云計(jì)算環(huán)境下數(shù)字圖書館虛擬機(jī)安全性研究*

馬曉亭（蘭 州 商 學(xué) 院）

樊馨蔓（蘭州信息工程學(xué)院）

隨著圖書館云服務(wù)內(nèi)容的擴(kuò)展和服務(wù)模式轉(zhuǎn)變，云圖書館虛擬化環(huán)境的結(jié)構(gòu)將更加復(fù)雜、多變，虛擬機(jī)創(chuàng)建、管理與應(yīng)用服務(wù)面臨著許多新的安全威脅和難題。因此，提高云圖書館虛擬化環(huán)境基礎(chǔ)設(shè)施結(jié)構(gòu)和虛擬機(jī)應(yīng)用服務(wù)安全、高效、易控和經(jīng)濟(jì)性，是確保圖書館讀者云個性化閱讀服務(wù)質(zhì)量和虛擬機(jī)運(yùn)營安全、可控、經(jīng)濟(jì)、低碳的需要。

1 云圖書館虛擬機(jī)安全性問題與管理需求

1.1 虛擬機(jī)安全漏洞問題依然突出

云計(jì)算環(huán)境下，讀者云閱讀服務(wù)需求和服務(wù)等級協(xié)議是一個不斷擴(kuò)充和發(fā)展的過程，要求云圖書館虛擬機(jī)集群運(yùn)營效率和服務(wù)能力隨著讀者需求而不斷提高。云圖書館在不斷提高服務(wù)保障能力的同時，虛擬化環(huán)境結(jié)構(gòu)復(fù)雜度和虛擬機(jī)系統(tǒng)安全漏洞問題更加突出。首先，虛擬化環(huán)境下黑客可利用云圖書館自身存在的安全漏洞獲取云圖書館超級管理權(quán)限，實(shí)現(xiàn)對云圖書館管理系統(tǒng)與虛擬機(jī)集群運(yùn)營系統(tǒng)的控制。其次，隨著虛擬機(jī)數(shù)量和管理難度的快速增長，虛擬機(jī)集群漏洞的發(fā)現(xiàn)、安全評估和補(bǔ)丁修復(fù)問題，已成為關(guān)系云圖書館安全、管理效率和經(jīng)濟(jì)性的重要問題。

1.2 防范虛擬機(jī)溢出與虛擬機(jī)在隔離區(qū)的安全部署需求

首先，云計(jì)算環(huán)境下，隨著虛擬化環(huán)境結(jié)構(gòu)復(fù)雜性與管理、應(yīng)用難度的增加，云圖書館在IT 管理程序設(shè)計(jì)過程中的安全隱患，會傳染位于同臺物理主機(jī)上的其它虛擬機(jī)，導(dǎo)致虛擬機(jī)溢出現(xiàn)象發(fā)生。其次，圖書館讀者云服務(wù)具有過程復(fù)雜、管理難度大、云資源分配動態(tài)和多用戶共享的特點(diǎn)。云圖書館通常會根據(jù)服務(wù)保障對象和服務(wù)應(yīng)用系統(tǒng)功能結(jié)構(gòu)，利用網(wǎng)關(guān)或者防火墻等設(shè)備實(shí)現(xiàn)數(shù)據(jù)庫、應(yīng)用程序、區(qū)域網(wǎng)絡(luò)和保障對象的隔離。此外，云圖書館會采取虛擬機(jī)邏輯隔離的方法，在保障云資源多用戶共享的前提下，在邏輯上實(shí)現(xiàn)云資源、云服務(wù)、云讀者和云應(yīng)用的安全隔離。因此，如果云圖書館操作系統(tǒng)、管理系統(tǒng)、虛擬機(jī)和安全策略存在缺陷，將會導(dǎo)致虛擬機(jī)溢出現(xiàn)象發(fā)生。第三，為了提高用戶訪問效率和服務(wù)質(zhì)量，云圖書館會將部分應(yīng)用與服務(wù)遷移至隔離區(qū)（DMZ），在保證云圖書館隔離區(qū)虛擬機(jī)運(yùn)行效率的前提下提高其安全防范性能，這是關(guān)系云圖書館用戶可訪問性、運(yùn)營效率、云服務(wù)權(quán)限管理和讀者隔離有效性的關(guān)鍵。

1.3 虛擬化環(huán)境擴(kuò)展導(dǎo)致安全問題更加復(fù)雜

云計(jì)算環(huán)境下，隨著虛擬機(jī)集群的不斷擴(kuò)展，虛擬化結(jié)構(gòu)和虛擬化應(yīng)用將更加復(fù)雜、多變，是數(shù)字圖書館虛擬化管理所面臨的一個重要問題。

