◎張玉賀 李陸 續(xù)煥超 劉京 宋智英

（1.中國航天系統(tǒng)科學(xué)與工程研究院；2.中國航天科技集團(tuán)有限公司）

大力提高信息安全保障能力，是我國信息化發(fā)展的重要基礎(chǔ)。本文分析了服務(wù)器虛擬化操作系統(tǒng)的優(yōu)勢(shì)及面臨的安全問題，重點(diǎn)介紹了基于KVM內(nèi)核的國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)的安全功能及應(yīng)用實(shí)踐，為實(shí)現(xiàn)服務(wù)器虛擬化操作系統(tǒng)的國產(chǎn)自主安全可控提供支撐。

近年來，隨著國際信息安全形式變化，信息安全成為各個(gè)國家關(guān)注的重點(diǎn)。使用信息技術(shù)作為手段，對(duì)國家基礎(chǔ)設(shè)施、人民群眾財(cái)產(chǎn)安全造成損害的案件屢屢發(fā)生。操作系統(tǒng)覆蓋領(lǐng)域非常廣泛，本文介紹的是服務(wù)器虛擬化操作系統(tǒng)?，F(xiàn)主流的服務(wù)器虛擬化操作系統(tǒng)為VMware、Citrix以及Microsoft，均為國外服務(wù)器虛擬化操作系統(tǒng)。使用非國產(chǎn)的服務(wù)器虛擬化操作系統(tǒng)，導(dǎo)致政府、金融、國防信息系統(tǒng)、軍工保密單位信息系統(tǒng)存在安全隱患。國家保密局明確提出在涉密信息系統(tǒng)中使用服務(wù)器虛擬化操作系統(tǒng)的相應(yīng)管理辦法及技術(shù)要求，國外服務(wù)器虛擬化操作系統(tǒng)并不能滿足涉密信息系統(tǒng)建設(shè)的安全要求，必須采用國產(chǎn)自主安全可控且獲得相關(guān)保密資質(zhì)的服務(wù)器虛擬化操作系統(tǒng)。

一、服務(wù)器虛擬化操作系統(tǒng)的優(yōu)勢(shì)

服務(wù)器虛擬化操作系統(tǒng)是一種資源管理技術(shù)，是將服務(wù)器的各種實(shí)體資源，如CPU、網(wǎng)絡(luò)、內(nèi)存及存儲(chǔ)等，予以抽象轉(zhuǎn)換后呈現(xiàn)出來，打破實(shí)體結(jié)構(gòu)間不可切割的障礙。在實(shí)際生產(chǎn)環(huán)境中，服務(wù)器虛擬化操作系統(tǒng)在信息化系統(tǒng)建設(shè)中的優(yōu)勢(shì)主要體現(xiàn)在以下幾個(gè)方面：

（一）提高硬件資源使用效率

安裝部署服務(wù)器虛擬化操作系統(tǒng)主要用來解決高性能物理硬件產(chǎn)能過剩和老舊硬件產(chǎn)能過低的重組重用，透明化底層物理硬件，從而最大化的利用物理硬件。通過服務(wù)器虛擬化操作系統(tǒng)可以虛擬出新的虛擬機(jī)，新虛擬機(jī)不受現(xiàn)有資源架構(gòu)的限制，可安裝其他操作系統(tǒng)處理相應(yīng)業(yè)務(wù)。例如：輕量級(jí)的服務(wù)不適合占用整臺(tái)服務(wù)器：比如域控制器、輔域控制器、DNS服務(wù)器等，這些服務(wù)要求穩(wěn)定持久，但資源占用并不大。

通過部署服務(wù)器虛擬化操作系統(tǒng)就可以大大提高服務(wù)器的使用效率，減少服務(wù)器數(shù)量，降低購買服務(wù)器的投資，降低服務(wù)器運(yùn)行能耗，降低制冷費(fèi)用，節(jié)省機(jī)房空間等。

（二）避免應(yīng)用或服務(wù)直接的軟件沖突

有些應(yīng)用系統(tǒng)、辦公軟件等由于特殊原因，不能裝在同一物理服務(wù)器中，可以部署服務(wù)器虛擬化操作系統(tǒng)虛擬出新虛擬機(jī)分開安裝應(yīng)用系統(tǒng)、辦公軟件等，有效的避免各應(yīng)用系統(tǒng)、辦公軟件之間的沖突。

