本站业务范围

  • 毕业论文定制
    南粤论文中心提供本科/研究生/博士毕业论文,从提纲,开题到后期免费修改,免费指导答辩等 ,联系人:魏老师,电话:13450375436。
  • 代写代发职称论文
    南粤论文中心提供职称论文代写,报告总结,演讲致辞,心得体会,党团辅导等代写服务并推荐发表省级,国家级,核心杂志包发。联系QQ:631069747。
首页 > 理工论文 > 通信学 >

虚拟化技术,让数据更安全

来源:南粤论文中心 作者:金亮2,郁郎2 发表于:2010-04-08 10:31  点击:
【关健词】数据安全;防泄漏;虚拟化;加解密
【摘要】论文介绍了数据安全,尤其是数据防泄漏在信息安全领域中的重要性,分析了当前应用较为广泛的几种数 据防泄漏技术机制,总结了它们各自的优缺点,并对业界最新出现的以虚拟化技术为基础的数据防泄漏理念进行了重 点介绍,展望了其在数据防泄漏领域将要发挥的重要作用。

O引言                          1                当前数据泄漏防护研究现状.

数据的保密性、完整性和可用性关系到国家的安全、 企业的核心竞争力、个人的隐私。数据安全,作为信息安 全领域中的重要课题,正越来越受到大家的关注。
数据安全涵盖了防泄露、防丢失、防滥用3个方面,其 中,数据防泄漏是当前尤为突出的热点问题。电子邮件、即 时通讯、可移动存储介质的广泛应用,在提升人们工作效 率的同时,也不可避免地扩展了数据泄漏的通道,尤其是 主动泄密行为,其泄漏途径更是纷繁复杂。面对这样的严 峻形势,国内外安全厂商纷纷推出自己的解决方案,目标 只有一个:确保数据的安全,防止数据被非法窃取和意外 丢失,无论有意还是无意。


万方数据

数据防泄漏(Data  Leakage Prevention—DLP)并非新 兴概念,面向数据的安全防护在多年前就已成为信息安全 领域所关注的重要课题,为此业内先后提出过多种方案,从 不同的角度来解决数据防泄漏问题,目前主流的DLP技术 可以分为控制类、加密类及过滤类3大类技术。
控制类技术的核心思想是权限概念的延伸,主要通过 权限的设置,对计算机的输入输出进行集中控制和管理,防 止未经授权的数据外泄。但是由于该类技术主要关注传输 过程中的合法性,对数据的存储通常不进行加密保护,因 此,单纯采用控制类技术的数据防护方案往往无法解决如 磁盘丢失等被动泄密风险。
加密类技术是信息安全领域的经典技术,其在数据防 泄漏领域的应用可分为:文件级加密技术、磁盘级加密技 术等。以“透明加解密”为代表的文件级加密技术是目前 国内使用最为广泛的防主动泄密解决方案。以windows        7 的BitLocker为代表的磁盘级加密技术,对于解决硬盘遗 失后的被动泄密问题最为有效。
过滤类技术,相对其他技术而言,其优点是无需在终

端处安装软件,使用模式是在内网的出口安装内容过滤设
备,防止敏感数据的泄露,其缺点是无法识别经过特殊处 理的内容,如加密和隐写术(Steganography)处理。
以上技术各有其优势,也都存在一些弱点,尤其是在 应用程序兼容性、防护强度、效能影响等方面。数据防泄 漏,依然任重道远。

2虚拟化的先天特性

作为一项诞生于40多年前的技术,虚拟化技术已经得到 了长期的理论研究和实验论证。经过不断的挑战,虚拟化技 术被要求具备一些基本的特性,这些特性包括:
(1)等价性:运行在虚拟机环境下的程序应当表现出与 原始物理机器基本一致的行为。
(2)资源可控性虚拟机必须能够完全控制虚拟化的资源。 (5)高效性:虚拟机不应当显著降低工作负载性能。

