●陳 臣（蘭州商學院 網(wǎng)絡中心，蘭州 730020）

1 引言

隨著云計算技術的發(fā)展與成熟，利用云計算技術建設具有較高投資收益率和讀者云閱讀活動滿意度的云圖書館，為讀者提供具有超級計算、海量存儲、快速傳輸、經(jīng)濟低碳的云個性化閱讀服務，成為當前數(shù)字圖書館發(fā)展的趨勢。

云計算環(huán)境下，利用虛擬化技術安全、高效、動態(tài)、經(jīng)濟地調(diào)度數(shù)字圖書館云計算資源，實現(xiàn)對IT資源、操作系統(tǒng)、硬件、軟件、數(shù)據(jù)、網(wǎng)絡、存儲等關鍵設施和架構的集中動態(tài)管理，是提高云圖書館建設、運營、管理靈活性和投資收益率的有效途徑。據(jù)Gartner公司2010年11月公布的虛擬化研究報告稱，2012年企業(yè)數(shù)據(jù)中心超過50%的工作負載將運行在虛擬化平臺上，其中60%的虛擬化服務器比物理基礎設施更容易遭到攻擊。到2015年，控制企業(yè)內(nèi)部數(shù)據(jù)中心的安全軟件中，近40%將完全虛擬化。因此，云計算環(huán)境下虛擬化技術與應用環(huán)境的安全性，不僅是影響圖書館云服務系統(tǒng)可靠性和云服務內(nèi)容有效性的重要因素，也是關系云圖書館市場競爭力和讀者云閱讀活動滿意度的關鍵。［1］

2 云圖書館虛擬化應用的環(huán)境特點和安全威脅

2.1 云圖書館虛擬化應用的環(huán)境特點

云計算環(huán)境下，圖書館根據(jù)云應用系統(tǒng)服務功能特點與讀者云閱讀活動需求，通過利用虛擬化技術在數(shù)據(jù)中心部署相應的虛擬管控系統(tǒng)、虛擬應用系統(tǒng)、虛擬存儲系統(tǒng)和虛擬化網(wǎng)絡，確保不同的虛擬服務器和虛擬應用設備共享同一物理服務器，增加了虛擬化系統(tǒng)結構復雜性。同時，傳統(tǒng)的硬件管理、安全設備只能部署于相應的網(wǎng)絡系統(tǒng)物理邊界，無法實現(xiàn)對位于同一物理設施上不同虛擬設備的安全管理、流量監(jiān)控和細粒度訪問控制，降低了對虛擬化應用環(huán)境的可視性、可控性。其次，云圖書館虛擬化網(wǎng)絡具有拓樸結構復雜、多變的特點，云圖書館管理員無法準確判定虛擬化網(wǎng)絡的詳細拓樸結構和變化趨勢，難以對虛擬化網(wǎng)絡流量實施有效的管理、監(jiān)控、調(diào)度和控制。第三，隨著云圖書館虛擬化系統(tǒng)結構復雜度和設備數(shù)量的不斷增長，虛擬機和虛擬化網(wǎng)絡系統(tǒng)配置的頻率和復雜性，也會隨著圖書館云服務管理與應用系統(tǒng)工作負荷的不斷增長而提高，增加了虛擬化系統(tǒng)參數(shù)配置的難度和風險。第四，云圖書館虛擬化環(huán)境具有復雜、動態(tài)、資源密集、管理難度大的特點，云管理與應用系統(tǒng)可能會因為不科學的安全策略而增加工作負載和云資源消耗。此外，云圖書館虛擬化應用的多用戶環(huán)境、頻繁的服務請求、數(shù)據(jù)傳輸監(jiān)控與加密、虛擬機遷移等因素，在增加虛擬化應用環(huán)境與虛擬化服務管理難度的同時，大幅降低了虛擬化應用環(huán)境的可監(jiān)測與可控性。［2］

2.2 云圖書館虛擬化應用的安全威脅

2.2.1 虛擬服務器操作系統(tǒng)安全管理難度增大

云計算環(huán)境下，數(shù)字圖書館會根據(jù)云系統(tǒng)相應功能模塊的功能、任務、安全、運營效率和開放性需求，為虛擬化服務器安裝不同的操作系統(tǒng)，造成數(shù)據(jù)中心虛擬化服務器系統(tǒng)結構復雜和配置繁瑣，導致由不同操作系統(tǒng)、網(wǎng)絡設備、管理與數(shù)據(jù)接口組成的虛擬化服務單元監(jiān)控難度增加。其次，由于虛擬服務器系統(tǒng)規(guī)模與管理難度的不斷增長，云圖書館安全管理人員無法獨自完成虛擬機安全管理、參數(shù)配置、系統(tǒng)優(yōu)化、漏洞補丁的任務，要求云圖書館不同職能部門技術人員具有較高的協(xié)作性。

