潘淦+楊淑慧+酈勇+姜明+潘德寶

一、虛擬化技術(shù)簡介

1.服務(wù)器虛擬化概述。

虛擬化指的是將一個物理計算機劃分為一個或多個完全孤立的“虛擬機”，又稱VMs。具體應用中的服務(wù)器虛擬化，是將服務(wù)器物理資源抽象成邏輯資源，讓CPU、內(nèi)存、磁盤、I/O等硬件變成可以動態(tài)管理的資源池，不再受限于物理上的界限，在一臺服務(wù)器上運行幾臺甚至上百臺相互獨立的虛擬服務(wù)器。每一個虛擬服務(wù)器都有一套自己的虛擬硬件，而且是一套一致的、標準化的硬件，可以在這些虛擬硬件上加載操作系統(tǒng)和應用程序。通過虛擬化技術(shù)，可提高資源的利用率，簡化管理，實現(xiàn)服務(wù)器整合，提高IT對業(yè)務(wù)的靈活適應力。

2.服務(wù)器虛擬化技術(shù)原理。

虛擬化是一個抽象層，通過空間上的分割、時間上的分時以及模擬，虛擬化可將一份資源抽象成多份，亦可將多份資源抽象成—份，從而提供更高的IT資源利用率和靈活性。虛擬化技術(shù)允許具有不同操作系統(tǒng)的多個虛擬機在同一物理機上獨立并運行。每個虛擬機都有自己的一套虛擬硬件（如RAM、CPU、網(wǎng)卡等）并在這些硬件中加載操作系統(tǒng)和應用程序。無論實際采用了什么物理硬件組件，操作系統(tǒng)都將它們視為一組一致、標準化的硬件。

二、虛擬化技術(shù)的安全策略及審計關(guān)注面

服務(wù)器虛擬化有著節(jié)省運營成本、提高服務(wù)器的利用率，便于管理維護，動態(tài)地改善IT基礎(chǔ)架構(gòu)的性能和效率，實現(xiàn)應用的快速部署，備份的快速恢復，應用升級前的測試以及升級失敗后的快速回退，集中的性能監(jiān)控和告警，保持業(yè)務(wù)的連續(xù)性，真正實現(xiàn)綠色計算等諸多優(yōu)勢，吸引了越來越多的用戶。但服務(wù)器虛擬化技術(shù)在為用戶帶來利益的同時，也存在著嚴重的信息安全問題，對當前的安全技術(shù)提出了挑戰(zhàn)。因此，保障服務(wù)器虛擬化的信息安全不可忽視，從IT審計角度來探討服務(wù)器虛擬化的安全措施極有必要。從現(xiàn)有技術(shù)水平來看，保護虛擬系統(tǒng)的安全與保護獨立服務(wù)器的安全沒有什么不同，同樣的最佳安全實踐依然適用。即“平時怎樣保護服務(wù)器安全，現(xiàn)在就要以同樣的方法來保護虛擬機安全”。

（一）物理硬件及宿主機的安全要求。

1.審核硬件環(huán)境。在物理機上需要有足夠的處理能力、內(nèi)存、硬盤容量和帶寬，以滿足虛擬機的運行要求，建議預留一些額外的處理能力和內(nèi)存。

2.加強對宿主機的硬件管理。務(wù)必要對宿主機的安全進行細致的審核。一是宿主機的物理環(huán)境安全，包括對進入機房的身份卡驗證，對機器進行加鎖（避免被人竊走硬盤）;二是在安裝完畢后拆除軟驅(qū)、光驅(qū);三是在BIOS里，禁止從其它設(shè)備引導，只允許從主硬盤引導。另外還要對BIOS設(shè)置密碼，避免被人修改啟動選項;四是控制所有的外部接口。

3.加固宿主機的操作系統(tǒng)。宿主機的操作系統(tǒng)相對于虛擬機，需要更加審慎的安全策略，并且宿主機還應提供一些額外的安全措施，比如防火墻、入侵檢測系統(tǒng)等。具體審計時，一是宿主機應該只有一個賬戶能管理虛擬機。密碼應該強壯，難以猜測，經(jīng)常更換，只提供給必要的管理人員;二是如果需要接入網(wǎng)絡(luò)，在開啟服務(wù)之前，要使用防火墻限制，只允許必要的人訪問;三是不需要的程序和服務(wù)不要開啟，這樣不僅可以保證安全，還可以節(jié)省資源;四是應及時升級補丁。

