虚拟化系统的安全防护

虚拟化系统的安全防护（通用9篇）

虚拟化系统的安全防护 篇1

1 测试准备

需要准备2台ESX主机, 用来测试DS 9.0的所有功能, DSM主机安装64位系统。

2 测试流程

2.1 虚拟化防护软件Deep Security安装

安装过程大约为2-3个小时。安装软件包括安装vShield Manager;安装DSM9.0;在DSM上添加v Center;部署Filter Driver&DS-VA。

2.2 激活虚拟机安全防护

在部署上Deep Security之后, 对ESXi上的虚拟机进行安全防护。进行激活虚拟机的防护功能, 部署策略。

2.3 对每个功能模块的性能进行测试

3 软件安装步骤

3.1 虚拟化防病毒规划

经过行业调研, 借助趋势科技的虚拟化安全防护Deep Security系统, 通过Vmware的Vshere Endpoint接口, 在无须安装客户端的情况下, 对虚拟机实现包括防病毒和防间谍软件、防火墙、虚拟补丁 (深度包检测) 等高效的防护。具体规划如下:

3.2 虚拟化防病毒部署

Deep Security防病毒的部署包括以下四个部分:

1) 在win2008R2虚拟机操作系统上部署Deep Security Manager (DSM)

2) 在ESXi上部署VShield Manager

3) 对每台ESXi部署Deep Security Virtual Application (DSVA)

4) 更新虚拟桌面上的Vmware Tools

3.2.1 DSM部署

1) 将DSM8.0安装程序全部放到同一目录下, 再执行DSM Manager程序, 这样DSM会自动导入”FilterDriver”和”Appliance”程序, 无需后续手工导入。

2) 安装过程中需要选择数据库类型和”Manager Address”等信息, 如果用户全部是域环境可以使用主机名, 否则建议修改”Manager Address”为IP地址, 这样可以避免很多通讯问题。

3) 安装完成后可以通过错误!超链接引用无效。来登录控制台。

4) 进入DSM控制台。

5) 选择”计算机”→”Add VMware v Center”。

6) 输入vCenter信息。

7) 输入vShield Manager信息。

8) 添加完成, 显示DSM界面

3.2.2 VShield Manager部署

1) 登录vCenter控制台

2) 文件→部署OVF模板→VMware-vShield-Manager-5.0.0-473791

3) 部署完后, 打开VShield Manager电源即可

4) 输入错误!超链接引用无效。Manager web控制台

5) 配置vCenter Server信息, 点击”Save”

6) 为被保护ESX主机安装EndPoint组件

3.2.3 DSVA部署

1) 进入DSM控制台的”Computer”界面, 选择v Center中的ESX, 右键选择”Action”→”Prepared ESX”

20此过程必须保证ESX能够与DSM主机通讯

3.2.4 更新虚拟桌面上的Vmware Tools

由于默认版本的Vmware Tools未提供vShield Endpoint驱动, 因此需要在各个虚拟机上更新以下版本的Vmware Tools并重启系统。

1) 执行驱动程序, 选择安装vShield Drivers

2) 重新启动vm

3.2.5 策略调优

根据测试结果和用户需求, 进行策略的优化, 符合安全及管理需求, 同时确保不影响应用运行。

4 功能测试流程

4.1 防恶意软件

Deep Security防恶意软件的功能能够在无代理的模式下为虚拟机提供病毒、间谍软件防护, 可以使得每个vm都能得到病毒防护, 其功能如下:

通过VMware v Shield Endpoint Security环境保护每一台已激活的虚拟机

自定义配置应用到基本策略中

提供实时、手动和计划扫描

Smart Scan Server支持

隔离文件管理

测试方法:通过在虚拟机上下载或者文件共享方式将恶意文件保存到虚拟机上, 检查恶意程序是否被隔离。

1) 进入DSM控制台, 进入一个被管理状态的计算机详细信息, 在基本策略项选择“防恶意软件”并打开此功能

2) 单击“保存”保存配置

3) 在被保护主机上下载eicar测试病毒, 或通过文件共享方式拷贝eicar测试病毒到被保护主机上

4) 观察eicar文件是否被创建

5) 注:由于此过程需要将文件传递到DSVA, 扫描完成后才返回Action, 所以文件共享方式处理时间可能较长, 但此过程中文件已经被锁定

6) 进入DSM控制台, 右键选择被保护主机“操作”→“获取事件”, 通过DSM控制台的“事件和报告”→“防恶意软件事件”中查看日志

注:如测试过程中发现没有日志产生, 请尝试修改“期间”项为“最近24小时内”, 这可能由于各系统的时间不同步导致

4.2 防火墙

Deep Security防火墙模块确保服务器在所必需的端口和协议上通信, 并阻止其他所有端口和协议, 降低对服务器进行未授权访问的风险。其功能如下:

虚拟机隔离:使虚拟机能够隔离在云计算或多租户虚拟环境中, 无需修改虚拟交换机配置即可提供虚拟分段。

细粒度过滤:通过实施有关IP地址、Mac地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。

覆盖所有基于IP的协议:通过支持全部数据包捕获简化了故障排除, 并且可提供宝贵的分析见解, 有助于了解增加的防火墙事件–TCP、UDP、ICMP等。

侦察检测:检测端口扫描等活动。还可限制非IP通信流, 如ARP通信流。

预定义的防火墙配置文件:对常见企业服务器类型 (包括Web、LDAP、DHCP、FTP和数据库) 进行分组, 确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。

详细的报告:通过详细的日志记录、警报、仪表板和灵活的报告, Deep Security防火墙模块可捕获和跟踪配置更改 (如策略更改内容及更改者) , 从而提供详细的审计记录。

测试方法:测试两个功能:ping和远程桌面;通过启用和关闭下图的防火墙策略来实现; (防火墙策略建议使用策略模板, 修改策略直接修改模板即可)

1) 为被主机部署一个“Windows Server 2003”默认基本策略

2) 测试是否能通过远程桌面连接该虚拟机, 会提示连接失败

3) 进入被保护主机的属性中, “防火墙”→”防火墙规则”

4) 选中“远程访问RDP”, 保存

5) 测试是否能通过远程桌面连接该主机, 提示连接成功

预期结果:允许访问时访问正常, 禁止访问时远程桌面无法访问;无法ping通;

4.3 入侵防御

功能描述:操作系统或应用程序不能及时打补丁的主机, 经常会面临病毒等恶意软件的攻击, 但大量终端的补丁管理很难做到一步到位, 并且新发布的补丁与业务系统的兼容性也需要验证的时间;Deep Security的入侵防御模块提供针对这些未防范的漏洞提供防护策略, 避免恶意软件的威胁;

测试方法:利用Metasploit免费开源模拟攻击测试工具, 对windows 2008进行模拟攻击, 利用微软MS09-050漏洞, 该漏洞是Microsoft SMBV2协议存在远程代码执行漏洞, 远程攻击者可以特殊的SMBV2报文触发该漏洞, 导致远程命令执行, 成功利用该漏洞的攻击者者可以执行任意代码或导致系统死机;Deep Security中对应的入侵防御策略编号是1003712;

预期结果:在没有启用DPI策略时, 可以攻击成功, Deep Security防护的主机无法攻击成功, 并有日志记录攻击过程;

4.4 完整性监控

功能描述:任何恶意事件的发生都会伴随着文件或注册表、服务进程的改变, Deep Security完整性监控模块可监控关键的操作系统和应用程序文件 (如目录、注册表项键值) 以及服务进程的变化, 用以检测可疑行为。

使用预设的完整性检查规则可对文件和目录针对多方面的更改进行监控, 包括:内容、属性 (如所有者、权限和大小) 以及日期与时间戳。还可监控对Windows注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作, 并提供警报。此功能适用于PCI DSS 10.5.5要求。

测试方法:对系统hosts文件的监控, 确认对应的策略, 首先启用策略, 建立基准线, 修改系统windowssystem32driveretchosts文件, 增加一行IP与域名;

1) 进入目标主机的详细信息页面

2) 进入完整性监控规则中, 选中“1002773-Microsoft Windows–“Hosts”file modified”, 保存

3) 右键进入规则编辑界面

4) 进入“完整性监控”→“查看基线”检查基线是否存在, 如果不存在执行“重新生成基线”

5) 进入目标计算机修改hosts文件

6) 运行”获取事件”命令

7) 在完整性监控事件中检查事件情况

4.5 日志审计

功能描述:对于管理大量服务器的管理员来讲, 如何在海量的日志信息中发现威胁, 是个费时费力的事情;使用Deep Security日志审计模块可收集并分析操作系统和应用程序日志, 以查找安全事件。日志审计规则优化了对多个日志条目中隐藏的重要安全事件进行识别的能力。

