基于虛擬化技術的安全政務網絡研究

杜松

（山東大學軟件學院 山東省濟南市 250000）

1 前言

政務網絡作為政府處理電子政務的一個信息技術手段，它如果一旦遭受病毒傾斜，或者是黑客攻擊那么極易造成國家的相關政務信息泄露，進而影響到國家的安全，因此，對政務網絡運行過程當中所面臨的各種安全問題進行及時的分析，并加以解決是非常必要的。目前來看，基于可信虛擬化技術的安全解決方案，可以通過建立政務網絡白名單防止病毒入侵，而且將該技術應用于政務網絡安全保護，還可以對訪問人員設置多因子安全認證，以便保證訪問人員的身份得到合理篩選，并且還可以基于用戶身份對各項數據進行復制一遍，能夠對其進行安全控制，避免政務信息的外泄，從而從根本上保證我國政務信息的安全性，保護國家安全。

2 政務網絡面臨的安全問題分析

由于政務網絡往往是政府處理電子政務所采用的一種方式，所以說它內部的運行往往要包括公文流轉，而以及檔案管理等諸多的業務辦理，這些業務需要通過平臺來實現社會服務職能以及管理職能，因此，此的對於網絡內部數據進行安全保護是非常必要的，這樣才能夠使得他正常且穩定的運行，更好地為社會人員提供服務。但是當前來看，政務網絡往往還面臨著一定的安全問題，下面對這些安全問題進行簡要分析。

（1）政務網絡作為網絡形式的一種，他面臨著所有網絡都要面臨的一種安全問題，那就是病毒的侵襲，以及各種惡意軟件的破壞，這些軟件的存在，往往會影響到網絡系統的正常運行，以及運行穩定性，而且，對于政務網絡系統來說，她還會造成公文電子郵件及檔案管理等諸多的數據發發生泄密，尤其是對于一些政務敏感問題，一旦發生數據泄露，那么就會造成政府形象的損壞，嚴重情況下還會影響到國的發展安全。

（2）數據安全問題也是一個非常重要的問題，由于政務網絡系統內部往往要包含各種敏感數據，這些敏感數據一旦有內部人員，第三方合作人員或者是計算機木馬病毒等等接觸就會造成敏感信息的外泄，進而影響政府形象。

（3）信息安全管控不到位，也是一個重要的安全問題，目前來看，許多的單位在進行網絡維護的過程當中，并不能夠及時地對網絡系統進行安全維護保障，這就會使得系統后期的運行存在一定的障礙，嚴重情況下，甚至無法正常運行，進而造成一定的安全隱患，而政務網絡系統作為國家用的一個網絡系統，它的運行一出現問題，那么就會影響一些較為重要的政務的開展。

以上提出的各種安全問題是傳統的信息安全解決方案，或者是信息安全產品不能夠良好解決的，在維護政府網絡安全時購入殺毒軟件，終止安全控制等諸多的手段，往往并不能夠及時的對病毒進行有效檢測，而且尤其是面對未知病毒的攻擊時，不能能夠對其實現安全管控運維，這就會造成不法分子的信息盜取，另外，目前我國大部分的信息安全方案也存在著各種各樣的問題，比如說產品數量多，兼容性相對較差，對系統影響相對較大等諸多的難題，這些問題都不宜解決，所以說傳統的解決方案都不盡如人意。

3 維持政務網絡安全的需求分析

在對政務網絡系統進行安全評估之后，這樣就可以對他的信息安全性以及保護目標有一個明確的認知，目前來看，政務網絡存在的一個較大的需求就是在我國政策法規的允許下，真正做到政務網絡系統的安全有效性，經濟性，易管性的統一。

（1）要想保證政務網絡系統的安全，首先要能對已知的病毒進行檢測，并加以防范，避免病毒的攻擊，當然芥面臨各種位置的病毒時，也要有一定的能力進行安全防范，這樣才能避免安全事故發生。從另一方面來看，不僅要維持正常的業務的進行，而且還必須要避免內部工作人員與第三方合作商的非法合作，進而造成的政務信息非法盜取，尤其是對于一些政府敏感數據，一旦發生數據盜取，那么就會造成極大的社會危害，這也就要求該系統必須要客觀可控，能夠實現高效的集中管控。

（2）一個方面就是必須要保證安全方案的安全性及有效性，還要在此基礎上減少成本的支出，傳統的安全解決方案往往需要較多的安全產品，安裝數量較大，浙大一定程度上對于成本是一個不可控的因素，而且兼容性相對較差，還會導致安全機制使用效率下降，影響使用性能。政務網絡安全方案必須要綜合考慮該方案的有效性，以及是否簡化，盡可能的減少安全設備及安全軟件的安裝數量，以便保證政務網絡的運維成本相對偏低，在此基礎上，保證政務系統的性能。