（三）提高穩(wěn)定性

部署服務(wù)器虛擬化操作系統(tǒng)可以實(shí)現(xiàn)物理服務(wù)器的負(fù)載均衡、虛擬機(jī)的動(dòng)態(tài)遷移、故障自動(dòng)隔離等功能（至少需要物理服務(wù)器2臺(tái)），減少物理服務(wù)器及虛擬機(jī)出現(xiàn)故障，業(yè)務(wù)中斷的情況。

（四）便于管理，降低管理成本

部署服務(wù)器虛擬化操作系統(tǒng)，可以使用服務(wù)器虛擬化管理平臺(tái)。在管理平臺(tái)上可以簡(jiǎn)單快捷的對(duì)服務(wù)器進(jìn)行操作，并通過可視化界面查看物理服務(wù)器資源使用情況等。便于管理員操作，有效提高運(yùn)維效率，降低信息化日常運(yùn)維成本。

二、服務(wù)器虛擬化操作系統(tǒng)面臨的安全問題

雖然在信息系統(tǒng)建設(shè)中服務(wù)器虛擬化操作系統(tǒng)有著無可替代的優(yōu)勢(shì)，但它同樣也伴隨著一些嚴(yán)重的安全威脅，主要的安全問題體現(xiàn)在以下幾個(gè)方面：

（一）虛擬機(jī)跳躍

同一宿主機(jī)中的虛擬機(jī)可以通過獲取權(quán)限的方式進(jìn)行攻擊。例如：虛擬機(jī)1和虛擬機(jī)2部署在同一臺(tái)宿主機(jī)上，虛擬機(jī)1上的攻擊者通過獲取虛擬機(jī)2的IP地址等信息或通過獲得宿主機(jī)本身的訪問權(quán)限接入到虛擬機(jī)2。攻擊者可以通過操縱流量攻擊或改變虛擬機(jī)2的配置文件等，對(duì)虛擬機(jī)2進(jìn)行攻擊。

（二）虛擬機(jī)逃逸

攻擊者通過獲得虛擬化層（Hypervisor）的訪問權(quán)限，從而對(duì)其他虛擬機(jī)進(jìn)行攻擊。若一個(gè)攻擊者接入的主機(jī)運(yùn)行多個(gè)虛擬機(jī)，它可以關(guān)閉Hypervisor，最終導(dǎo)致這些虛擬機(jī)關(guān)閉。

（三）遠(yuǎn)程管理缺陷

虛擬化層（Hypervisor）通常由管理平臺(tái)來為管理員管理虛擬機(jī)。控制臺(tái)可能會(huì)引起一些新的缺陷，例如：跨站腳本攻擊、SQL入侵、Rootkit攻擊等。

（四）拒絕服務(wù)缺陷

在虛擬化環(huán)境下，資源(如CPU、內(nèi)存、硬盤和網(wǎng)絡(luò))由虛擬機(jī)和宿主機(jī)一起共享。因此，DDoS攻擊可能會(huì)加到虛擬機(jī)上從而獲取宿主機(jī)上所有的資源，因?yàn)闆]有可用資源，從而造成系統(tǒng)將會(huì)拒絕來自客戶的所有請(qǐng)求。

隨著國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)的不斷研究與突破，上述安全問題可以通過不同的技術(shù)途徑得到有效地解決。

三、國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)安全功能與應(yīng)用實(shí)踐

近幾年，國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)日趨完善，可以與VMware、Citrix等國外虛擬化廠商相媲美。他們不僅能夠?qū)崿F(xiàn)虛擬化技術(shù)應(yīng)有的功能，并且能夠滿足軍工保密單位信息系統(tǒng)建設(shè)的保密要求。因此在信息系統(tǒng)建設(shè)或改造中，利用國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)進(jìn)行信息系統(tǒng)基礎(chǔ)建設(shè)已成大勢(shì)所趨。

本文主要介紹的國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)是航天恒星科技有限公司自主研發(fā)的ACloudAge KS服務(wù)器虛擬化操作系統(tǒng)V2.5（以下簡(jiǎn)稱“KS系統(tǒng)”）。