收集事件:这些事件包括:Microsoft Windows、Linux和Solaris平台间的事件;来自Web服务器、邮件服务器、SSHD、Samba、Microsoft FTP等的应用程序事件;自定义应用程序日志事件。

关联不同事件:包括系统消息 (如磁盘已满、通信错误、服务事件、关机和系统更新) 、应用程序事件 (如帐户登录/注销/故障/锁定、应用程序错误和通信错误) 、管理员操作 (如管理员登录/注销/故障/锁定、策略更改和帐户更改) 。

关联分析以后, 可生成安全事件的完整审计记录, 以帮助满足合规性要求, 如PCI 10.6

测试方法:启用windows系统事件日志审计功能, 如win2003为例;

1.在Windows Server 2003基本策略中修改日志审查规则, 选中”Microft Windows Events”;

2.部署该策略文件至目标服务器;

3.登录目标服务器, 清空所有系统日志;

4.查看日志审查事件;

预期结果:系统中的风险日志信息被汇总到Deep Security控制台;

5 总结

经过测试, 所有测试项都达到预期的效果。虚拟化系统采用Deep Security进行安全防护, 以透明方式在VMware v Sphere虚拟机上实施安全策略以提供无代理的防恶意软件、Web信誉、入侵阻止、完整性监控和防火墙保护, 不仅提高管理便利与效率, 更能尽量降低对资源的影响, 适合在肇庆供电局进行推广应用。

摘要：随着肇庆供电局虚拟化系统的逐步扩容, 虚拟机的不断增加, 虚拟化系统上所承载的业务系统从非主营业务系统逐步向各大主营业务系统发展, 虚拟化系统为肇庆供电局带来的显著优势使其应用不断深化。与此同时, 对虚拟化系统的安全防护要求也发生相应的变化。在虚拟化平台环境下, 现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保企业的业务连续性, 避免病毒对企业的数据、应用和网络带来威胁, 必须对企业的虚拟化平台安全进行结构化的完善, 确保虚拟化应用的持续稳定性。该文通过虚拟化安全防护软件在肇庆供电局的测试案例, 说明该技术对降低运营成本, 防止数据泄漏和业务中断, 提高资源的利用率具有实际意义和作用。

关键词：虚拟化,安全

参考文献

[1]葛勤革.虚拟化:技术、应用与挑战[J].通信技术, 2011 (10) .

[2]因特尔开源软件技术中心, 复旦大学并行处理研究所, 系统虚拟化—原理与实现[M].北京:清华大学出版社, 2009.

[3]鲁松.计算机虚拟化技术及应用[M].北京:机械工业出版社, 2008.

虚拟化系统的安全防护 篇2

服务器虚拟化是IT基础架构得以资源共享、共享的作法，也是未来机房的重要元素之一，然而，在整个环境移转的过程中，稍有不慎就会造成危害。今天我们将告诉告诉你虚拟化在安全防护上应注意的事项。

全面检查虚拟机器的安全性做法

服务器虚拟化是构成未来新一代企业机房的重要元素之一，由于硬件效能的突飞猛进，使得在一台服务器上同时执行多个操作系统、提供服务成为可能。然而，在整个环境移转的过程中，有许多安全上的问题也会随之产生，稍有不慎就会造成危害，而影响到日常的营运。

许多人认为「虚拟化是实体环境的应用延伸，对于虚拟机器的安全防护只需要采用现有的做法管理即可……」，这个观点从某些方面来说是正确的，但实际上两者之间仍有着诸多差异之处，如果未能及时正视这些差异，就有可能因此产生安全问题。

网络架构因虚拟化而产生质变

网络架构是服务器虚拟化的过程中，变动最大的一环，也是最有可能产生安全问题的关键所在，

尚未移转到虚拟化之前，企业可以在前端的防火墙设备上订立出多个隔离区，针对不同功能的服务器个别套用合适的存取规则进行管理，假使日后有服务器不幸遭到攻击，危害通常也仅局限在单一个DMZ区之内，不容易对于所有运作中的服务器都造成影响。

虚拟化之后，所有的虚拟机器很可能就集中连接到同一台虚拟交换器(如VMware ESX/ESXi，微软的Hyper-V)，或者由「虚拟──实体」网卡之间的桥接(如VMware Server/Workstation，微软的Virtual Server/PC)，与外部网络进行通讯。在这种架构之下，原本可以透过防火墙采取阻隔的防护就会消失不见，届时只要一台虚拟机器发生问题，安全威胁就可以透过网络散布到其它的虚拟机器。

要解决上述问题的最简单做法，就是在每一台虚拟机器上都安装防毒软件，以及其它种类的杀毒软件。不过如此一来，却又可能衍生出一些管理上的疑虑，例如应用程序与杀毒软件之间的兼容性问题即同样可能在虚拟机器的环境下发生。

虚拟化系统的安全防护 篇3

随着移动互联和云计算技术的迅猛发展, 3G/4GLTE/WiFi网络日臻成熟和稳定, 智能终端广泛使用, 任何人、在任何地点、使用任何终端、任何方式实现没有边界的协同办公环境已成为一种趋势, 以数据、音频和视频为主要载体的移动办公系统具备移动终端 (3G移动办公上网卡、笔记本、平板电脑及智能手机等) 与应用数据分离, 移动办公终端与应用有机融合, 实现远程移动办公、检验检疫结果登记、下达放行指令, 视频交流与业务协同互动。

1 移动办公系统面临的信息安全风险分析

由于移动办公要经过3G无线网络与内部网连接, 内网的信息和数据完整性、一致性, 交互应用的可靠性和安全性是一个重要问题。移动办公系统面临的信息安全风险主要包括VPDN接入安全风险:VPDN AAA认证服务器存在操作系统平台的系统漏洞、应用漏洞和安全配置等问题。智能终端的安全风险:根据IBM《2011年安全趋势和风险报告》提供的数据, 移动设备被漏洞攻击在2011年增加了19%, 手机病毒和后门程序可以窃取用户敏感信息时有发生。云计算的主要安全威胁: 云计算服务推动了Internet的Web化趋势, 多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等Web2.0广泛应用, Web安全漏洞和云服务的特点面临着网络安全新挑战。内部的数据泄漏和滥用:单位内部的重要数据和业务应用处于云服务的IT系统中, 如何避免云计算环境中多客户共存带来的潜在风险, 成为云计算环境下用户的面临着的安全挑战。虚拟化服务的安全威胁:传统的IDS、安全审计产品不可识别虚拟化环境下的各种安全漏洞。虚拟桌面和虚拟应用的安全威胁:虚拟机被恶意访问和修改的风险依然存在。

因此, 必须建立一套以网络通信、区域边界、云计算环境、安全管控中心为基础的信息安全平台, 在此平台上建成一个稳定、可靠的移动办公系统, 兼容各种应用系统和终端, 智慧质检提供一个安全的可信可控可管移动应用环境。

2 移动办公系统的设计与实现

按照GB/17859要求, 移动办公系统是在安全管理中心支持下由通信网络、区域边界和云计算环境组成的可信、可控、可管安全平台。基于可信计算的移动办公系统技术架构如图1所示。可信:针对移动办公系统计算资源 (软硬件) 构建保护环境, 对计算资源进行保护。可控:针对移动办公系统信息资源 (数据及应用) 以访问控制为核心, 实行用户按策略规则访问信息资源。可管:保证资源安全强调最小权限管理, 不许设超级用户。

移动终端用户设置APN信息请求接入3G VPDN专网, 内部三A认证服务器对其手机号、手机卡信息、用户名和密码进行强身份认证+复合身份认证方式, 即通过机器指纹、指纹等生物特征和CA key等认证方式接入云计算平台, 实现安全认证、网络可用。利用虚拟化技术对服务器等硬件资源进行整合, 组建基于A/S架构的跨平台跨终端的计算模式, 实现了基于云计算, 统一部署、集中管理、可控可管、安全可用的移动办公系统。在云计算平台上发布电脑桌面和应用软件, 部署业务系统的资源, 认证通过后获得访问安全专区的权限, 安全专区边界防火墙通过端口映射将CITRIX认证服务器发布出去。使用人员通过各种终端设备在通过CITRIX认证服务器的认证后, 获得CITRIX提供的虚拟桌面资源。利用面向应用层面的身份认证、业务系统使用过程快照记录和应用安全审计体系, 实现了信息安全的过程控制和事后的可追溯。

2.1 网络通信系统

通信网络子系统通过对通信数据包的保密性和完整性进行保护, 确保其在传输过程中不会被非授权窃听和篡改, 使得数据在传输过程中的安全得到了保障。移动办公系统采用如图2所示的多运营商3G VPDN接入方式, 采用3G虚拟拨号专网 (VPDN) 线路, 实现移动办公3G网络与互联网的有效隔离。在移动终端上, 可以通过APN设置来选择VPDN线路。电信运营商3G VPDN专网通过专用的APN域名接入并进行3A认证, 包括3G SIM卡信息认证和帐号用户名等多项身份认证, 根据手机号码和移动终端的IP地址区分不同的电信运营商的VPDN专线, 经过区域边界接入到内部云计算数据中心。