2.2.2 虛擬機安全可控性大幅下降

隨著云圖書館讀者規(guī)模與云閱讀服務內(nèi)容的增加，虛擬機的數(shù)量和任務量也穩(wěn)態(tài)增長，其部署位置呈現(xiàn)不規(guī)則動態(tài)變化。傳統(tǒng)的網(wǎng)絡防火墻和入侵檢測系統(tǒng)無法監(jiān)控位于同一物理主機上的不同虛擬機之間的數(shù)據(jù)交換，黑客可通過入侵某一安全級別較低的虛擬機，進而獲得對位于同一臺物理主機上所有虛擬機的控制權。其次，云系統(tǒng)根據(jù)云應用資源需求為不同虛擬設備分配所需的系統(tǒng)資源，黑客可通過部分已控制的虛擬機大幅度消耗云系統(tǒng)資源，可能導致物理服務器因沒有可用資源而拒絕所有來自客戶的服務請求。同時，虛擬機管理平臺可能存在自身的安全缺陷，而發(fā)生跨站腳本攻擊、SQL入侵等。第三，云計算環(huán)境下，虛擬機可根據(jù)任務需求在不同的物理服務器之間動態(tài)遷移，虛擬機遷移時虛擬磁盤被重新創(chuàng)建，黑客可通過改變源配置文件和虛擬機的屬性，進而獲得虛擬機和系統(tǒng)信息的控制權。［3］

2.2.3 虛擬化網(wǎng)絡邊界模糊

云計算環(huán)境下，圖書館虛擬化設備的可遷移性導致虛擬網(wǎng)絡結構和數(shù)據(jù)流量更加復雜，虛擬網(wǎng)絡數(shù)據(jù)流量難以監(jiān)管、控制，管理員無法明確詳細的虛擬化網(wǎng)絡拓樸結構和防御邊界。同時，安全系統(tǒng)對虛擬化網(wǎng)絡的臨控、管理和病毒掃描，可能會大幅損耗云系統(tǒng)性能而導致服務中斷。其次，不同虛擬機可能存在于同一臺物理服務器上，位于同一物理設備上不同的虛擬機之間數(shù)據(jù)交換不會跨越網(wǎng)絡傳送。因此，傳統(tǒng)的入侵檢測、安全防護和數(shù)據(jù)監(jiān)控系統(tǒng)，無法對位于同一物理設備內(nèi)部的不同虛擬機流量實施監(jiān)控、管理。第三，由于云圖書館虛擬網(wǎng)絡基礎架構缺乏可預測性和穩(wěn)定性，在利用傳統(tǒng)網(wǎng)絡防護手段（VLAN、網(wǎng)關、防火墻、入侵檢測）保證核心應用系統(tǒng)和敏感數(shù)據(jù)的同時，會大幅度降低云系統(tǒng)基礎架構的靈活性與可擴展性，影響云圖書館虛擬化網(wǎng)絡系統(tǒng)的動態(tài)特性和虛擬數(shù)據(jù)傳輸效率。

2.2.4 虛擬化安全開銷可能會降低云服務效率

云計算環(huán)境下，不同的虛擬機具有不同的服務對象、管理模式、資源分配策略、安全需求，云圖書館虛擬化設備具有虛擬結構復雜和安全管理策略個性化定制需求的特點。因此，云系統(tǒng)管理員會根據(jù)云圖書館虛擬化設備的功能、安全需求、虛擬位置、云應用任務，通過制定相應的個性化安全策略來確保虛擬化應用安全。當位于同一物理服務器上的多個虛擬機共同執(zhí)行云應用業(yè)務時，為了確保虛擬機和云應用服務的安全性，在多臺虛擬機上同時執(zhí)行入侵檢測、反病毒特征文件更新、病毒掃描、虛擬化流量監(jiān)控與管理等安全操作時，可能會因為大量的虛擬化安全開銷，而降低虛擬化網(wǎng)絡傳輸和云應用服務效率。其次，為了防范數(shù)據(jù)災難的發(fā)生，云圖書館會制定相應的虛擬應用突發(fā)事件應急、虛擬災難恢復、虛擬機備份與數(shù)據(jù)保護等預案，預案的安全性、科學性、有效性和可執(zhí)行性，是影響云應用服務效率的重要因素。［4］

