国产服务器虚拟化操作系统的应用与实践

◎张玉贺 李陆 续焕超 刘京 宋智英

（1.中国航天系统科学与工程研究院；2.中国航天科技集团有限公司）

大力提高信息安全保障能力，是我国信息化发展的重要基础。本文分析了服务器虚拟化操作系统的优势及面临的安全问题，重点介绍了基于KVM内核的国产服务器虚拟化操作系统的安全功能及应用实践，为实现服务器虚拟化操作系统的国产自主安全可控提供支撑。

近年来，随着国际信息安全形式变化，信息安全成为各个国家关注的重点。使用信息技术作为手段，对国家基础设施、人民群众财产安全造成损害的案件屡屡发生。操作系统覆盖领域非常广泛，本文介绍的是服务器虚拟化操作系统。现主流的服务器虚拟化操作系统为VMware、Citrix以及Microsoft，均为国外服务器虚拟化操作系统。使用非国产的服务器虚拟化操作系统，导致政府、金融、国防信息系统、军工保密单位信息系统存在安全隐患。国家保密局明确提出在涉密信息系统中使用服务器虚拟化操作系统的相应管理办法及技术要求，国外服务器虚拟化操作系统并不能满足涉密信息系统建设的安全要求，必须采用国产自主安全可控且获得相关保密资质的服务器虚拟化操作系统。

一、服务器虚拟化操作系统的优势

服务器虚拟化操作系统是一种资源管理技术，是将服务器的各种实体资源，如CPU、网络、内存及存储等，予以抽象转换后呈现出来，打破实体结构间不可切割的障碍。在实际生产环境中，服务器虚拟化操作系统在信息化系统建设中的优势主要体现在以下几个方面：

（一）提高硬件资源使用效率

安装部署服务器虚拟化操作系统主要用来解决高性能物理硬件产能过剩和老旧硬件产能过低的重组重用，透明化底层物理硬件，从而最大化的利用物理硬件。通过服务器虚拟化操作系统可以虚拟出新的虚拟机，新虚拟机不受现有资源架构的限制，可安装其他操作系统处理相应业务。例如：轻量级的服务不适合占用整台服务器：比如域控制器、辅域控制器、DNS服务器等，这些服务要求稳定持久，但资源占用并不大。

通过部署服务器虚拟化操作系统就可以大大提高服务器的使用效率，减少服务器数量，降低购买服务器的投资，降低服务器运行能耗，降低制冷费用，节省机房空间等。

（二）避免应用或服务直接的软件冲突

有些应用系统、办公软件等由于特殊原因，不能装在同一物理服务器中，可以部署服务器虚拟化操作系统虚拟出新虚拟机分开安装应用系统、办公软件等，有效的避免各应用系统、办公软件之间的冲突。

（三）提高稳定性

部署服务器虚拟化操作系统可以实现物理服务器的负载均衡、虚拟机的动态迁移、故障自动隔离等功能（至少需要物理服务器2台），减少物理服务器及虚拟机出现故障，业务中断的情况。

（四）便于管理，降低管理成本

部署服务器虚拟化操作系统，可以使用服务器虚拟化管理平台。在管理平台上可以简单快捷的对服务器进行操作，并通过可视化界面查看物理服务器资源使用情况等。便于管理员操作，有效提高运维效率，降低信息化日常运维成本。

二、服务器虚拟化操作系统面临的安全问题

虽然在信息系统建设中服务器虚拟化操作系统有着无可替代的优势，但它同样也伴随着一些严重的安全威胁，主要的安全问题体现在以下几个方面：

（一）虚拟机跳跃

同一宿主机中的虚拟机可以通过获取权限的方式进行攻击。例如：虚拟机1和虚拟机2部署在同一台宿主机上，虚拟机1上的攻击者通过获取虚拟机2的IP地址等信息或通过获得宿主机本身的访问权限接入到虚拟机2。攻击者可以通过操纵流量攻击或改变虚拟机2的配置文件等，对虚拟机2进行攻击。

（二）虚拟机逃逸

攻击者通过获得虚拟化层（Hypervisor）的访问权限，从而对其他虚拟机进行攻击。若一个攻击者接入的主机运行多个虚拟机，它可以关闭Hypervisor，最终导致这些虚拟机关闭。

