虛擬化技術的審計應用初探

潘淦+楊淑慧+酈勇+姜明+潘德寶

一、虛擬化技術簡介

1.服務器虛擬化概述。

虛擬化指的是將一個物理計算機劃分為一個或多個完全孤立的“虛擬機”，又稱VMs。具體應用中的服務器虛擬化，是將服務器物理資源抽象成邏輯資源，讓CPU、內存、磁盤、I/O等硬件變成可以動態管理的資源池，不再受限于物理上的界限，在一臺服務器上運行幾臺甚至上百臺相互獨立的虛擬服務器。每一個虛擬服務器都有一套自己的虛擬硬件，而且是一套一致的、標準化的硬件，可以在這些虛擬硬件上加載操作系統和應用程序。通過虛擬化技術，可提高資源的利用率，簡化管理，實現服務器整合，提高IT對業務的靈活適應力。

2.服務器虛擬化技術原理。

虛擬化是一個抽象層，通過空間上的分割、時間上的分時以及模擬，虛擬化可將一份資源抽象成多份，亦可將多份資源抽象成—份，從而提供更高的IT資源利用率和靈活性。虛擬化技術允許具有不同操作系統的多個虛擬機在同一物理機上獨立并運行。每個虛擬機都有自己的一套虛擬硬件（如RAM、CPU、網卡等）并在這些硬件中加載操作系統和應用程序。無論實際采用了什么物理硬件組件，操作系統都將它們視為一組一致、標準化的硬件。

二、虛擬化技術的安全策略及審計關注面

服務器虛擬化有著節省運營成本、提高服務器的利用率，便于管理維護，動態地改善IT基礎架構的性能和效率，實現應用的快速部署，備份的快速恢復，應用升級前的測試以及升級失敗后的快速回退，集中的性能監控和告警，保持業務的連續性，真正實現綠色計算等諸多優勢，吸引了越來越多的用戶。但服務器虛擬化技術在為用戶帶來利益的同時，也存在著嚴重的信息安全問題，對當前的安全技術提出了挑戰。因此，保障服務器虛擬化的信息安全不可忽視，從IT審計角度來探討服務器虛擬化的安全措施極有必要。從現有技術水平來看，保護虛擬系統的安全與保護獨立服務器的安全沒有什么不同，同樣的最佳安全實踐依然適用。即“平時怎樣保護服務器安全，現在就要以同樣的方法來保護虛擬機安全”。

（一）物理硬件及宿主機的安全要求。

1.審核硬件環境。在物理機上需要有足夠的處理能力、內存、硬盤容量和帶寬，以滿足虛擬機的運行要求，建議預留一些額外的處理能力和內存。

2.加強對宿主機的硬件管理。務必要對宿主機的安全進行細致的審核。一是宿主機的物理環境安全，包括對進入機房的身份卡驗證，對機器進行加鎖（避免被人竊走硬盤）;二是在安裝完畢后拆除軟驅、光驅;三是在BIOS里，禁止從其它設備引導，只允許從主硬盤引導。另外還要對BIOS設置密碼，避免被人修改啟動選項;四是控制所有的外部接口。

3.加固宿主機的操作系統。宿主機的操作系統相對于虛擬機，需要更加審慎的安全策略，并且宿主機還應提供一些額外的安全措施，比如防火墻、入侵檢測系統等。具體審計時，一是宿主機應該只有一個賬戶能管理虛擬機。密碼應該強壯，難以猜測，經常更換，只提供給必要的管理人員;二是如果需要接入網絡，在開啟服務之前，要使用防火墻限制，只允許必要的人訪問;三是不需要的程序和服務不要開啟，這樣不僅可以保證安全，還可以節省資源;四是應及時升級補丁。

4.配置宿主機時間同步。虛擬機缺省都是依賴于宿主機的時鐘，時鐘的不準確性會導致任務的提前或滯后，例如我們設置周六到周日這兩天，某些服務關閉，由于時間的重大差異，可能會造成業務中斷。同時系統日志也充滿了未知的不確定，導致系統管理員根本無法從日志上得出事件的真實事件。解決辦法是配置同步時間服務器。

