細數銀河麒麟5大虛擬化安全功能，讓安全無懈可擊！

近日，麒麟軟件積極推進基于銀河麒麟高級服務器操作系統V10的虛擬化平臺。銀河麒麟服務器虛擬化系統不僅能夠提供擴展性好、運行穩定的虛擬化服務器平臺，還能提供統一、高效的虛擬化資源管理、配置和監控平臺，更能提供實施高效的實體機與虛擬機之間資源遷移解決方案，它將幫助廣大中小企業快速建立易用、高效的虛擬化實施平臺。

當社會信息安全已經關系到一個企業和國家安全時，信息安全問題無憂也就為國家和社會穩定提供了可靠的保障。那么，虛擬化系統中的安全加固模塊都有哪些？在應用方面，虛擬化特有的安全功能又有哪些呢？

事實上，在虛擬化系統中的安全加固模塊“家族成員眾多”，主要分為：虛擬機加解密、虛擬機啟動完整性校驗、可信引導、ukey、終端管理、鎖定管理、時間登錄限制、主機虛擬機性能監控、防火墻、selinux安全策略增強、審計規則增強、完整性校驗規則增強等等。

在這個大家族中，可謂“各路英雄匯聚，人人有武藝絕活兒”，下面就讓我們來領略一下虛擬化特有的安全功能吧。

虛擬機加解密

應用場景：作為密碼安全的硬件支撐，它可以嵌入到服務器類設備使用，提供高安全等級的敏感數據保護。對于一些保密單位，為了確保虛擬機鏡像信息不被竊取，常常對虛擬機磁盤信息進行加密保護，這時候它可提供國密算法SM1、SM2、SM3、SM4的算法支撐，可以滿足便捷要求性高，性能相對較小的密碼算法場景。即便當虛擬機磁盤被竊取后，也沒有相對應的密鑰進行解密，就輕松保護了磁盤信息。

虛擬機啟動完整性校驗

虛擬機啟動完整性校驗主要對用戶所建的虛擬機磁盤進行校驗，可以校驗磁盤的MD5值，磁盤的大小，磁盤的路徑，并且建立web server與SC通信。

只要vm-measure服務啟動，就能時時刻刻校驗虛擬機磁盤，當磁盤被篡改的時候，它可以提示虛擬機完整性已經改變，告知用戶自己的磁盤已經被篡改，從而起到安全提示作用。宿遷數據恢復

可信引導

可信引導是指虛擬化系統在開機引導的時候對內核模塊進行安全校驗，當我們的主機被病毒非法入侵或者內核參數被篡改的時候，它可以在啟動階段提示用戶該內核不可信。

體系結構框圖：

蕪湖數據恢復

可信引導模塊主要通過case_tcm和grub2 file check兩部分來實現。

case_tcm：grub2的tools中的組件，主要功能遍歷啟動分區下的所有文件，并將所有文件生成對應的SM3的64位hash值寫入文件MCF*中，為grub2主流程在系統啟動時對啟動分區文件進行校驗提供比對信息，通過命令：“case_tcm 1”開啟可信引導，通過命令“case_tcm 0”關閉可信引導。

grub2 file check：在系統啟動引導時，grub2主流程會對MFC*中文件列表所列文件進行SM3校驗，然后進行相關信息提示。

假如我們修改一下啟動參數，并且開啟可信引導，系統啟動的時候就會有警告提示：

Ukey

我們的虛擬化系統是提供三員機制的，某些應用場景對登錄的安全性要求比較高，只是用戶名對應相應的密碼這種安全機制已經不能滿足保密的需求，所以就引入了UKEY。UKEY是一種USB直接與計算機相連、具有密碼驗證功能、可靠高速的小型存儲設備，通過內置芯片的運算進行加密，可以實現UKEY對應用戶的一對一機制，比如當安全管理員開啟UKEY認證的時候，若我們不插入安全管理員的UKEY則無法登陸，而若使用其他的用戶的UKEY登錄則提示UKEY不匹配。

終端管理

終端管理，換言之就是能不能登錄取決于安全管理員，安全管理員可以指定哪些終端有登錄權限。首先安全管理員開啟終端登錄限制功能，然后添加允許登錄的終端的IP、mac地址、硬盤序列號即可，當開啟了此功能后，要想登錄虛擬化平臺，必須由安全管理員進行添加。