李華芳

摘要：隨著計算機(jī)技術(shù)的發(fā)展，企業(yè)、機(jī)關(guān)單位、政府等數(shù)據(jù)中心產(chǎn)生的數(shù)據(jù)越來越多，服務(wù)器以及數(shù)據(jù)中心每年的電費以及維修費用不斷上漲，然而高投入并沒有取得良好的效果。將虛擬化技術(shù)應(yīng)用在服務(wù)器中，能提高硬件資源利用率，降低管理和維修成本。本文主要分析了服務(wù)器虛擬化技術(shù)內(nèi)容、服務(wù)器虛擬化存在的安全風(fēng)險，并根據(jù)這些安全風(fēng)險，采取相應(yīng)的措施，提高服務(wù)器的安全等級，確保服務(wù)器運行安全。

關(guān)鍵詞：服務(wù)器；虛擬化技術(shù)；安全風(fēng)險

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2017）06-0213-01

1 服務(wù)器虛擬化技術(shù)的內(nèi)容

1.1 全虛擬化

全虛擬化技術(shù)又叫硬件輔助虛擬化技術(shù)，是通過BDT和直接執(zhí)行技術(shù)實現(xiàn)的，BDT在虛擬機(jī)運行時，一些敏感指令會在指令到達(dá)之前陷入到其他指令中，將這些敏感執(zhí)行命令插入到VMM中，VMM技術(shù)將這些動態(tài)指令轉(zhuǎn)化為具有相同功能的指令，按照順序直接訪問計算機(jī)虛擬硬件。從這也可以看出，在全虛擬化技術(shù)中，計算機(jī)用戶所有的指令都是通過CPU運行的，計算機(jī)操作系統(tǒng)從虛擬層硬件中抽離出來。全虛擬化技術(shù)也是唯一一個不需要硬件或者操作系統(tǒng)協(xié)助完成敏感指令虛擬化技術(shù)。

1.2 半虛擬化

半虛擬化技術(shù)需要修改計算機(jī)用戶的操作系統(tǒng)內(nèi)核，替換不能虛擬化的指令，并通過Hypervisor完成敏感指令的調(diào)用。在半虛擬化技術(shù)中，計算機(jī)操作系統(tǒng)還要與虛擬化平臺兼容，否則虛擬機(jī)無法有效的操作宿主的計算機(jī)。

1.3 硬件輔助虛擬化

虛擬化技術(shù)的應(yīng)用給CPU的運行增加了新的模式—Root，這種模式下，VMM可以在Root模式下運行，而Root模式建立在RingO下，敏感指令可以直接在Hypervisor執(zhí)行，不需要BT或者半虛擬技術(shù)，計算機(jī)用戶只要將操作系統(tǒng)狀態(tài)保存在虛擬機(jī)控制結(jié)構(gòu)中或者虛擬機(jī)控制模塊中。

2 服務(wù)器虛擬化存在的安全風(fēng)險

與傳統(tǒng)的服務(wù)器運行模式相比，服務(wù)器虛擬技術(shù)在物理硬件和虛擬服務(wù)器之間引入了虛擬層，也就是虛擬機(jī)監(jiān)控器。虛擬技術(shù)的應(yīng)用也給服務(wù)器的安全帶來了一定的風(fēng)險。具體體現(xiàn)在以下幾個方面：第一，VMM為虛擬機(jī)提供統(tǒng)一的資源抽象，資源共享技術(shù)的出現(xiàn)增加了服務(wù)器運行的安全風(fēng)險。此外，VMM理論還不夠成熟，VMM出現(xiàn)系統(tǒng)漏洞時，很容易受到黑客的攻擊和病毒的感染，黑客可以直接進(jìn)入到數(shù)據(jù)中心的主機(jī)系統(tǒng)，隨意篡改數(shù)據(jù)庫的數(shù)據(jù)，給虛擬機(jī)的運行帶來了極大地安全隱患。第二，隨著計算機(jī)技術(shù)的進(jìn)入，網(wǎng)絡(luò)邊界逐漸消失，服務(wù)器和網(wǎng)絡(luò)逐漸融合，在這種融合模式下，每一個虛擬機(jī)都需要一套相對完整的防護(hù)產(chǎn)品保護(hù)虛擬機(jī)。使用這種新的網(wǎng)絡(luò)模型，將計算機(jī)十幾個操作系統(tǒng)用虛擬機(jī)形式展現(xiàn)在服務(wù)器上，虛擬機(jī)可以共享十幾個操作系統(tǒng)的數(shù)據(jù)資料，一旦一臺計算機(jī)操作系統(tǒng)出現(xiàn)問題，可能影響整個網(wǎng)絡(luò)系統(tǒng)和其他虛擬機(jī)。第三，由于虛擬化技術(shù)的優(yōu)越性，越來越多的企業(yè)使用虛擬機(jī)，造成虛擬機(jī)濫用現(xiàn)象，影響到物理主機(jī)CPU和網(wǎng)絡(luò)資源，造成計算機(jī)服務(wù)器運行負(fù)荷過重，造成計算機(jī)操作系統(tǒng)崩潰或者虛擬應(yīng)用中斷等現(xiàn)象。