4.配置宿主機時間同步。虛擬機缺省都是依賴于宿主機的時鐘，時鐘的不準確性會導致任務(wù)的提前或滯后，例如我們設(shè)置周六到周日這兩天，某些服務(wù)關(guān)閉，由于時間的重大差異，可能會造成業(yè)務(wù)中斷。同時系統(tǒng)日志也充滿了未知的不確定，導致系統(tǒng)管理員根本無法從日志上得出事件的真實事件。解決辦法是配置同步時間服務(wù)器。

5.合理控制虛擬機的數(shù)量。在宿主機上創(chuàng)建虛擬機只要短短幾分鐘，但虛擬機數(shù)量越多，面臨的安全風險也越大，導致管理、維護性能及配置供應的能力出現(xiàn)滯后。故應根據(jù)應用的需要，合理安排虛擬機數(shù)量，避免閑置的或測試用虛擬機在正式生產(chǎn)系統(tǒng)中的出現(xiàn)。

6.合理使用虛擬機的快照、復制技術(shù)。虛擬機的快照技術(shù)能夠在錯誤出現(xiàn)時讓損失降到最低，是虛擬機在特定時刻的狀態(tài)、磁盤數(shù)據(jù)和配置等基于文件的一種保存方式，適當使用可以將虛擬機恢復到任何以前有正常快照的狀態(tài)，但頻繁使用會占用很大的存儲空間，可能導致物理機I/O資源的大量消耗，虛擬機也可能因此崩潰。

（二）網(wǎng)絡(luò)安全要求

1.對架構(gòu)中的虛擬機進行隔離，盡量控制在DMZ區(qū)運行。由于宿主機內(nèi)部的虛擬機通信是通過虛擬交換機來傳送的。因此對外部網(wǎng)絡(luò)安全控制機制來說是看不見的，應根據(jù)應用程序類型和數(shù)據(jù)敏感程度，把虛擬機隔離到“安全區(qū)”，并參照DMZ主機系統(tǒng)的加固方案來實施，只開放應用所需的必要服務(wù)。通常做法就是將虛擬的應用服務(wù)器與數(shù)據(jù)庫服務(wù)器網(wǎng)段相互隔離，即把數(shù)據(jù)庫服務(wù)器放置在另外一個對虛擬的應用服務(wù)器而言的DMZ區(qū)。

2.控制虛擬機層端口的訪問。除了宿主機上開放的端口，虛擬機層也會使用宿主機的IP開放一些端口，這些端口可以允許其他人遠程連接到虛擬機層，以查看或配置虛擬機、磁盤，或者執(zhí)行其他任務(wù)。對這些端口的訪問應該受到嚴格的控制，至少需要一個宿主機的防火墻，只允許授權(quán)者對這些端口的訪問。最好不允許任何的遠程訪問，這樣核心進程可以絕緣于外部環(huán)境。如此要求無法適應業(yè)務(wù)的需求，則可設(shè)置一臺單獨的管理機進行管理。

3.使用加密通信。一是必須使用通信加密手段，可以采用HTTPS、TLS、SSH或者加密VPN來管理;二是根據(jù)應用的僅有加密機制還是不夠的，還應有身份鑒別和認證，以防止偽造源IP攻擊、連接劫持、中間人攻擊。

4.采取身份驗證。對于宿主機和虛擬機一樣，均需要同時配置身份驗證方式。比如密碼的加密，登陸次數(shù)的鎖定或延時等。

（三）對虛擬機服務(wù)和配置的要求。

1.禁用虛擬機部分功能。對于單一操作系統(tǒng)的虛擬機來說，總會有一些不需要的服務(wù)在啟用，這些都是不必要的，而且他們占用了資源，可以關(guān)閉。例如屏幕保護、磁盤碎片整理、搜索工具（如搜索磁盤內(nèi)的文件）、病毒和惡意軟件掃描、文件完整性檢查、日志和日志分析工具、系統(tǒng)更新等。

