基于虛擬化技術(shù)的信息系統(tǒng)安全防護(hù)框架

秦緒偉

摘要：網(wǎng)絡(luò)信息技術(shù)的發(fā)展非常迅速，增強(qiáng)計(jì)算機(jī)信息系統(tǒng)的安全防護(hù)是計(jì)算機(jī)行業(yè)中需要重視的問題。在傳統(tǒng)的信息技術(shù)系統(tǒng)安全防護(hù)中，還是存在著一些漏洞，不能對信息系統(tǒng)進(jìn)行有效的防護(hù)，而虛擬化技術(shù)的出現(xiàn)，改善了傳統(tǒng)安全防護(hù)系統(tǒng)的中存在的問題，利用一種新型的防護(hù)手段對信息系統(tǒng)進(jìn)行安全防護(hù)，本文對在虛擬化技術(shù)的基礎(chǔ)上信息系統(tǒng)安全防護(hù)框架的構(gòu)建進(jìn)行了先關(guān)研究。

關(guān)鍵詞：虛擬化技術(shù)；虛擬機(jī)監(jiān)視器；信息系統(tǒng)；安全

引言：

傳統(tǒng)的安全防護(hù)框架大多以信息系統(tǒng)軟件棧中上層業(yè)務(wù)應(yīng)用軟件或者底層操作系統(tǒng)作為安全防護(hù)的立足點(diǎn)，采用安全加目作為主要技術(shù)手段，提高網(wǎng)絡(luò)和主機(jī)系統(tǒng)的安全性和抗攻擊能力。由于上層應(yīng)用軟件和操作系統(tǒng)軟件各不相同，且每個(gè)企業(yè)對于信息系統(tǒng)的安全需求也不盡相同，導(dǎo)致缺少一種有效的、易于移植的安全防護(hù)解決方案。

一、虛擬化技術(shù)的介紹

虛擬化技術(shù)通過在底層硬件設(shè)備與上層操作系統(tǒng)之間增加一個(gè)額外的軟件層，即虛擬機(jī)監(jiān)控器（VMM，VirtualMachineMoni-tor），屏蔽硬件平臺的分布性、異構(gòu)性和動態(tài)性，支持硬件資源的共享，并采用軟硬件分時(shí)服務(wù)、仿真執(zhí)行與模擬等技術(shù)在單個(gè)計(jì)算機(jī)物理設(shè)備上為每個(gè)用戶提供屬于個(gè)人的獨(dú)立、隔離的計(jì)算環(huán)境，即虛擬機(jī)（VM，VirtualMachine），用于運(yùn)行操作系統(tǒng)軟件及上層應(yīng)用軟件，確保在虛擬出的運(yùn)行環(huán)境中操作系統(tǒng)與應(yīng)用軟件的運(yùn)行狀況與在真實(shí)的物理設(shè)備上運(yùn)行的狀況基本相同，藉此帶來更好的安全性、容錯(cuò)性和可維護(hù)性等。

二、基于虛擬技術(shù)的安全防護(hù)構(gòu)架

信息技術(shù)系統(tǒng)的安全防護(hù)是目前需要注意的問題，使用虛擬化技術(shù)進(jìn)行安全系統(tǒng)的防護(hù)，開辟了新途徑，主要的操作方式是通過監(jiān)測其他入侵信息，對信息系統(tǒng)進(jìn)行防御抵抗，保證信息數(shù)據(jù)的安全性，根據(jù)具體的操作建立一個(gè)安全防護(hù)的框架。主要使用的虛擬機(jī)監(jiān)視器對信息系統(tǒng)進(jìn)行安全防護(hù)，通過虛擬機(jī)監(jiān)視器設(shè)立隔離加密的機(jī)制，增加對計(jì)算機(jī)信息的保護(hù)層，可以使用各種類型的防護(hù)措施，增強(qiáng)對信息系統(tǒng)的防護(hù)。