3 服務(wù)器虛擬化安全應(yīng)對措施

虛擬化技術(shù)安全風(fēng)險除了遇到病毒、木馬的入侵以及惡意軟件的感染等因素，還會造成服務(wù)器負(fù)荷過重，影響計算機(jī)運行的速度和效率。因此必須采取有效的措施：第一，針對共享技術(shù)帶來的安全風(fēng)險，可以提高VMM安全策略。根據(jù)數(shù)據(jù)中心資料的重要性，建立安全等級防御系統(tǒng)。并優(yōu)化虛擬機(jī)的隔離和封裝制度，加強(qiáng)服務(wù)器內(nèi)部的保護(hù)，嚴(yán)格控制審計未通過的瀏覽和訪問。第二，為了解決虛擬機(jī)網(wǎng)絡(luò)內(nèi)部攻擊現(xiàn)象，程序設(shè)計時要根據(jù)虛擬機(jī)的重要性劃分等級，安全等級比較高的虛擬機(jī)要及時備份數(shù)據(jù)，并采取隔離措施。創(chuàng)立虛擬機(jī)防護(hù)邊界和安全防火墻，防止惡意攻擊和訪問服務(wù)器系統(tǒng)。第三，為了解決虛擬機(jī)濫用這個問題，要加強(qiáng)服務(wù)器數(shù)據(jù)資源的容量分析和數(shù)據(jù)監(jiān)控，服務(wù)器資源要定期進(jìn)行匯報，一旦出現(xiàn)安全風(fēng)險或者惡意入侵，系統(tǒng)能自動發(fā)出警報，以便維護(hù)人員第一時間掌握服務(wù)器情況。同時，企業(yè)要加強(qiáng)管理人員的安全意識，對服務(wù)器的訪問、跟蹤和審計等做好安全防護(hù)措施，嚴(yán)格設(shè)置業(yè)務(wù)邏輯訪問控制策略，提高虛擬機(jī)網(wǎng)絡(luò)的安全性和可靠性。

4 結(jié)語

服務(wù)器虛擬技術(shù)在網(wǎng)絡(luò)技術(shù)中應(yīng)用十分廣泛，服務(wù)器虛擬技術(shù)能降低用戶硬件成本，最大限度利用硬件資源，讓計算機(jī)系統(tǒng)變得更加簡潔，便于用戶安裝、使用和管理。但是近年來的網(wǎng)絡(luò)安全問題使得服務(wù)器虛擬化技術(shù)的安全性成為社會關(guān)注的焦點。通過提高安全等級，制定訪問控制策略，提高虛擬機(jī)的安全性。

參考文獻(xiàn)

[1]伊波.服務(wù)器虛擬化技術(shù)及安全研究[J].神州（中旬刊），2016，（2）：49-49.

[2]彭錦.服務(wù)器虛擬化技術(shù)及安全性探討[J].通訊世界，2015，（9）：193-193.

[3]關(guān)慶娟，楊燕梅，吾湖蘭·吾拉木，等.服務(wù)器虛擬化技術(shù)在數(shù)字圖書館中的研究進(jìn)展[J].福建電腦，2014，30（3）：15-17.endprint