2.2.5 虛擬化設備的安全漏洞和惡意程序難以防范

隨著圖書館云服務系統(tǒng)功能和內(nèi)容的不斷完善，云系統(tǒng)結構與虛擬化設備將更加復雜和難以管理。此外，虛擬機應用程序功能和程序結構復雜度也不斷增加，導致云應用服務交付系統(tǒng)（Web前端應用程序、中間件應用程序及數(shù)據(jù)庫程序）代碼量激增，程序員難以通過技術手段有效防范各種安全漏洞。同時，虛擬化環(huán)境下不同的API管理接口也可能產(chǎn)生新的安全漏洞。因此，由于虛擬化設備的不穩(wěn)定性和復雜性，增加了云系統(tǒng)管理員科學、自動化進行漏洞補丁的難度，難以實現(xiàn)安全漏洞的精細化管理。

未知的惡意程序和攻擊也是虛擬化設備所面臨的安全隱患，且虛擬化設備可被攻擊的內(nèi)容、方法、途徑、有效性，將隨著虛擬化設備云應用功能、服務效率的增長而增加。和傳統(tǒng)數(shù)字圖書館IT環(huán)境相比，云計算環(huán)境下黑客可利用虛擬機更多的安全漏洞、攻擊方法、攻擊途徑和策略，來提高攻擊的成功率和有效性。

3 云圖書館虛擬化平臺可信管理策略

3.1 強化云圖書館虛擬化應用安全管理能力

云圖書館虛擬化應用具有涉及內(nèi)容廣泛、組織結構復雜、安全管理要求高、管理對象穩(wěn)定性低的特點。因此，在虛擬化應用安全管理中，要求制定的安全管理方案科學、高效，所涉及的內(nèi)容應包括虛擬操作系統(tǒng)、虛擬化硬件設備、虛擬應用軟件、用戶身份與虛擬化應用管理、虛擬化網(wǎng)絡、虛擬化管理系統(tǒng)效率等，云圖書館管理員操作界面應簡單、友好、開放和易于擴展，能夠對虛擬化設備和虛擬化流量進行控制、監(jiān)督、隔離和分流，能夠有效控制因虛擬機數(shù)量、結構復雜度和黑客攻擊而產(chǎn)生的管理風險。其次，云圖書館應重點加強操作系統(tǒng)、管理系統(tǒng)、應用系統(tǒng)、安全系統(tǒng)的安全性，提高系統(tǒng)自身結構的邏輯性、可控性、可執(zhí)行性和兼容性，確保核心系統(tǒng)的設計、生產(chǎn)、使用、淘汰過程符合生命周期管理流程。第三，虛擬化應用管理平臺應具有較強的開放性和兼容性，支持與第三方管理平臺軟件相互信任和互操作性。［5］

3.2 提高虛擬化網(wǎng)絡的邏輯可分性和安全可控性

云計算環(huán)境下，虛擬網(wǎng)絡拓樸結構具有復雜、易變的特性，導致云圖書館管理員無法明確劃分網(wǎng)絡邏輯邊界，無法根據(jù)虛擬化網(wǎng)絡結構與數(shù)據(jù)傳輸實際制定相應的安全管理策略。因此，制定、劃分有效的虛擬化網(wǎng)絡邏輯安全邊界，是提高網(wǎng)絡安全、可靠性的前提和基礎。

首先，應加強對虛擬化設備和虛擬網(wǎng)絡的邏輯管理、控制?？衫锰摂M防火墻、虛擬網(wǎng)關、虛擬入侵檢測及防御、虛擬設備管理系統(tǒng)，通過執(zhí)行有效的安全策略不斷強化虛擬網(wǎng)絡的安全邏輯邊界，提高虛擬網(wǎng)絡安全邊界的防御能力。其次，應根據(jù)虛擬機的安全標準、應用功能、服務對象、遷移特點，對所屬的物理設備進行有效的邏輯劃分和物理隔離，并通過虛擬化網(wǎng)絡管理設備進行虛擬化流量監(jiān)視、檢測和隔離。第三，可在核心交換機和主要服務器群之間、兩個虛擬網(wǎng)絡之間、物理網(wǎng)絡和虛擬網(wǎng)絡之間部署虛擬交換機，將傳統(tǒng)防火墻在邏輯上劃分成多臺虛擬防火墻，并分別部署于核心交換節(jié)點和關鍵虛擬化系統(tǒng)之間，通過執(zhí)行獨立、高效的虛擬化網(wǎng)絡系統(tǒng)個性化管理策略，保障虛擬機防御的個性化安全需要。第四，應依據(jù)用戶安全等級分配相應的虛擬化網(wǎng)絡安全訪問權限，堅持權限分配適量、最低的原則。通過限制用戶對虛擬網(wǎng)絡的訪問、控制能力，根據(jù)角色實現(xiàn)對用戶虛擬網(wǎng)絡訪問權力的量化管理。［6］