VPDN采用的安全技术措施主要包括: (1) 独立APN: 在基站接入层面通过给每个用户部门设立独立的APN, 实现不同用户部门通过无限数据通讯接入。 (2) L2TP/GRE链路加密: 提供L2TP/GRE两种方式的链路加密协议, 保障链路的安全性。 (3) AAA认证:通过专门的AAA认证中心, 对智能终端进行鉴权和认证。 (4) 帐号和USIM卡绑定:将远端用户拨号的帐号和USIM卡绑定, 实现特定帐号只能在特定卡上进行拨号, 实现特定卡号分配特定IP地址。

2.2 云计算系统

移动办公系统采用应用交付设计理念, 应用服务器虚拟化、应用、网络虚拟化和桌面虚拟化等组成云计算平台, 如图3所示。发布的应用系统部署在云计算中心, 实现数据应用与终端分离, 用户按需获得内部移动办公虚拟化资源, 满足应用系统和桌面等办公资源跨平台迁移。

云计算环境包括三个部分: (1) 利用一体化交换技术 (Fcoe) 整合多种网络资源, 实现跨平台资源调度的虚拟化网络。 (2) 利用服务器虚拟化 (Vmware) 技术实现服务器和存储端的虚拟化, 底层硬件服务器为CISCO UCS刀片式服务器, 利用虚拟化技术VMWARE将物理服务器虚拟成多个逻辑服务器, 提供高性能的网络、存储和计算资源。 (3) 利用桌面虚拟化技术 (CTRIX) 实现桌面虚拟化, 具有用户虚拟桌面发布和用户操作软件的虚拟发布功能。由于移动用户最终得到的是个远程桌面的镜像, 移动终端与虚拟桌面之间的3G专网上并无真实数据传输, 用户端的病毒、木马不会被传播到安全区域的虚拟桌面, 移动终端不会保留真实数据, 从网络层面和数据层面都保证了系统的安全性。

2.3 区域边界系统

通过部署在区域边界上安全网关、防火墙、网闸等全方位地对网络实行安全保护, 控制移动办公系统对内部局域网的访问, 保证共享资源的可信连接, 如图4所示。在内网与移动办公系统之间设置专门网闸对网络进行隔离, 只有符合TCP80端口的流量才会穿越网闸, 实现数据单向摆渡, 传到内网, 其它流量一律不允许从移动办公系统穿越到内网。

将移动办公系统按不同功能划分3G网络通信区和内网的云计算数据中心, 这两个区域通过物理隔离网闸进行单向数据摆渡, 保证内部资源不被暴露。采用SSL VPN设备, 在移动终端和业务应用服务间进行数据再加密。用户使用CITRIX移动终端客户端请求接入, 虚拟化服务器根据用户密码对客户端进行验证, 验证通过分配给客户端一个虚拟桌面。用户将通过虚拟桌面从网闸获取内部业务系统资源。

在虚拟化平台上部署防病毒系统Deep Security, 与VMware vSphere无缝集成。通过VMware提供的vShield API, 无需在虚拟机上安装防病毒客户端程序, 即可实现虚拟环境下防病毒、防火墙、虚拟补丁功能。VMware平台由5台物理服务器构成, 在5台ESX Server上安装部署DS, 如图5所示。每台虚拟机上安装防病毒软件, 更新病毒码和启用预设扫描资源占有率大约在60%-70%左右, 部署DS其占有率仅为20%左右。

2.4 安全管理中心系统

通过认证、授权、审计、实施访问控制策略, 实现对区域边界系统、对通信网络和云计算环境的集中管理和信息系统的行为审计。在3G无线接入和安全认证的基础上, 使用VPDN专线接入方式+SSL VPN加密和接入网关, 将移动办公终端的唯一的机器特征与使用人员的生物特征、CA认证相结合, 形成3G增强型的身份鉴别和认证接入平台。实现人机合一, 专人、专机专网、专用, 通过桌面虚拟化软件, 建立应用发布服务器的虚拟桌面和应用逻辑, 提供安全可靠移动办公应用平台。

SSL VPN支持与生物识别指纹认证, 接入认证方式为用户名+口令+生物识别指纹识别.支持双因素认证, 可以通过用户名 +口令+生物识别指纹识别+数字证书 (或USBkey) 实现更高级别的认证。认证方式如图6所示。

将指纹识别技术、数字证书等技术通过虚拟化技术实现, 增强系统的不可抵赖性。根据不同的应用场景, 提供不同组合方式的身份验证模式。模式1 (访问终端不固定, 在办公室或家中, 使用PC、平板电脑或手机) , 认证方式:用户名+密码 +机器指纹。模式2 (访问终端固定) , 认证方式:数字证书Ukey+机器指纹。模式3 (访问终端固定) , 认证方式:用户名+密码+指纹认证+绑定硬件特征码。

审计功能可以监控移动办公系统敏感数据的操作, 对重要应用系统的变更操作、鼠标移动和击键信息进行屏幕录像, 特定用户、应用和服务器进行监控, 对录像文件进行数字签名保证安全。

3 总结

本文提出的移动办公系统技术架构满足了可信可控可管的技术要求, 由管理中心、网络通信、区域边界和云计算环境等组成的信息安全平台保证了移动办公系统的稳定可靠运行。随着移动终端性能不断提升, 私有云、公有云逐步建设, 基于WEB2.0技术的在线应用的发展, 应用交付的范围和内容都将快速增大和丰富, 移动办公也将从辅助办公手段发展成常规甚至主要办公方式。

摘要：本文基于政府行业3G网络和云计算环境移动办公系统的应用实例, 重点讨论了构建以网络通信、区域边界、云计算环境、安全管控中心为基础的信息安全平台, 为移动办公系统提供一个安全稳定的可信可控可管的移动应用环境的可行性。

关键词：云计算,虚拟化,移动网络,应用交付

参考文献

[1]张应福.黄鹏.陈超.云计算技术及其在下一代数据中心建设中的应用.《通信与信息技术》2011年第1期

[2]许志敏.白克壮.服务器虚拟化技术在数据中心的应用探索.《2010年第二十四界全国计算机信息管理学术研讨会》 (会议论文)

[3]范君.应用交付网络架构设计与研究.《计算机与数字工程》2010年第12期

虚拟化系统的安全防护 篇4

早期的单任务模式

早期的计算机其实并没有操作系统的，因为操作系统本身也使靠计算机硬件执行的一种程序，操作系统就是一种可以提供给其它程序方便编写并运行的程序，由程序来运行程序，而不是自己来运行，这其实就是操作系统提供的最早的一种虚拟化表现。

对于早期的计算机来说，只能运行执行一个任务，整个计算机只能被这个程序独占，例如开机，从软盘或者其它介质上执行程序，直到执行完毕或者人为终端，执行完后拿出戒指，才能再次插入另一介质，重新载入执行另一个程序，而在执行过程中，一旦发生意外，只能重新运行。

操作系统的多任务模式

操作系统的出现解决了很多问题，操作系统本身就是一个程序，计算机家电之后，首先先运行的是操作系统，随时可以载入其它程序执行，也就是说，它可以随时的从软盘上读取其它程序的代码，并切换到这段带马上让CPU执行，执行完毕后则立即切换回操作系统笨死，但是每次也总是要等待这个程序执行完毕，才能接着载入下一个程序执行，

当被载入的程序执行的时候，不能做任何其它事情，暴扣操作系统本身的程序模块，任何产生中断的时间，都会中断正在运行的程序。

程序执行完毕之后，会将CPU使用权归还操作系统，从而继续操作系统本身的运行，这种操作系统成为单任务操作系统，典型代表就是 DOS。

如今操作系统针对系统时钟中断，开发了专门的中断服务器程序，也就是多任务操作系统中的调度程序，时钟中断到来的时候，CPU根据中断向量表的内容，指向调度程序所在的地址入口，执行调度程序的代码，调度程序所做的就是将CPU的执行跳转到各个应用程序所在的内存地址入口，每次中断后，调度程序以一定的优先级，指向不通过的程序入口，这样就能做到极细粒度的应用程序入口切换，如果遇到某个程序还没执行完毕就切被切出了，则操作系统会自动将这个程序运行状态保存起来，待下次轮到的时候，提取出来继续运行。