5.合理控制虛擬機的數量。在宿主機上創建虛擬機只要短短幾分鐘，但虛擬機數量越多，面臨的安全風險也越大，導致管理、維護性能及配置供應的能力出現滯后。故應根據應用的需要，合理安排虛擬機數量，避免閑置的或測試用虛擬機在正式生產系統中的出現。

6.合理使用虛擬機的快照、復制技術。虛擬機的快照技術能夠在錯誤出現時讓損失降到最低，是虛擬機在特定時刻的狀態、磁盤數據和配置等基于文件的一種保存方式，適當使用可以將虛擬機恢復到任何以前有正?？煺盏臓顟B，但頻繁使用會占用很大的存儲空間，可能導致物理機I/O資源的大量消耗，虛擬機也可能因此崩潰。

（二）網絡安全要求

1.對架構中的虛擬機進行隔離，盡量控制在DMZ區運行。由于宿主機內部的虛擬機通信是通過虛擬交換機來傳送的。因此對外部網絡安全控制機制來說是看不見的，應根據應用程序類型和數據敏感程度，把虛擬機隔離到“安全區”，并參照DMZ主機系統的加固方案來實施，只開放應用所需的必要服務。通常做法就是將虛擬的應用服務器與數據庫服務器網段相互隔離，即把數據庫服務器放置在另外一個對虛擬的應用服務器而言的DMZ區。

2.控制虛擬機層端口的訪問。除了宿主機上開放的端口，虛擬機層也會使用宿主機的IP開放一些端口，這些端口可以允許其他人遠程連接到虛擬機層，以查看或配置虛擬機、磁盤，或者執行其他任務。對這些端口的訪問應該受到嚴格的控制，至少需要一個宿主機的防火墻，只允許授權者對這些端口的訪問。最好不允許任何的遠程訪問，這樣核心進程可以絕緣于外部環境。如此要求無法適應業務的需求，則可設置一臺單獨的管理機進行管理。

3.使用加密通信。一是必須使用通信加密手段，可以采用HTTPS、TLS、SSH或者加密VPN來管理;二是根據應用的僅有加密機制還是不夠的，還應有身份鑒別和認證，以防止偽造源IP攻擊、連接劫持、中間人攻擊。

4.采取身份驗證。對于宿主機和虛擬機一樣，均需要同時配置身份驗證方式。比如密碼的加密，登陸次數的鎖定或延時等。

（三）對虛擬機服務和配置的要求。

1.禁用虛擬機部分功能。對于單一操作系統的虛擬機來說，總會有一些不需要的服務在啟用，這些都是不必要的，而且他們占用了資源，可以關閉。例如屏幕保護、磁盤碎片整理、搜索工具（如搜索磁盤內的文件）、病毒和惡意軟件掃描、文件完整性檢查、日志和日志分析工具、系統更新等。

2.禁用虛擬機文件共享。大多虛擬機軟件支持在宿主機和虛擬機之間的無縫文件共享，在帶來了方便的同時也引入了安全風險。如此共享則虛擬機就有機會訪問宿主機，甚至對共享的文件進行操作。故除非有業務需要明確要求文件共享，否則應禁用文件共享功能。

3.虛擬機操作系統安全加固。對虛擬機操作系統進行各項安全的加固，就像它是一個物理機（宿主機）一樣。具體要求可參照前述的“加固宿主機的操作系統”章節執行。

4.斷開虛擬機不使用的設備。虛擬技術允許虛擬機直接、間接的控制物理設備，比如軟驅、光驅、USB接口、打印機等。建議關閉所有可控制的物理設備，只在需要的時候才允許連接。

（四）對虛擬機管理平臺的管理要求。

1.限制虛擬化管理平臺管理員權限的發放。在虛擬環境下，虛擬機被封裝為單個或多個虛擬磁盤文件，虛擬機的便攜性帶來非常高的風險。例如，以前偷走一臺服務器是很困難的，但是現在虛擬化管理平臺被入侵或不合理使用后，虛擬機可以被輕松拷貝，然后在另一個虛擬化平臺進行還原，一臺服務器的數據就如此輕易的被盜了。因此必須合理控制虛擬機訪問權限，無論是在線的還是離線的虛擬機文件都必須獲得嚴格的管理和控制，還要特別注意管理員權限的發放數量，以免虛擬機數量激增，擴大安全風險。