首先，為了滿足用戶云閱讀需求和QOS 要求，云圖書館會創(chuàng)建大量的虛擬機(jī)來開展形式多樣的云閱讀服務(wù)，虛擬機(jī)的無限制擴(kuò)展可能會導(dǎo)致虛擬化環(huán)境更加復(fù)雜。管理員不能完全了解云圖書館虛擬化系統(tǒng)拓?fù)浣Y(jié)構(gòu)，可能會喪失對虛擬化操作系統(tǒng)與應(yīng)用軟件的有效控制。其次，對虛擬化環(huán)境、虛擬化系統(tǒng)、虛擬化應(yīng)用服務(wù)實(shí)施有效的自動化監(jiān)控和管理，也是提高云圖書館虛擬化安全和服務(wù)應(yīng)用效率的需求。第三，隨著虛擬化環(huán)境復(fù)雜度的增加，虛擬機(jī)的監(jiān)控、管理、服務(wù)與應(yīng)用數(shù)據(jù)的傳輸、存儲和使用效率，成為決定虛擬化環(huán)境可控性、虛擬化服務(wù)有效性和虛擬化系統(tǒng)管理安全性的重要因素。因此，對云圖書館虛擬化數(shù)據(jù)傳輸網(wǎng)絡(luò)、安全管理與存儲策略、數(shù)據(jù)使用效率提出了較高的要求。

1.4 虛擬化環(huán)境易導(dǎo)致虛擬機(jī)產(chǎn)生新的安全威脅

首先，云計(jì)算環(huán)境下，病毒、惡意軟件、木馬、業(yè)務(wù)系統(tǒng)的訪問安全、不同應(yīng)用服務(wù)與用戶的安全隔離、應(yīng)用程序的漏洞攻擊等傳統(tǒng)安全風(fēng)險對虛擬機(jī)的威脅依然存在。其次，復(fù)雜、多變的虛擬化環(huán)境導(dǎo)致虛擬機(jī)面臨許多新的安全威脅。加強(qiáng)虛擬化網(wǎng)絡(luò)中虛擬機(jī)流量的安全管理、高效交換、合法訪問和有效控制，對虛擬化環(huán)境網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的合理性、虛擬數(shù)據(jù)的安全管理、數(shù)據(jù)傳輸?shù)陌踩c高效性提出了較高要求。第三，虛擬化環(huán)境下，虛擬機(jī)面臨著VM Hopping、VM Escape 攻擊、遠(yuǎn)程管理缺陷、拒絕服務(wù)（DoS）攻擊、虛擬機(jī)遷移攻擊等安全威脅，對虛擬機(jī)的安全創(chuàng)建、管理、應(yīng)用與維護(hù)提出了更高要求。

1.5 對虛擬機(jī)的有效識別、評估和監(jiān)控需求

云圖書館在虛擬機(jī)管理中，虛擬機(jī)之間的通信具有無法預(yù)測、可視和難以控制的特點(diǎn)。其次，在同一物理服務(wù)器上，管理員可能會創(chuàng)建具有不同安全級別的虛擬機(jī)。此外，虛擬機(jī)管理工具的安全性、管理效率和可控性，也是影響虛擬機(jī)管理有效性的重要因素。因此，云圖書館應(yīng)加強(qiáng)對虛擬機(jī)的識別、評估和監(jiān)控，確保虛擬機(jī)創(chuàng)建、運(yùn)營、管理和維護(hù)工作安全、高效。

首先，云圖書館須開發(fā)、采購高效的虛擬化網(wǎng)絡(luò)管理工具，實(shí)現(xiàn)虛擬機(jī)網(wǎng)絡(luò)流量的可視化規(guī)劃、控制、監(jiān)控與管理。其次，云圖書館應(yīng)根據(jù)安全需求、管理內(nèi)容、保障對象和服務(wù)內(nèi)容，加強(qiáng)云圖書館和云服務(wù)商對虛擬機(jī)管理職責(zé)的明確劃分，并制定相應(yīng)的虛擬機(jī)安全管理制度。第三，對虛擬機(jī)運(yùn)行的虛擬化環(huán)境、安全防御系統(tǒng)和災(zāi)難恢復(fù)策略有效性進(jìn)行評估，并對所發(fā)現(xiàn)的安全問題及時修復(fù)。

2 云圖書館虛擬機(jī)應(yīng)用安全管理策略

2.1 提高云圖書館虛擬化系統(tǒng)健壯性

云圖書館虛擬化環(huán)境的安全性和虛擬化系統(tǒng)健壯性，反映出云圖書館抵御風(fēng)險和自我完善、修復(fù)的能力，因此，應(yīng)加強(qiáng)虛擬化系統(tǒng)自身安全水平與防護(hù)能力建設(shè)。

