細(xì)數(shù)銀河麒麟5大虛擬化安全功能，讓安全無懈可擊！

近日，麒麟軟件積極推進(jìn)基于銀河麒麟高級服務(wù)器操作系統(tǒng)V10的虛擬化平臺。銀河麒麟服務(wù)器虛擬化系統(tǒng)不僅能夠提供擴(kuò)展性好、運行穩(wěn)定的虛擬化服務(wù)器平臺，還能提供統(tǒng)一、高效的虛擬化資源管理、配置和監(jiān)控平臺，更能提供實施高效的實體機(jī)與虛擬機(jī)之間資源遷移解決方案，它將幫助廣大中小企業(yè)快速建立易用、高效的虛擬化實施平臺。

當(dāng)社會信息安全已經(jīng)關(guān)系到一個企業(yè)和國家安全時，信息安全問題無憂也就為國家和社會穩(wěn)定提供了可靠的保障。那么，虛擬化系統(tǒng)中的安全加固模塊都有哪些？在應(yīng)用方面，虛擬化特有的安全功能又有哪些呢？

事實上，在虛擬化系統(tǒng)中的安全加固模塊“家族成員眾多”，主要分為：虛擬機(jī)加解密、虛擬機(jī)啟動完整性校驗、可信引導(dǎo)、ukey、終端管理、鎖定管理、時間登錄限制、主機(jī)虛擬機(jī)性能監(jiān)控、防火墻、selinux安全策略增強(qiáng)、審計規(guī)則增強(qiáng)、完整性校驗規(guī)則增強(qiáng)等等。

在這個大家族中，可謂“各路英雄匯聚，人人有武藝絕活兒”，下面就讓我們來領(lǐng)略一下虛擬化特有的安全功能吧。

虛擬機(jī)加解密

應(yīng)用場景：作為密碼安全的硬件支撐，它可以嵌入到服務(wù)器類設(shè)備使用，提供高安全等級的敏感數(shù)據(jù)保護(hù)。對于一些保密單位，為了確保虛擬機(jī)鏡像信息不被竊取，常常對虛擬機(jī)磁盤信息進(jìn)行加密保護(hù)，這時候它可提供國密算法SM1、SM2、SM3、SM4的算法支撐，可以滿足便捷要求性高，性能相對較小的密碼算法場景。即便當(dāng)虛擬機(jī)磁盤被竊取后，也沒有相對應(yīng)的密鑰進(jìn)行解密，就輕松保護(hù)了磁盤信息。

虛擬機(jī)啟動完整性校驗

虛擬機(jī)啟動完整性校驗主要對用戶所建的虛擬機(jī)磁盤進(jìn)行校驗，可以校驗磁盤的MD5值，磁盤的大小，磁盤的路徑，并且建立web server與SC通信。

只要vm-measure服務(wù)啟動，就能時時刻刻校驗虛擬機(jī)磁盤，當(dāng)磁盤被篡改的時候，它可以提示虛擬機(jī)完整性已經(jīng)改變，告知用戶自己的磁盤已經(jīng)被篡改，從而起到安全提示作用。宿遷數(shù)據(jù)恢復(fù)

可信引導(dǎo)

可信引導(dǎo)是指虛擬化系統(tǒng)在開機(jī)引導(dǎo)的時候?qū)?nèi)核模塊進(jìn)行安全校驗，當(dāng)我們的主機(jī)被病毒非法入侵或者內(nèi)核參數(shù)被篡改的時候，它可以在啟動階段提示用戶該內(nèi)核不可信。

體系結(jié)構(gòu)框圖：

蕪湖數(shù)據(jù)恢復(fù)

可信引導(dǎo)模塊主要通過case_tcm和grub2 file check兩部分來實現(xiàn)。

case_tcm：grub2的tools中的組件，主要功能遍歷啟動分區(qū)下的所有文件，并將所有文件生成對應(yīng)的SM3的64位hash值寫入文件MCF*中，為grub2主流程在系統(tǒng)啟動時對啟動分區(qū)文件進(jìn)行校驗提供比對信息，通過命令：“case_tcm 1”開啟可信引導(dǎo)，通過命令“case_tcm 0”關(guān)閉可信引導(dǎo)。

grub2 file check：在系統(tǒng)啟動引導(dǎo)時，grub2主流程會對MFC*中文件列表所列文件進(jìn)行SM3校驗，然后進(jìn)行相關(guān)信息提示。

假如我們修改一下啟動參數(shù)，并且開啟可信引導(dǎo)，系統(tǒng)啟動的時候就會有警告提示：

Ukey

我們的虛擬化系統(tǒng)是提供三員機(jī)制的，某些應(yīng)用場景對登錄的安全性要求比較高，只是用戶名對應(yīng)相應(yīng)的密碼這種安全機(jī)制已經(jīng)不能滿足保密的需求，所以就引入了UKEY。UKEY是一種USB直接與計算機(jī)相連、具有密碼驗證功能、可靠高速的小型存儲設(shè)備，通過內(nèi)置芯片的運算進(jìn)行加密，可以實現(xiàn)UKEY對應(yīng)用戶的一對一機(jī)制，比如當(dāng)安全管理員開啟UKEY認(rèn)證的時候，若我們不插入安全管理員的UKEY則無法登陸，而若使用其他的用戶的UKEY登錄則提示UKEY不匹配。

終端管理

終端管理，換言之就是能不能登錄取決于安全管理員，安全管理員可以指定哪些終端有登錄權(quán)限。首先安全管理員開啟終端登錄限制功能，然后添加允許登錄的終端的IP、mac地址、硬盤序列號即可，當(dāng)開啟了此功能后，要想登錄虛擬化平臺，必須由安全管理員進(jìn)行添加。