通过这样的虚拟化，运行在操作系统之上的所有程序都会认为自己是独占一代计算机的硬件运行。

虚拟化的好处

上面介绍的计算机硬件及操作系统，其实计算机系统从诞生起就在不断的进行这虚拟化的过程，时至今日，计算机虚拟化进程依然在飞快的发展。

虚拟化系统的安全防护 篇5

目前,尽管入侵检测系统被广泛应用于检测和确保系统的安全,但是仍旧有一些系统很容易的被入侵者侵入[1]。一旦入侵者进入系统之后,便会在系统中安装木马等危险程序来窃取信息。为了掩盖其踪迹,入侵者在离开系统之前会对记录其踪迹的系统日志进行修改或者删除。因此,系统日志的实时备份对于系统安全分析及后来的调查取证工作显得异常重要。

当前备份系统日志的方法很多,最为流行的就是通过网络将日志备份在远程主机上。但是,入侵者同样可以利用tcpdump[2]来获取在网络上传输的数据,而且备份系统日志的远程主机同样容易受到攻击。为了克服以上不足之处,本文提出了一种安全高效率的系统日志备份方法,并且给出了相关的实验结果及分析。

1 Xen

Xen是目前最流行的一种虚拟化解决方案,它采用了半虚拟化技术,虚拟机管理器为上层虚拟机给出提供了与底层硬件设备相似的抽象层[3]。运行在x86平台上的Xen借助了IA32的4个优先级(Ring0到Ring3)。在传统的体系结构中,只有操作系统运行在最高优先级(Ring0),普通的应用程序运行在Ring3,而Ring1和Ring2都没有使用。在Xen体系结构中,Xen虚拟机管理器处在最高优先级Ring0,而用户域和特权域的操作系统运行在Ring1,运行在这些客户操作系统上的应用程序运行在Ring3[5]。

1.1 Xen的特点

构建基于Xen的日志实时备份模型,用到Xen的以下两个特性[6]:

1)隔离性运行在某个域上的软件不能对运行在其他域上的软件进行访问或修改。即使入侵者已将该域的操作系统完全破坏,仍然不会危及其他域的操作系统的安全。

2)监控能力Xen可以监控所有虚拟机实例的所有状态:CPU状态(例如注册表状态)、所有的存储器、I/O设备状态(例如存储设备的容量以及I/O控制器的注册表状态)。

1.2 超级调用

超级调用是Xen提供给客户OS的程序接口,它被客户OS调用,就象常规操作系统的系统调用被调用一样[3]。调用超级调用时,软中断指令被发布,其中断向量入口地址在Xen中。在IA-32 x86架构中,超级调用对应的指令是“int$82”,硬件IDT表(Interrupt Descriptor Table)被设置,以便超级调用指令仅仅能从Ring 1被发布。如表1所示。

1.3 事件通道

事件通道是Xen用于用户域和虚拟机监视器VMM(Virtual Machine Monitor)之间、用户域和用户域之间的一种异步事件通知机制[3]。

Xen为每个域在其shared_info中定义了一个128字节的数据结构,其中每一个位被称为一个事件通道,所以每个域中只有1024个事件通道。

每个事件通道在shared_info中有两个附加位[4]:

Pending位:通知该域外有一个事件需要处理,处理后可将其清0。

Masking位:该位为1时,所有的事件都被屏蔽;该位为0时,如果申请位为1,在Xen从Ring 0向Ring1返回时将触发域中的事件调用处理,这与Unix中的信号机制类似。

1.4 Xen域的共享内存

Xen在创建域时,为每个域分配了一个物理页(在x86架构下大小为4kb)作为与该域的共享内存,用域控制块的shared_info字段表示[4]。shared_info被映射到Xen的虚拟地址空间中,能被Xen访问;Xen启动域时,把shared_info作为参数传递给该域,该域的操作系统初始化时,shared_info被映射到该操作系统的虚拟地址空间中,从而能被该操作系统内核访问。特权域Dom0取得其所创建的用户域的shared_info物理页号,把shared_info映射到Dom0 OS的虚拟地址空间中,使之也能被Dom0 OS内核访问。总之,用户域的shared_info被Xen、Dom0以及其他的用户域所共享。

2 系统设计与实现

本文的体系结构如图1所示,设计有Dom0和Dom U,Dom U被Dom0创建。在Dom U上运行Xeno Linux U,在Dom0上运行Xeno Linux0。由syslogd记录Dom U产生的日志数据,并保存在/dev/xenlog文件中。Dom ULog模块对/dev/xenlog进行实时监控。一旦有新的日志数据写入到/dev/xenlog中,Dom ULog模块便会把新增加的日志数据写入共享内存,然后通知Dom0上的Dom0Log模块从共享内存中读出日志,把日志存入Dom0上的文件系统中。

2.1 DomU模块

在Linux操作系统中,syslogd是常用的日志服务后台进程[7]。Syslogd接受请求,并且把日志信息记录到指定文件中。通过配置/etc/syslog.conf将应用程序产生的日志记录到文件xenlog中,配置如下:

DomULog模块负责对/dev/xenlog进行监控,当检测到有新的日志数据写入后,其负责将新写入的日志写入到共享内存之中。

当XenoLinuxU启动时,Dom ULog模块随之启动。DomULog模块的工作流程如下:

1)DomULog分配共享内存,并取得该共享内存的物理地址phyaddr;

2)为了能够与Xeno Linux0中的Dom0Log模块进行同步通信,DomULog必须首先设置一个尚未绑定的Event-Channel Port;

3)Dom ULog将phyaddr、Event-ChannelPort和自己所在域的ID号通过XenBus发送到位于Dom0的XenStore中;

4)注意,此时DomULog与Dom0Log之间还没有建立起事件通道,而且Dom0Log还没有将Dom ULog申请的共享内存映射到Dom0的地址空间上;

5)如果DomULog收到了Dom0Log发送来的“事件通道已创建”和“共享内存已映射”的通知,DomULog就开始对/dev/xenlog文件进行实时监控;

6)如果有新的日志数据写入到/dev/xenlog文件中,DomU-Log就会把新写入的日志数据写入到共享内存之中,并向Dom0Log发送“数据已就绪,请取数据”的通知;

7)在收到Dom0Log发送的“数据已经取出”的通知后,DomULog会按照需要看是否要继续往共享内存中写数据。

2.2 共享内存

共享内存的设计是用来暂时的存储DomULog模块写入的日志数据,然后等待Dom0Log模块将日志数据读取。在XenoL-inuxU内核中已经分配了共享内存的大小,当写入的日志数据过大会导致共享内存缓冲区的数据溢出;同时如果同时对共享内存缓冲区进行读写操作,这样不会造成上述的情况,但是,同时对共享内存缓冲区进行读写操作,必然会导致竞争。

为了解除上述的这种竞争,使两个模块可以同时读写共享内存,我们将共享内存设计成一个环形的缓冲区:有两个入口,一个读数据,一个写数据,当到达缓冲区的尾部时,它们会自动自陷。写数据的时候会占用缓冲区的空间,但是读取数据后会自动释放这些空间,等待着下一次写请求的到来。缓冲区的数据结构如下所示:

2.3 Dom0模块

Dom0Log模块在初始化的时候,会注册XenBus Watch用来监听XenStore的变化。如果有Dom ULog往XenStore相应的目录处写入内容(即:phyaddr、Event-ChannlePort和domID),则Dom0Log模块会完成以下工作:

1)将phyaddr映射到自己所在域(即:Dom0)的地址空间;

2)将DomULog模块发送过来的Event-Channel Port与自己某个尚未绑定的Port进行绑定,从而建立事件通道;

3)利用DomULog模块发送来的domID,在Domain0相应的目录下创建以domID为名称的日志文件;

4)利用事件通道,向DomULog模块发送“事件通道已创建”和“共享内存已映射”通知;

5)等待DomULog模块发送“数据已就绪,请取数据”的通知;

6)接收到“数据已就绪,请取数据”的通知后,就从共享内存中读取日志数据,并存放到相应的日志文件中;

7)接收完日志数据后,向DomULog发送“数据已经取出”通知;

8)继续等待。

3 实验结果及评估

综上所述,基于Xen虚拟机的系统日志备份方法在将日志数据传输到xenolinx0的文件系统的过程中,并没有通过网络传输,大大地降低了日志数据被网络上的木马程序窃取的可能性,提高了日志数据传输过程的安全性。

在本文所提出的方法中,日志数据是通过Dom U和Dom0间的共享内存传输,通过共享内存传输数据的效率比传统的通过网络传输数据的效率高出许多。我们用这两种方法传输大小为100kb的数据,通过计算传输所需时间可以很明显地看出效率的高低。实验所用计算机的配置如下:Intel Pentium 4 CPU3.0 GHz,DDR 512M内存,80G硬盘。Dom0 OS内核版本为2.6.18-1(Fedora Core Linux),Dom U OS内核版本为2.6.18-1(Fedora Core Linux),Xen为3.0版本,系统启动给客户操作系统分配了192M内存,2G大小的文件系统,以及512M的交换分区。实验结果数据如表2所示,单位为秒(相同实验每种方法分别测试十次,取十次的平均值)。