1、安全增強(qiáng)層

通過使用虛擬機(jī)監(jiān)視器，增強(qiáng)了的信息系統(tǒng)的安全性，通過使用虛擬機(jī)監(jiān)視器中攔截隔離，和數(shù)據(jù)加密的相關(guān)體系，信息系統(tǒng)又增加了一個(gè)強(qiáng)大安全保護(hù)層，在使用的過程中，可以相對的工作的流程和企業(yè)信息進(jìn)行加密，并且的可以對所有的計(jì)算機(jī)信息進(jìn)行監(jiān)控，對企業(yè)中的工作人員起到一個(gè)約束的作用。

對操作系統(tǒng)而言，每個(gè)上層應(yīng)用都是由多個(gè)操作系統(tǒng)進(jìn)程構(gòu)成，而每個(gè)進(jìn)程所需資源均可被抽象成3種類型：內(nèi)存、CPU下文、I/O數(shù)據(jù)。所以在使用虛擬監(jiān)視器對上層應(yīng)用軟件的保護(hù)就是對企業(yè)中的相關(guān)機(jī)密材料進(jìn)行的保護(hù)。避免企業(yè)中的信息資源受到入侵和泄漏，設(shè)置相應(yīng)的惡意攻擊預(yù)防機(jī)制必須由整體系統(tǒng)的協(xié)調(diào)調(diào)用才可以進(jìn)行監(jiān)控防御行為，所以通過對的上層系統(tǒng)調(diào)用進(jìn)行隔離監(jiān)控，可以有效避免病毒的惡意攻擊，防止信息系統(tǒng)遭到破壞。

在傳統(tǒng)的操作系統(tǒng)中，系統(tǒng)調(diào)用直接從用戶態(tài)進(jìn)入到操作系統(tǒng)內(nèi)核態(tài)，存在對操作系統(tǒng)破壞的威脅，因此可以在安全增強(qiáng)層提供攔截機(jī)制，在系統(tǒng)調(diào)用從用戶態(tài)進(jìn)入內(nèi)核態(tài)之前，由VMM截獲所有系統(tǒng)調(diào)用，檢測每個(gè)系統(tǒng)調(diào)用所涉及的系統(tǒng)資源是否違背預(yù)先定義好的安全策略，以及該系統(tǒng)調(diào)用是否超過了安全策略已授權(quán)的權(quán)限，過濾掉具有一定危害性的系統(tǒng)調(diào)用操作；接著利用I/O數(shù)據(jù)加解密機(jī)制對用戶數(shù)據(jù)進(jìn)行加密，防止操作系統(tǒng)在被入侵與破壞后竊取或篡改用戶數(shù)據(jù)；最后利用隔離機(jī)制，以寫拷貝的方式隔離進(jìn)程對關(guān)鍵系統(tǒng)資源的操作，只有當(dāng)沒有異常發(fā)生時(shí)，進(jìn)程對系統(tǒng)資源的修改才會被同步到操作系統(tǒng)和運(yùn)行環(huán)境中。

2、典型的安全服務(wù)

不光是設(shè)置安全增強(qiáng)層，在信息系統(tǒng)的各個(gè)環(huán)節(jié)中也可以根據(jù)實(shí)際情況設(shè)置安全服務(wù)，在對信息系統(tǒng)的訪問時(shí)增加的安全服務(wù)，設(shè)立相關(guān)的隱私信息保護(hù)措施，在進(jìn)行數(shù)據(jù)處理、傳輸和保存的過程中設(shè)立安全服務(wù)。在各種類型的安全服務(wù)中心，入侵檢測的安全服務(wù)是目前比較常用的一種方法。在增加安全層的基礎(chǔ)上進(jìn)行典型的安全服務(wù)的安全防護(hù)框架的構(gòu)建過程是非常重要的。

