虛擬化技術下的軍工信息安全

武高峰

摘要

在軍工企業網絡中，大量信息化資源急需有效整合。采用虛擬化技術可實現對計算資源、存儲資源和網絡資源的統一安全調度管理，滿足軍工企業的需求。但虛擬化技術需要增加安全防護技術，才能安全應用。本文分析了軍工企業中虛擬化技術應用面臨的問題，提出了安全防護的策略，為開展軍工信息安全體系規劃建設工作提出思路。

【關鍵詞】云計算 軍工信息安全 信息安全體系

隨著電子信息科技和網絡技術的發展，云計算、物聯網、互聯網+等技術產生并得到了廣泛應用，全世界己逐步進入了云計算時代。軍工企業作為國家先進制造技術的代表，其信息資源急需有效整合。云計算的出現為信息技術產業帶來了新的機遇，也在軍工信息資源的安全性、保密性也遇到了新的挑戰。

云計算依托于網絡信息環境將數據化的信息資源傳達給用戶，以物理的形式做到信息的共享和呈現，通過虛擬服務器、存儲和網絡組成的基礎架構服務、可拓展的運行環境和數據存儲等平臺服務以及行業應用和工具應用的軟件服務架構，將硬件設施和用戶串聯到一起，實現了云計算。云計算最核心的技術是虛擬化技術，它基于使用軟硬件分時服務、模擬與仿真執行等技術，達到在單個計算機物理設備上模擬出多個相互獨立的硬件執行環境的目的。

1 虛擬化技術帶來的安全問題

隨著國家對軍工企業內部網絡建設的重視日益加強，相關標準陸續出臺，相關制度日臻完善，軍工企業內部在加強管理、工作效率和資源部署等方面對網絡的依賴性越來越強。不可控的運行資源和虛擬化環境的擴大，帶來了數據信息的泄露和缺失、信息共享技術不足、商品信用難以保證、身份認證欠缺以及程序接口風險等安全問題。

1.1 網絡邊界模糊

在虛擬環境下，服務器、應用系統都是虛擬化的，都集中部署在一起，不同級別的虛擬機可能部署到同一物理機上，使得虛擬主機之間的數據無法得到有效的監測和保護，也會使高安全級別的服務器有可能受到來自低級別用戶的破壞和攻擊。難以保障信息密級的流向控制和用戶身份的訪問控制。

1.2 數據安全性差

在虛擬環境下，服務器、應用系統都以鏡像的形式存儲到了后臺的存儲中，采用域控的方式進行權限控制。這種方式下，系統管理員有權限打開所有用戶目錄，并獲取數據。同時，虛擬化架構具有動態性，虛擬機在各物理機之間遷移，系統維護、管理以及安全等方面也同樣存在數據安全風險。

2 軍工信息安全策略

從虛擬化所帶來的新型安全問題可以看出，舊的信息安全防護手段已經不能滿足虛擬化技術下的信息安全需求。虛擬化技術下保證軍工信息系統的安全，應從以下幾方面增強軍工信息信息系統的安全防護。

2.1 對標標準，合規使用

為指導軍工單位做好虛擬化技術下的安全保密工作，國家相關部門制定了一系列的指導性要求和規范。軍工單位信息安全應當按照標準要求進行技術防護。虛擬化環境下，也應該采取訪問控制、身份鑒別、密碼保護、安全審計、信息流向控制、邊界安全防護等技術防護措施對虛擬機進行保密技術防護。同時，按照相關要求做好風險評估和方案評審。

2.2 明確系統分級防護目標

做好虛擬化環境下的涉密信息系統分級保護工作，最重要的就是對信息保護的目標進行分級，按照不同涉密程度分級管理。

2.2.1 信息資源的保護

要建立可控的數據和應用流程控制鏈，對訪問權限進行控制，形成管理員設置一用戶驗證/帳戶跟蹤一用戶認證設置一用戶注冊一系列的訪問步驟，確保用戶以正確的方式對信息資源進行規范化的訪問。

2.2.2 嚴格身份認證和權限管理

采用USBKEY（或指紋）加口令的雙因子認證方式進行身份認證，對應用系統用戶和用戶身份進行綁定。同時，還應加強三員的審計管理，基于不信任機制做好三員權限劃分，落實管理職責，降低網絡管理人員的失泄密風險。

2.2.3 對虛擬化網絡劃分安全域和ULAN;加強安全審計和日志分析

虛擬機進行一定程度的隔離，將處理涉密數據的虛擬機和處理非密數據的虛擬機分別安裝在不同的物理服務器上。

2.3 完善信息分級保護體系

信息分級保護體系可以從四個方面進行完善。

2.3.1 建立一個可信的虛擬化環境

基礎設施的可信度要從度量、計算、驗證以及支持應用等方面，通過計算平臺的虛擬化和基礎設施，制定訪問的控制策略實現流向控制，建立可信鏈。

2.3.2 完善安全接口

信息傳輸的安全保護是避免信息風險的有效措施，包括計算、存儲、網絡、安全、管理等各個方面，都需要對外有安全的接口設計，用于建立完善的API安全訪問控制機制。

2.3.3 優化防病毒系統

采用透明接入方式在虛擬化邊界部署防病毒模塊實施集中防護，對夾雜在網絡交換數據中的各類網絡病毒進行過濾，對網絡病毒、蠕蟲、混雜攻擊、端口掃描、間諜軟件等各種廣義病毒進行全面攔截。此外，加強硬件技術防護，如防火墻技術能夠針對不安全因素對網絡進行保護，防止外部網絡對內部網絡安全的破壞，有效提高網絡管理的安全性。也可以采用先進的密碼專用芯片集成以及量子加密技術對需要管理的高密級數據和信息進行加密。

3 結語

軍工信息系統安全防護是一項復雜而長久的系統工程。在如今信息技術快速發展的背景下，應加強軍工企業信息安全頂層設計和政策支持，從政策法規、基礎設施、數據管理、數據分析等多個層面制定安全策略，將虛擬化技術與安全系統進行有效融合，適應新環境下的軍工信息系統安全防護。

參考文獻

[1]許洗彧.云計算環境下的虛擬化技術的安全性問題研究[J].網絡安全，2013，4（09）：46-50.

[2]郭廣宇.云計算環境下網絡信息安全[J/OL].電子技術與軟件工程，2018，26（06）：230.