由表2的数据可知,通过共享内存传输数据的平均时间为0.085383秒,通过网络传输数据的平均时间为0.728681秒,通过网络传输数据所用时间是通过内存传输数据所用时间的8.5倍。可见,通过共享内存传输日志数据的效率比起传统的传输日志数据方法的效率高出许多。

4 结论

传统的备份日志数据是将日志数据通过网络传输到一个专用的日志服务器,这种方法会造成一些重要的日志数据在网络上被窃取、篡改。本文提出的基于Xen虚拟机的系统日志备份方法通过共享内存传输日志数据,日志数据传输的整个过程都是通过Dom U和Dom0之间的共享内存,避免了在网络传输过程中被截获的危险。

同时,由于Xen提供的Dom0和DomU之间的完全隔离性,使得即使DomU OS已经被攻击者攻破,要破坏备份在Dom0OS文件系统上的日志数据也是很难的。

摘要：系统日志对于计算机系统的安全至关重要。为了确保系统日志的安全,通常的做法是通过网络将系统日志备份到远程主机上,但其在传输过程中容易被截获。提出一个运行于Xen之上的日志实时备份模型,通过系统实例之间的共享内存来传输系统日志,这样可以避免日志数据在传输过程中被暴露在网络上所带来的风险。实验表明,该方法不仅增强了系统日志的安全性,而且传输效率也非常高。

关键词：Xen,虚拟机,日志安全,共享内存,超级调用

参考文献

[1]陈晓梅.入侵检测产品的评价研究[J].微电子学与计算机,2005,22(9):74-76.

[2]The tcpdump program.2007.http://www.tcpdump.org.

[3]Xen Project.Xen Interface Manual.March2007.http://www.cl.cam.ac.uk/Research/SR.G/notes/xen/readmes/interface/interface/inter-face.html.

[4]David Cisnall.The definitive guide to the Xen hypervisor.PRENTICE HALL.2007.

[5]Tim Abels,Puneet Dhawan,Balasubramanian Chandrasekaran.An O-verview of Xen Virtualization.March2007.http://www.dell.com/downloads/global/power/ps3q05-20050191-Abels.pdf.

[6]Whitaker A J.Building Robust Systems with Virtual Machine Monitors.Univ.Washington Generals Examination,2004.

虚拟化系统的安全防护 篇6

1 煤矿安全三维技术网络数据分析

在煤矿安全三维技术虚拟现实系统中存在着非格式化数据和格式化数据,媒体数据具有时序性、分散性以及复合性等特点。一段音频、一幅三维技术图像包含一定意义的同时还是构成三维技术数据的二进制数据,且视频含义要高于数值和符号。文献中关于煤矿安全虚拟现实系统的数据特点归纳为:

1)时序性,数据的时序性直接关系到信息实体之间的联系,因此,在处理数据或显示数据时要注意数据的时序性,同时要保证信息单元之间的同步性。

2)分散性,不同的设备和三维技术分散存储着相关数据,同时异构数据的管理和存储也在相关设备中进行,因此,三维技术源数据的存储方式和介质具有多样性和分散性。

3)复杂性,煤矿安全生产是一个非常复杂的系统,与之相关的三维技术网络系统数据也具有多样性和复杂性,如动画、视频、图像、图形、音频以及文本等数据,在这些复杂数据的基础上,三维技术系统还会将某些单元信息通过组合形式展现出来,形成了复杂对象。

2 煤矿虚拟现实系统设计

2.1 系统设计原则

在煤矿员工实际安全操作流程的基础上建立三维技术网络虚拟现实体系及系统,以煤矿井下实际生产现场描述为开端,逐渐将流程引入到典型事故案例和煤矿安全生产规章、规程上;结合三维技术虚拟现实呈现方式实现人性化界面设计,煤矿安全虚拟现实系统以井下实际生产场景为背景,视觉效果好、界面友好,从一定程度上降低了三维技术使用者对三维技术水平的要求;利用先进的GPI和网络数据接口实现现有媒体数据和三维技术网络系统的无缝连接,处理现有的标准化数据,轻松采集现场画面,实现了非结构化和结构化数据的一体化管理。如图1所示。

2.2 三维技术系统硬件配置

煤矿安全虚拟现实系统的三维技术由工作站或三维技术构成;数据输入设备包括:数码相机、视频捕捉设备、音频捕捉设备、数字化扫描仪、三维技术键盘;数据输出设备包括:激光打印机、绘图仪、投影仪、数码摄影、扫描仪、触摸屏以及三维技术显示器;存储介质及设备包括:光盘、硬盘等。如图2所示。

3 媒体类型、运行环境及实例

3.1 媒体类型及运行环境

煤矿安全虚拟现实系统的文件数据量大、类型繁多,编辑方式和数据获取手段各不相同,影响三维技术系统质量的两个重要因素为源数据品质和质量。如表1所示。

1)文本,文本是占用系统资源小、包含信息量大是三维技术系统中常用的信息载体。三维技术系统中文本的获取方式为文字识别、扫描仪扫描、声音时识别输入、手写收入以及键盘输入等。

2)数字音频,三维技术数字音频的采集和获取方式为模拟转换器(A/D),通过Windows系统下的专业音频采集软件或录音机可实现声音的数字化采集。其中,影响数字音频采集质量的两个最主要参数为采样频度和精度。在WAVEEDIT软件中对采集的音频数据进行处理,编辑出适合三维技术网络用户需求的特效声音和常规音效。

3)图形图像,三维技术系统中表现图形图像的方法有:符号、曲线、矢量、位图等,通过鼠标输入、数字化扫描仪输入以及数码相机等手段实现图形图像的输入。三维技术系统需要的图像大多要在三维技术处理完成后才使用,常用的图像处理手段包括:图像提升、图像转换、图像加工以及图像采集等。通过三维技术图像、图形处理软件可将图像处理成用户需要的类型。本文采用PHOTOSHOP CS4.0作为图像处理平台,可实现图像的调色、扭曲、上光、旋转、缩小或放大等处理。

4)数字视频,煤矿安全虚拟现实平台的视频媒体表现方式为两种,一是动画,二是视频。其中,动画可视为活动的图形,视频即活动的图像。采集和量化是常规三维技术视频信号的采集过程。煤矿安全三维技术视频的采集可利用现场安设视频捕捉设备来完成。安装在三维技术硬件系统中的视频采集卡可提供摄像机和录像机的视频采集接口,实现采集信号的模拟到数字化转换。一般的三维技术视频处理大多采用ADOBE公司的PRE CS4.0L来完成,如果做特殊的效果(如火焰、烟雾等)则一般采用AFTER EFFECT和3D MAX相结合的方法完成。视频编辑软件可对视频进行切换、剪辑、增强、调色或叠加等处理。它支持15个以上的音频轨道和视频轨道,每个通道之间有上百种视频效果和切换模式。同时,视频编辑软件中还能按照用户需求加入静态图片或动画效果等元素,能够制作出非常好的展示效果。

3.2 煤矿安全虚拟现实系统应用实例

唐山矿是开滦集团的老矿井,生产条件苛刻,开采地质复杂,由于环境的特殊性和员工的安全意识导致了事故频发。该矿为了加强生产安全,使员工更加深刻的理解井下事故及操作违章带来的隐患,采用了三维技术网络虚拟现实系统作为平台,实现了音频、动画、视频和煤矿安全知识多方面结合的效果,如图3所示。

通过三维技术虚拟现实系统的引入,该矿改变了原有的安全知识授予方式,使入井人员通过生动的画面、真实的场景等形象加深了安全意识。三维视频图像在系统中能够加深矿工的第一印象,非常直观地反映出井下工作面状况和生产系统情况。该平台的实施大大提高了该矿安全生产效率,降低了安全成本,增加了员工对安全的认识度,有效降低了违章、违规操作概率。

4 结论

煤矿安全虚拟现实是煤矿企业安全管理中的重点课题,是系统工程中的关键分支,综合三维技术技术和现代网络信息手段能够彻底的改变煤矿传统的枯燥说教模式,提高了管理人员、生产人员的管理水平和安全意识,有效降低了安全成本的事故率。

参考文献

[1]沈东.三维技术网络硬件通信虚拟实验系统[J].煤炭技术,2012(9):194-195.

[2]张勇昌.虚拟现实技术在矿难逃生模拟培训系统中的应用[J].煤炭技术,2013(11):274-275.

[3]王琳.虚拟现实技术在煤矿开采中的应用研究[J].煤炭技术,2013(12):78-79.

[4]陈浩磊,邹湘军,陈燕,陈燕,刘天湖.虚拟现实技术的最新发展与展望[J].中国科技论文在线,2011(1):1-5+14.

