与虚拟终端技术不同，虚拟软件技术的目标是在客户 端计算机上虚拟多个逻辑隔离的软件运行环境，它更加接 近计算机的经典使用模式，能够在充分使用客户端计算资 源的同时保证相当强度的安全性。由图l川可见，原有的内 核态与应用态软件进程之间多了一个虚拟层，该虚拟层截 获用户态进程对内核的所有系统调用，并根据进程运行环 境的不同将其重定向到同一逻辑内核对象的不同真实物理 镜像上，从而有效地实现数据的隔离。
由于虚拟终端技术对服务器的要求过高，提高了部署成 本，同时也由于虚拟软件技术更加接近用户的传统使用模式， 更容易被用户所接受，所以虚拟软件技术更加适合作为实现 数据防泄漏的基础。基于虚拟软件技术的DLP解决方案可以 在一台物理主机上模拟多个虚拟环境，虚拟环境可以被理解 成一种工作空间，其基本要素包括桌面、文件、注册表、应 用程序等，如图2所示。通过对这些基本要素的隔离，可以 达到将涉密数据限定在指定空间内的目标。在此基础上，不 仅可以实现一机模拟多机，而且内部主机可以共享同一物理
学术研究
网络组建的多个虚拟专网，进而达到一网模拟多网的耳的。同
时，为了解决涉密数据的交换需求，系统设计了虚拟网络和 虚拟外设两种用于交换的虚拟资源，从而把工作空间的范围
从单机延伸至网络和移动存储，形成承载涉密数据的安全域。
呢?笔者相信，答案是肯定的。

图3虚拟化后形成相互隔离的安伞域
首先，以虚拟化技术为基础，数据的统一灾备可以更 精确地执行。这是因为，虚拟化技术能够将用户的涉密数 据与非涉密数据区分开来，并通过访问重定向将分散的涉 密数据集中存放在虚拟空间中，使数据灾备方案可以做到 有的放矢。同时，数据的虚拟化存储也使得数据灾备在实 现上更加容易，即使在低成本解决方案中(如个人数据安 全)，也可以通过对虚拟磁盘进行整盘备份而轻易实现数据 灾备，在企业级应用中，用户还可以通过虚拟网络直接把 关键数据重定向存储到远端。
其次，虚拟化技术可以延伸到数据的外发流程，从而实 现数据防滥用需求。通过将虚拟化技术应用于优盘等存储介 质，能够在存储介质的读写过程中加入虚拟层，由虚拟层统 计数据被使用的权限、次数、时间等信息，并据此对数据的 使用做出限制，达到防止数据被滥用的目的。
总之，虚拟化技术虽然不可能是数据安全领域的万用灵 丹，但通过虚拟化技术，形成一套完全覆盖数据使用生命周
期的数据安全统一防护模型，是完全可以期待的。

图2工作空间的基本要素
安全域可以有独立的安全策略，根据域中数据密级而调 整。涉密数据被禁止跨域交换，即使通过虚拟网络和虚拟外 设进行交换，数据也被限定在本域，但非涉密域到涉密域的 单向交换是允许的。如图3所示，物理环境被虚拟为非涉密 域和涉密域两个逻辑隔离的环境，各自具备虚拟工作空间、 虚拟网络和虚拟外设，俨然多了一套可以完全独立运转的办 公网络，却没有增加任何一台硬件设备。

5全面的数据安全方案

虚拟化技术在数据防泄漏方面有着无限的潜力，那么， 虚拟化技术是否有能力覆盖数据安全的其他方面，成为能够 统一解决数据防丢失、防泄漏、防滥用问题的全面解决方案

 

万方数据
6结语

虽然虚拟化的概念和实施最早来源于大型主机，并且主 要应用于虚拟主机领域，但随着数据安全理念的发展，以虚 拟化技术为主要基础的新型数据安全防护平台必将在信息安 全领域展现其独有的特殊魅力。虚拟化技术已经为数据安全 打开了一扇全新的窗口，一个崭新的时代即将到来。

参考文献
【l】Yang Yu，  Hariharan K01am govindarajan，    Lap— Chung Lam，  et aL A feather—wei窖nt   virtual ma— cbine for喇ndoⅥ，s appncationS【c】．AcM／u9印政In—
ternational C 0nference on Virtual Execution

Environments，2006，01：24—34．‘氆

 

(责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）