高校虚拟服务器网络安全研究

　　摘要：利用物理服务器硬件实现服务器虚拟化技术最大化，能够有效减少高校对物理服务器等基础设施的投入资金。因此，文章基于高校的虚拟服务器，对其存在的网络安全问题展开研究，分析可能存在的网络安全隐患及防护方法。

　　服务器虚拟化技术已经成为高校最普遍使用的技术之一，它将物理硬件与操作系统区分开来，将一台物理服务器通过虚拟化技术虚拟出一定数量的虚拟服务器即虚拟机，每个虚拟服务器都拥有能使自己正常运行的CPU、硬盘、内存与网卡等必备硬件。同时，各个虚拟服务器之间都保持独立运行，可以运行不同的操作系统和各自的应用程序，满足不同部门的IT需求。

　　虽然虚拟服务器带来了极大的便利，但新的网络安全风险与隐患潜藏其中，稍有不慎就会带来不可忽视的影响。鉴于以上背景，本文基于高校的虚拟服务器，对其存在的网络安全问题展开研究，分析其可能存在的网络安全隐患及其防护方法。

　　1　虚拟化技术介绍

　　虚拟化技术概念并不算新颖，早在20世纪60年代就已经在IBM的CP-40大型机系统中得以实现，经过几十年的发展，虚拟化技术已经在各行各业得到广泛的利用。虚拟化技术的本质就是资源分配，将有限的硬件资源按照一定优先顺序合理分配给需要的进程。目前，主流的分区虚拟化技术有硬件分区技术、虚拟机技术、准虚拟机技术和虚拟操作系统技术4种；流行的虚拟机软件有VMware、Hyper-V和Virtual Box等，其中VMware在高校中得到了广泛的应用。

　　部署虚拟机技术有很多优点，首先，它可以实现动态资源调配，服务器虚拟化可以实时自动平衡工作负载，实现业务和资源最优化；其次，它能够通过整合硬件提高硬件利用率，部署虚拟机帮助高校数据中心节省能源方面的开销，便于数据管理减少人力成本；最后，可以在虚拟机上测试系统开发代码而不影响本地的物理环境，帮助高校更快更好地部署本校的系统。

　　2　虚拟服务器的安全威胁

　　服务器虚拟化技术实现了硬件资源的整合，提高了资源的利用效率，同时也潜藏着新的安全隐患。目前，虚拟服务器的安全威胁主要体现在虚拟机逃逸、Rootkit攻击、分布式拒绝服务攻击、虚拟机信息窃取和篡改等方面。

　　2.1　虚拟机逃逸

　　虚机逃逸的定义是指虚拟机里运行的程序利用虚拟机的漏洞突破虚拟机管理器（Hypervisor），获得宿主机操作系统管理权限，并控制宿主机上运行的其他虚拟机，导致安全环境架构彻底破坏。虚拟化环境中，上层虚拟机与底层虚拟机监控器进行交互，实现了对底层物理资源的访问，而这种交互过程就是潜在的引入虚拟机逃逸漏洞的关键。

　　2.2　Rootkit攻击

　　Rootkit是一种能够持久并毫无察觉地驻留在目标计算机中，对系统进行操纵、并通过隐秘渠道收集数据的恶意程序。它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，较常见的是Rootkit和木马、后门等其他恶意程序结合使用。Rootkit本身不会像病毒或蠕虫那样影响计算机的运行，所以这类攻击通常不会触发自动执行的网络安全控制功能，例如入侵检测系统。在虚拟服务器中引入Rootkit攻击的漏洞可能有开放的网络端口、未打补丁的系统或者具有脆弱的管理员密码的系统。

　　2.3　分布式拒绝服务攻击

　　分布式拒绝服务（DDoS）攻击指处于不同位置的多个攻击者同时向1个或数个目标发动攻击，通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。这种攻击方式通常有以下2种情况：①通过使网络过载来干扰，甚至阻断正常的网络通讯；②通过向服务器提交大量请求，使服务器超负荷，阻断某一用户访问服务器等。分布式拒绝服务攻击方式在进行攻击的时候，可以对源IP地址进行伪造，使这种攻击具有良好的隐蔽性，同时要对攻击进行检测也是非常困难的，因此这种攻击方式的防范难度也很大。由于虚拟化平台设计为每一个用户提供必要的服务，当过多数量的用户或者恶意的应用程序的大量服务请求，它将会占用大量资源，使虚拟化平台不能正常运行，这样的结果导致虚拟化平台将停止服务。

