区域数据中心虚拟化技术的采用，极大地提高了服务器的利用率，降低了运维能耗，但以安全、稳定为要务的银行业，更加注重虚拟化技术的安全性。为此，本文对虚拟化技术的安全性措施进行探讨，初步提出虚拟化安全机制建设的方法。

　　一、虚拟化技术的相关背景

　　数据中心在银行信息化建设中的地位越来越重要，在有效支持银行业务发展和产品创新的同时，数据中心自身管理问题也日益凸现：各个系统相互独立，形成多个应用结点和信息孤岛，系统之间难以共享数据和资源；服务器与存储设备的性能得不到充分利用，数量却不断增加；管理和维护费用居高不下、运行成本不断攀升；信息安全面临挑战；供电、散热等能源问题十分突出。针对上述问题，主流IT厂商纷纷提出了数据中心的虚拟化解决方案。虚拟化技术有着提高资源利用率、增强执行效率以及部署灵活等优点，而以安全、稳定为第一要务的银行业更加注重虚拟化技术的安全性。

　　(一)虚拟化技术的发展现状

　　虚拟化技术于上世纪70年代开始在IBM Sys—tem 370等大型主机上应用。通过将硬件层抽象化，减少物理资源的管理，虚拟化技术把应用、数据和物理系统分开，从而增加了灵活性，使得物理资源可以更好地配合工作负载和数据要求。此前，虚拟化技术在x86架构上进展缓慢的主要原因是x86架构本身不适合进行虚拟化，不过这个障碍己经由英特尔、AMD解决；还有一个原因是x86处理器的性能不足，这一原因也由x86处理器在性能上的飞速提高得到了解决。由于x86架构的广泛普及，x86架构上的虚拟化技术也得到了比以前更大的关注。

　　随着在x86平台上的成功实现，虚拟化技术首次向人们展示了其广阔的应用前景，因为x86平台可以提供便宜的、高性能和高可靠的服务器。更重要的是，一些用户己经开始配置虚拟化的生产环境，他们需要得到新的管理工具，从而随着虚拟化技术的发展而得到更大的收益。

　　(二)虚拟化产品的分类及介绍

　　针对虚拟化产品，从技术角度看，我们可以将其分为两大类：模拟器技术(Emulation)和虚拟化技术fvirtualization)。虚拟化技术又可以分为半虚拟化技术和全虚拟化技术。

　　1．模拟器技术。这是在一个硬件平台之上通过软件来模拟其它平台硬件的技术，基本上所有的指令都是通过软件来模拟运行的，没有直接在硬件之上运行，因此这种技术最大的缺点就是性能损失比较大；从另一个角度来说，虚拟客户操作系统的代码不需要做任何修改就可以在模拟器软件上面运行，因此该项技术具有较强的通用性。

　　2．全虚拟化技术。也称为原始虚拟化技术，在虚拟化的操作系统和硬件之间插入一个层。这个层被称为Hypervisor。它搭建了一层完整的虚拟硬件平台，客户操作系统(GuestOS)完全在这层虚拟硬件平台上运行。该类技术需要特定的硬件支持，目前AMD公司和Intel公司的CPU都能提供这种硬件支持。与裸机相比，全虚拟化技术会造成性能大约10％至30％的下降。目前支持全虚拟化的产品有VMWare ESX Server、XEN、KVM等。

　　3．半虚拟化技术。也称为准虚拟化、超虚拟化或部分虚拟化技术，是另一种类似于全虚拟化的热门技术。它同样也使用Hypervisor共享底层硬件资源，但半虚拟化技术不需要特殊硬件支持，而是需要Guest0S配合Hypervisor做一些修改。由此可见，半虚拟化技术对Guest0S的兼容性下降了，只能运行如Linux、Unix这样的开源系统，不能运行非开源的系统。目前支持半虚拟化的有Xen、User—Mode—Linux等软件。

图1 基于虚拟监控软件的安全机制总体架构

　　在虚拟化技术中，虚拟监控软件(VMM)是位于客户系统和服务器上面的一个比较普通的虚拟软件层，被用于协调GuestOS和硬件之间的工作，一些受保护的指令必须由VMM来捕获和处理。VMM同GuestOS以及其上运行的程序是完全隔离开来的，随着应用不断发展，VMM在提供对上层操作系统部分隔离这种特性的同时，也提供可控制的安全通讯和安全资源共享环境，从而构建VMM级别、操作系统级别、应用级别的多层次安全控制模型。