◆蔡 薇 殷 偉

（1.中國航空發(fā)動機集團有限公司 北京 100101；2.中國航空發(fā)動機研究院 北京 100101）

虛擬化技術(shù)主要包括服務(wù)器虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化等方面。服務(wù)器虛擬化是應(yīng)用較為廣泛和成熟的一種虛擬化技術(shù)，其通過虛擬化軟件將傳統(tǒng)物理主機的硬件資源整合成統(tǒng)一的邏輯資源池，再將資源池按需分配到多個虛擬機[1]，對虛擬機而言，操作系統(tǒng)僅僅是一個打包的封裝文件，只需管理與控制應(yīng)用接口[2]。不需要對主機的硬件調(diào)度進行管理與控制，由虛擬化軟件通過hypervisor 抽象層協(xié)調(diào)通信服務(wù)器上的所有硬件層，這樣多個操作系統(tǒng)可以同時運行在同一臺物理主機上，動態(tài)地支持多個業(yè)務(wù)應(yīng)用，當增加應(yīng)用需求時，可隨時創(chuàng)建更多虛擬機而無須增加物理服務(wù)器。這樣能夠充分利用物理主機資源，從而提高服務(wù)器利用率，并減少需要管理和維護的服務(wù)器數(shù)量。

1 服務(wù)器虛擬化安全風險與需求分析

由于服務(wù)器虛擬化管理端對服務(wù)器等物理設(shè)備具有全面的控制管理權(quán)限，涉及核心IT 資產(chǎn)的總體安全，資源的集中管理，如計算資源、存儲資源和網(wǎng)絡(luò)資源動態(tài)管理，給信息安全帶來較大的挑戰(zhàn)，存在如虛擬機跳板式攻擊、虛擬機通信風險、虛擬化產(chǎn)品設(shè)計缺陷和平臺網(wǎng)絡(luò)架構(gòu)安全隱患等風險，故在涉密信息系統(tǒng)中服務(wù)器虛擬化的應(yīng)用推廣較為緩慢。近年來隨系統(tǒng)計算量、復(fù)雜度和用戶數(shù)量等方面的需求增多，越來越傾向應(yīng)用虛擬化技術(shù)解決性能和成本的瓶頸，國產(chǎn)服務(wù)器虛擬化系統(tǒng)應(yīng)勢而生，系統(tǒng)進行特殊功能設(shè)計用以防范安全風險。

涉密信息系統(tǒng)實行分級保護制度，其核心是對信息系統(tǒng)安全進行合理分級[3]，根據(jù)信息重要性、涉密等級，以及系統(tǒng)必須達到的安全保護水平來確定信息安全的保護等級。確定好密級后按相應(yīng)的標準進行建設(shè)、管理和監(jiān)督。服務(wù)器虛擬化產(chǎn)品的應(yīng)用首先要符合國家的分級保護標準。目前執(zhí)行的標準中，對分級保護的涉密信息系統(tǒng)有明確的分級保護措施，針對虛擬化技術(shù)和產(chǎn)品的安全保密管理，也進行了標準化規(guī)范和明確規(guī)定。

本文主要對照《2013 年國家信息安全專項 云操作系統(tǒng)安全加固和虛擬機安全管理 產(chǎn)品測評方案》（以下簡稱《測評方案》）開展討論。

2 國產(chǎn)服務(wù)器虛擬化系統(tǒng)安全功能要求

《測評方案》中將服務(wù)器虛擬化系統(tǒng)的安全管理系統(tǒng)架構(gòu)分為基于虛擬化的信息安全保護、運行安全和虛擬化技術(shù)安全三個部分（見圖1），共計19 項。以下對用戶管理、授權(quán)管理、虛擬機生命周期管理3 項進行了分析。

（1）用戶管理

服務(wù)器虛擬化系統(tǒng)需要獨立地實現(xiàn)用戶身份標識和鑒別功能，包括用戶賬號生成、密碼管理、登錄鑒別、會話管理。在涉密信息系統(tǒng)中使用時，系統(tǒng)還需要設(shè)置三員管理用戶角色，支持用戶使用數(shù)字證書登錄。

（2）授權(quán)管理

授權(quán)管理的核心思想是分級分域授權(quán)，設(shè)立組織機構(gòu)、用戶、角色、資源池和虛擬機之間的控制權(quán)限關(guān)系，并在用戶登錄訪問過程中，為用戶核查相應(yīng)的權(quán)限，推送相應(yīng)的資源，并進行訪問控制。在安全性設(shè)計方面，應(yīng)特別設(shè)置系統(tǒng)管理員、安全保密管理員和系統(tǒng)審計員三類管理員角色。系統(tǒng)資源（包括網(wǎng)絡(luò)、主機、存儲、虛擬機等資源）的運維權(quán)限由系統(tǒng)管理員執(zhí)行，系統(tǒng)用戶的資源使用權(quán)限管理由安全保密管理員執(zhí)行，系統(tǒng)審計與監(jiān)督的權(quán)限由安全審計員執(zhí)行。

