第五章 虚拟化技术,让数据更安全.pdf

虚拟化技术，让数据更安全 Virtualization Making Data More Secure 金亮 夏斌 郁郎 李萍 刘羽 摘要： 本文介绍了数据安全，尤其是数据防泄漏在信息安全领域中的重要性。分析了当前应用较为广泛的几 种数据防泄漏技术机制，总结了它们各自的优缺点。文章对业界最新出现的以 拟化技术为基础的数据防 泄漏理念进行了重点介绍，并展望了其在数据防泄漏领域将要发挥的重要作用。 Abstract : Data security especially data leakage is becoming a hot-spot in the field of information security. I n this paper, several virtualization technologies are introduced as candidates to solve data security and their advantages/disadvantages are analyzed. As a result, we give the most feasible solution based on OS virtualization and it s theory. In the end, a typical implementation is presented. 关键词：数据安全；防泄漏；加解密； 拟化； Keywords ：Data-Security; Anti-Leakage; V irtualization; Encryption 1、 引言 随着信息化在我国的蓬 发展，电子化的数据日益成为各行各业甚至每一个人的重要资 产。数据的保密性、完整性和可用性关系到国家的安全、企业的核心竞争力、个人的隐私。 因此，数据安全，作为信息安全领域中的重要课题，正越来越受到大家的关注。 数据安全涵盖了防泄露、防丢失、防滥用三大层面，其中，数据防泄漏是当前尤为突出 的热点问题。电子邮件、即时通讯、可移动存储介质的广泛应用，在提升人们工作效率的同 时，也不可避免地扩展了数据泄漏的通道，尤其是主动泄密行为，其泄漏途径更是呈现出“乱 花渐欲迷人眼”的复杂态势。面对这样的严峻 势，国内外安全厂商纷纷推出自己的数据泄 露防护解决方案。这些解决方案的最终目标只有一个：确保用户数据的安全，防止数据被非 法窃取和意外丢失，无论有意还是无意。 2、 当前数据泄漏防护研究现状 数据防泄漏 （Data Leakage Prevention-以下简称DLP）本身并非什么新兴概念，面向数 据的安全防护技术在多年前就已成为信息安全领域所关注的重要课题。为了保证数据的保密 性、完整性和可用性，信息安全业内先后提出过多种技术方案，从不同的角度来解决数据防 泄漏问题，目前主流的DLP 技术可以分为控制类、加密类及过滤类三大类技术。 1 2.1 控制类技术 控制类技术的核心思想是权限概念的延伸，主要通过权限的设置，对计算机的输入输出 进行集中控制和管理。由于控制了数据的传输通道，所以能够防止未经授权的数据外泄。但 是由于该类技术主要关注数据在传输过程中的合法性，对数据的存储通常不进行加密保护， 因此单纯采用控制类技术的数据防护方案往往无法解决如磁盘丢失等被动泄密风险。同时， 因为数据传输的途径极为丰富，单纯的“围追堵截”难免百密一疏，无法做到尽善尽美。 2.2 加密类技术 加密类技术是信息安全领域的经典技术，其在数据防泄漏领域的应用可细分为：文件级 加密技术、磁盘级加密技术和硬件级加密技术等。 [1] 以“透明加解密” 为代表的文件级加密技术是目前国内使用最为广泛的数据防泄漏解 决方案。其原理是在操作系统底层引入内核级文件过滤驱动，由驱动程序对文件的加解密过 程进行自动处理，达到加解密逻辑对用户透明的效果。但是，这种实现机制在简化用户操作 的同时，也限定了文件是否加密主要取决于应用程序和文件的关联关系，从而导致对用户环 境的兼容性较差。 以W indows 7 的BitLocker 为代表的磁盘级加密技术，是通过在磁盘读写时自动对磁盘 扇区进行加解密实现的。这种