劉艷麗

摘要：虛擬化是利用程序?qū)τ?jì)算機(jī)進(jìn)行相應(yīng)的邏輯表示表達(dá)，讓其能夠不會(huì)受到運(yùn)行環(huán)境的影響，并且能夠使用通用的方式進(jìn)行訪(fǎng)問(wèn)、資源維護(hù)和查看。結(jié)合虛擬服務(wù)器的現(xiàn)狀，分析虛擬服務(wù)器所帶來(lái)的一些安全問(wèn)題，并且需找相應(yīng)的解決方案，其中包括機(jī)房的管理、防火墻的配置和抵御系統(tǒng)，通過(guò)分析服務(wù)的安全措施使用新的技術(shù)手段，尋得更好的解決虛擬服務(wù)器安全的安全對(duì)策。

關(guān)鍵詞：虛擬服務(wù)器 安全問(wèn)題 解決方案 VEPA

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）05-0000-00

伴隨著科學(xué)水平的不斷提高，信息技術(shù)不斷的發(fā)展，服務(wù)器的形態(tài)也發(fā)生了很大的改變，從最初的塔式服務(wù)器演變成機(jī)架式服務(wù)器再到的刀片式服務(wù)器，相應(yīng)的服務(wù)系統(tǒng)和應(yīng)用模式也不斷變化，尤其是近幾年發(fā)展的虛擬服務(wù)器。虛擬服務(wù)器是一種新型的應(yīng)用模式，它能夠讓很多臺(tái)物理服務(wù)器聯(lián)合使用，只要安裝虛擬服務(wù)器軟件就可以讓他成為一個(gè)能夠符合許多操作系統(tǒng)的平臺(tái)。虛擬服務(wù)器的不光是在物理服務(wù)器上和一個(gè)操作系統(tǒng)上的應(yīng)用，一組虛擬服務(wù)器可以承載多個(gè)操作系統(tǒng)，每個(gè)操作系統(tǒng)的需求都能被科學(xué)的方法進(jìn)行分配系統(tǒng)資源，而且每個(gè)虛擬系統(tǒng)之間存在獨(dú)立的邏輯關(guān)系。

1虛擬服務(wù)器的安全分析

1.1虛擬服務(wù)器的安全隱患

虛擬服務(wù)器具備相比傳統(tǒng)服務(wù)器的強(qiáng)大優(yōu)勢(shì)，它可以將依據(jù)信息的應(yīng)用來(lái)分配系統(tǒng)資源，而且至只占用一組刀片服務(wù)器，虛擬完成后可以負(fù)載一百多個(gè)常規(guī)的應(yīng)用信息，還可以將大量的系統(tǒng)資源分配給需要大量訪(fǎng)問(wèn)的服務(wù)器。但是并不代表這樣的虛擬服務(wù)器就是沒(méi)有缺點(diǎn)的，虛擬服務(wù)器也是具有一定的安全隱患的。服務(wù)器在安全方面分為數(shù)據(jù)安全和系統(tǒng)安全，一般受到的攻擊是來(lái)自?xún)?nèi)網(wǎng)和外網(wǎng)的，像數(shù)據(jù)盜取、系統(tǒng)攻擊這類(lèi)的攻擊是來(lái)自網(wǎng)絡(luò)。一般服務(wù)器的網(wǎng)絡(luò)口都是配備防御措施的，用來(lái)抵擋來(lái)自外網(wǎng)的攻擊，但是沒(méi)有辦法抵御來(lái)自局域網(wǎng)內(nèi)的攻擊。對(duì)于局域網(wǎng)內(nèi)的攻擊，通常在內(nèi)部交換機(jī)上設(shè)置訪(fǎng)問(wèn)的控制標(biāo)來(lái)進(jìn)行解決。虛擬服務(wù)器有可能處于一片刀機(jī)中，通過(guò)虛擬化平臺(tái)上的虛擬交換機(jī)進(jìn)行數(shù)據(jù)交換而不經(jīng)過(guò)物理交換機(jī)。虛擬交換機(jī)僅僅可以提供二層數(shù)據(jù)的交換，并不支持安全訪(fǎng)問(wèn)控制，造成了在數(shù)據(jù)交換的過(guò)程中不安全性。另一方面系統(tǒng)中的防火墻等安全防御軟件會(huì)占用很多資源，產(chǎn)生系統(tǒng)資源的浪費(fèi)，這會(huì)使虛擬服務(wù)器的高效率大打折扣。是我們?cè)诋?dāng)前階段急需解決的問(wèn)題。