首先，云圖書館應(yīng)聘請信譽(yù)好、實(shí)力強(qiáng)和技術(shù)高的第三方，對云圖書館和服務(wù)商虛擬化環(huán)境安全性與系統(tǒng)健壯性，執(zhí)行云安全審計(jì)和第三方入侵檢測，將測試結(jié)果量化并以圖、表的方式顯示出來。其次，應(yīng)通過有效劃分安全區(qū)域來防止虛擬機(jī)應(yīng)用風(fēng)險擴(kuò)散。同時，執(zhí)行符合信息系統(tǒng)生命周期發(fā)展規(guī)律的虛擬機(jī)遷移、遠(yuǎn)程訪問、性能監(jiān)控、應(yīng)用進(jìn)程管理、虛擬機(jī)備份和災(zāi)難恢復(fù)策略。第三，及時對處于休眠狀態(tài)的虛擬機(jī)進(jìn)行安全檢測和補(bǔ)丁修復(fù)。此外，還應(yīng)防止虛擬化環(huán)境與虛擬機(jī)應(yīng)用安全防護(hù)過程占用大量的系統(tǒng)資源，而導(dǎo)致系統(tǒng)云服務(wù)和安全防護(hù)能力大幅下降。

2.2 提高虛擬機(jī)管理、應(yīng)用過程的科學(xué)性與合理性

首先，云圖書館應(yīng)加強(qiáng)對虛擬機(jī)創(chuàng)建和虛擬化環(huán)境安全的管理。虛擬機(jī)的創(chuàng)建、添加、啟動與刪除，都必須符合虛擬機(jī)安全管理流程和云應(yīng)用服務(wù)需求，嚴(yán)格控制非法虛擬機(jī)的創(chuàng)建和防止虛擬機(jī)管理失控。其次，應(yīng)加強(qiáng)虛擬機(jī)鏡像文件的有效性檢查和保密管理，嚴(yán)禁虛擬機(jī)鏡像文件和系統(tǒng)配置文件隨意非法復(fù)制和傳播，防止攻擊者或競爭對手利用鏡像文件復(fù)制一個完全相同的虛擬化運(yùn)行環(huán)境。第三，在與云服務(wù)商簽署云服務(wù)租賃協(xié)議時，應(yīng)明確云服務(wù)商和圖書館在虛擬機(jī)創(chuàng)建、管理、運(yùn)營、維護(hù)過程中的安全職責(zé)，雙方協(xié)調(diào)做好虛擬化平臺系統(tǒng)配置和安全管理工作。第四，應(yīng)加強(qiáng)不同虛擬機(jī)安全級別的劃分和安全管理策略的制定，避免對位于同一物理設(shè)備或不同安全需求的虛擬機(jī)套用相同的安全策略。同時，執(zhí)行高效、動態(tài)的虛擬化平臺和虛擬機(jī)安全管理策略。

2.3 加強(qiáng)虛擬機(jī)密鑰生成、存儲、管理與使用的安全性

首先，云圖書館應(yīng)根據(jù)所創(chuàng)建虛擬機(jī)對運(yùn)行安全的需求，在保證虛擬機(jī)高效運(yùn)營的前提下，生成相應(yīng)安全等級和復(fù)雜度的密鑰，并執(zhí)行安全的密鑰存儲、管理、撤銷、重建和密碼粉碎策略。其次，對于關(guān)系虛擬機(jī)管理、運(yùn)營、維護(hù)和遷移活動的重要數(shù)據(jù)，在網(wǎng)絡(luò)傳輸、遷移和存儲前應(yīng)執(zhí)行相應(yīng)的數(shù)據(jù)加密操作，防止數(shù)據(jù)被截獲和破解。第三，應(yīng)制定并執(zhí)行符合虛擬機(jī)密鑰管理生命周期規(guī)律的策略，并對虛擬機(jī)密鑰的生成、存儲、管理、使用、備份、恢復(fù)和刪除全過程，實(shí)施符合生命周期發(fā)展規(guī)律的安全管理策略。

2.4 加強(qiáng)對虛擬機(jī)通信流量的監(jiān)控、管理

云計(jì)算環(huán)境下，云圖書館虛擬化網(wǎng)絡(luò)具有拓?fù)浣Y(jié)構(gòu)易變、突發(fā)數(shù)據(jù)傳輸量大和數(shù)據(jù)傳輸路徑無法預(yù)測的特點(diǎn)，傳統(tǒng)的網(wǎng)絡(luò)安全管理設(shè)備無法有效監(jiān)控虛擬機(jī)之間的通信流量。并且虛擬化網(wǎng)絡(luò)管理平臺策略的科學(xué)性，對虛擬化網(wǎng)絡(luò)的管理效率和安全性影響較大，網(wǎng)絡(luò)黑客可通過控制單一虛擬機(jī)發(fā)起對整個虛擬機(jī)集群的攻擊，導(dǎo)致云圖書館虛擬機(jī)控制權(quán)限丟失和云閱讀服務(wù)業(yè)務(wù)中斷。

