論基于虛擬化技術(shù)的網(wǎng)絡(luò)安全管理的研究

劉嵩鶴 王君 王倞 解放軍95072 部隊(duì)信息保障處

數(shù)字時(shí)代的到來，信息技術(shù)得到了蓬勃發(fā)展，虛擬化技術(shù)被普遍的使用到各行各業(yè)的發(fā)展之中。但是，網(wǎng)絡(luò)安全問題一直無法得到應(yīng)有的保障。為此，必須要關(guān)注虛擬化技術(shù)的網(wǎng)絡(luò)安全管理，從而提升對(duì)于網(wǎng)絡(luò)安全管理的水平。

一、虛擬化技術(shù)應(yīng)用下的網(wǎng)絡(luò)環(huán)境

虛擬化技術(shù)能夠?qū)Νh(huán)境進(jìn)行隔絕，使其能夠達(dá)成兼容，更加安全有效的進(jìn)行監(jiān)管，為確保系統(tǒng)的安全提供了切實(shí)可行的思路。只是，因?yàn)槟壳疤摂M化技術(shù)并沒有從源頭上改變目前計(jì)算機(jī)發(fā)展需要面對(duì)諸多問題的現(xiàn)實(shí)情況，導(dǎo)致虛擬化技術(shù)雖被應(yīng)用在安全管理中，但依然沒有解決目前的狀況。

虛擬化技術(shù)應(yīng)用下的網(wǎng)絡(luò)環(huán)境主要可以體現(xiàn)為以下特征：第一，網(wǎng)絡(luò)中所使用的計(jì)算機(jī)資源從傳統(tǒng)的服務(wù)器變成了虛擬性的機(jī)器；第二，因?yàn)榫W(wǎng)絡(luò)中存在著一些二元化設(shè)施，既具有傳統(tǒng)模式下所使用的物理網(wǎng)絡(luò)也包括應(yīng)用了虛擬化技術(shù)的虛擬網(wǎng)絡(luò)；第三，對(duì)于組網(wǎng)進(jìn)行連接的方式從傳統(tǒng)的物理模式變成了物理模式和虛擬模式進(jìn)行結(jié)合的方式。

二、基于虛擬化技術(shù)的網(wǎng)絡(luò)安全管理面對(duì)的問題

虛擬化技術(shù)的使用，使網(wǎng)絡(luò)環(huán)境出現(xiàn)了新的變化，但是它的安全性并沒有得到提升。第一，傳統(tǒng)網(wǎng)絡(luò)中所具有的網(wǎng)絡(luò)安全問題并沒有在應(yīng)用虛擬化技術(shù)以后得到解決。其很可能通過使用不安全的路徑而使信息安全得不到保障，信息出現(xiàn)泄露。第二，網(wǎng)絡(luò)安全問題雖然可能在安全的使用虛擬化技術(shù)以后得到一定的改善，但是因?yàn)檫@些方式也存在著一定的風(fēng)險(xiǎn)性。第三，雖然在應(yīng)用傳統(tǒng)網(wǎng)絡(luò)時(shí)，一些安全問題得到了解決，但是在虛擬網(wǎng)絡(luò)的發(fā)展中，其仍然具有一定的危險(xiǎn)性。

（一）對(duì)于物理網(wǎng)絡(luò)進(jìn)行安全管理需要面對(duì)的問題

在對(duì)于物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)進(jìn)行劃分的過程中，每一個(gè)網(wǎng)段都有其存在的意義，為此對(duì)于網(wǎng)段進(jìn)行分隔能夠有效的確保網(wǎng)絡(luò)安全。從理論上進(jìn)行分析，進(jìn)行網(wǎng)絡(luò)通信有著特殊的物理端，但是在這個(gè)過程中會(huì)受到諸多因素的限制，導(dǎo)致網(wǎng)絡(luò)通信無法對(duì)應(yīng)相關(guān)的端口。在這一網(wǎng)絡(luò)環(huán)境中，很可能會(huì)導(dǎo)致網(wǎng)絡(luò)受到攻擊等問題，導(dǎo)致物理網(wǎng)絡(luò)安全得不到應(yīng)有的保障。