1.2虛擬服務(wù)器的安全分析

虛擬機(jī)的抽象資源是由虛擬機(jī)監(jiān)控器提供的，而這種資源共享技術(shù)會(huì)導(dǎo)致新的安全風(fēng)險(xiǎn)發(fā)生。虛擬機(jī)監(jiān)控器由于自生理論模式不完善存在漏洞而被攻擊時(shí)，很容易使虛擬機(jī)發(fā)生逃逸，使攻擊者可以隨意出入主機(jī)系統(tǒng)和運(yùn)行其他虛擬機(jī)的權(quán)利，這是對(duì)虛擬機(jī)最為嚴(yán)重的安全隱患。網(wǎng)絡(luò)構(gòu)架最大的變化就是網(wǎng)絡(luò)邊界的消失，服務(wù)器安全與網(wǎng)絡(luò)安全之間的融合。在傳統(tǒng)的模式中，每一個(gè)物理機(jī)上都有各自的安全產(chǎn)品進(jìn)行防御保護(hù)，并且在外圍又設(shè)置防火墻和網(wǎng)關(guān)，安全性能十分高。而虛擬服務(wù)器使用了新型的網(wǎng)絡(luò)模型，多個(gè)操作系統(tǒng)和應(yīng)用程序都是憑借虛擬機(jī)的形態(tài)部署在物理服務(wù)器上，這些虛擬機(jī)都能使用物理服務(wù)器的資源，虛擬機(jī)的網(wǎng)絡(luò)流量能夠不被外網(wǎng)所感知，但是如果一臺(tái)虛擬機(jī)發(fā)生了安全問(wèn)題，其他的虛擬機(jī)也會(huì)有安全隱患。而虛擬機(jī)的泛濫使用，也會(huì)嚴(yán)重的影響主機(jī)的內(nèi)存、資源和處理器，造成因服務(wù)器的負(fù)荷運(yùn)作而導(dǎo)致的物理主機(jī)崩潰和虛擬機(jī)應(yīng)用中斷。虛擬機(jī)的在線(xiàn)遷移會(huì)導(dǎo)致虛擬機(jī)在不中斷應(yīng)用的情況下在不同的物理主機(jī)之間的遷移，增加了服務(wù)器的安全隱患。

2解決虛擬服務(wù)器的方案

2.1構(gòu)建合適的機(jī)房管理制度

俗話(huà)說(shuō)沒(méi)有規(guī)矩不成方圓，想要一個(gè)組織進(jìn)行良好的運(yùn)作必須要有相對(duì)科學(xué)的制度管理，定制的機(jī)房管理制度要規(guī)范使用機(jī)器的制度、監(jiān)督上機(jī)操作的規(guī)范性，要求專(zhuān)人專(zhuān)機(jī)并且有專(zhuān)門(mén)的負(fù)責(zé)人員對(duì)其進(jìn)行監(jiān)管，培養(yǎng)良好科學(xué)的使用習(xí)慣。使用合適的管理制度能夠讓信息設(shè)備的安全獲得保障，在出現(xiàn)問(wèn)題師可以利用排查和解決，還能避免閑雜人員對(duì)服務(wù)器的錯(cuò)誤操作造成的損失。在進(jìn)入機(jī)房后任何上機(jī)的操作都必須記錄下來(lái)，方便日后出現(xiàn)問(wèn)題時(shí)有效的解決。