虚拟化系统的安全防护 篇7

当前, 我国政府已开始着手加强食品安全立法和政策研究, 加快食品安全信用体系建设, 全力推进食品安全专项整治等工作。同时, 随着国内外对食品质量与安全关注的增强, 培养大批熟悉食品质量与安全评估方法以及测评标准法律法规体系的高素质人才也显得越来越迫切。因此, 食品的安全标准化生产和检测等相关课程和实验具有相当的重要性。学生只有真正理解并熟悉由“田间生产---收购---加工---流通---消费”这种统一而严谨的安全管理体系, 才能在今后的实际操作中真正解决好食品安全问题[1,2]。然而, 由于实验时间、实验环境和实验仪器等条件的限制, 传统食品质量与安全的实验教学存在一些弊端:比如实验周期短、昂贵实验仪器引进中的资金短缺以及教学形式的单一等, 实验开展的并不顺利。仅仅依靠书本中较为抽象和条款化的描述, 无法激发学生的形象思维能力, 不利于理解和记忆, 更不利于实验和教学的创新与发展。因此, 寻找一条有效的途径作为高校传统实验实训的必要的补充, 是当前高校实践教学研究所急需解决的问题。

随着计算机软硬件的迅速发展, 以Lab View, Multisim, VRML (虚拟现实建模语言) [3], Java等为代表的计算机虚拟技术逐渐进入了人们的视线[4], 虚拟实验应运而生。它在实践教学中的作用可分为三类:一是为进行真正的实验 (或操作) 做准备练习;二是替代实验室;三是对实验的结果和现象进行分析[5]。由于虚拟实验室具有的实验环境是一个虚拟环境, 所以没有元器件损坏、接触不良、仪器烧毁或是涉及危险药品等现象。实验仪器设备的损坏率和维护量以及元器件的损耗较传统实验室大为减少, 它不仅降低了实验成本, 充分鼓励实验者进行创造性甚至是破坏性实验, 而且随着计算机软硬件的迅猛发展, 虚拟实验的方法越来越受到高校的青睐, 许多高校纷纷建立起了虚拟实验室[6]。典型的有:中国科技大学在虚拟实验室的建设和使用方面形成的如物理仿真实验软件, 广播电视大学物理虚拟实验、几何光学设计实验平台、大学物理虚拟实验远程教学系统, 同济大学建筑学院建成的可以对建筑景观、结构进行仿真的虚拟现实实验室, 西南交通大学开发的TDS-JD机车驾驶模拟装置等[6]。如何依据高校自身的实力与特点量体裁衣, 构建符合学校实际情况的虚拟实验室已经成为高校虚拟技术应用研究的热点。

采用以上技术建立虚拟实验室, 存在一个普遍特征, 就是开发难度较大, 周期较长。这也就导致, 目前在具有三维仿真的虚拟实验室系统的建设方面, 国内涉足较少, 尤其是在食品安全领域, 虽然在期刊中偶见类似报道, 但是截至目前没有收集到成熟的建设案例报道。

Flash是一个网页交互动画制作工具, 与其他工具相比, 它具有矢量描述、播放流畅、数据量小等特点。特别重要的一点是“Fl ash”采用了“流媒体”技术, 可以边下载边播放, 这样就能使整个教学过程流畅自然。而且用Flash制作的动画数据量很小, 有利于它在互联网上传输, 方便使用者在互联网上直接调用运行。考虑到目前多数学校都建立了自己的局域网, 采用Flash技术构建一套相对比较简单的网络虚拟平面实验系统, 可行性较好, 也具有更多的实用价值, 同时也可以作为对三维虚拟实验系统开发的有益探索和知识积累。

在上海市教委的资助下, 上海海洋大学食品学院2007年起承建食品安全教育高地, 虚拟实验室的建设就是其中的一个重要组成部分。这里通过对现有实验内容的知识分析, 采用MS SQL数据库技术设计了一套食品安全实验知识库系统。在此基础上, 采用F lash技术开发了一套相对简化的虚拟实验系统。最终, 通过与asp.net 2.0技术相结合, 建立起了一套网络虚拟实验室系统。

一个优秀虚拟实验室系统不仅要包含丰富的、多种形式的虚拟试验, 还应该包括相应的帮助和介绍。例如实验指导、疑难解答、思考问题、参考文献、相关网址等。除此之外, 还应包括系统安全和更新、维护等模块, 以及供师生交流的场所等。用于教学的系统更是要注意知识的传授方式, 要有供学生听讲、自学、练习、竞赛和测试等不同的“学习环境”。本项目将采用虚拟现实的实验教学方法, 充分结合数据库技术、网络技术和flash技术, 通过在计算机中对食品安全相关的实验环境、实验设备以及学生和教师等不同角色的模拟, 使学生有“身临其境”的感觉, 在虚拟实验环境中实现互动教学, 很大程度上弥补传统实验教学中的一些不足。

1、总体设计

本系统总体由三个子系统组成, 分别是知识库子系统、WEB子系统和Flash子系统。知识库子系统是底层整个系统的底层, 它将全部实验内容进行分解, 储存在数据库中, 为整个系统提供数据支持;同时, 包涵了所有的用户信息, 为用户登录提供验证信息。WEB子系统作为整个系统的中间层, 为知识库子系统与Flash子系统提供数据传输服务。Flash子系统提供了本系统的用户界面。

以上三个子系统之间的相互关系如图1所示:

2、知识库子系统

建立知识库子系统的第一步是知识分解, 其中包括实验目的、实验原理、操作步骤、实验仪器、注意事项、数据处理以及专业教师拟出的思考题。这个过程中, 主要任务是根据不同的实验内容进行分析, 进而制定词条字典。

接下来, 就是知识数据库的设计, 共设计了六个知识点数据表和一个思考题数据表。知识点数据表包括基本概念知识点数据表、实验目的知识点数据表、实验原理知识点数据表、基本操作知识点数据表、仪器知识点数据表和计算公式知识点数据表。知识点数据表均采用表1所示设计方案 (表1) , 计算公式知识点数据表中的ZSD字段为imag e类型。思考题数据表采用表2所示设计方案。其中, 各数据表在ZSD字段中存储与数据表名称对应的内容。

这里, 数据库服务系统采用MS SQLSer ver 2005。

3、Flash子系统

3.1 flash子系统总体设计

Flash子系统的功能在于将知识库的内容以多媒体形式展现出来, 并且通过Action Sprit2.0脚本语言进行组织, 以使其可以学习和考试两用。

本子系统主要提供了三种模式:学习模式、练习模式和操作模式:

3.1.1 学习模式

通过关于实验的各个知识点的介绍, 初步掌握实验原理、目的、仪器等与实验有关的知识, 并且在讲解的同时, 电脑将依序演示一遍正确的操作步骤。学习模式还突破了真实实验的不可逆性, 学生可以在虚拟实验中反复进退, 了解实验步骤。

3.1.2 练习模式

通过学习模式以后, 学生可以进入到练习模式。练习模式中, 学生可以在系统知识库支持的情况下进行实验模拟操作。如果忘记实验步骤, 或者出现错误操作会立刻获得系统提示并得到实验的正确操作步骤。同时, 系统可以通过回退等操作, 避免传统实验中不可逆操作引入的失误。

3.1.3 操作模式

通过练习模式以后, 学生对于整个实验已具有相当深入的认识, 此时进入操作模式, 即考试模式, 操作权利完全交给学生。在整个过程中, 不管操作是否正确, 系统没有任何提示和帮助, 也不会制止学生。完全由学生自己动手操作实验, 系统会根据学生实验的完成度给学生打分。一旦进入操作模式, 将无法返回, 若强行退出, 只能保留此前完成的操作得到的分数。

在建立知识库之前, 每一个实验的操作步骤都得到知识分解。这就使得本子系统中, 重要操作步骤均可以按照知识分解情况分别制作操作界面。每个操作步骤又被进一步分解为多个知识点, 根据这些知识点的分布, 可以把每个操作划分为多个部分, 分别用Flash动画来展示。最终, 利用Flash动画中可调用和播放Flash动画的特点, 把这些动画连接成一个有机的整体。

不同的实验分别设计了不同的界面风格。在一些比较简约的界面风格中, 学生只需在动画界面上点按钮就能进行, 这样学生更容易接受。另外一些界面风格更接近于电脑游戏, 实验需要用到的所有仪器或试剂被设置在界面边上的工具栏中, 不同操作步骤中, 学生需根据实验需要选择实验仪器或试剂方可继续操作。选择实验仪器或试剂时, 点击鼠标左键可以选择工具栏中的对应的小按钮。同时, 鼠标消失变为仪器或试剂的样子, 由学生自己将其拖拽到所要运用的部位。这样做既能提高学生与实验的互动性更能提高实验的趣味性使实验不至于那么的枯燥。