（二）對(duì)于虛擬網(wǎng)絡(luò)進(jìn)行安全管理需要面對(duì)的問題

在對(duì)于虛擬網(wǎng)絡(luò)進(jìn)行安全管理的過程中，需要考慮到應(yīng)用虛擬技術(shù)所具有的出現(xiàn)的安全問題。具體可以表現(xiàn)為以下幾點(diǎn)內(nèi)容：第一，會(huì)對(duì)物理連接造成不利影響。具備對(duì)于物理網(wǎng)絡(luò)進(jìn)行訪問的能力，能夠使一個(gè)完善的虛擬系統(tǒng)出現(xiàn)問題。對(duì)于虛擬系統(tǒng)進(jìn)行攻擊的對(duì)象可以按照自己的需求對(duì)于服務(wù)器和虛擬設(shè)備進(jìn)行開關(guān)。這也是目前僅具有較高權(quán)限用戶才能夠管理主機(jī)設(shè)施的原因。第二，會(huì)對(duì)虛擬管理連接產(chǎn)生不利影響。管理信息有著至關(guān)重要的作用，為此虛擬管理網(wǎng)絡(luò)通信應(yīng)該被分隔成為一個(gè)獨(dú)立的網(wǎng)段。但是，當(dāng)攻擊者對(duì)于這一端口進(jìn)行訪問時(shí)，可以通過篡改某些結(jié)構(gòu)，使網(wǎng)絡(luò)安全受到威脅。為此，虛擬管理網(wǎng)絡(luò)應(yīng)該具備一個(gè)能夠?qū)暨M(jìn)行抵御的能力。為此，在建設(shè)虛擬技術(shù)下的網(wǎng)絡(luò)環(huán)境時(shí)，應(yīng)該使用同一個(gè)接口來對(duì)虛擬機(jī)進(jìn)行訪問，對(duì)純文本信息進(jìn)行了解。第三，會(huì)對(duì)存儲(chǔ)連接造成不利的影響。存儲(chǔ)虛擬技術(shù)對(duì)安全有著較高的需要。一方面，存儲(chǔ)信息中包含著大量的數(shù)據(jù)，具有很多用戶的信息；另一方面，存儲(chǔ)的數(shù)據(jù)中會(huì)被攻擊者利用，對(duì)網(wǎng)絡(luò)安全產(chǎn)生不利影響。為此，必須要重視本地存儲(chǔ)工作，確保其能夠被安全的存儲(chǔ)。除此之外，虛擬化網(wǎng)絡(luò)中最大的安全問題主要是由于部分用戶對(duì)傳輸數(shù)據(jù)的攻擊，之所以會(huì)出現(xiàn)這一原因，歸根究底，是因?yàn)橛布蛙浖铣霈F(xiàn)的問題都沒有被合理的解決。而且，在一些能夠進(jìn)行共享的虛擬軟件之中，擁有權(quán)限的攻擊者可以不按照法律規(guī)定來對(duì)其進(jìn)行訪問。

三、網(wǎng)絡(luò)安全管理對(duì)策

（一）要對(duì)安全問題的風(fēng)險(xiǎn)性進(jìn)行分析

對(duì)于安全問題的風(fēng)險(xiǎn)性進(jìn)行分析，是安全管理工作中必不可少的流程。為此，應(yīng)該對(duì)網(wǎng)絡(luò)使用者進(jìn)行分析，評(píng)價(jià)其對(duì)于虛擬技術(shù)下的網(wǎng)絡(luò)環(huán)境進(jìn)行攻擊的可能性，以及其被攻擊的可能性，這能夠使網(wǎng)絡(luò)安全管理更加高效的進(jìn)行。對(duì)網(wǎng)絡(luò)安全問題的風(fēng)險(xiǎn)性進(jìn)行分析，最為有效的方式是采用威脅矩陣來進(jìn)行探究。通常情況下，對(duì)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)性進(jìn)行分析時(shí)，必須要考慮到網(wǎng)絡(luò)中所有的內(nèi)容。為此在采用威脅矩陣時(shí)，應(yīng)該對(duì)威脅性進(jìn)行判斷，對(duì)危險(xiǎn)性較高的用戶予以重點(diǎn)關(guān)注，并采取一些措施來預(yù)防中級(jí)風(fēng)險(xiǎn)和低級(jí)風(fēng)險(xiǎn)的安全管理問題的發(fā)生。