2.2建立數(shù)據(jù)中心

安全備份是服務(wù)器應(yīng)用系統(tǒng)存儲(chǔ)和運(yùn)算得出的數(shù)據(jù)不能缺少的，而服務(wù)器應(yīng)該在計(jì)算處理和對(duì)需求的快速反饋方面體現(xiàn)出它的性能，不是浪費(fèi)在信息存儲(chǔ)方面。單臺(tái)的物理服務(wù)器的存儲(chǔ)空間是有限的，在使用磁盤(pán)陣列以后，可以在一定程度上提供數(shù)據(jù)的備份，但是會(huì)造成存儲(chǔ)的空間大幅縮小的問(wèn)題。在很多網(wǎng)絡(luò)應(yīng)用所產(chǎn)生的數(shù)據(jù)的存儲(chǔ)過(guò)程中，繼續(xù)配置數(shù)據(jù)中心。所謂數(shù)據(jù)中心是一種集中存儲(chǔ)的方式，由專(zhuān)用的存儲(chǔ)服務(wù)器所組成，既能集中部署，還能分布式部署，在通過(guò)高速網(wǎng)絡(luò)和各個(gè)服務(wù)器進(jìn)行連接，具有十分可觀的存儲(chǔ)空間并且具有擴(kuò)充性，可以承載上百塊的高速硬盤(pán)的運(yùn)作，還能滿(mǎn)足整個(gè)機(jī)房服務(wù)器的所有需求。分布式的存儲(chǔ)模式是屬于虛擬存儲(chǔ)，它讓所保存的數(shù)據(jù)具有了災(zāi)備能力。當(dāng)前主流的實(shí)施策略是根據(jù)每個(gè)機(jī)房的不同情況，使用適合機(jī)房特點(diǎn)的虛擬存儲(chǔ)用以配合虛擬服務(wù)器的制備和運(yùn)作。服務(wù)器端只保留必要的系統(tǒng)文件，是高效可行的。

2.3配置防御系統(tǒng)

配置防御系統(tǒng)是指配置防火墻和入侵防御系統(tǒng)。傳統(tǒng)的服務(wù)器容易遭到外網(wǎng)的病毒侵害，虛擬服務(wù)器也存在這一安全隱患。為了防止受到外網(wǎng)的侵害的而設(shè)置防御系統(tǒng)和防火墻。當(dāng)受到來(lái)自外部網(wǎng)絡(luò)的攻擊是，性能優(yōu)良的防火墻可以保證自己平安無(wú)事并且可以截?cái)喾欠ǖ臄?shù)據(jù)包。一部包過(guò)濾式的路由器或者一臺(tái)雙網(wǎng)關(guān)的主機(jī)就能組成防火系統(tǒng)，屏蔽子網(wǎng)防火墻是現(xiàn)在比較成熟和安全性較高的防火墻，它的安全策略在應(yīng)用層和網(wǎng)絡(luò)層中工作。屏蔽子網(wǎng)防火墻是由被屏蔽子網(wǎng)和兩部包過(guò)濾式的路由器所構(gòu)成的，被屏蔽子網(wǎng)內(nèi)有具有安全設(shè)置的堡壘主機(jī)和簡(jiǎn)單的應(yīng)用服務(wù)器，兩部包過(guò)濾式路游器的功效是分別截?cái)鄟?lái)自外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的直接訪(fǎng)問(wèn)，達(dá)到只允許內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)與非軍事區(qū)的主機(jī)之間的通訊。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之中所有的數(shù)據(jù)都通過(guò)非軍事區(qū)的堡壘主機(jī)中進(jìn)行中轉(zhuǎn)，保證了服務(wù)器的安全。入侵防御系統(tǒng)是由檢測(cè)系統(tǒng)和防火墻融合的的產(chǎn)物，入侵防御系統(tǒng)可以對(duì)通訊所產(chǎn)生的數(shù)據(jù)進(jìn)收集和分析，在檢測(cè)出違背安全策略的攻擊行為后對(duì)其進(jìn)行阻斷。入侵檢測(cè)系統(tǒng)在一定程度上彌補(bǔ)了防火墻不能識(shí)別通信數(shù)據(jù)的缺點(diǎn)。入侵防御系統(tǒng)的檢測(cè)手段又分為轉(zhuǎn)換分析、神經(jīng)網(wǎng)絡(luò)法、概率統(tǒng)計(jì)法和模型推理法，而常見(jiàn)的是專(zhuān)家系統(tǒng)。