（一）國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)的安全功能分析

KS系統(tǒng)環(huán)境由兩部分組成：主機(jī)VS和管理端VMS平臺(tái)。

主機(jī)VS是軟件環(huán)境的重要單元組件，是VMS平臺(tái)的重要功能的實(shí)現(xiàn)者，是虛擬化運(yùn)行的載體。它的主要作用是響應(yīng)并執(zhí)行通過VMS操作所傳送的命令，實(shí)現(xiàn)虛擬機(jī)硬件設(shè)備的模擬、共享存儲(chǔ)管理、I/O管理資源、虛擬機(jī)的監(jiān)控等功能。

管理端VMS平臺(tái)主要用于管理主機(jī)（VS）及其上的虛擬機(jī)，功能是實(shí)現(xiàn)虛擬機(jī)的創(chuàng)建、克隆、快照等管理、數(shù)據(jù)中心和集群的管理、共享存儲(chǔ)的添加刪除、虛擬機(jī)在線遷移、虛擬機(jī)高可用HA（High Availability）、負(fù)載均衡、用戶權(quán)限管理、電源管理等功能。該平臺(tái)是由一個(gè)或多個(gè)主機(jī)組成。這些系統(tǒng)和它所有組件都是通過一個(gè)集中的管理系統(tǒng)進(jìn)行管理。該平臺(tái)允許管理員從一個(gè)單一的強(qiáng)大的接口去查看和管理所有的系統(tǒng)組件、機(jī)器和鏡像。管理系統(tǒng)的GUI提供了廣泛的功能特性，包括強(qiáng)大的搜索功能、資源管理、實(shí)時(shí)遷移和配置功能。

KS系統(tǒng)包含的安全功能主要是以下幾個(gè)方面：

1、啟動(dòng)完整性保護(hù)

系統(tǒng)啟動(dòng)時(shí)對(duì)管理平臺(tái)程序進(jìn)行完整性校驗(yàn)，程序被篡改則拒絕啟動(dòng)；管理平臺(tái)對(duì)每個(gè)宿主機(jī)的關(guān)鍵組件進(jìn)行周期性的校驗(yàn)，組件被篡改后主機(jī)將被置為維護(hù)模式，無法使用；虛擬機(jī)關(guān)機(jī)時(shí)記錄摘要值，開機(jī)前校驗(yàn)，數(shù)據(jù)篡改后虛擬機(jī)無法啟動(dòng)。

2、身份鑒別

系統(tǒng)整個(gè)生命周期內(nèi)，用戶標(biāo)識(shí)唯一；系統(tǒng)采用用戶名、密碼和USB-Key密碼，實(shí)現(xiàn)雙因子身份認(rèn)證；系統(tǒng)對(duì)用戶身份鑒別信息均采用HTTPS方式，傳輸通道采用SSL加密傳輸；用戶密碼進(jìn)行加密存儲(chǔ)于配置文件中；系統(tǒng)具備鑒別失敗處理措施，默認(rèn)連續(xù)失敗3次即鎖定賬戶，安全保密員可自定義失敗的次數(shù)；根據(jù)時(shí)間、MAC、IP地址等因素限制管理員登錄。

3、三員管理

KS系統(tǒng)設(shè)置系統(tǒng)管理員、安全保密員、安全審計(jì)員角色，實(shí)現(xiàn)系統(tǒng)管理的三員權(quán)限劃分。系統(tǒng)管理員能夠在其權(quán)限范圍內(nèi)對(duì)系統(tǒng)進(jìn)行運(yùn)維操作；安全保密員能夠進(jìn)行權(quán)限的管理，能夠?yàn)橄到y(tǒng)管理員和安全審計(jì)員分配權(quán)限和設(shè)置安全策略，以及為虛擬機(jī)設(shè)置密級(jí)標(biāo)識(shí)；安全審計(jì)員能夠進(jìn)行日志的審計(jì)工作，審計(jì)事件發(fā)生的時(shí)間、類型、結(jié)果等信息。

4、虛擬機(jī)隔離與訪問控制

Hypervisor統(tǒng)一管理物理資源，保證每個(gè)虛擬機(jī)都能獲得相對(duì)獨(dú)立的物理資源；并能屏蔽虛擬資源故障，某個(gè)虛擬機(jī)崩潰后不影響Hypervisor及其他虛擬機(jī)。

