文｜胡冬梅

安全一詞，我們并不陌生。無論是個人的生命財產(chǎn)，或是大到是國家的領(lǐng)土等，我們都尤為關(guān)注。而在科技飛速發(fā)展的21世紀(jì)，網(wǎng)絡(luò)安全越來越多被人們提及。迄今為止，全世界有40多個國家頒布了網(wǎng)絡(luò)空間國家安全戰(zhàn)略。2013年6月，日本出臺了《網(wǎng)絡(luò)安全策略》，明確提出“網(wǎng)絡(luò)安全立國”；2014年2月，美國宣布啟動《網(wǎng)絡(luò)安全框架》；2014年2月19日，德國與法國探討建立歐洲獨立互聯(lián)網(wǎng)，擬從戰(zhàn)略層面繞開美國，以加強數(shù)據(jù)安全。

2014年3月5日，第十二屆全國人大第二次會議開幕，國務(wù)院總理李克強所做的政府工作報告中也多次提及信息化、網(wǎng)絡(luò)相關(guān)內(nèi)容，強調(diào)要維護網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全問題再次被提到國家安全的高度。而在“云物移大智”作為IT主旋律的今天，作為首位的“云”的底層支撐——虛擬化的安全，也是重中之重。

服務(wù)器虛擬化已成大趨勢，無論是政府，教育，醫(yī)療，軍工，企業(yè)，越來越多的單位選擇了通過服務(wù)器虛擬化來提高硬件利用率以及減少業(yè)務(wù)宕機幾率，在較為飄渺的“云”下的安全，要通過足夠成熟的技術(shù)來進行強有力的保障。

網(wǎng)絡(luò)安全面臨的問題

網(wǎng)絡(luò)安全是要保證整個網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件、系統(tǒng)、數(shù)據(jù)不被破壞、泄露或者更改，保證系統(tǒng)運行的連續(xù)性、可靠性，保證服務(wù)不中斷。

網(wǎng)絡(luò)信息主要在以下幾個方面面臨威脅。

信息保密性：網(wǎng)絡(luò)數(shù)據(jù)在存儲過程中被竊取，或者在傳輸過程中被偵聽，信息泄露給非授權(quán)用戶。機要數(shù)據(jù)泄露，可能對社會產(chǎn)生危害，給國家造成巨大損失。

數(shù)據(jù)完整性：數(shù)據(jù)在存儲或傳輸過程中被破壞、篡改或者丟失。

業(yè)務(wù)可用性：被授權(quán)用戶無法正常訪問所需信息。拒絕服務(wù)、網(wǎng)絡(luò)資源非法占用，使得正常的合法工作業(yè)務(wù)無法開展。

傳播可控性：無法控制信息的內(nèi)容及其傳播。非法的、有害的或涉及國家機密的信息不受控制地傳播，會對社會的穩(wěn)定、國家的發(fā)展帶來不可估量的損失。

服務(wù)器虛擬化如何應(yīng)對

數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的保密性是網(wǎng)絡(luò)安全中重點考慮的問題之一。網(wǎng)絡(luò)數(shù)據(jù)傳遞中要想確保任何可能正在偵聽的人無法理解數(shù)據(jù)的內(nèi)容，且確保接收方接收的信息沒有在傳輸期間被任何人篡改，一種有效的方法就是在傳輸數(shù)據(jù)前對數(shù)據(jù)進行加密，接收方接收到加密的數(shù)據(jù)后再進行解密處理。

目前常用的加密方法是在客戶機內(nèi)部對數(shù)據(jù)進行加密，但是隨著云計算和虛擬化系統(tǒng)的發(fā)展，這種傳統(tǒng)的方式已不能滿足安全虛擬化的需要。首先，由于加密密鑰保存在虛擬機系統(tǒng)中，當(dāng)虛擬機遭遇病毒木馬威脅時，密鑰、數(shù)據(jù)可能造成泄漏，所謂加密也就形同虛設(shè)。另外，虛擬機系統(tǒng)（如Windows）是最基礎(chǔ)的系統(tǒng)軟件，可以輕易地訪問到密鑰、機密數(shù)據(jù)等非常敏感的信息，一旦系統(tǒng)存在后門或者漏洞，傳統(tǒng)的安全機制將完全癱瘓。

由于虛擬化系統(tǒng)處于比操作系統(tǒng)更底層的位置，如果可以在虛擬化層對網(wǎng)絡(luò)數(shù)據(jù)進行強制加密，那么即使虛擬機操作系統(tǒng)中毒或者存在后門，非授權(quán)用戶也無法解密數(shù)據(jù)，從而保證了網(wǎng)絡(luò)信息不被泄露。

從時間的角度來看，信息安全無非分為三個階段，事前階段、事中階段、事后階段，事前階段側(cè)重于防范和修補，在這個階段中，數(shù)據(jù)中心是否采用了服務(wù)器虛擬化技術(shù)對相應(yīng)的安全措施是沒有太多影響的，但是在事中和事后階段，如果數(shù)據(jù)中心采用了服務(wù)器虛擬化技術(shù)，就目前的安全產(chǎn)品來說存在著很大的漏洞，大致的問題分析如下：

事中階段：目前在事中階段的產(chǎn)品以防火墻、入侵檢測、入侵防御、加密機等為主，目前市面上的產(chǎn)品已經(jīng)很好的解決了沒有采用服務(wù)器虛擬化技術(shù)的場景，但是如果采用了服務(wù)器虛擬化技術(shù)，一臺物理服務(wù)器上需要運行幾個甚至十幾個應(yīng)用系統(tǒng)，這些系統(tǒng)之間的訪問控制、入侵檢測、入侵防御、傳輸加密就出現(xiàn)了安全風(fēng)險，如果一個業(yè)務(wù)系統(tǒng)被攻擊，其它業(yè)務(wù)系統(tǒng)就會存在很大的安全風(fēng)險，針對這些風(fēng)險，只能是虛擬化技術(shù)和安全技術(shù)結(jié)合才能解決此類風(fēng)險，目前國內(nèi)的很多虛擬化廠家已經(jīng)有了初步的解決方案，相反國外的產(chǎn)品是很難解決此類安全問題的。

事后階段：此階段重點在于事后追蹤和審計，和事中階段一樣，現(xiàn)有的產(chǎn)品更多針對沒有虛擬化環(huán)境的，實施完服務(wù)器虛擬化后，包括對虛擬化操作的授權(quán)、審計，以及到各虛擬機系統(tǒng)的審計目前都是空白。

“棱鏡門”事件之后，國產(chǎn)化興起，顯而易見，國家越來越關(guān)注安全。從開始禁用國外某些產(chǎn)品開始，國產(chǎn)廠家有了美好的發(fā)展前景。當(dāng)國產(chǎn)廠家掌握了足夠的核心技術(shù)，在國產(chǎn)信息化蓬勃發(fā)展的今天，服務(wù)器虛擬化的安全，則會越來越讓用戶放心。