文｜胡冬梅

安全一詞，我們并不陌生。無論是個人的生命財產，或是大到是國家的領土等，我們都尤為關注。而在科技飛速發(fā)展的21世紀，網絡安全越來越多被人們提及。迄今為止，全世界有40多個國家頒布了網絡空間國家安全戰(zhàn)略。2013年6月，日本出臺了《網絡安全策略》，明確提出“網絡安全立國”；2014年2月，美國宣布啟動《網絡安全框架》；2014年2月19日，德國與法國探討建立歐洲獨立互聯(lián)網，擬從戰(zhàn)略層面繞開美國，以加強數據安全。

2014年3月5日，第十二屆全國人大第二次會議開幕，國務院總理李克強所做的政府工作報告中也多次提及信息化、網絡相關內容，強調要維護網絡安全。網絡安全問題再次被提到國家安全的高度。而在“云物移大智”作為IT主旋律的今天，作為首位的“云”的底層支撐——虛擬化的安全，也是重中之重。

服務器虛擬化已成大趨勢，無論是政府，教育，醫(yī)療，軍工，企業(yè)，越來越多的單位選擇了通過服務器虛擬化來提高硬件利用率以及減少業(yè)務宕機幾率，在較為飄渺的“云”下的安全，要通過足夠成熟的技術來進行強有力的保障。

網絡安全面臨的問題

網絡安全是要保證整個網絡系統(tǒng)中的硬件、軟件、系統(tǒng)、數據不被破壞、泄露或者更改，保證系統(tǒng)運行的連續(xù)性、可靠性，保證服務不中斷。

網絡信息主要在以下幾個方面面臨威脅。

信息保密性：網絡數據在存儲過程中被竊取，或者在傳輸過程中被偵聽，信息泄露給非授權用戶。機要數據泄露，可能對社會產生危害，給國家造成巨大損失。

數據完整性：數據在存儲或傳輸過程中被破壞、篡改或者丟失。

業(yè)務可用性：被授權用戶無法正常訪問所需信息。拒絕服務、網絡資源非法占用，使得正常的合法工作業(yè)務無法開展。

傳播可控性：無法控制信息的內容及其傳播。非法的、有害的或涉及國家機密的信息不受控制地傳播，會對社會的穩(wěn)定、國家的發(fā)展帶來不可估量的損失。

服務器虛擬化如何應對

數據在網絡傳輸過程中的保密性是網絡安全中重點考慮的問題之一。網絡數據傳遞中要想確保任何可能正在偵聽的人無法理解數據的內容，且確保接收方接收的信息沒有在傳輸期間被任何人篡改，一種有效的方法就是在傳輸數據前對數據進行加密，接收方接收到加密的數據后再進行解密處理。

目前常用的加密方法是在客戶機內部對數據進行加密，但是隨著云計算和虛擬化系統(tǒng)的發(fā)展，這種傳統(tǒng)的方式已不能滿足安全虛擬化的需要。首先，由于加密密鑰保存在虛擬機系統(tǒng)中，當虛擬機遭遇病毒木馬威脅時，密鑰、數據可能造成泄漏，所謂加密也就形同虛設。另外，虛擬機系統(tǒng)（如Windows）是最基礎的系統(tǒng)軟件，可以輕易地訪問到密鑰、機密數據等非常敏感的信息，一旦系統(tǒng)存在后門或者漏洞，傳統(tǒng)的安全機制將完全癱瘓。

由于虛擬化系統(tǒng)處于比操作系統(tǒng)更底層的位置，如果可以在虛擬化層對網絡數據進行強制加密，那么即使虛擬機操作系統(tǒng)中毒或者存在后門，非授權用戶也無法解密數據，從而保證了網絡信息不被泄露。

從時間的角度來看，信息安全無非分為三個階段，事前階段、事中階段、事后階段，事前階段側重于防范和修補，在這個階段中，數據中心是否采用了服務器虛擬化技術對相應的安全措施是沒有太多影響的，但是在事中和事后階段，如果數據中心采用了服務器虛擬化技術，就目前的安全產品來說存在著很大的漏洞，大致的問題分析如下：

事中階段：目前在事中階段的產品以防火墻、入侵檢測、入侵防御、加密機等為主，目前市面上的產品已經很好的解決了沒有采用服務器虛擬化技術的場景，但是如果采用了服務器虛擬化技術，一臺物理服務器上需要運行幾個甚至十幾個應用系統(tǒng)，這些系統(tǒng)之間的訪問控制、入侵檢測、入侵防御、傳輸加密就出現了安全風險，如果一個業(yè)務系統(tǒng)被攻擊，其它業(yè)務系統(tǒng)就會存在很大的安全風險，針對這些風險，只能是虛擬化技術和安全技術結合才能解決此類風險，目前國內的很多虛擬化廠家已經有了初步的解決方案，相反國外的產品是很難解決此類安全問題的。

事后階段：此階段重點在于事后追蹤和審計，和事中階段一樣，現有的產品更多針對沒有虛擬化環(huán)境的，實施完服務器虛擬化后，包括對虛擬化操作的授權、審計，以及到各虛擬機系統(tǒng)的審計目前都是空白。

“棱鏡門”事件之后，國產化興起，顯而易見，國家越來越關注安全。從開始禁用國外某些產品開始，國產廠家有了美好的發(fā)展前景。當國產廠家掌握了足夠的核心技術，在國產信息化蓬勃發(fā)展的今天，服務器虛擬化的安全，則會越來越讓用戶放心。