2.4服務(wù)器的安全策略

服務(wù)器的自身安全包括軟件維護(hù)和操作系統(tǒng)，它們需要使用正版的應(yīng)用軟件進(jìn)行定期的升級(jí)維護(hù)。使用一種合適的殺毒系統(tǒng)能夠有效的抵御來(lái)自網(wǎng)絡(luò)的木馬病毒植入，還可以預(yù)防因?yàn)椴僮鞑磺‘?dāng)導(dǎo)致的病毒感染。服務(wù)器所提供的信息應(yīng)用的數(shù)目越多，受到病毒攻擊的可能性就越大，所以將不必要的系統(tǒng)服務(wù)關(guān)閉，在一定程度上可以使安全系數(shù)得到提高。而來(lái)自局域網(wǎng)尤其的是服務(wù)器機(jī)房?jī)?nèi)部的攻擊，只能在網(wǎng)絡(luò)交換機(jī)上設(shè)定安全策略來(lái)使受到攻擊的可能降低。交換機(jī)安全策略是指虛擬局域網(wǎng)和訪(fǎng)問(wèn)控制列表。訪(fǎng)問(wèn)控制列表是普遍使用的安全措施，它能夠通過(guò)對(duì)數(shù)據(jù)幀中的源地址、端口號(hào)、協(xié)議類(lèi)型的對(duì)比，來(lái)判斷是否符合規(guī)則，作出丟棄數(shù)據(jù)幀或者放行數(shù)據(jù)幀的動(dòng)作，達(dá)到對(duì)一些訪(fǎng)問(wèn)和數(shù)據(jù)傳輸控制的目的。虛擬局域網(wǎng)可以增強(qiáng)局域網(wǎng)內(nèi)的安全性，不同的虛擬局域網(wǎng)的數(shù)據(jù)幀在傳輸?shù)倪^(guò)程中是相互獨(dú)立的，就是說(shuō)一個(gè)虛擬局域網(wǎng)中的用戶(hù)不可以跟其他的虛擬局域網(wǎng)中的用戶(hù)進(jìn)行直接通訊的，將一些安全需求高的服務(wù)器設(shè)置在獨(dú)立的虛擬局域網(wǎng)中，可以大大降低受到攻擊的幾率。

2.5解決共享技術(shù)帶來(lái)的問(wèn)題

想要良好的解決共享技術(shù)所帶來(lái)的問(wèn)題，除了加強(qiáng)虛擬機(jī)監(jiān)控器的安全策略，并且設(shè)計(jì)能夠支持不同級(jí)別的安全性和不同硬件分區(qū)的防御策略以外，還應(yīng)該將虛擬機(jī)的隔離和封裝機(jī)制進(jìn)行優(yōu)化處理，達(dá)到增加內(nèi)存的保護(hù)和在出現(xiàn)故障后及時(shí)隔離的機(jī)制。與此同時(shí)在運(yùn)行的過(guò)程中，對(duì)未經(jīng)授權(quán)的訪(fǎng)問(wèn)操作進(jìn)行嚴(yán)格的監(jiān)控，使虛擬機(jī)的安全系數(shù)得到提高。

2.6解決虛擬機(jī)濫用和在線(xiàn)遷移問(wèn)題

加強(qiáng)服務(wù)器資源的監(jiān)控和容量的分析功能能夠很好的防止虛擬機(jī)的濫用情況發(fā)生，因?yàn)闀?huì)定期將占用的資源進(jìn)行報(bào)告，在出現(xiàn)突發(fā)變化時(shí)會(huì)發(fā)出警報(bào)。同時(shí)還要規(guī)范內(nèi)部人員的行為，使他們的安全意識(shí)得到提高，并且對(duì)虛擬機(jī)加密和訪(fǎng)問(wèn)授權(quán)等安全措施。而解決虛擬機(jī)的在線(xiàn)遷移問(wèn)題，需要增強(qiáng)對(duì)遷移數(shù)據(jù)的加密工作，制定良好的安全遷移策略，加強(qiáng)對(duì)虛擬機(jī)生命周期的管理，達(dá)到使虛擬機(jī)的安全隱患消除的目的。

3結(jié)語(yǔ)

虛擬服務(wù)器是學(xué)術(shù)界的研究熱點(diǎn)，它與傳統(tǒng)服務(wù)器相比具有優(yōu)良的使用價(jià)值和優(yōu)勢(shì)，可以節(jié)約客戶(hù)的資源等。當(dāng)然虛擬服務(wù)器的安全問(wèn)題也是我們不能忽視的問(wèn)題，所以我們要努力避免這些問(wèn)題的發(fā)生，提高虛擬服務(wù)器的信息安全性，保證用戶(hù)的信息安全。

參考文獻(xiàn)

[1]顧勤豐.虛擬服務(wù)器安全存在的問(wèn)題及應(yīng)對(duì)策略[J].信息通信，2014，（7）：109-109，110. [2]張百盛.虛擬服務(wù)器管理技術(shù)在機(jī)房管理中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，（11）：114-115.

[3]侯程偉.虛擬服務(wù)器安全存在的問(wèn)題及對(duì)策[J].電腦知識(shí)與技術(shù)，2012，（31）：7444-7445.