5、數(shù)據(jù)保護(hù)

數(shù)據(jù)保護(hù)主要包含：虛擬機(jī)關(guān)機(jī)時(shí)記錄虛擬磁盤摘要值，開機(jī)前校驗(yàn)摘要值，數(shù)據(jù)篡改后虛擬機(jī)無法啟動(dòng)；使用硬件加密卡對(duì)虛擬磁盤進(jìn)行透明加解密，使用加密隧道遷移虛擬機(jī)；虛擬磁盤刪除時(shí)對(duì)磁盤重復(fù)寫0進(jìn)行數(shù)據(jù)擦除；具備虛擬機(jī)快照、模板、導(dǎo)入導(dǎo)出等備份與恢復(fù)機(jī)制；采用PostgreSQL9.6對(duì)數(shù)據(jù)庫數(shù)據(jù)進(jìn)行透明加密，防止數(shù)據(jù)被非法訪問；終端與管理平臺(tái)之間所有數(shù)據(jù)采用SSL加密，防止數(shù)據(jù)在傳輸過程被竊取。

6、磁盤加解密

隔離訪問控制示意圖

采用一機(jī)一密方式，磁盤與虛擬機(jī)綁定，不同虛擬機(jī)采用不同密鑰對(duì)磁盤進(jìn)行加密；采用國家密碼管理局檢測(cè)合格的密鑰管理系統(tǒng)和密碼卡，保證密鑰管理和數(shù)據(jù)加密的安全性和可靠性；即使是管理員賬戶也無法獲取虛擬機(jī)磁盤密鑰，密鑰用密碼卡硬件保護(hù)；采用SM4對(duì)稱密碼算法進(jìn)行磁盤數(shù)據(jù)加解密，算法通過硬件程序?qū)崿F(xiàn)，密鑰長(zhǎng)度128位。

通過以上安全功能的加固，整體KS系統(tǒng)框架如圖所示。

（二）國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)的應(yīng)用實(shí)踐

目前，航天科技集團(tuán)有限公司總部（以下簡(jiǎn)稱“航天科技集團(tuán)總部”）涉密信息系統(tǒng)中部署VMware虛擬化產(chǎn)品，在系統(tǒng)測(cè)評(píng)工作中被提及為整改項(xiàng)，因此需要將在原有服務(wù)器虛擬化操作系統(tǒng)上的虛擬機(jī)遷移至國家保密測(cè)評(píng)中心檢測(cè)合格的國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)上（即“KS系統(tǒng)”）。KS系統(tǒng)不僅能夠滿足服務(wù)器虛擬化操作系統(tǒng)的基本功能，例如：服務(wù)器的安裝與升級(jí)，虛擬機(jī)的精簡(jiǎn)置備，虛擬機(jī)的創(chuàng)建、刪除、啟動(dòng)、關(guān)閉等，用戶管理，高可用和負(fù)載均衡，網(wǎng)絡(luò)管理，并且還能滿足國家保密科技測(cè)評(píng)中心針對(duì)于服務(wù)器虛擬化操作系統(tǒng)安全功能的要求，例如：身份鑒別、密級(jí)標(biāo)識(shí)、完整性校驗(yàn)、存儲(chǔ)安全、網(wǎng)絡(luò)安全等。

航天科技集團(tuán)總部服務(wù)器虛擬化改造項(xiàng)目主要的工作是實(shí)現(xiàn)跨操作系統(tǒng)虛擬機(jī)的遷移轉(zhuǎn)換，利用合適的遷移工具能夠?qū)⒃蟹?wù)器虛擬化操作系統(tǒng)上的虛擬機(jī)平穩(wěn)、安全、有效地遷移至國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)上，不僅需要保證虛擬機(jī)遷移過程中的數(shù)據(jù)不丟失，也需要保證虛擬機(jī)上的應(yīng)用系統(tǒng)能夠正常啟動(dòng)及訪問。

KS系統(tǒng)架構(gòu)圖

此次遷移工作中需要對(duì)現(xiàn)有VMware服務(wù)器虛擬化操作系統(tǒng)中虛擬機(jī)進(jìn)行遷移，考慮到遷移過程可能會(huì)對(duì)系統(tǒng)和數(shù)據(jù)帶來影響，需要在遷移實(shí)施前對(duì)原有的虛擬機(jī)數(shù)據(jù)做好備份，備份完成后，通過遷移工具進(jìn)行虛擬機(jī)跨操作系統(tǒng)的遷移工作。