（3）一點就是要綜合考慮該安全方案當中所涉及到的安全產品及安全機制的易用易管性。對于安全方案來說，他在使用的過程當中，應該盡可能的減少對原有應用程序的改變，保證用戶的操作習慣，能夠盡可能的維持在原有狀態，當然，各個管理流程保護也可以更好的使該網絡方案安全機制的管理更加便利，而且還可以從根本上保證用戶的體驗更優化。

（4）最后在移動辦公與移動業務成為發展趨勢的，現在為了能夠更好地保障業務工作的有效性，待制定政務網絡安全方案時，必須要強化考慮該方案對于移動業務辦公的支持，要綜合考慮該方案當中需要解決的移動設備安全認證問題，避免出現數據泄露，或者是移動設備遺失等諸多問題。

4 對可信虛擬化技術的簡要探討

虛擬機的信任問題是虛擬機安全的關鍵問題之一,可信密碼模塊作為計算機信任的源頭,其在虛擬機上的應用也引起了越來越多的關注。虛擬可信根是將現有可信模塊方案擴展為虛擬可信根,通過虛擬可信場景的虛擬化調度,從而支持多個虛擬機的可信模塊的訪問,為每個虛擬機分配一個綁定的虛擬可信模塊的實例,并使這些實例可以輪流在物理虛擬可信根場景中運行,以使虛擬可信根的安全性分析可以借助可信模塊結論,增強虛擬可信根的安全性。這一方案在虛擬可信根的管理,包括虛擬可信根的遷移等操作上,也體現出了其優勢。在虛擬化平臺下保證其在可信硬件平臺上運行，并確保虛擬機等資源可信運行，并且與現有的虛擬機機制具備良好兼容性。

5 基于虛擬化技術的安全政務網絡保護方案

5.1 病毒的有效防范

傳統的政務網絡系統的內部安全防護結構適宜，可以采用可信虛擬化方案，以虛擬桌面的基礎來進行更好的展示，通過該技術進行可執行代碼保護，防范各種數據病毒的侵入。首先就是機房內的桌面服務器，由于桌面服務器可以支持多個虛擬桌面的運行，而這些虛擬桌面可以更好的代替傳統的PC 業務應用終端，因此，這也就在一定程度上保護了數據的安全性。以政務網絡軟件選用為基礎來看，它主要采用了密碼技術建設網絡軟件版名單，在改變白名單當中出現的代碼和程序，才能夠在虛擬桌面上運行，這樣就可以避免各種病毒的侵入，導致系統的崩潰，當然，與傳統的安全保護方案不同的就是白名單機制，對于CPU 資源占用相對較小，減少了磁盤操作，因此這種虛擬化操作技術更加科學有效。由于白名單保護機制只出現在虛擬桌面當中，因此，對于工作人員的工作也也不會造成任何終端操作的影響，這也就從根本上保護了用戶的實際操作使用感，從根本上推動了信息安全方案的部署及推廣。

5.2 集中安全管控。

在運用可信虛擬化技術進行安全政務網絡保護時，它主要以安全存儲技術作為安全管控基礎，這樣可以對虛擬桌面進行集中管控，對于所有的虛擬桌面來講，它的服務器會根據不同的應用類型以及崗位制作模本進行鏡像服務器當中的鏡像克隆及鏡像部署，這種鏡像部署手段可以減少軟件升級時間，而且對于各種補丁的安裝也能夠進行及時的完成，保證時間的科學利用性。而且鏡像集中安全管控技術的使用，可以避免傳統的安全保護系統升級時所帶來的兼容性相對較差這一問題。他可以對虛擬桌面進行集中管控，使得信息系統工作運維大幅減少，這一代一定程度上了，減少了政務網絡運維管理人員的工作壓力，目前來看，我國的網絡系統運維管理人員編制數目相對較少，但是他的運維工作量相對較大，這也造成了他們的較大的工作壓力，而集中安全管控就可以很好地解決這一問題。

5.3 可信云基礎平臺

云平臺可信即確保政務云平臺上運行的系統軟件，如固件、操作系統（OS）、虛擬化軟件、虛擬機級應用程序都是安全的，保障云平臺上的系統不被篡改，即保持運行環境是所要求的運行環境。為實現這個目標，主要采用的手段是對系統軟件的度量和驗證，而度量和驗證自身的可信通過云平臺可信硬件來支持。可信硬件作為云服務器或接入用戶服務器的可信根，通過在硬件內部實現最基礎的安全功能如秘鑰存儲、安全算法實現從下到上逐級的可信鏈傳遞。

6 結束語

采用基于可信虛擬化技術的安全政務網絡方案后，政務辦公和業務應用系統不再擔心各種病毒和木馬的入侵破壞，也不再擔心內部數據失泄密事件的發生；不僅如此，政務網絡系統管理和運維人員工作比起以前更為輕松，工作效率更高；同時，由于新安全方案無需改變應用程序、操作流程和應用習慣，因此普通用戶基本感受不到傳統信息安全杋制和安全揩施可能帶來的不方便，極大地保證了用戶的安全應用體驗。