（三）远程管理缺陷

虚拟化层（Hypervisor）通常由管理平台来为管理员管理虚拟机。控制台可能会引起一些新的缺陷，例如：跨站脚本攻击、SQL入侵、Rootkit攻击等。

（四）拒绝服务缺陷

在虚拟化环境下，资源(如CPU、内存、硬盘和网络)由虚拟机和宿主机一起共享。因此，DDoS攻击可能会加到虚拟机上从而获取宿主机上所有的资源，因为没有可用资源，从而造成系统将会拒绝来自客户的所有请求。

随着国产服务器虚拟化操作系统的不断研究与突破，上述安全问题可以通过不同的技术途径得到有效地解决。

三、国产服务器虚拟化操作系统安全功能与应用实践

近几年，国产服务器虚拟化操作系统日趋完善，可以与VMware、Citrix等国外虚拟化厂商相媲美。他们不仅能够实现虚拟化技术应有的功能，并且能够满足军工保密单位信息系统建设的保密要求。因此在信息系统建设或改造中，利用国产服务器虚拟化操作系统进行信息系统基础建设已成大势所趋。

本文主要介绍的国产服务器虚拟化操作系统是航天恒星科技有限公司自主研发的ACloudAge KS服务器虚拟化操作系统V2.5（以下简称“KS系统”）。

（一）国产服务器虚拟化操作系统的安全功能分析

KS系统环境由两部分组成：主机VS和管理端VMS平台。

主机VS是软件环境的重要单元组件，是VMS平台的重要功能的实现者，是虚拟化运行的载体。它的主要作用是响应并执行通过VMS操作所传送的命令，实现虚拟机硬件设备的模拟、共享存储管理、I/O管理资源、虚拟机的监控等功能。

管理端VMS平台主要用于管理主机（VS）及其上的虚拟机，功能是实现虚拟机的创建、克隆、快照等管理、数据中心和集群的管理、共享存储的添加删除、虚拟机在线迁移、虚拟机高可用HA（High Availability）、负载均衡、用户权限管理、电源管理等功能。该平台是由一个或多个主机组成。这些系统和它所有组件都是通过一个集中的管理系统进行管理。该平台允许管理员从一个单一的强大的接口去查看和管理所有的系统组件、机器和镜像。管理系统的GUI提供了广泛的功能特性，包括强大的搜索功能、资源管理、实时迁移和配置功能。

KS系统包含的安全功能主要是以下几个方面：

1、启动完整性保护

系统启动时对管理平台程序进行完整性校验，程序被篡改则拒绝启动；管理平台对每个宿主机的关键组件进行周期性的校验，组件被篡改后主机将被置为维护模式，无法使用；虚拟机关机时记录摘要值，开机前校验，数据篡改后虚拟机无法启动。

2、身份鉴别

系统整个生命周期内，用户标识唯一；系统采用用户名、密码和USB-Key密码，实现双因子身份认证；系统对用户身份鉴别信息均采用HTTPS方式，传输通道采用SSL加密传输；用户密码进行加密存储于配置文件中；系统具备鉴别失败处理措施，默认连续失败3次即锁定账户，安全保密员可自定义失败的次数；根据时间、MAC、IP地址等因素限制管理员登录。

3、三员管理

KS系统设置系统管理员、安全保密员、安全审计员角色，实现系统管理的三员权限划分。系统管理员能够在其权限范围内对系统进行运维操作；安全保密员能够进行权限的管理，能够为系统管理员和安全审计员分配权限和设置安全策略，以及为虚拟机设置密级标识；安全审计员能够进行日志的审计工作，审计事件发生的时间、类型、结果等信息。

4、虚拟机隔离与访问控制

Hypervisor统一管理物理资源，保证每个虚拟机都能获得相对独立的物理资源；并能屏蔽虚拟资源故障，某个虚拟机崩溃后不影响Hypervisor及其他虚拟机。

5、数据保护

数据保护主要包含：虚拟机关机时记录虚拟磁盘摘要值，开机前校验摘要值，数据篡改后虚拟机无法启动；使用硬件加密卡对虚拟磁盘进行透明加解密，使用加密隧道迁移虚拟机；虚拟磁盘删除时对磁盘重复写0进行数据擦除；具备虚拟机快照、模板、导入导出等备份与恢复机制；采用PostgreSQL9.6对数据库数据进行透明加密，防止数据被非法访问；终端与管理平台之间所有数据采用SSL加密，防止数据在传输过程被窃取。