3.3 加強虛擬機安全規(guī)劃和遷移管理

3.3.1 加強虛擬機安全規(guī)劃

隨著云圖書館虛擬機應用的發(fā)展與深入，虛擬機所固有的拓樸結構復雜性和所面臨安全威脅多樣性特點，致使傳統(tǒng)服務器安全防范模式和虛擬化系統(tǒng)自身所具有的安全機制，不能滿足虛擬機規(guī)劃、部署、配置、應用的需求。因此，加強虛擬機安全規(guī)劃是提高虛擬系統(tǒng)自身防護能力和運營可靠性的前提。

首先，應對云圖書館虛擬化系統(tǒng)拓樸結構和虛擬機應用安全需求進行評估，明確云圖書館虛擬機安全所面臨的威脅和存在不足。其次，應堅持虛擬機分散配置的原則，將具有相同安全需求和應用內(nèi)容的虛擬機部署在同一臺主機上，并執(zhí)行嚴格的安全管理、系統(tǒng)隔離、身份識別和訪問控制策略。第三，應采用簽名技術、病毒防護、流量控制、數(shù)據(jù)加密技術，確保虛擬機系統(tǒng)文件和所傳輸虛擬信息的安全性。第四，應提高虛擬機配置的智能化、自動化水平，實現(xiàn)虛擬機系統(tǒng)的自動監(jiān)控、數(shù)據(jù)收集、分析與配置。

3.3.2 加強虛擬機的遷移管理

隨著云圖書館虛擬化應用與服務內(nèi)容的擴展，云系統(tǒng)管理員會根據(jù)云服務需求頻繁創(chuàng)建虛擬機，可能存在虛擬機創(chuàng)建、管理流程不規(guī)范的問題，虛擬機也會因數(shù)量的激增而導致補丁更新、修復負擔加重。同時，由于讀者云閱讀服務需求具有突發(fā)性和隨機性特點，要求虛擬機能夠根據(jù)圖書館云應用服務需求，準確、安全、快速、靈活地進行遷移。同時，管理員也可以通過整合平臺和管理API，實現(xiàn)基礎架構的管理與感應，有效地對虛擬機遷移性進行監(jiān)測、控制。此外，在虛擬機遷移過程中，可能會發(fā)生多部虛擬機同時遷移到同一物理設備上的現(xiàn)象。因此，要加強對超負載硬件設備容量和利用率的監(jiān)督與分析，確保虛擬機遷移過程中服務器集群的負載均衡。在遷移過程中應確保虛擬機的數(shù)據(jù)保密和隔離。對涉及云圖書館核心管理和服務內(nèi)容的虛擬機，應通過為虛擬服務器單獨分配獨立的硬盤，來實現(xiàn)物理層面上的完全隔離。此外，還應采取虛擬化防火墻、安全漏洞補丁、虛擬流量控制、虛擬網(wǎng)絡隔離的方法，防止因虛擬機溢出而導致安全問題蔓延。［7］

3.4 確保虛擬化安全管理工作協(xié)調(diào)、有序

虛擬化安全管理工作是一個涉及云系統(tǒng)基礎設施建設、云服務運營管理、虛擬化應用安全與效率、云圖書館投資收益率的重要問題，具有涉及范圍廣、內(nèi)容多、技術要求高、管理難度大的特點。因此，云圖書館虛擬化管理員無法單獨完成虛擬化安全的管理工作，必須依靠云圖書館和云服務商多個部門的技術人員協(xié)調(diào)配合，才能確保虛擬化安全管理工作協(xié)調(diào)、有序、經(jīng)濟、高效。