2.部署虛擬化專用工具。在有條件的情況下，部署虛擬化專用產品進行虛擬化平臺的防病毒部署、補丁管理、行為審計、運維管理，從物理層、邏輯層，再到業務層、流程管理，對系統進行全面監控、預警、告警和故障分析。相應的產品有BigFix、AuditPro、Stone ITSM、SteelEye等。

3.加強遠程控制的管理。一是指定管理機的IP地址。設置強壯的用戶名、密碼，如果對安全有更高要求的話，可以使用雙因素認證，PKI機制或一次性密碼;二是使用SSH遠程連接。還要禁止管理員直接登錄，用普通賬戶登錄然后切換到管理員，如安全要求較高，應選用DSA/RSA機制以防止中間人攻擊;三是盡量禁用VNC（Virtual Network Computing）和WEB管理。

4.關注虛擬機日志的管理。應該給虛擬機們提供一個集中的日志服務器，這個日志服務器也可以以虛擬機的狀態來運行。好的虛擬機日志要包括：電源狀態（開啟、關閉、暫停、恢復），對硬件配置的更改，登錄嘗試、提升權限的賬戶。此外根據具體應用情況還應對文件的復制、移動、刪除做日志記錄。

三、虛擬化技術在人民銀行的應用情況及審計實施建議

（一）虛擬化技術在人民銀行的應用情況。

基于安全性及穩定性考量，目前人民銀行在涉及資金的關鍵應用系統中尚未使用虛擬化技術，但在非關鍵領域的輔助系統中已有虛擬化平臺的生產應用。一是整合資源，簡化管理的要求。如外匯局省分局將散布于Sco Unix、Linux、Windows等多個不同軟硬件平臺的輔助應用系統（文件接收、web網站、運維軟件監控等）集中部署在Vmware虛擬平臺上;二是提高硬件資源利用率，減少服務器運行數量的需求。如部分中心支行將機房環境監控系統、門禁管理系統整合;三是探索新技術，替代陳舊設備的原因。如部分中心支行探索使用虛擬機，將使用率極低的辦公網電子公文傳輸系統、電子郵件系統整合于一臺物理PC服務器上運行。

從整體情況來看，除外匯局省分局采用了總局統一采購的正版且有全面技術支持的Vmware虛擬平臺外，其余單位、部門均存在缺少統一規劃，各自使用free甚至破解版虛擬機平臺的情況，雖然目前僅限于輔助應用，但信息安全風險不容忽視。

隨著技術的進步、數據整合上收的深入以及提效降耗的管理強化，未來虛擬化技術在人民銀行必將有更多的實踐應用。在今后的一段時間內，人民銀行IT審計人員應及時了解虛擬化系統面臨的威脅以及虛擬化在發展過程中的安全創新，以面對運行于異構基礎設施的物理機和虛擬服務器的信息安全挑戰。

（二）對人民銀行應用的虛擬化技術專項審計實施建議。

目前，人民銀行尚未對虛擬化技術應用開展過全面或專項的審計，只是在近年以來的信息技術審計中對虛擬化應用風險有過一些初步關注。歸納起來主要體現在：一是虛擬化平臺未使用正式版軟件，多為free或測試版，甚至有盜版破解的情況;二是虛擬機管理平臺Hypervisor管理不嚴格，如不加限制多人使用管理員用戶，用戶權限劃分模糊，直接以telnet等不加密方式遠程訪問等;三是網絡界限不嚴格，體現在一臺宿主機上運行的多個虛擬平臺跨網接入。如同一宿主機中有的虛擬機接入人民銀行業務網，而有的虛擬機則接入防火墻DMZ區的金融城域網;四是只重視宿主機及其操作系統的安全加固，而對基于其運行的多個虛擬機未予安全加固。

鑒于目前虛擬化技術尚未在人民銀行關鍵應用系統中投入，筆者認為，實施審計時應根據本文第三節提及的安全策略和審計關注面，結合人民銀行的實際情況，有所取舍，制訂出合理的審計方案。