之前使用的入侵檢測方法是以主機(jī)為基礎(chǔ)設(shè)立的入侵檢測方法，還有以網(wǎng)路為基礎(chǔ)的入侵檢測方法。但是在使用的過程中發(fā)現(xiàn)，這兩種方法都存在著不足，以主機(jī)為技術(shù)的入侵檢測方式不能對自己的受到的惡意攻擊進(jìn)行及時(shí)的處理，沒有辦法對其進(jìn)行有效的控制，另一種方法不能對受到攻擊后的信息數(shù)據(jù)進(jìn)行檢測，所以在使用中不能有效的對信息系統(tǒng)進(jìn)行安全防護(hù)。虛擬化技術(shù)的出現(xiàn)有效的解決了以上兩種方法中存在的不足。虛擬機(jī)監(jiān)視器的性質(zhì)是對信息系統(tǒng)進(jìn)行隔離、防御和信息加密。可以把兩種方法中存在漏洞的環(huán)節(jié)隔離到安全層以外，讓其可以正常的工作，但是對其存在的安全隱患也進(jìn)行了有效的控制。

借助VMM的支持，使之能夠同時(shí)兼有基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)的優(yōu)點(diǎn)。相對于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)與宿主檢測系統(tǒng)而言，在具備較好的抗攻擊性前提下，又能獲得較多信息以降低誤報(bào)率與漏報(bào)率。VMIDS可以看作VMM上的一個(gè)特權(quán)虛擬機(jī)（VM），較其他VMS相比有著特殊的優(yōu)先權(quán)。VMIDS主要包含3個(gè)部件：權(quán)限審計(jì)器、異常檢測器和隔離管理器。權(quán)限審計(jì)器負(fù)責(zé)檢測每個(gè)系統(tǒng)調(diào)用所涉及的資源是否違背預(yù)先定義好的安全策略，以及該系統(tǒng)調(diào)用是否超過了安全策略已授權(quán)的權(quán)限，過濾掉具有一定危害性的系統(tǒng)調(diào)用操作；異常檢測器對進(jìn)程的系統(tǒng)調(diào)用序列進(jìn)行動態(tài)監(jiān)控，通過機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘等方式獲得系統(tǒng)調(diào)用行為的正常模型或異常模型，而后在一般的執(zhí)行中對進(jìn)程的行為進(jìn)行監(jiān)控，并將其行為與正常的行為進(jìn)行比較，以實(shí)現(xiàn)異常系統(tǒng)調(diào)用的檢測。隔離管理器將不可信進(jìn)程對關(guān)鍵系統(tǒng)資源的操作通過寫拷貝的方式進(jìn)行隔離。只有當(dāng)沒有異常發(fā)生時(shí)，不可信進(jìn)程對系統(tǒng)資源的修改才會被同步到操作系統(tǒng)與運(yùn)行環(huán)境中。

結(jié)語：

在虛擬化技術(shù)的條件下對信息系統(tǒng)安全防護(hù)有了新的防護(hù)框架，利用虛擬機(jī)監(jiān)視器特有的性質(zhì)，對信息系統(tǒng)在運(yùn)行過程中受到的惡意攻擊可以進(jìn)行有效的防御和隔離，并且信息系統(tǒng)中的相關(guān)信息資源進(jìn)行加密處理，為信息系統(tǒng)增加了安全層，及時(shí)操作系統(tǒng)受到破壞，虛擬機(jī)監(jiān)視器中的安全服務(wù)也不會受到威脅，有效提高了對計(jì)算機(jī)信息系統(tǒng)安全防護(hù)的效率。

參考文獻(xiàn)：

[1]婁睿.虛擬多域環(huán)境的安全保護(hù)技術(shù)研究[D].解放軍信息工程大學(xué)，2014.

[2]張獻(xiàn)忠. 基于虛擬化技術(shù)的嵌入式安全操作系統(tǒng)的研究與實(shí)現(xiàn)[D]. 電子科技大學(xué)，2015.