虛擬化技術(shù)下的軍工信息安全

武高峰

摘要

在軍工企業(yè)網(wǎng)絡(luò)中，大量信息化資源急需有效整合。采用虛擬化技術(shù)可實現(xiàn)對計算資源、存儲資源和網(wǎng)絡(luò)資源的統(tǒng)一安全調(diào)度管理，滿足軍工企業(yè)的需求。但虛擬化技術(shù)需要增加安全防護技術(shù)，才能安全應(yīng)用。本文分析了軍工企業(yè)中虛擬化技術(shù)應(yīng)用面臨的問題，提出了安全防護的策略，為開展軍工信息安全體系規(guī)劃建設(shè)工作提出思路。

【關(guān)鍵詞】云計算 軍工信息安全 信息安全體系

隨著電子信息科技和網(wǎng)絡(luò)技術(shù)的發(fā)展，云計算、物聯(lián)網(wǎng)、互聯(lián)網(wǎng)+等技術(shù)產(chǎn)生并得到了廣泛應(yīng)用，全世界己逐步進入了云計算時代。軍工企業(yè)作為國家先進制造技術(shù)的代表，其信息資源急需有效整合。云計算的出現(xiàn)為信息技術(shù)產(chǎn)業(yè)帶來了新的機遇，也在軍工信息資源的安全性、保密性也遇到了新的挑戰(zhàn)。

云計算依托于網(wǎng)絡(luò)信息環(huán)境將數(shù)據(jù)化的信息資源傳達給用戶，以物理的形式做到信息的共享和呈現(xiàn)，通過虛擬服務(wù)器、存儲和網(wǎng)絡(luò)組成的基礎(chǔ)架構(gòu)服務(wù)、可拓展的運行環(huán)境和數(shù)據(jù)存儲等平臺服務(wù)以及行業(yè)應(yīng)用和工具應(yīng)用的軟件服務(wù)架構(gòu)，將硬件設(shè)施和用戶串聯(lián)到一起，實現(xiàn)了云計算。云計算最核心的技術(shù)是虛擬化技術(shù)，它基于使用軟硬件分時服務(wù)、模擬與仿真執(zhí)行等技術(shù)，達到在單個計算機物理設(shè)備上模擬出多個相互獨立的硬件執(zhí)行環(huán)境的目的。

1 虛擬化技術(shù)帶來的安全問題

隨著國家對軍工企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)的重視日益加強，相關(guān)標(biāo)準(zhǔn)陸續(xù)出臺，相關(guān)制度日臻完善，軍工企業(yè)內(nèi)部在加強管理、工作效率和資源部署等方面對網(wǎng)絡(luò)的依賴性越來越強。不可控的運行資源和虛擬化環(huán)境的擴大，帶來了數(shù)據(jù)信息的泄露和缺失、信息共享技術(shù)不足、商品信用難以保證、身份認證欠缺以及程序接口風(fēng)險等安全問題。

1.1 網(wǎng)絡(luò)邊界模糊

在虛擬環(huán)境下，服務(wù)器、應(yīng)用系統(tǒng)都是虛擬化的，都集中部署在一起，不同級別的虛擬機可能部署到同一物理機上，使得虛擬主機之間的數(shù)據(jù)無法得到有效的監(jiān)測和保護，也會使高安全級別的服務(wù)器有可能受到來自低級別用戶的破壞和攻擊。難以保障信息密級的流向控制和用戶身份的訪問控制。

1.2 數(shù)據(jù)安全性差

在虛擬環(huán)境下，服務(wù)器、應(yīng)用系統(tǒng)都以鏡像的形式存儲到了后臺的存儲中，采用域控的方式進行權(quán)限控制。這種方式下，系統(tǒng)管理員有權(quán)限打開所有用戶目錄，并獲取數(shù)據(jù)。同時，虛擬化架構(gòu)具有動態(tài)性，虛擬機在各物理機之間遷移，系統(tǒng)維護、管理以及安全等方面也同樣存在數(shù)據(jù)安全風(fēng)險。

2 軍工信息安全策略

從虛擬化所帶來的新型安全問題可以看出，舊的信息安全防護手段已經(jīng)不能滿足虛擬化技術(shù)下的信息安全需求。虛擬化技術(shù)下保證軍工信息系統(tǒng)的安全，應(yīng)從以下幾方面增強軍工信息信息系統(tǒng)的安全防護。

