(2)訪問控制

訪問控制是實(shí)現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，它通過某種途徑顯示管理所有資源的訪問請(qǐng)求。根據(jù)安全策略要求，訪問控制對(duì)每個(gè)資源請(qǐng)求做出許可或限制訪問的判斷，可以有效防止非法用戶訪問系統(tǒng)資源，以及合法用戶非法使用資源等情況的發(fā)生。在Hypervisor中設(shè)置訪問控制機(jī)制，可以有效管理虛擬機(jī)對(duì)物理資源的訪問，控制虛擬機(jī)之間的通信。

虛擬化軟件通常安裝在服務(wù)器上。如果虛擬主機(jī)能夠使用主機(jī)操作系統(tǒng)，那么該主機(jī)操作系統(tǒng)中不能包含任何多余的角色、功能或者應(yīng)用。主機(jī)操作系統(tǒng)只能運(yùn)行虛擬化軟件和重要的基礎(chǔ)組件（如殺毒軟件或備份代理）。同時(shí)避免將操作系統(tǒng)加入到生產(chǎn)環(huán)境中，可以在專用活動(dòng)目錄中創(chuàng)建一個(gè)專門的管理域管理虛擬主機(jī)。該類型的域允許使用域成員的管理產(chǎn)品，而不用擔(dān)心主機(jī)服務(wù)器被盜后曝光生產(chǎn)域。

目前，很多組織在虛擬機(jī)中部署了vIDS/vIPS。vIDS/vIPS可以通過分析網(wǎng)絡(luò)數(shù)據(jù)或采集系統(tǒng)數(shù)據(jù)對(duì)虛擬機(jī)進(jìn)行安全控制，其具有以下作用。

·監(jiān)視分析用戶及系統(tǒng)活動(dòng)；

·進(jìn)行系統(tǒng)配置和弱點(diǎn)審計(jì)；

·識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；

·進(jìn)行異常行為模式的統(tǒng)計(jì)分析；

·評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

·進(jìn)行操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略行為。