　　2.4　虚拟机信息窃取和篡改

　　这个安全威胁主要是因为由虚拟机监视器（Hypervisor）的脆弱性且不可避免。从数据中心偷走一个物理服务器非常困难，也很容易被人发现。虚拟机被封装在一个宿主在虚拟宿主服务器上的单独虚拟磁盘文件中，如果拥有访问虚拟化工作环境管理员权限，就可以轻松地进入该虚拟化工作环境，读取该文件中的数据，且不会留下任何痕迹。

　　3　虚拟服务器安全防护措施

　　高校的虚拟服务器运行安全与数据安全是每一个高校网络安全防护的核心，对于每一个高校来讲，如何确保虚拟服务器运行安全与数据安全是一个严峻的挑战。虚拟服务器安全防护措施主要分为以下4方面：

　　第一，高校网络安全管理者需要从全局出发，兼顾网络、服务器、操作系统、虚拟机等基础架构到数据、应用、终端等 IT 各个层面，构建全局安全防御体系，如部署网络防火墙，对服务器核心区进行隔离，配置严格的访问控制策略。按照最小授权访问的原则，细化访问控制策略，严格限制访问虚拟机宿主机和虚拟机的访问IP地址、协议和端口号，保障虚拟服务器在动态环境中的安全。

　　第二，建立完善的漏洞运营管理体系，结合威胁情报，实现漏洞全生命周期闭环管理。当创建虚拟服务器时，要针对虚拟服务器配置基本的安全设置与策略管理，并对其进行深层次的漏洞扫描，及时为虚拟服务器进行漏洞修补和程序升级，同时在使用该虚拟服务器的系统上线前进行网站漏洞扫描，及时检查网站程序安全，做好网页代码漏洞修补，定期对虚拟服务器及其信息系统进行漏洞扫描，对已被入侵或挂马的代码及文件进行清理，对必要网站目录及文件进行保护。

　　第三，建立信息安全渗透测试机制，通过安全审计构建事件发现和溯源能力。建立一套完善的审计机制，强调日志文件的完整性和可靠性，有效保证服务器虚拟化的安全。测试和部署相关安全补丁，对发生的安全事件和非法数据流量进行审计记录，对安全事件提供追踪溯源能力。在特殊情况下，当大量的用户和应用程序服务请求急剧增加时，需要采取负载均衡和迁移策略来平衡服务器的负载。

　　第四，持续对IT系统进行安全检查和优化改进，持续强化监控和响应，保持最佳的风险控制和安全防御能力。管理员应该清晰地划分用户类别，预防普通用户进组并享有管理权限，对用户的权限要进行科学设置，限制网站程序存放目录的读写权限，切勿使用高权限用户运行服务，关闭不必要的服务和端口，定期检查服务器日志，避免虚拟机处于风险之中。

　　4　结语

　　服务器虚拟化技术实现了硬件资源的整合，提高资源的利用效率，带来了巨大的效益的同时也潜藏着新的安全隐患，不能对这些安全隐患掉以轻心，需结合每个学校的实际情况采取相应的防护措施，降低风险发生的概率，保障虚拟服务器的稳定安全运行与数据安全，从而保障高校的网络安全。 作者简介：林志坚（1999-），男，广东湛江人，顺德职业技术学院，研究方向：网络安全与虚拟化。

　　参考文献

　　[1]韩寓.服务器虚拟化技术研究与分析[J].电脑知识与技术，2011，7（7）：1654-1655.

　　[2]谭文辉.利用VMware实现数据中心服务器虚拟化[J].舰船电子工程，2008（6）：156-159.

　　[3]范伟.虚拟机逃逸安全研究[J].保密科学技术，2020（10）：9-14.

　　[4]张永铮，肖军，云晓春，等.DDoS攻击检测和控制方法[J].软件学报，2012，23（8）：2058-2072.

　　（责任编辑：周羿廷）