到目前為止，航天科技集團(tuán)總部局域網(wǎng)內(nèi)原VMware服務(wù)器虛擬化操作系統(tǒng)上的所有虛擬機(jī)已全部遷移至國產(chǎn)化服務(wù)器虛擬化操作系統(tǒng)KS上，共部署服務(wù)器虛擬化操作系統(tǒng)15臺(tái)，共遷移虛擬機(jī)59臺(tái)。在滿足相關(guān)安全保密要求的前提下，KS系統(tǒng)已經(jīng)持續(xù)穩(wěn)定運(yùn)行了大致兩個(gè)月的時(shí)間，服務(wù)器虛擬化操作系統(tǒng)上的虛擬機(jī)安全可靠地運(yùn)行，保證后續(xù)服務(wù)器虛擬化操作系統(tǒng)相關(guān)業(yè)務(wù)的擴(kuò)展和延伸。

四、總結(jié)

通過航天科技集團(tuán)總部服務(wù)器虛擬化改造項(xiàng)目，KS系統(tǒng)解決方案構(gòu)建了一套基于國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)的涉密信息系統(tǒng)安全保密防護(hù)體系，形成了一套行之有效地服務(wù)器虛擬化操作系統(tǒng)建設(shè)和管理經(jīng)驗(yàn)，解決了一系列國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)的常見安全問題。

（一）形成了國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)在涉密信息系統(tǒng)的典型應(yīng)用模式

航天科技集團(tuán)總部在長(zhǎng)期實(shí)踐服務(wù)器虛擬化操作系統(tǒng)的基礎(chǔ)上，根據(jù)國家保密標(biāo)準(zhǔn)進(jìn)行了全面的對(duì)標(biāo)分析和方案驗(yàn)證，通過物理隔離、監(jiān)控審計(jì)、訪問控制、加密與備份等核心機(jī)制，實(shí)現(xiàn)從物理層、網(wǎng)絡(luò)層、應(yīng)用層到數(shù)據(jù)層全方位的安全防護(hù)，同時(shí)完善可信檢測(cè)、密鑰管理、終端管理、機(jī)房管理、分權(quán)管理等運(yùn)行維護(hù)管理體系。在兼顧航天業(yè)務(wù)特點(diǎn)的同時(shí)，全面支持各類工程化應(yīng)用，從可信、可控、可管、可用四個(gè)方面進(jìn)行了充分驗(yàn)證，有效提升了單位的保密管理能力和信息化水平，構(gòu)建了國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)應(yīng)用于軍工涉密信息系統(tǒng)的典型應(yīng)用模式。

（二）積累了一套行之有效的管理經(jīng)驗(yàn)和建設(shè)經(jīng)驗(yàn)

航天科技集團(tuán)總部深入研究相關(guān)國家保密標(biāo)準(zhǔn)，結(jié)合運(yùn)行管理實(shí)際，制訂了一系列虛擬化涉密信息系統(tǒng)的管理和運(yùn)維規(guī)范，積累了一套行之有效的建設(shè)和項(xiàng)目管理經(jīng)驗(yàn)，歸納、總結(jié)出了基于服務(wù)器虛擬化操作系統(tǒng)的涉密信息系統(tǒng)典型網(wǎng)絡(luò)結(jié)構(gòu)。

（三）解決了一系列國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)的常見安全問題

早期國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)不能和傳統(tǒng)安全軟件兼容，導(dǎo)致虛擬化涉密信息系統(tǒng)部分安全防護(hù)手段缺失。隨著國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)的不斷深入研究，自主研發(fā)的國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)KS已經(jīng)解決了兼容性問題，同時(shí)還攻克了雙因子認(rèn)證、數(shù)據(jù)保護(hù)以及動(dòng)態(tài)環(huán)境下的虛擬機(jī)隔離等服務(wù)器虛擬化操作系統(tǒng)安全技術(shù)難關(guān)，有效解決了國產(chǎn)服務(wù)器虛擬化操作系統(tǒng)常見的安全問題。