資源描述:
《淺談虛擬環(huán)境下的網(wǎng)絡(luò)安全》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫��。
1����、淺談虛擬環(huán)境下的網(wǎng)絡(luò)安全..畢業(yè)1分離虛擬機(jī)管理虛擬機(jī)不同于實體計算機(jī)。在實體計算機(jī)上有各種接口���、電源開關(guān)鍵以及連接在機(jī)箱上的外接設(shè)備���。對實體計算機(jī)的控制,可以通過按下電源按鈕、連接網(wǎng)線、識別指紋等方式來完成�。但是對于虛擬機(jī)則不能通過這些方式來實現(xiàn)控制,只能通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程管理。因此,對于虛擬環(huán)境下的網(wǎng)絡(luò)安全,要考慮的第一個問題就是將虛擬機(jī)的管理同普通操作分離��。為了保證不是任何人都能通過網(wǎng)絡(luò)遠(yuǎn)程控制虛擬機(jī),需要將虛擬機(jī)的權(quán)限設(shè)置為高低兩個級別���。沒有任何權(quán)限的賬號不能夠?qū)μ摂M機(jī)進(jìn)行操作;低級別的普通賬號只有對虛擬機(jī)的簡單控制權(quán)限,如
2�����、更新虛擬機(jī)上的信息��、檢查虛擬機(jī)的運(yùn)行狀態(tài)等;高級賬號擁有對虛擬機(jī)的全部控制權(quán)限,不但具有低級用戶的所有權(quán)限,還能對虛擬機(jī)進(jìn)行重啟�����、賬號管理等高級操作�����。所有的賬號都要設(shè)置密碼且不能使用簡單密碼,生日���、姓名、手機(jī)號碼����、特殊日期等都不適合當(dāng)做密碼使用,因為這樣的密碼的破譯難度遠(yuǎn)遠(yuǎn)小于由數(shù)字�����、字母、字符組成的復(fù)雜密碼����。同時,密碼一定要經(jīng)常更換,長時間使用同一個密碼,..畢業(yè)很有可能會在無意中將密碼泄露。2數(shù)據(jù)加密加密技術(shù)已為大多數(shù)計算機(jī)用戶所接受,不管是郵箱還是個人賬號,我們一般都會使用密碼加密2����。但是對于虛擬機(jī)來說,僅僅是這些加密還遠(yuǎn)遠(yuǎn)
3、不夠�。目前有許多惡意軟件可以捕捉、重新配置內(nèi)存數(shù)據(jù)值并在此過程中將自身插入內(nèi)存中,這樣惡意軟件就可以在不被操作系統(tǒng)察覺的情況下進(jìn)行數(shù)據(jù)監(jiān)視和竊取,普通的賬戶加密對于這種竊取行為沒有有效的防御效果��。應(yīng)對這種情況,可以通過SSL(SecureSocketsLayer)對數(shù)據(jù)進(jìn)行加密,保證在數(shù)據(jù)傳遞過程中,即使有人竊取,也無法獲得實際的真實數(shù)據(jù)����。3關(guān)閉部分服務(wù)和功能虛擬機(jī)一般用來完成固定的某些任務(wù),也就是說總會有一部分不需要啟動的服務(wù)可以關(guān)閉,如系統(tǒng)更新、屏幕保護(hù)���、磁盤碎片整理��、空閑檢測�、文件完整性檢查等,這些服務(wù)對于單一操作系統(tǒng)的虛擬