5最合适的虚拟化层次

虚拟化可以在几个不同层面上实现:指令集结构层 (ISA)、硬件抽象层(HAL),操作系统层、应用层等。在指令 集结构层实现的虚拟化通常需要专用硬件设备,即硬件实现 的虚拟化,在其他层次实现的虚拟化技术则可统称为软件实 现的虚拟化。如何在多种虚拟化技术中找到最适合DLP需求 的技术,无疑是将虚拟化技术引入到DLP领域的立足之本。
基于对硬件平台普适性的考虑,必须依赖特殊硬件的虚拟化
技术将首先被排除,所以在软件层次实现的虚拟化技术将作 为数据防泄漏的考虑基础。由软件实现的虚拟化技术,包括 以Vmware为代表的硬件抽象层虚拟化(Hareware—level virtllalj翻tion)、操作系统层虚拟化(os—le、,el   Vill|mlizati叽) 以及应用层虚拟化(AppⅡca廿on一1evel vinualization)。
以v1Ⅵware为代表的硬件抽象层虚拟化技术,通过完全 虚拟化所有的物理设备,实现了在宿主主机上构建多个虚拟 操作系统的效果。优点是可以建立完全隔离的操作系统,彻 底屏蔽底层硬件差别;缺点是复杂性较高,效率较低,并且 仅能够模拟硬件资源,不能够模拟文件、注册表等主机资源。 操作系统层虚拟化则将虚拟层实现在操作系统之上,可 以直接使用操作系统提供的设备驱动,因此,无需模拟所有 的硬件设备,只需要实现具体应用所关注的主机资源的虚拟 化。其优点是仅虚拟应用程序的必要资源,冗余低、效能高、 可靠性好,并且可以模拟文件、注册表等非硬件资源。该类 技术主要是通过对宿主操作系统(Host    oS)的I/o调用、系 统调用、动态库调用进行重定向而实现的,能够极大地提升 系统性能,比较符合传统数据防泄漏产品的安全防护模型。


84  I晒晒晒。cisma口。①①圆。@田
万方数据
应用层虚拟化则是将虚拟层实现在进程级别,通过针
对指定进程虚拟化其所需资源,可以达到仅对指定进程虚 拟出资源而不影响系统其他应用程序的效果。优点是对系 统影响更小,缺点是无法控制操作系统在内核态中进行的 不区分进程的资源访问。
由此可见,操作系统虚拟化技术是最适合数据防泄漏需 求的技术方案,它能够在控制力度和效能损耗中取得平衡, 并且适合对数据存储单元(文件、注册表等)进行虚拟。

4   操作系统虚拟化技术在数据防泄漏领域
的应用
操作系统虚拟化技术在数据防泄漏方面又可以分为两个 分支:虚拟终端D蝇day—only File sen陀“DoFS)“啪虚拟软 件Layered sof栅are vi巾la】i毖乜on。它们之间的差别在于虚
拟终端机制中的应用软件和数据部署在服务端,虚拟软件机制 中的应用软件和数据部署在客户端,下面分别进行说明。
基于虚拟终端的安全应用,是将原本应该在客户端运 行的软件和数据转移到服务端运行,仅将运行结果通过专 有网络协议传输到客户端显示,其根本的理念类似于瘦客 户端模型。通过虚拟终端技术,虽然没有改变应用软件的 使用模式,但是改变了软件和数据部署的位置,从而隔离 了数据使用者和数据本身,安全性极高。但虚拟终端模式 的弱点是限制了对客户端计算能力的使用,软件的运行完 全依赖于服务器的计算能力,因此不能适合大规模分布式 计算的应用,如3D渲染、网格计算等。(责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)

顶一下
(0)
0%
踩一下
(0)
0%
  • 上一篇:信息安全管理在等级保护实施过程中的要点分析
  • 下一篇:六足生物的反射运动机理实验研究


    • 版权声明:因本文均来自于网络,如果有版权方面侵犯,请及时联系本站删除.
    网站地图