一是關注風險，按風險導向模式開展審計。按照風險導向模式“審前調查→構建指標體系→固有風險評估→現場審計，重點評價風險控制措施→揭示問題，評估剩余風險”的流程開展審計。

1.加強審前調查。通過審計前期查閱相關技術文檔，與系統管理員、網絡管理員、信息安全員等被審計系統（單位）的相關人員充分溝通交流，從而了解被審計對象，有針對性的開展審計。

2.構建虛擬化技術風險評價指標體系?？蓪μ摂M化技術的審計內容具體劃分為八個指標域：一、內部控制管理;二、硬件與設施管理;三、網絡管理;四、宿主機安全管理;五、各虛擬機安全管理;六、Hypervisor管理監控平臺管理;七、基于虛擬機的業務應用系統管理;八、應急、備份和采購、服務、技術支持管理。各類指標域的下設一、二級指標（可參照人民銀行常規信息技術審計的內容及指標體系，此處不再詳述）。指標體系可采用人民銀行系統廣為應用的層次分析法來構建判斷矩陣并計算指標權重。

3.開展審前固有風險評估?？勺咴L虛擬技術涉及的相關業務管理、業務應用及技術支持部門，采取查閱相關文檔，調取以往開展過的審計、專項檢查的檔案資料，電話訪談技術及服務供應商等方法開展有針對性的審前固有風險評估，了解虛擬技術管理基本情況和薄弱環節，確定審計的重點范圍。同時根據風險評估情況結合審計經驗及科技部門對信息安全管理的相關要求，根據每個指標的固有評估風險等級和風險事件發生的可能性計算出固有風險評估值。

4.以風險控制有效性為核心，開展現場審計。對風險評估模型框架中各級指標的風險管理控制情況逐一開展檢查評估，并集中審計力量對風險評估為高風險領域的指標開展重點檢查。對于各項指標的風險控制有效性做出“持續有效（風險控制全覆蓋）、有效（風險控制大部覆蓋）、基本有效（風險控制基本覆蓋）、輕微效果（風險控制少量覆蓋）、無效”等五類定性評價結論，并根據定性評價結論所對應的等比數列量化轉換比例，將定性評價結論轉化為定量得分。對于審計發現的因風險控制缺失與不足而導致的問題，采用風險與控制并重的原則，根據可能潛在的損失程度，對問題的嚴重性進行判斷，并區分為嚴重、較嚴重、一般、輕微四級。

5.定量與定性相結合，披露剩余風險。根據人民銀行風險量化評估的基本模型：剩余風險=固有風險-控制有效性，通過權重計算、風險等級界定賦值計算固有風險，減去風險控制有效性的定量轉換分值，再通過加權累積，計算得出人民銀行虛擬化技術風險評估模型各指標域的剩余風險評分以及虛擬化技術應用管理總體剩余風險評分。需要關注的是，審計不僅要對宿主機、虛擬機、管理系統等虛擬技術整體架構（硬件、軟件、網絡及管理）進行剩余風險披露，還需對基于虛擬化平臺運行的應用系統風險承受情況及剩余風險作出判斷。通過對剩余風險做出詳盡披露，便于管理層開展橫、縱向的分析比較，從而做出相關決策。

二是突出重點，兼顧績效。結合人民銀行尤其是分支機構的虛擬技術只應用于非關鍵領域的輔助系統這一實際情況，不僅要對宿主機、虛擬機、管理系統等虛擬技術整體架構（硬件、軟件、網絡及管理）進行風險評估，還需對基于虛擬化平臺運行的輔助系統風險承受情況作出判斷，將審計的重點放在宿主機管理及虛擬機管理系統方面，著重審核基礎平臺安全及運行管理水平，對于虛擬機的審核重點關注虛擬機的快照、復制情況（傳統平臺上的備份），確保業務連續性;從績效視角出發，可通過比較計算虛擬技術的投入（主要是軟件支出）與整合資源后節省的費用（硬件設備、能耗與運營費）孰高等計算方式得出結論。

（作者單位：中國人民銀行南昌中心支行）