3.2 制作中的关键技术

在flash子系统中, 将每个实验的三种模式制作成同一个文档里的3个场景, 以便于共享原件以及变量。主时间轴以静帧动画的形式展现实验步骤, 每一帧代表一个实验步骤;在每一桢中嵌套所需的动态影片剪辑, 并用Action Sprit2.0脚本语言来控制其播放, 以达到生动的效果并不失虚拟实验的学习功能。

通过运用Action Sprit2.0脚本语言, 设计出各种如拖拽, 点击, 涂抹鼠标动作, 以此来模仿真实实验中的亲手操作, 以实现交互式学习的目的。且每个实验都内置各自实验数据处理方法以及所求数据的细算公式 (包括有效数字的修约) , 对于参数、计算以及数据处理的考核, 要求学生输入精确数值, 从而保证了虚拟实验的严谨性和精确性。

每个操作者通过验证登陆系统后, 会得到一个分数全局变量, 该变量在操作模式中根据学生的操作不断变化, 最终, 本子系统会将此成绩通过WEB子系统发送回数据库。

本文采用Flash 8作为Flash开发软件。

4、WEB子系统

WEB子系统主要有两个功能: (1) , 用来为知识库和Flash子系统提供数据传输服务; (2) 为用户提供登录验证服务。

数据传输方面, 我们采用asp.net 2.0和c#语言开发了一系列XML文件, 这些文件根据Flash子系统的需求, 把相应知识库数据表中的内容以节点形式列出。然后, Flash子系统通过web访问读取这些文件, 就可以捡出需要的数据。

用户登录验证方面, 我们专门开发了一个web主页, 用户通过登陆验证后, 将显示所有的虚拟实验Flash子系统的入口。同时, 已登陆用户的信息将在web子系统中以Ses sion的形式保存, 并在Flash子系统中以全局变量的形式保存。

5、结论与讨论

充分运用知识库的数据处理功能, Flas h的动画能力、交互功能和流媒体技术, 以及网络的教学的优势, 开发一套网络虚拟实验系统, 既可以突破部分传统实验教学自身的缺陷, 又能解决三位虚拟系统开发复杂度较大带来的困境, 是目前高校教学中可以尝试广泛推行的一个思路。

参考文献

[1]李里特, 罗永康.水产食品安全标准化生产[M].北京:中国农业大学出版社, 2006.

[2]车文毅, 蔡宝亮.水产品质量检验[M].北京:中国计量出版社, 2006.

[3]叶艳青, 邵建龙, 念晓.基于VRML的网络交互式虚拟现实建模研究[J].系统仿真学报, 2006, (10) .

[4]廖云伢, 王建新, 盛羽.基于Java与Matlab集成的虚拟实验平台的设计与实现[J].计算机应用, 2007, (2) .

[5]赵建华.智能教学系统概述[J].中国电化教育, 2007, (7) .

虚拟化系统的安全防护 篇8

从上一世纪80年代以后, 世界各国便改变了互相经济往来的方式, 虚拟化经济由此诞生。但因上世纪90年代美国次贷危机引发的大规模全球性的金融危机给世界经济带来了巨大冲击, 虚拟化经济的弊端也逐渐显现出来。步入21世纪, 因全球经济往来密切而衍生出的虚拟化经济也越来越深入到各国的经济往来中, 这就要求人们必须开始正视虚拟化经济在带来利益的同时所存在的风险, 研究出解决方法, 进而维护各国之间经济贸易往来的安全与稳定。

一、虚拟经济的稳定性

(一) 虚拟经济的敏感性

虚拟化经济是将资本化的定价方式转化为自身价值基础的一种经济表现形式。资本化定价的手段是需要投资者对未来收益进行预估从而进行确定的, 但是资本化定价的表现手段并没有确定规范的标准, 所以, 就要求投资者具有很强的心理素质[1]。投资者的心理状态是根据其资产价格波动的幅度大小和频率来决定的, 当波动幅度过大或者频率过多的时候, 投资者就会表现出群体的一致性, 变得十分敏感。因此, 虚拟化经济的主要特征分为两点, 一是经济系统具有不稳定性, 二是资本化的定价方式决定了资产的价格。

(二) 虚拟经济的波动内生性

由于为虚拟资产定价的时候需要依据资本化的定价方式, 所以投资者对市场的平均收入利润和资产收入流要进行预估, 故虚拟化经济在投资活动中存在一定的波动内生性[2]。在投资者对其资产进行炒作的过程中, 通常会将与经济方面的相关投资定在某种与经济基本因素没有很大关系的事情上, 这是由于经济参考点的收益通常不是很稳定所造成的。

(三) 虚拟经济的国际性和开放性

通常来讲, 虚拟化经济所要实现的最终目标就是价值的增值, 所以, 虚拟资本是没有国界限制的。所以, 如果要研究某个国家的经济是否安全稳定的时候, 需要从全球的经济和虚拟经济的价格来进行着手和判断。在国际上, 国际货币的大规模扩张和虚拟化经济的贸易活动导致了各国资产发生了国际化的流动。对于单独的某个国家来说, 资产贸易的国际化正是造成其国家经济不稳的外生因素之一。但是重点在于, 资产贸易国际化所引起的冲击大多都处于虚拟经济的承受范围之内, 这就证实虚拟经济是具有国际性的。

从以上几点来看, 虽然目前虚拟经济内部运行存在着一定的不稳定性, 但对于实体经济在国家运行中所带来的直观冲击来说, 虚拟经济无疑成为了一个动荡缓冲平台, 在一定程度上减小了实体经济在遭受外界经济冲击时所产生的损失。目前, 各国之间贸易往来的大环境已经发生改变, 在这样的条件下, 全球经济越来越趋向自由化、多元化。针对这种现状, 我国也应该采取具体措施以提高经济安全, 从而持续稳定的发展虚拟化经济。

二、虚拟经济的系统风险

虚拟经济的系统风险指的是由虚拟化经济系统过度波动所引起泡沫化经济的可能性, 其所带来的危机意义就在于由泡沫化经济引发的大规模经济衰退和停滞[3]。造成虚拟经济系统风险的原因有很多, 例如:实体经济在市场中的盈利不稳定是虚拟经济产生风险的源头;虚拟经济的投机性特征是造成了虚拟经济不稳定的根本;各种信息的不对称性是虚拟经济风险发生的推手。而这些原因所造成的虚拟经济的系统风险可以分为以下几点:

(一) 汇率风险

在以投资于国际金融市场从而谋取利益的人群中, 从不缺乏资金实力雄厚的资本家, 而中小投资者在其中也站着中流砥柱的重要角色。但当虚拟资产国际化时, 汇率风险无疑成为了一类重要的风险类型。在套利、交换、套期保值等金融产品的操作上汇率显得尤为重要, 但当汇率方面由于国家政策出现各种潜在问题时, 也将会迅速的危机到虚拟经济的市场, 引发炒作虚拟经济的整个人群的恐慌。

(二) 利率风险

由各个国家的宏观经济政策调控所引起的名义利率的波动就是利率风险的主要表现形式[4]。在当今这个虚拟化经济盛行的时代, 投机者们的盈利与否在一定程度上就取决于了利率的波动。当利率上升时, 会使资金对储蓄的需求增多, 用来投机的资金就会减少, 也可以说是购买各类证券基金的需求会下降。根据我国证券市场的供求规律, 供给超过需求时, 会导致各种虚拟资产的价格在不同程度上有所下降, 给投资者造成很大损失。同时如果利率大幅度的下降, 还可能引发各个股市的连锁崩盘, 继而发生系统性的大规模金融危机。

(三) 通货膨胀风险

在现实的经济活动过程中, 货币的存在价值无论是在实体经济中还是虚拟经济中都处于核心地位, 而通货膨胀往往是伴随着货币的贬值而产生的。在温和的通货膨胀过程中, 对虚拟资产的投资很大程度上胜过于投资实体经济, 但是一旦出现严重的大规模通货膨胀, 货币则会快速贬值, 随之而来的就会造成金融系统出现危机, 对投资者的利益造成极大损害。

(四) 国家政策风险

一个国家是否具备宏观经济稳定运行的整体环境对于虚拟经济是否能够健康发展起着决定性作用。投资者在将资金投资于虚拟经济的过程中最无法掌控的就是一个国家对于虚拟经济的政策转向[5]。国家的现行政策如果不利于各项经济指标的平稳发展, 则会导致虚拟经济向不良方向发展。国家政策的无序变动会使虚拟经济的金融市场无所适从, 造成虚拟经济金融秩序的混乱。

三、结论

综上所述, 虚拟经济在整个世界的经济运行系统中发挥着重要作用。各个国家的经济能否稳定持续发展与其虚拟系统的稳定息息相关, 是各个国家在经济竞争上的核心所在。虚拟经济对经济系统的影响和冲击都是相对较高的, 所以在大力发展实体经济的同时, 也要确保在虚拟经济的发展与创新。只有加强控制虚拟经济的安全稳定运行, 规避虚拟经济带来的风险, 才可以使国家内部的经济系统平稳增长。

摘要：当今社会中, 随着全球经济一体化加深, 各国之间的贸易往来越来越频繁, 使得各国之间的经济较量中心逐渐从实体经济转向了虚拟经济, 而经济全球化的本身就是虚拟经济的全球化。在我国当前的经济体制中, 虚拟化经济的稳定性、经济安全及系统风险均属于重要的研究课题。本文首先阐述了虚拟化经济本质, 进而从虚拟化经济具备的自身特点来分析其存在的风险类别和引起危险的因素。

关键词：虚拟经济,稳定性,系统风险,经济安全

参考文献

[1]刘骏民, 王国忠.虚拟经济稳定性、系统风险与经济安全[J].南开经济研究, 2012, 03 (06) :32-39.