（二）采取合理的措施來解決網(wǎng)絡(luò)安全管理中存在的問題

解決網(wǎng)絡(luò)安全管理中存在的問題，可以采取以下一些措施：第一，將對(duì)虛擬機(jī)和信息存儲(chǔ)中的信息攻擊進(jìn)行截留，并且通過創(chuàng)建安全的信息通道來避免這一問題的出現(xiàn)。第二，雖然傳統(tǒng)網(wǎng)絡(luò)中采取了諸多措施來避免安全問題的出現(xiàn)，但是因?yàn)榫W(wǎng)絡(luò)系統(tǒng)中需要安裝不同種類的軟件，軟件中存在著一些安全問題，導(dǎo)致于在進(jìn)行設(shè)計(jì)時(shí)無法系統(tǒng)的解決所有出現(xiàn)的安全問題。為此，在對(duì)軟件進(jìn)行設(shè)計(jì)和試用時(shí)，應(yīng)該使用安全的程序來對(duì)其進(jìn)行測(cè)試，避免安全問題的發(fā)生。第三，在傳統(tǒng)網(wǎng)絡(luò)下采用的措施所解決的安全問題，在應(yīng)用虛擬化技術(shù)下的網(wǎng)絡(luò)環(huán)境下，很有可能會(huì)再次出現(xiàn)，為此應(yīng)該借鑒在傳統(tǒng)網(wǎng)絡(luò)模式下所采用的技術(shù)，并對(duì)其進(jìn)行較大改進(jìn)。為此，在對(duì)虛擬系統(tǒng)進(jìn)行軟件設(shè)計(jì)的過程中，應(yīng)該考慮到這一內(nèi)容，提升軟件的安全性。第四，在對(duì)存儲(chǔ)信息系統(tǒng)進(jìn)行安全管理時(shí)，對(duì)這一系統(tǒng)進(jìn)行管理的人員應(yīng)該將存儲(chǔ)端口和其它端口進(jìn)行分隔，并利用先進(jìn)的網(wǎng)絡(luò)技術(shù)來構(gòu)建安全通道，使數(shù)據(jù)傳遞能夠安全的進(jìn)行，防止對(duì)信息進(jìn)行的攻擊。第五，在對(duì)開展的業(yè)務(wù)進(jìn)行安全管理時(shí)，最為有效的方式時(shí)對(duì)其展開隔離。因?yàn)闃I(yè)務(wù)和數(shù)據(jù)信息有著重要的關(guān)聯(lián)，能夠通過業(yè)務(wù)進(jìn)入內(nèi)部的網(wǎng)絡(luò)，為此應(yīng)該重點(diǎn)關(guān)注這一內(nèi)容，防止用戶對(duì)其進(jìn)行的刻意攻擊。

總而言之，對(duì)虛擬化技術(shù)應(yīng)用下的網(wǎng)絡(luò)環(huán)境中進(jìn)行安全管理，應(yīng)該學(xué)習(xí)之前傳統(tǒng)模式下進(jìn)行安全管理的方式，使其形成完善的安全管理體系。除此之外，也應(yīng)該考慮到虛擬化技術(shù)應(yīng)用下網(wǎng)絡(luò)環(huán)境的不同特點(diǎn)，使虛擬化設(shè)備能夠得到安全管理，從不同的角度來對(duì)于網(wǎng)絡(luò)環(huán)境進(jìn)行安全管理，提升虛擬化技術(shù)下網(wǎng)絡(luò)安全管理的水平。

四、總結(jié)

在虛擬化技術(shù)的應(yīng)用下，進(jìn)行網(wǎng)絡(luò)安全管理，能夠使網(wǎng)絡(luò)資源被更加科學(xué)合理的利用，并提升相關(guān)工作人員的水平。目前，虛擬環(huán)境所進(jìn)行的網(wǎng)絡(luò)安全管理依然存在著一些不足，為此相關(guān)工作人員必須要盡快的采取措施來解決這一問題，提升網(wǎng)絡(luò)安全管理水平，從而為人們提供更加安全的網(wǎng)絡(luò)環(huán)境，使人們的信息能夠獲得真正安全的保護(hù)。