4、機(jī)來說,完全不需要開啟��。很多虛擬機(jī)支持在宿主主機(jī)和虛擬機(jī)之間的文件共享,這樣有助于虛擬機(jī)和實體機(jī)之間的文件共享使用,但同時也引入了風(fēng)險�。通過這種共享,虛擬機(jī)有機(jī)會訪問實體機(jī),能對共享文件進(jìn)行修改,進(jìn)而獲得部分控制權(quán)限,最終威脅其他虛擬機(jī)。因此,文件共享如非必要不要開啟���。除此之外,還有一些常用的但可能不被使用的服務(wù),也可以根據(jù)具體情況關(guān)閉�����。4斷開不使用的設(shè)備通常情況下,虛擬機(jī)是允許連接物理設(shè)備如光驅(qū)����、軟驅(qū)����、掃描儀、打印機(jī)����、USB接口等的。當(dāng)虛擬機(jī)啟動的時候,會如普通電腦一般自動對這些設(shè)備進(jìn)行檢測,如果有多臺虛擬機(jī)同時啟動,則會因為優(yōu)
5��、先權(quán)問題大大降級虛擬機(jī)的啟動速度。另外,如果這些外接設(shè)備中存在惡意代碼,虛擬機(jī)則可能在啟動的時候自動執(zhí)行這些代碼,從而給虛擬機(jī)帶來病毒入侵����。因此,如非必要應(yīng)關(guān)閉所有的外接可控設(shè)備,只在必須使用的時候才開啟4。5開啟防火墻雖然一般在宿主機(jī)上會安裝防火墻,但因虛擬機(jī)是獨立運(yùn)行的,所以有必要在虛擬機(jī)上單獨安裝防火墻,以有效地攔截網(wǎng)絡(luò)攻擊,監(jiān)控網(wǎng)絡(luò)信息,防止額外代碼的攻擊����。除此之外,還可以通過防火墻將虛擬機(jī)上不需要的端口關(guān)閉。端口是計算機(jī)連接網(wǎng)絡(luò)的通道,這些通道本身沒有問題,但是可能被非法程序利用�。通過端口,入侵者可以遠(yuǎn)程連接虛擬機(jī),查看
6����、虛擬機(jī)上的文件、修改虛擬機(jī)的配置信息����。因此,除了正在使用的端口外,應(yīng)將其他暫時不用的端口全部關(guān)閉,在需要使用時再打開。6數(shù)據(jù)備份為了保證虛擬機(jī)上的數(shù)據(jù)安全,防止意外災(zāi)難或者破壞的發(fā)生,必須對數(shù)據(jù)進(jìn)行備份�����。通常數(shù)據(jù)備份通過備份軟件就可以自動完成,不過虛擬機(jī)對數(shù)據(jù)備份的要求比較高���。第一,要能夠?qū)崿F(xiàn)跨平臺的數(shù)據(jù)備份����。目前網(wǎng)絡(luò)上有各種數(shù)據(jù)平臺以及不同的操作系統(tǒng),這就要求備份功能不能只靠單一情況下的備份。第二,備份要能夠自動恢復(fù)和災(zāi)難重建����。備份數(shù)據(jù)就是為了在出現(xiàn)問題的時候進(jìn)行恢復(fù),所以好的數(shù)據(jù)備份應(yīng)該能夠在需要的時候進(jìn)行自動恢復(fù),而不應(yīng)取決
7、于管理員是否有空閑時間�����。第三,要具備定時備份和自動備份等多種備份功能并能夠在發(fā)生異常錯誤時提示管理員��。第四,備份的數(shù)據(jù)要具有防病毒入侵功能并能夠支持群集系統(tǒng)和磁盤陣列�。由于虛擬機(jī)便捷靈活,目前不僅各大公司在使用虛擬技術(shù),全國各高校的網(wǎng)絡(luò)實驗室也開始逐漸使用虛擬機(jī)來完成各種復(fù)雜實驗,再加上目前很熱門的“云”技術(shù)也和虛擬技術(shù)密不可分,所以虛擬技術(shù)的使用范圍越來越大,隨之而來的新的網(wǎng)絡(luò)安全問題也越來越嚴(yán)重。如果虛擬環(huán)境下的網(wǎng)絡(luò)安全問題不能夠得到妥善解決,必然會給網(wǎng)絡(luò)帶來新的更大的安全隱患��。虛擬環(huán)境下的網(wǎng)絡(luò)完全覆蓋范圍很廣,以上安全對策還
8�����、不全面,還有很多需要注意的地方����。正在使用虛擬化技術(shù)的人員應(yīng)仔細(xì)檢查網(wǎng)絡(luò),找出薄弱環(huán)節(jié)和漏洞,不要給攻擊者任何可乘之機(jī)。