2.禁用虛擬機文件共享。大多虛擬機軟件支持在宿主機和虛擬機之間的無縫文件共享，在帶來了方便的同時也引入了安全風險。如此共享則虛擬機就有機會訪問宿主機，甚至對共享的文件進行操作。故除非有業(yè)務(wù)需要明確要求文件共享，否則應禁用文件共享功能。

3.虛擬機操作系統(tǒng)安全加固。對虛擬機操作系統(tǒng)進行各項安全的加固，就像它是一個物理機（宿主機）一樣。具體要求可參照前述的“加固宿主機的操作系統(tǒng)”章節(jié)執(zhí)行。

4.斷開虛擬機不使用的設(shè)備。虛擬技術(shù)允許虛擬機直接、間接的控制物理設(shè)備，比如軟驅(qū)、光驅(qū)、USB接口、打印機等。建議關(guān)閉所有可控制的物理設(shè)備，只在需要的時候才允許連接。

（四）對虛擬機管理平臺的管理要求。

1.限制虛擬化管理平臺管理員權(quán)限的發(fā)放。在虛擬環(huán)境下，虛擬機被封裝為單個或多個虛擬磁盤文件，虛擬機的便攜性帶來非常高的風險。例如，以前偷走一臺服務(wù)器是很困難的，但是現(xiàn)在虛擬化管理平臺被入侵或不合理使用后，虛擬機可以被輕松拷貝，然后在另一個虛擬化平臺進行還原，一臺服務(wù)器的數(shù)據(jù)就如此輕易的被盜了。因此必須合理控制虛擬機訪問權(quán)限，無論是在線的還是離線的虛擬機文件都必須獲得嚴格的管理和控制，還要特別注意管理員權(quán)限的發(fā)放數(shù)量，以免虛擬機數(shù)量激增，擴大安全風險。

2.部署虛擬化專用工具。在有條件的情況下，部署虛擬化專用產(chǎn)品進行虛擬化平臺的防病毒部署、補丁管理、行為審計、運維管理，從物理層、邏輯層，再到業(yè)務(wù)層、流程管理，對系統(tǒng)進行全面監(jiān)控、預警、告警和故障分析。相應的產(chǎn)品有BigFix、AuditPro、Stone ITSM、SteelEye等。

3.加強遠程控制的管理。一是指定管理機的IP地址。設(shè)置強壯的用戶名、密碼，如果對安全有更高要求的話，可以使用雙因素認證，PKI機制或一次性密碼;二是使用SSH遠程連接。還要禁止管理員直接登錄，用普通賬戶登錄然后切換到管理員，如安全要求較高，應選用DSA/RSA機制以防止中間人攻擊;三是盡量禁用VNC（Virtual Network Computing）和WEB管理。

4.關(guān)注虛擬機日志的管理。應該給虛擬機們提供一個集中的日志服務(wù)器，這個日志服務(wù)器也可以以虛擬機的狀態(tài)來運行。好的虛擬機日志要包括：電源狀態(tài)（開啟、關(guān)閉、暫停、恢復），對硬件配置的更改，登錄嘗試、提升權(quán)限的賬戶。此外根據(jù)具體應用情況還應對文件的復制、移動、刪除做日志記錄。

三、虛擬化技術(shù)在人民銀行的應用情況及審計實施建議

（一）虛擬化技術(shù)在人民銀行的應用情況。

基于安全性及穩(wěn)定性考量，目前人民銀行在涉及資金的關(guān)鍵應用系統(tǒng)中尚未使用虛擬化技術(shù)，但在非關(guān)鍵領(lǐng)域的輔助系統(tǒng)中已有虛擬化平臺的生產(chǎn)應用。一是整合資源，簡化管理的要求。如外匯局省分局將散布于Sco Unix、Linux、Windows等多個不同軟硬件平臺的輔助應用系統(tǒng)（文件接收、web網(wǎng)站、運維軟件監(jiān)控等）集中部署在Vmware虛擬平臺上;二是提高硬件資源利用率，減少服務(wù)器運行數(shù)量的需求。如部分中心支行將機房環(huán)境監(jiān)控系統(tǒng)、門禁管理系統(tǒng)整合;三是探索新技術(shù)，替代陳舊設(shè)備的原因。如部分中心支行探索使用虛擬機，將使用率極低的辦公網(wǎng)電子公文傳輸系統(tǒng)、電子郵件系統(tǒng)整合于一臺物理PC服務(wù)器上運行。