首先，云圖書館應(yīng)對關(guān)系云應(yīng)用服務(wù)、業(yè)務(wù)管理和系統(tǒng)安全的虛擬機(jī)實(shí)現(xiàn)流量傳輸監(jiān)控、分析，并對突發(fā)流量大、傳輸對象可疑的虛擬機(jī)實(shí)施安全評估，通過設(shè)定合理的傳輸、轉(zhuǎn)發(fā)路徑，提高虛擬機(jī)流量傳輸?shù)陌踩院托?。其次，在部署網(wǎng)關(guān)、防火墻等傳統(tǒng)網(wǎng)絡(luò)防護(hù)設(shè)備的同時，應(yīng)執(zhí)行安全的虛擬化網(wǎng)絡(luò)劃分和虛擬化交換機(jī)、虛擬化網(wǎng)關(guān)、虛擬化防火墻的安裝與配置策略，提高虛擬化網(wǎng)絡(luò)系統(tǒng)的安全防御水平和健壯性。第三，在劃定虛擬化網(wǎng)絡(luò)安全邊界的同時，制定安全、高效的虛擬化流量管理和數(shù)據(jù)加密策略，并對云圖書館虛擬機(jī)控制數(shù)據(jù)、業(yè)務(wù)傳輸流量執(zhí)行有效的用戶訪問身份識別和權(quán)限控制。

2.5 建立可靠的虛擬機(jī)安全監(jiān)控體系

首先，云圖書館應(yīng)執(zhí)行符合云計(jì)算安全規(guī)范和讀者云閱讀需求的安全標(biāo)準(zhǔn)，依據(jù)標(biāo)準(zhǔn)對云圖書館虛擬化環(huán)境、云服務(wù)性能和云服務(wù)過程實(shí)施安全評估，根據(jù)評估標(biāo)準(zhǔn)對虛擬化環(huán)境和應(yīng)用安全問題進(jìn)行修復(fù)。其次，應(yīng)利用高效的虛擬機(jī)安全監(jiān)控系統(tǒng)，對管理員和訪問者的操作權(quán)限、訪問行為、可信審計(jì)記錄和行為影響力進(jìn)行評估，及時對訪問安全管理策略進(jìn)行審計(jì)、優(yōu)化。第三，加強(qiáng)對威脅云系統(tǒng)安全、虛擬機(jī)運(yùn)行效率、讀者云閱讀活動質(zhì)量的攻擊行為與訪問方式的監(jiān)控，以保證云圖書館服務(wù)質(zhì)量、系統(tǒng)安全、運(yùn)營效率和經(jīng)濟(jì)性為標(biāo)準(zhǔn)，來設(shè)置并約束云服務(wù)商、管理員、讀者和其它用戶的訪問權(quán)限與行為。

3 結(jié)語

云計(jì)算環(huán)境下，虛擬化技術(shù)在大幅提高云圖書館運(yùn)營效率和服務(wù)質(zhì)量的同時，也改變了其服務(wù)模式和運(yùn)營方式，虛擬機(jī)的創(chuàng)建、管理、運(yùn)營與維護(hù)活動面臨著許多新的安全威脅。因此，在提高虛擬化環(huán)境和虛擬機(jī)系統(tǒng)健壯性、可控性的同時，云圖書館必須加強(qiáng)管理人員、管理流程和虛擬化技術(shù)的無縫整合，將管理人員、云技術(shù)、管理制度和服務(wù)模式統(tǒng)一結(jié)合為一個整體，才能提高虛擬機(jī)集群系統(tǒng)管理、運(yùn)營的安全性和效率，才能為讀者提供高效、滿意、經(jīng)濟(jì)、低碳的云個性化數(shù)字閱讀服務(wù)。

1 馮登國，張敏，張妍.云計(jì)算安全研究[J].軟件學(xué)報，2011，22（1）：22～28

2 Sadeghi A R，Schneider T，Winandy M. Token-Based cloud computing：Secure outsourcing of data and arbitrary computations with lower latency [A]. In：Proc. of the 3rd Int’l Conf. on Trust and Trustworthy Computing. Berlin：Springer-Verlag，2010.417～429

3 丁順，等.一種基于虛擬機(jī)的安全監(jiān)測方法[J].計(jì)算機(jī)應(yīng)用與軟件，2012，29（6）：51～56

4 石磊，鄒德清，金海.Xen 虛擬化技術(shù)[M].武漢:華中科技大學(xué)出版社，2009.

5 Wang Q，Wang C，Li J，Ren K，Lou W. Enabling public verifiability and data dynamics for storage security in cloud computing[J].In:Backes M，Ning P，eds.LNCS 5789.Heidelberg:Springer-Verlag，2009.355～370