（3）虛擬機生命周期管理

虛擬機的生命周期包含虛擬機的分配、運行、備份、恢復(fù)以及虛擬機注銷等環(huán)節(jié)。在各個環(huán)節(jié)，安全功能主要以權(quán)限管理和虛擬機數(shù)據(jù)加密來實現(xiàn)。即虛擬機與密鑰同步創(chuàng)建，安全管理員分配用戶權(quán)限后實現(xiàn)自身與虛擬機的綁定和用戶密鑰與虛擬機的綁定。虛擬機每次運行時都需對數(shù)據(jù)進行解密、對更改后的數(shù)據(jù)進行加密，以保證數(shù)據(jù)安全。

3 虛擬化系統(tǒng)搭建與應(yīng)用實測

（1）虛擬化環(huán)境搭建及應(yīng)用系統(tǒng)部署

截至2018 年，共有云宏、浪潮云海、中標麒麟、金航數(shù)碼、網(wǎng)安凌云等14 套服務(wù)器虛擬化系統(tǒng)通過了國家保密局的保密測評（保密局網(wǎng)站可查詢），其系統(tǒng)安全功能均滿足測評標準的要求。本次采購了金航數(shù)碼安全服務(wù)器虛擬化系統(tǒng)，對本單位門戶網(wǎng)站、電子郵件系統(tǒng)進行虛擬化部署，進行生產(chǎn)環(huán)境試用。

原系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)較為簡單，門戶網(wǎng)站和郵件系統(tǒng)各使用一臺服務(wù)器，通過交換外聯(lián)防火墻訪問廣域網(wǎng)絡(luò)，同時輔以殺毒、郵件備份、郵件安全網(wǎng)關(guān)及數(shù)據(jù)備份系統(tǒng)支撐系統(tǒng)的安全運行，未采用安全訪問網(wǎng)關(guān)。本次虛擬化部署涉及的軟硬件具體如表1：

圖1 虛擬化系統(tǒng)安全性要求

表1 軟硬件配置

安全網(wǎng)關(guān)（舊） 別郵件正文、附件及壓縮文件病毒，識別垃圾郵件，對于接收郵件進行過濾 一區(qū)域 郵件數(shù)據(jù)備份系統(tǒng)（舊） 4T 超易備，對郵件數(shù)據(jù)進行備份 與郵件系統(tǒng)同一區(qū)域 網(wǎng)絡(luò)設(shè)備 利舊，2 臺交換機、1 臺路由器 實現(xiàn)網(wǎng)絡(luò)聯(lián)通

服務(wù)器安裝Red Hat Enterprise Linux 6.5 （64 位）版本操作系統(tǒng)和相應(yīng)系統(tǒng)組件，以及 VSIP 主管理服務(wù)器組件（VSIP Server ）和VSIP 資源服務(wù)器組件（VSIP XAgent）。按照虛擬化系統(tǒng)部署要求配置了資源管理網(wǎng)和用戶訪問應(yīng)用網(wǎng)兩個網(wǎng)絡(luò)，完成配置服務(wù)器的網(wǎng)卡、主機名、固定IP 地址、DNS 域名等VSIP FS 初始配置，確保VT 啟用狀態(tài)，安裝VSIP OS，創(chuàng)建各個分區(qū)。

圖2 虛擬化拓撲示意圖

改造后網(wǎng)絡(luò)拓撲如圖2：1 臺舊服務(wù)器用于虛擬化平臺管理端，新采購2 臺服務(wù)上部署安全服務(wù)器虛擬化軟件，將這2 臺服務(wù)器的CPU、內(nèi)存、存儲、網(wǎng)絡(luò)進行資源整合，形成虛擬化平臺的硬件資源池，創(chuàng)建出5 臺虛擬機，分別部署了2 套門戶網(wǎng)站，1 套電子郵件系統(tǒng)、1 套負載均衡服務(wù)和1 套應(yīng)用殺毒軟件共5個應(yīng)用。

（2）系統(tǒng)應(yīng)用效果

通過虛擬化系統(tǒng)實現(xiàn)對物理機、虛擬機的管理。管理員通過用戶名口令登錄，可對虛擬機進行創(chuàng)建、刪除、備份、遷移和配置更改等操作。系統(tǒng)的用戶管理落實了“三員”的管理要求，系統(tǒng)管理員負責用戶賬號管理、配置系統(tǒng)參數(shù)；安全管理員進行用戶權(quán)限分配；審計管理員負責審計系統(tǒng)日志。系統(tǒng)可查看虛擬機的運行狀態(tài)，并可對資源池存儲可用容量、讀寫I/O 狀態(tài)等情況進行監(jiān)控，可以生成主機和虛擬機健康矩陣視圖，直觀反映主機、虛擬機中的異常情況。1 臺物理主機宕機時，不影響應(yīng)用使用，再通過手工方式重啟服務(wù)器。系統(tǒng)可對虛擬機的操作系統(tǒng)、數(shù)據(jù)進行備份，并可以通過恢復(fù)快照的方式將虛擬機恢復(fù)至可用快照的狀態(tài)，保證了系統(tǒng)、數(shù)據(jù)的穩(wěn)定性。

通過此次部署實測，驗證了應(yīng)用安全、信息安全保護、運行安全和部分虛擬機技術(shù)安全功能點，達到了測評的要求，系統(tǒng)穩(wěn)定運行。