会面临较大的安全风险。

针对上述问题，本文提出了一种新的病毒防护对策：通过Vmshield 接口来实现虚拟主机与虚拟系统之间的安全防护，通过Vmshield 接口，不需要在虚拟主机操作系统中安装Ggent 程序，实现了虚拟主机系统无代理的安全防护模式。在这种模式下，不会消耗费配合虚拟主机的计算机资源与其他网络资源消耗，不仅可以充分使用各种网络计算，还能实现对系统的实时病毒防护。

在这种改进后的病毒防护模式中，虚拟网络环境下的访问控制得到了充分改进，与传统的硬件防火墙相比，改进后的病毒防护防火墙得到了进一步完善，成为一种建立在硬件系统基础上的防火墙模式，能够提供各种基于状态检测的访问控制，实现基于虚拟交换机的网络控制与虚拟系统之间的区域巡逻，所以面对各种不法分子的攻击都具有很强的拦截能力。

2.2 虚拟流量分析

2.2.1 纵向虚拟流量技术分析

在通过现有成熟的安全技术来解决普遍性的安全危险之后，虚拟化环境下的安全防护范围进一步拓展，还需要考虑“虚拟机虚拟机”、“虚拟机客户端”之间的安全问题[3]。在这种特殊的需求下，虚拟环境下的流量流向在安全防护中发挥着重要作用，可以成为安全管理的重要组成部分。

从目前相关技术的发展情况来看，大部分数据中心在虚拟化建设中都处于单中心虚拟阶段，在虚拟化环境中建立了虚拟计算池，并逐步将各个应用系统转移到虚拟平台上。在这个阶段的主要特征，就是虚拟服务器与实体服务器是共存的，所以出于信息安全的考虑，需要将各种重要业务部署到实体服务器上，而虚拟服务器可以承担各种非重要的业务。

在基于虚拟流量的信息安全阀防护中，可以搭建客户端的虚拟平台，该阶段虚拟环境下的网络流量以纵向为主，主要面对外部客户到虚拟机的访问需求，并且在相同的宿主机上，多个虚拟机可以采用物理接入交换机的方法与客户端完成数据过滤。在这种情况下，通过虚拟服务器的大部分访问过程需要经过安全设备与接入机的认证，保证了安全。同时为了提高安全防护效果，还可以在业务服务器的边界部署各类网关类安全产品，并在数据交互的物理交换机上部署网络审计系统或者入侵检测系统，确保可以在虚拟化环境下对各类病毒进行检测。

2.2.2 横向虚拟流量技术分析

而在构建虚拟化平台后，企业在信息安全管理中，可以将大部分业务迁移到虚拟平台上，并根据不同业务种类的特征，在虚拟平台上划分不同的安全域，具体结构如图1所示。

图1 横向虚拟流量的安全防护结构

在按照图1的结构完成划分后，同一层次上的不同安全域与统一安全域之间的虚拟机互访数量越来越多，此时的访问就是横向访问。而在相同宿主机上不同虚拟机交互下所出现的网络流量，不会通过物理接入到虚拟机中，可以对各类信息流的分类监控。

2.3 入侵检测与保护

从虚拟环境信息安全的角度来看，任何防护措施都不可避免的存在瑕疵，因此依然面临系统安全性的威胁。而针对这种问题，则需要通过入侵检测技术，对各种进入到虚拟网络环境内部的安全因素进行识别。为了实现上述目标，可以在VMware 的NSX环境中，依靠NSX 的专用接口对虚拟交换机允许交换机或者端口做识别，在这种情况下的虚拟IDS 传感器可以感知不同虚拟段上的流量，并形成历史数据。而当发现某一虚拟段上的流量数据明显区别与历史数据时，则可以认为该虚拟段存在问题，需要及时查看。

除了提供系统的IPS 系统功能外，相关人员还可以在虚拟环境中，基于policy-based 监控与分析工具，实现更加精确的流量监控，并对各类网络行为做分析，提高安全性。

3 结束语

从本次研究结果可知，现阶段的虚拟化环境下的信息安全防护情况并不理想，这就要求工作人员必须要构建全面的信息安全防护体系，通过层次性的信息安全结构，对虚拟环境中的各类安全因素进行识别，切实避免信息安全事件发生。