首先，在云圖書館建設初期應將虛擬化安全管理員納入到項目組內(nèi)，在云管理系統(tǒng)和服務系統(tǒng)建設中，認真聽取虛擬化系統(tǒng)安全管理員提出的意見、建議，并反映到云圖書館安全建設、運營、維護、升級活動中。其次，應加強虛擬化安全工作權限的管理與分配，防止云操作系統(tǒng)管理權限、云應用系統(tǒng)使用權限、物理機管理權限、云圖書館訪問權限、虛擬化系統(tǒng)分配等多權限之間可能存在的權限沖突，實現(xiàn)虛擬化安全的精細化管理。第三，實現(xiàn)虛擬化管理權與應用操作權的分離。在虛擬化應用權限分配過程中應堅持最小、夠用的原則，通過使用訪問控制列表，限制虛擬化應用管理員管理資源和執(zhí)行日常任務的權限。［8］

3.5 啟用虛擬化安全的評估、審計制度

隨著讀者個性化云閱讀服務活動的不斷發(fā)展，云圖書館虛擬化環(huán)境將更加復雜、多變，所面臨的虛擬化系統(tǒng)安全性、高效性、可靠性、經(jīng)濟性問題將更加突出，云圖書館管理員必須啟用有效的虛擬化安全評估、審計制度，才能提高云圖書館虛擬化安全管理的效率。首先，應制定高效的云圖書館虛擬化安全評估體系，對虛擬化系統(tǒng)的可靠性、管理策略可執(zhí)行性、應急策略有效性、防御體系安全性進行定期評估，并依據(jù)評估結果對虛擬化系統(tǒng)安全進行完善、改進。其次，應加強對虛擬化安全評估、虛擬化安全管理系統(tǒng)、虛擬化系統(tǒng)配置管理、虛擬化應用漏洞管理的審計，明確云圖書館虛擬化安全可能面臨的風險與風險防范的可行性，并及時上報審計對象的安全風險等級和危險程度。第三，在實施虛擬化安全的評估、審計制度時，應堅持效率最優(yōu)和云資源損耗最小的原則，確保以不影響云系統(tǒng)運營效率和讀者云閱讀活動滿意度為原則。［9］

4 結束語

云計算環(huán)境下，虛擬化技術在降低云圖書館基礎設施建設、管理、運營、維護成本的前提下，極大地提升了云應用服務系統(tǒng)工作效率和讀者云閱讀活動服務保障力，成為云圖書館建設、發(fā)展的必然趨勢。但是，虛擬化技術的引用也增加了云圖書館系統(tǒng)結構和管理、應用復雜度，使云圖書館面臨更多的安全威脅和應用挑戰(zhàn)，成為阻礙云圖書館云計算技術應用和用戶云服務質量的主要障礙。

因此，只有從圖書館云系統(tǒng)建設和虛擬化技術運營實際出發(fā)，將虛擬化應用技術和讀者用戶需求相結合，將虛擬化技術面臨的安全風險和用戶閱讀活動滿意度相結合，認真分析云圖書館在虛擬化安全防御系統(tǒng)建設、虛擬化應用效率、虛擬化風險預測、虛擬化安全防范上存在的問題和不足，有針對性地制定、執(zhí)行高效的虛擬化安全策略，才能確保云圖書館虛擬化應用安全、高效、經(jīng)濟、低碳，才能為用戶提供滿意的個性化云閱讀服務。［10］

［1］王鵬，等．云計算：中國未來的IT戰(zhàn)略［M］.北京：人民郵電出版社，2010.

［2］郭春梅，等．服務器虛擬化技術及安全研究［J］．信息網(wǎng)絡安全，2011（9）：35－37．

［3］馮登國，等．云計算安全研究［J］．軟件學報，2011，22（1）：22－28．

［4］石磊，等．Xen虛擬化技術［M］.武漢：華中科技大學出版社，2009.

［5］（美）胡普斯，等．虛擬安全——沙盒、災備、高可用性、取證分析和蜜罐［M］.楊謙，謝志強譯.北京：科學出版社，2010：73－86.

［6］李明.云計算數(shù)據(jù)中心網(wǎng)絡虛擬化技術［J］.信息通信技術，2012（2）：72－77．

［7］尹超，等.中小企業(yè)云制造服務平臺共性關鍵技術體系［J］.計算機集成制造系統(tǒng)，2011（3）：495－503.

［8］郭春梅，等.服務器虛擬化技術及安全研究［J］．信息網(wǎng)絡安全，2011（9）：35－37．

［9］陳康，鄭緯民．云計算：系統(tǒng)實例與研究現(xiàn)狀［J］．軟件學報，2009，20（5）：1337－1348．

［10］馬曉亭，陳臣.云計算環(huán)境下數(shù)字圖書館信息資源安全威脅與對策研究［J］.情報資料工作，2011，（02）：42－46.