從整體情況來看，除外匯局省分局采用了總局統(tǒng)一采購的正版且有全面技術(shù)支持的Vmware虛擬平臺外，其余單位、部門均存在缺少統(tǒng)一規(guī)劃，各自使用free甚至破解版虛擬機平臺的情況，雖然目前僅限于輔助應用，但信息安全風險不容忽視。

隨著技術(shù)的進步、數(shù)據(jù)整合上收的深入以及提效降耗的管理強化，未來虛擬化技術(shù)在人民銀行必將有更多的實踐應用。在今后的一段時間內(nèi)，人民銀行IT審計人員應及時了解虛擬化系統(tǒng)面臨的威脅以及虛擬化在發(fā)展過程中的安全創(chuàng)新，以面對運行于異構(gòu)基礎(chǔ)設(shè)施的物理機和虛擬服務(wù)器的信息安全挑戰(zhàn)。

（二）對人民銀行應用的虛擬化技術(shù)專項審計實施建議。

目前，人民銀行尚未對虛擬化技術(shù)應用開展過全面或?qū)ｍ椀膶徲?，只是在近年以來的信息技術(shù)審計中對虛擬化應用風險有過一些初步關(guān)注。歸納起來主要體現(xiàn)在：一是虛擬化平臺未使用正式版軟件，多為free或測試版，甚至有盜版破解的情況;二是虛擬機管理平臺Hypervisor管理不嚴格，如不加限制多人使用管理員用戶，用戶權(quán)限劃分模糊，直接以telnet等不加密方式遠程訪問等;三是網(wǎng)絡(luò)界限不嚴格，體現(xiàn)在一臺宿主機上運行的多個虛擬平臺跨網(wǎng)接入。如同一宿主機中有的虛擬機接入人民銀行業(yè)務(wù)網(wǎng)，而有的虛擬機則接入防火墻DMZ區(qū)的金融城域網(wǎng);四是只重視宿主機及其操作系統(tǒng)的安全加固，而對基于其運行的多個虛擬機未予安全加固。

鑒于目前虛擬化技術(shù)尚未在人民銀行關(guān)鍵應用系統(tǒng)中投入，筆者認為，實施審計時應根據(jù)本文第三節(jié)提及的安全策略和審計關(guān)注面，結(jié)合人民銀行的實際情況，有所取舍，制訂出合理的審計方案。

一是關(guān)注風險，按風險導向模式開展審計。按照風險導向模式“審前調(diào)查→構(gòu)建指標體系→固有風險評估→現(xiàn)場審計，重點評價風險控制措施→揭示問題，評估剩余風險”的流程開展審計。

1.加強審前調(diào)查。通過審計前期查閱相關(guān)技術(shù)文檔，與系統(tǒng)管理員、網(wǎng)絡(luò)管理員、信息安全員等被審計系統(tǒng)（單位）的相關(guān)人員充分溝通交流，從而了解被審計對象，有針對性的開展審計。

2.構(gòu)建虛擬化技術(shù)風險評價指標體系?？蓪μ摂M化技術(shù)的審計內(nèi)容具體劃分為八個指標域：一、內(nèi)部控制管理;二、硬件與設(shè)施管理;三、網(wǎng)絡(luò)管理;四、宿主機安全管理;五、各虛擬機安全管理;六、Hypervisor管理監(jiān)控平臺管理;七、基于虛擬機的業(yè)務(wù)應用系統(tǒng)管理;八、應急、備份和采購、服務(wù)、技術(shù)支持管理。各類指標域的下設(shè)一、二級指標（可參照人民銀行常規(guī)信息技術(shù)審計的內(nèi)容及指標體系，此處不再詳述）。指標體系可采用人民銀行系統(tǒng)廣為應用的層次分析法來構(gòu)建判斷矩陣并計算指標權(quán)重。