[2]李刚, 曹彤春.虚拟经济稳定性、系统风险与经济安全研究[J].金融inanceNO.8, 2014 (CumulativetyNO.562) 中国集体经济, 2013, 12 (06) :12-13.

[3]索红云, 杨运星.论虚拟经济的稳定性、系统风险与经济安全[J].商业时代, 2013, 09 (04) :9-10.

[4]刘晓欣.个别风险系统化与金融危机——来自虚拟经济学的解释[J].政治经济学评论, 2011, 11 (04) :64-80.

大数据虚拟化系统的实施与管理 篇9

虚拟化就是将原来运行在真实环境上的计算机系统运行在虚拟的环境中。通过虚拟化可以用与访问抽象前资源一致的方法访问抽象后的资源。这种资源的抽象方法并不受实现、地理位置或底层资源的物理配置的限制。近年来随着技术的发展, 目前虚拟化技术已经深入到各行各业, 逐步被企业所接受, 成为大数据处理的关键技术之一, 这种技术能够将设计的程序应用到不同的层次, 以不同的形式展示给用户, 使用者、设计人员、维护人员都能够根据自己的需要使用这个系统, 管理系统的程序。虚拟化包括了软件虚拟化和硬件虚拟化。

2.1 硬件虚拟化

软件虚拟化包括应用层虚拟化、业务逻辑层虚拟化、数据层虚拟化。

2.1.1 应用层虚拟化

在用户使用应用软件的时候, 不用挂载操作系统, 直接将软件压缩放在可执行文件夹中运行, 不需要使用驱动设备或者文件系统与用户对接, 能够减少应用程序带来的风险。

2.1.2 业务逻辑层虚拟化

在用户发送数据请求后, 虚拟化系统根据请求的内容给出执行的方案和流程, 然后在确定了数据访问方式之后对整个流程进行优化, 提高数据处理的效果。

2.1.3 数据层虚拟化

数据层需要进行数据视图或者虚拟表的定义, 并对访问的用户进行认证和授权, 在得到数据访问的请求后, 将虚拟化后的数据发送给用户。

2.2 软件虚拟化

硬件虚拟化包括存储虚拟化、网络虚拟化、服务器虚拟化。

(1) 存储虚拟化是针对服务器文件的操作进行虚拟化的技术, 通过对文件进行复制和快速扫描的方式能够提高数据文件的处理效率;

(2) 网络虚拟化。对于局域网内的公司用户, 可以将网络进行划分, 利用虚拟局域网和专用网络的方式减少区域的用户数量, 提高网络访问效率;

(3) 服务器虚拟化。将服务器的物理资源进行转化, 转化成为多台逻辑资源, 这样系统的运行就不再局限于服务器的硬件设施, 可以提高系统资源的利用率, 简化目前的管理系统。

3 大数据的虚拟化系统应用研究

目前的数据中心是虚拟化使用较多的地方, 由于经常大规模处理数据, 所以对于数据中心而言必须搭建虚拟化的应用系统。应用系统实施以后需要进行管理工作, 才能保证虚拟化系统中运行的大数据处于正常状态。

3.1 大数据的虚拟化系统实施

企业可以按照大数据的虚拟化结构搭建网络图, 搭建完成以后需要安装虚拟群集管理软件VMware, 该软件属于虚拟化常用的软件, 能够帮助系统进行虚拟化的设置, 设置完成以后可以使得服务器具有虚拟化的高级功能, 通过进一步安装虚拟化软件VMware ES-XI, 同时对网络和设备进行配置, 然后设置数据中心, 将数据服务器连接到数据中心, 对所有的虚拟服务器进行统一的管理。在管理的过程中可以将部分占用资源小且独立使用一台服务器的应用进行迁移, 迁移到一个服务器中, 并给予单独的存储环境。

3.2 大数据的虚拟化系统管理与分析

在企业实施了大数据的虚拟化环境搭建后, 需要对系统进行管理, 管理主要包括以下几个方面:

3.2.1 系统的转移

在实际运行过程中会占用多台服务器, 一台服务器出现故障以后, 在该设备运行的虚拟服务器就迅速将数据转移到其他的服务器中, 避免了数据的丢失。

3.2.2 数据的转换

虚拟机由于经常处理大规模的数据, 负荷较大, 需要随时对数据进行转换, 转换的目的是提高服务器的工作效率, 可以将物理服务器转换为虚拟服务器, 也可以将虚拟服务器转换为虚拟服务器, 由于虚拟机工作的连续性, 即使在转换的过程中, 虚拟机也可以正常运行和工作。

3.2.3 系统的调试

针对大数据的虚拟化系统需要定期的完善和升级, 因此可以采用快照技术, 当虚拟化系统在处理数据的时候, 对这个状态进行快照处理, 将这个状态的数据保存下来, 在升级和维护以后重新将状态维护。

3.2.4 大数据的保存

大数据的数据量非常大, 可以利用虚拟化系统建立一个系统还原点, 在系统出现故障导致不能运行的时候, 将系统恢复到还原点, 此时运行的状态和数据都能够得到恢复。

4 大数据的虚拟化特点

4.1 大数据的虚拟化优点

大数据的虚拟化实施以后, 对于企业来说具有许多优点:

(1) 通过虚拟化可以提升服务器的利用效率, 整理服务器的资源, 使得系统能够达到最高的效率。

(2) 对于企业使用的中小型服务器来说, 利用虚拟化的技术可以节约资源、更加经济, 扩展也有更大的优势。

(3) 数据虚拟化在大数据的环境下承担着重要的基础工作, 没有虚拟化的技术, 云计算的弹性和多用户使用就很难落实。

(4) 大数据混合使用共享存储和本地存储, 进而提高运行的性能, 而虚拟化能够满足用户的需求, 并且可以根据用户的需要进行扩展。

(5) 大数据环境下的虚拟化非常有利于整合其它的数据应用, 将这些应用统一在一个虚拟化的平台上, 可以降低IT架构的复杂程度和运行维护的成本。

4.2 大数据的虚拟化存在问题

虽然虚拟化在大数据中可以很好地应用, 而且无论从性能或者功能方面来说都有很大的优势, 但是在企业选择虚拟化的应用之前, 也需要关注以下问题:

(1) 传统的服务器、存储器、网络构成了系统运行的核心, 虽然效率不高, 但是比较稳定。在大数据的环境下, 采用虚拟化的整合后, 数据运算量非常大, 一旦服务器出现故障, 那么大批虚拟机应用都不能正常使用;

(2) 性能受到影响。由于应用安装在虚拟机上, 一旦高负载的应用大面积使用, 对于虚拟平台来说是一种挑战;

(3) 安全性问题。用户的所有数据都存储在虚拟化平台上, 一旦平台的安全性得不到保障, 容易出现数据泄露的问题。

5 总结

在大数据的时代, 随着技术的发展, 尤其是服务器及信息化的发展, 各行各业对于数据处理和集成化的要求也越来越高, 数据处理已经成为制约技术发展的一个瓶颈。利用虚拟化的技术可以提高数据处理的效率, 简化服务器群管理的复杂性, 对于信息技术发展来说具有战略意义, 同时能够降低维护成本以及提高信息安全的水平, 在未来虚拟化技术的前景中具有更加广泛的应用。

参考文献

[1]沈来信, 王伟.基于Tree-lib的大数据实时分析研究[J].计算机科学, 2013 (06) :23-25.

[2]米沃奇.云计算数据中心综合布线的七大发展趋势[J].电脑知识与技术 (经验技巧) , 2016 (06) :45-49.

[3]王元卓, 靳小龙, 程学旗.网络大数据:现状与展望[J].计算机学报, 2013 (06) :50-54.

[4]刘智慧, 张泉灵.大数据技术研究综述[J].浙江大学学报 (工学版) , 2014 (06) :38-42.