2.1 對標(biāo)標(biāo)準(zhǔn)，合規(guī)使用

為指導(dǎo)軍工單位做好虛擬化技術(shù)下的安全保密工作，國家相關(guān)部門制定了一系列的指導(dǎo)性要求和規(guī)范。軍工單位信息安全應(yīng)當(dāng)按照標(biāo)準(zhǔn)要求進行技術(shù)防護。虛擬化環(huán)境下，也應(yīng)該采取訪問控制、身份鑒別、密碼保護、安全審計、信息流向控制、邊界安全防護等技術(shù)防護措施對虛擬機進行保密技術(shù)防護。同時，按照相關(guān)要求做好風(fēng)險評估和方案評審。

2.2 明確系統(tǒng)分級防護目標(biāo)

做好虛擬化環(huán)境下的涉密信息系統(tǒng)分級保護工作，最重要的就是對信息保護的目標(biāo)進行分級，按照不同涉密程度分級管理。

2.2.1 信息資源的保護

要建立可控的數(shù)據(jù)和應(yīng)用流程控制鏈，對訪問權(quán)限進行控制，形成管理員設(shè)置一用戶驗證/帳戶跟蹤一用戶認證設(shè)置一用戶注冊一系列的訪問步驟，確保用戶以正確的方式對信息資源進行規(guī)范化的訪問。

2.2.2 嚴(yán)格身份認證和權(quán)限管理

采用USBKEY（或指紋）加口令的雙因子認證方式進行身份認證，對應(yīng)用系統(tǒng)用戶和用戶身份進行綁定。同時，還應(yīng)加強三員的審計管理，基于不信任機制做好三員權(quán)限劃分，落實管理職責(zé)，降低網(wǎng)絡(luò)管理人員的失泄密風(fēng)險。

2.2.3 對虛擬化網(wǎng)絡(luò)劃分安全域和ULAN;加強安全審計和日志分析

虛擬機進行一定程度的隔離，將處理涉密數(shù)據(jù)的虛擬機和處理非密數(shù)據(jù)的虛擬機分別安裝在不同的物理服務(wù)器上。

2.3 完善信息分級保護體系

信息分級保護體系可以從四個方面進行完善。

2.3.1 建立一個可信的虛擬化環(huán)境

基礎(chǔ)設(shè)施的可信度要從度量、計算、驗證以及支持應(yīng)用等方面，通過計算平臺的虛擬化和基礎(chǔ)設(shè)施，制定訪問的控制策略實現(xiàn)流向控制，建立可信鏈。

2.3.2 完善安全接口

信息傳輸?shù)陌踩Ｗo是避免信息風(fēng)險的有效措施，包括計算、存儲、網(wǎng)絡(luò)、安全、管理等各個方面，都需要對外有安全的接口設(shè)計，用于建立完善的API安全訪問控制機制。

2.3.3 優(yōu)化防病毒系統(tǒng)

采用透明接入方式在虛擬化邊界部署防病毒模塊實施集中防護，對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進行過濾，對網(wǎng)絡(luò)病毒、蠕蟲、混雜攻擊、端口掃描、間諜軟件等各種廣義病毒進行全面攔截。此外，加強硬件技術(shù)防護，如防火墻技術(shù)能夠針對不安全因素對網(wǎng)絡(luò)進行保護，防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)安全的破壞，有效提高網(wǎng)絡(luò)管理的安全性。也可以采用先進的密碼專用芯片集成以及量子加密技術(shù)對需要管理的高密級數(shù)據(jù)和信息進行加密。

3 結(jié)語

軍工信息系統(tǒng)安全防護是一項復(fù)雜而長久的系統(tǒng)工程。在如今信息技術(shù)快速發(fā)展的背景下，應(yīng)加強軍工企業(yè)信息安全頂層設(shè)計和政策支持，從政策法規(guī)、基礎(chǔ)設(shè)施、數(shù)據(jù)管理、數(shù)據(jù)分析等多個層面制定安全策略，將虛擬化技術(shù)與安全系統(tǒng)進行有效融合，適應(yīng)新環(huán)境下的軍工信息系統(tǒng)安全防護。

參考文獻

[1]許洗彧.云計算環(huán)境下的虛擬化技術(shù)的安全性問題研究[J].網(wǎng)絡(luò)安全，2013，4（09）：46-50.

[2]郭廣宇.云計算環(huán)境下網(wǎng)絡(luò)信息安全[J/OL].電子技術(shù)與軟件工程，2018，26（06）：230.