3.開展審前固有風險評估。可走訪虛擬技術(shù)涉及的相關(guān)業(yè)務(wù)管理、業(yè)務(wù)應用及技術(shù)支持部門，采取查閱相關(guān)文檔，調(diào)取以往開展過的審計、專項檢查的檔案資料，電話訪談技術(shù)及服務(wù)供應商等方法開展有針對性的審前固有風險評估，了解虛擬技術(shù)管理基本情況和薄弱環(huán)節(jié)，確定審計的重點范圍。同時根據(jù)風險評估情況結(jié)合審計經(jīng)驗及科技部門對信息安全管理的相關(guān)要求，根據(jù)每個指標的固有評估風險等級和風險事件發(fā)生的可能性計算出固有風險評估值。

4.以風險控制有效性為核心，開展現(xiàn)場審計。對風險評估模型框架中各級指標的風險管理控制情況逐一開展檢查評估，并集中審計力量對風險評估為高風險領(lǐng)域的指標開展重點檢查。對于各項指標的風險控制有效性做出“持續(xù)有效（風險控制全覆蓋）、有效（風險控制大部覆蓋）、基本有效（風險控制基本覆蓋）、輕微效果（風險控制少量覆蓋）、無效”等五類定性評價結(jié)論，并根據(jù)定性評價結(jié)論所對應的等比數(shù)列量化轉(zhuǎn)換比例，將定性評價結(jié)論轉(zhuǎn)化為定量得分。對于審計發(fā)現(xiàn)的因風險控制缺失與不足而導致的問題，采用風險與控制并重的原則，根據(jù)可能潛在的損失程度，對問題的嚴重性進行判斷，并區(qū)分為嚴重、較嚴重、一般、輕微四級。

5.定量與定性相結(jié)合，披露剩余風險。根據(jù)人民銀行風險量化評估的基本模型：剩余風險=固有風險-控制有效性，通過權(quán)重計算、風險等級界定賦值計算固有風險，減去風險控制有效性的定量轉(zhuǎn)換分值，再通過加權(quán)累積，計算得出人民銀行虛擬化技術(shù)風險評估模型各指標域的剩余風險評分以及虛擬化技術(shù)應用管理總體剩余風險評分。需要關(guān)注的是，審計不僅要對宿主機、虛擬機、管理系統(tǒng)等虛擬技術(shù)整體架構(gòu)（硬件、軟件、網(wǎng)絡(luò)及管理）進行剩余風險披露，還需對基于虛擬化平臺運行的應用系統(tǒng)風險承受情況及剩余風險作出判斷。通過對剩余風險做出詳盡披露，便于管理層開展橫、縱向的分析比較，從而做出相關(guān)決策。

二是突出重點，兼顧績效。結(jié)合人民銀行尤其是分支機構(gòu)的虛擬技術(shù)只應用于非關(guān)鍵領(lǐng)域的輔助系統(tǒng)這一實際情況，不僅要對宿主機、虛擬機、管理系統(tǒng)等虛擬技術(shù)整體架構(gòu)（硬件、軟件、網(wǎng)絡(luò)及管理）進行風險評估，還需對基于虛擬化平臺運行的輔助系統(tǒng)風險承受情況作出判斷，將審計的重點放在宿主機管理及虛擬機管理系統(tǒng)方面，著重審核基礎(chǔ)平臺安全及運行管理水平，對于虛擬機的審核重點關(guān)注虛擬機的快照、復制情況（傳統(tǒng)平臺上的備份），確保業(yè)務(wù)連續(xù)性;從績效視角出發(fā)，可通過比較計算虛擬技術(shù)的投入（主要是軟件支出）與整合資源后節(jié)省的費用（硬件設(shè)備、能耗與運營費）孰高等計算方式得出結(jié)論。

（作者單位：中國人民銀行南昌中心支行）