6、磁盘加解密

隔离访问控制示意图

采用一机一密方式，磁盘与虚拟机绑定，不同虚拟机采用不同密钥对磁盘进行加密；采用国家密码管理局检测合格的密钥管理系统和密码卡，保证密钥管理和数据加密的安全性和可靠性；即使是管理员账户也无法获取虚拟机磁盘密钥，密钥用密码卡硬件保护；采用SM4对称密码算法进行磁盘数据加解密，算法通过硬件程序实现，密钥长度128位。

通过以上安全功能的加固，整体KS系统框架如图所示。

（二）国产服务器虚拟化操作系统的应用实践

目前，航天科技集团有限公司总部（以下简称“航天科技集团总部”）涉密信息系统中部署VMware虚拟化产品，在系统测评工作中被提及为整改项，因此需要将在原有服务器虚拟化操作系统上的虚拟机迁移至国家保密测评中心检测合格的国产服务器虚拟化操作系统上（即“KS系统”）。KS系统不仅能够满足服务器虚拟化操作系统的基本功能，例如：服务器的安装与升级，虚拟机的精简置备，虚拟机的创建、删除、启动、关闭等，用户管理，高可用和负载均衡，网络管理，并且还能满足国家保密科技测评中心针对于服务器虚拟化操作系统安全功能的要求，例如：身份鉴别、密级标识、完整性校验、存储安全、网络安全等。

航天科技集团总部服务器虚拟化改造项目主要的工作是实现跨操作系统虚拟机的迁移转换，利用合适的迁移工具能够将原有服务器虚拟化操作系统上的虚拟机平稳、安全、有效地迁移至国产服务器虚拟化操作系统上，不仅需要保证虚拟机迁移过程中的数据不丢失，也需要保证虚拟机上的应用系统能够正常启动及访问。

KS系统架构图

此次迁移工作中需要对现有VMware服务器虚拟化操作系统中虚拟机进行迁移，考虑到迁移过程可能会对系统和数据带来影响，需要在迁移实施前对原有的虚拟机数据做好备份，备份完成后，通过迁移工具进行虚拟机跨操作系统的迁移工作。

到目前为止，航天科技集团总部局域网内原VMware服务器虚拟化操作系统上的所有虚拟机已全部迁移至国产化服务器虚拟化操作系统KS上，共部署服务器虚拟化操作系统15台，共迁移虚拟机59台。在满足相关安全保密要求的前提下，KS系统已经持续稳定运行了大致两个月的时间，服务器虚拟化操作系统上的虚拟机安全可靠地运行，保证后续服务器虚拟化操作系统相关业务的扩展和延伸。

四、总结

通过航天科技集团总部服务器虚拟化改造项目，KS系统解决方案构建了一套基于国产服务器虚拟化操作系统的涉密信息系统安全保密防护体系，形成了一套行之有效地服务器虚拟化操作系统建设和管理经验，解决了一系列国产服务器虚拟化操作系统的常见安全问题。

（一）形成了国产服务器虚拟化操作系统在涉密信息系统的典型应用模式

航天科技集团总部在长期实践服务器虚拟化操作系统的基础上，根据国家保密标准进行了全面的对标分析和方案验证，通过物理隔离、监控审计、访问控制、加密与备份等核心机制，实现从物理层、网络层、应用层到数据层全方位的安全防护，同时完善可信检测、密钥管理、终端管理、机房管理、分权管理等运行维护管理体系。在兼顾航天业务特点的同时，全面支持各类工程化应用，从可信、可控、可管、可用四个方面进行了充分验证，有效提升了单位的保密管理能力和信息化水平，构建了国产服务器虚拟化操作系统应用于军工涉密信息系统的典型应用模式。

（二）积累了一套行之有效的管理经验和建设经验

航天科技集团总部深入研究相关国家保密标准，结合运行管理实际，制订了一系列虚拟化涉密信息系统的管理和运维规范，积累了一套行之有效的建设和项目管理经验，归纳、总结出了基于服务器虚拟化操作系统的涉密信息系统典型网络结构。

（三）解决了一系列国产服务器虚拟化操作系统的常见安全问题

早期国产服务器虚拟化操作系统不能和传统安全软件兼容，导致虚拟化涉密信息系统部分安全防护手段缺失。随着国产服务器虚拟化操作系统的不断深入研究，自主研发的国产服务器虚拟化操作系统KS已经解决了兼容性问题，同时还攻克了双因子认证、数据保护以及动态环境下的虚拟机隔离等服务器虚拟化操作系统安全技术难关，有效解决了国产服务器虚拟化操作系统常见的安全问题。