欢迎来到天天文库
浏览记录
ID:52483098
大小:344.92 KB
页数:5页
时间:2020-03-28
《基于虚拟化技术的信息系统安全防护框架研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、中图分类号:TP393.08文献标志码:B文章编号:1672—4844(2011)06—0014-05基于虚拟化技术的信息系统安全防护框架研究陈昊.徐建(1.江苏省电力试验研究院有限公司,江苏南京210000;2.南京理工大学计算科学与技术学院,江苏南京210094】摘要:关键信息系统的安全防护问题一直以来都是研究热点。围绕数据安全和恶意代码攻击等关键安全问题。以虚拟机监视器作为安全防护立足点,充分利用虚拟机监视器的拦截、隔离、I/O数据加解密等机制。构建了一种新的信息系统安全防护构架,详细阐述了安全防护框架的工作原理以及典型安全服务的构建方法。关
2、键词:虚拟化技术;虚拟机;安全防护固作为主要技术手段.提0引言高网络和主机系统的安随着信息系统的广泛应用,全性和抗攻击能力。由于上层应用软件其所面临的信息安全问题复杂多变.特别是一些安全关键的信息和操作系统软件各不相同,且每个企业对于信息系统的都可以通过增加⋯·层映射而系统.如电力信息系统等,保障该类信息系统的安全成为一个重要安全需求也不尽相同,导致缺少决”,当前汁算系统的很多问题而实际的课题。一种有效的、易于移植的安全防同样可以通过在计算系统中增传统的安全防护框架大多以护解决方案。虚拟化层来解决。目前,在虚信息系统软件栈中上层业务应正如1992年
3、图灵奖获得者技术的体系结构和算法等理论用软件或者底层操作系统作为DavidWheeler在颁奖演讲时所究方面,已取得了丰硕的研究安全防护的立足点.采用安全加说的,“计算机科学中的任何问题果[注:高等学校博士学科点专项科研基金项目(20093219120024)口1C在应用方面,已有一些实现综合框架,从而对信息系统进行统完全的控制权,能获取操作系了虚拟化技术的平台,如更加有效的安全保护。统运行状态,系统资源使用状态VMWARE、Xent~l等,一些主流计和应用程序执行状态等有用的1虚拟化技术简介算机芯片厂商也推出各自的虚拟信息。底层硬件资源与客体操作
4、化技术.如Intel公司“IntelVT”虚拟化技术通过在底层硬件系统之间的任何交互都需要通过技术[5]。这些都使得虚拟化技术应设备与上层操作系统之间增加一VMM进行。用具有更好的适用性,虚拟化技个额外的软件层.即虚拟机监控VMM通常具备4个主要的术因此得以高速发展,同时极大器(VMM。VirtualMachineMoni—特性,即透明性(Transparent)、隔地扩充了信息技术的应用领域与tor)。屏蔽硬件平台的分布性、异离性(Isolation)、封装性(Encap—方法,为解决计算系统信息安全构性和动态性,支持硬件资源的sulation)
5、和可管理性(Manageabil—等问题提供了一种新的有效的技共享,并采用软硬件分时服务、仿ity)。在安全防护领域。VMM的隔术手段和方法。真执行与模拟等技术在单个计算离性是被广泛使用的一个重要特目前.已有不少学者开展了机物理设备上为每个用户提供属性。在虚拟化的环境中,VM之间基于虚拟化技术的系统安全研究于个人的独立、隔离的计算环境,相互隔离,任何VM之间可以视工作[]。Garfinkel等人[61提出一种即虚拟机(VM,VirtualMachine),为互相透明.即使一个VM出现新的基于系统虚拟化技术的入侵用于运行操作系统软件及上层应故障或遭受
6、攻击.其他VMs不会检测方法.该方法在虚拟机层面用软件,确保在虚拟出的运行环受到任何影响:在各个独立的VM实现入侵检测.相对于基于网络境中操作系统与应用软件的运之上.存在VMM.VM运行所需要的入侵检测系统与基于主机的行状况与在真实的物理设备上的计算资源(CPU、内存、DISK入侵检测系统而言,基于系统虚运行的状况基本相同.藉此带来等)均由VMM提供,同时,VMM拟化的入侵检测系统不仅具备更好的安全性、容错性和可维护管理所有虚拟机与系统硬件的交更好的抗攻击性,而且还能获得性等。互。隔离特性是虚拟化技术提高足够的信息以降低漏报率和误图1是计算系统虚拟
7、化的示系统安全的主要特性之一,将有助报率。意图,从图中可以看出,VMM位于实现VMM级别的安全防护。SecVisor等人_7_提出一种防于底层硬件资源和VM中运行的2基于VMM的安全防护构架止操作系统内核代码遭受恶意篡操作系统,称为客体操作系统改的新方法.该方法使用虚拟机(GOS,GuestOperatingSystem)之系统虚拟化技术的出现为安监控器来检测与防止对操作系统间.处于整个软件栈的最底层,全防护带来了新的思路。图2为内核代码的恶意修改,从而到达专门负责管理底层硬件资源,然以数据安全和入侵防御为主要目保证内核代码完整性的目的。后将其分配
8、给软件栈上层的虚标建立的适用于信息系统安全防曲文涛等人罔提出了一种跨拟机(VM)。VMM拥有对运行在护框架。该防护框架采用
此文档下载收益归作者所有