◆蔡 薇 殷 伟

（1.中国航空发动机集团有限公司 北京 100101；2.中国航空发动机研究院 北京 100101）

虚拟化技术主要包括服务器虚拟化、存储虚拟化、网络虚拟化等方面。服务器虚拟化是应用较为广泛和成熟的一种虚拟化技术，其通过虚拟化软件将传统物理主机的硬件资源整合成统一的逻辑资源池，再将资源池按需分配到多个虚拟机[1]，对虚拟机而言，操作系统仅仅是一个打包的封装文件，只需管理与控制应用接口[2]。不需要对主机的硬件调度进行管理与控制，由虚拟化软件通过hypervisor 抽象层协调通信服务器上的所有硬件层，这样多个操作系统可以同时运行在同一台物理主机上，动态地支持多个业务应用，当增加应用需求时，可随时创建更多虚拟机而无须增加物理服务器。这样能够充分利用物理主机资源，从而提高服务器利用率，并减少需要管理和维护的服务器数量。

1 服务器虚拟化安全风险与需求分析

由于服务器虚拟化管理端对服务器等物理设备具有全面的控制管理权限，涉及核心IT 资产的总体安全，资源的集中管理，如计算资源、存储资源和网络资源动态管理，给信息安全带来较大的挑战，存在如虚拟机跳板式攻击、虚拟机通信风险、虚拟化产品设计缺陷和平台网络架构安全隐患等风险，故在涉密信息系统中服务器虚拟化的应用推广较为缓慢。近年来随系统计算量、复杂度和用户数量等方面的需求增多，越来越倾向应用虚拟化技术解决性能和成本的瓶颈，国产服务器虚拟化系统应势而生，系统进行特殊功能设计用以防范安全风险。

涉密信息系统实行分级保护制度，其核心是对信息系统安全进行合理分级[3]，根据信息重要性、涉密等级，以及系统必须达到的安全保护水平来确定信息安全的保护等级。确定好密级后按相应的标准进行建设、管理和监督。服务器虚拟化产品的应用首先要符合国家的分级保护标准。目前执行的标准中，对分级保护的涉密信息系统有明确的分级保护措施，针对虚拟化技术和产品的安全保密管理，也进行了标准化规范和明确规定。

本文主要对照《2013 年国家信息安全专项 云操作系统安全加固和虚拟机安全管理 产品测评方案》（以下简称《测评方案》）开展讨论。

2 国产服务器虚拟化系统安全功能要求

《测评方案》中将服务器虚拟化系统的安全管理系统架构分为基于虚拟化的信息安全保护、运行安全和虚拟化技术安全三个部分（见图1），共计19 项。以下对用户管理、授权管理、虚拟机生命周期管理3 项进行了分析。

（1）用户管理

服务器虚拟化系统需要独立地实现用户身份标识和鉴别功能，包括用户账号生成、密码管理、登录鉴别、会话管理。在涉密信息系统中使用时，系统还需要设置三员管理用户角色，支持用户使用数字证书登录。

（2）授权管理

授权管理的核心思想是分级分域授权，设立组织机构、用户、角色、资源池和虚拟机之间的控制权限关系，并在用户登录访问过程中，为用户核查相应的权限，推送相应的资源，并进行访问控制。在安全性设计方面，应特别设置系统管理员、安全保密管理员和系统审计员三类管理员角色。系统资源（包括网络、主机、存储、虚拟机等资源）的运维权限由系统管理员执行，系统用户的资源使用权限管理由安全保密管理员执行，系统审计与监督的权限由安全审计员执行。

（3）虚拟机生命周期管理

虚拟机的生命周期包含虚拟机的分配、运行、备份、恢复以及虚拟机注销等环节。在各个环节，安全功能主要以权限管理和虚拟机数据加密来实现。即虚拟机与密钥同步创建，安全管理员分配用户权限后实现自身与虚拟机的绑定和用户密钥与虚拟机的绑定。虚拟机每次运行时都需对数据进行解密、对更改后的数据进行加密，以保证数据安全。

3 虚拟化系统搭建与应用实测

（1）虚拟化环境搭建及应用系统部署

截至2018 年，共有云宏、浪潮云海、中标麒麟、金航数码、网安凌云等14 套服务器虚拟化系统通过了国家保密局的保密测评（保密局网站可查询），其系统安全功能均满足测评标准的要求。本次采购了金航数码安全服务器虚拟化系统，对本单位门户网站、电子邮件系统进行虚拟化部署，进行生产环境试用。

原系统的网络结构较为简单，门户网站和邮件系统各使用一台服务器，通过交换外联防火墙访问广域网络，同时辅以杀毒、邮件备份、邮件安全网关及数据备份系统支撑系统的安全运行，未采用安全访问网关。本次虚拟化部署涉及的软硬件具体如表1：

图1 虚拟化系统安全性要求

表1 软硬件配置

安全网关（旧） 别邮件正文、附件及压缩文件病毒，识别垃圾邮件，对于接收邮件进行过滤 一区域 邮件数据备份系统（旧） 4T 超易备，对邮件数据进行备份 与邮件系统同一区域 网络设备 利旧，2 台交换机、1 台路由器 实现网络联通

服务器安装Red Hat Enterprise Linux 6.5 （64 位）版本操作系统和相应系统组件，以及 VSIP 主管理服务器组件（VSIP Server ）和VSIP 资源服务器组件（VSIP XAgent）。按照虚拟化系统部署要求配置了资源管理网和用户访问应用网两个网络，完成配置服务器的网卡、主机名、固定IP 地址、DNS 域名等VSIP FS 初始配置，确保VT 启用状态，安装VSIP OS，创建各个分区。

图2 虚拟化拓扑示意图

改造后网络拓扑如图2：1 台旧服务器用于虚拟化平台管理端，新采购2 台服务上部署安全服务器虚拟化软件，将这2 台服务器的CPU、内存、存储、网络进行资源整合，形成虚拟化平台的硬件资源池，创建出5 台虚拟机，分别部署了2 套门户网站，1 套电子邮件系统、1 套负载均衡服务和1 套应用杀毒软件共5个应用。

（2）系统应用效果

通过虚拟化系统实现对物理机、虚拟机的管理。管理员通过用户名口令登录，可对虚拟机进行创建、删除、备份、迁移和配置更改等操作。系统的用户管理落实了“三员”的管理要求，系统管理员负责用户账号管理、配置系统参数；安全管理员进行用户权限分配；审计管理员负责审计系统日志。系统可查看虚拟机的运行状态，并可对资源池存储可用容量、读写I/O 状态等情况进行监控，可以生成主机和虚拟机健康矩阵视图，直观反映主机、虚拟机中的异常情况。1 台物理主机宕机时，不影响应用使用，再通过手工方式重启服务器。系统可对虚拟机的操作系统、数据进行备份，并可以通过恢复快照的方式将虚拟机恢复至可用快照的状态，保证了系统、数据的稳定性。

通过此次部署实测，验证了应用安全、信息安全保护、运行安全和部分虚拟机技术安全功能点，达到了测评的要求，系统稳定运行。