云計算虛擬化技術有以下優勢：

• 資源共享：通過利用虛擬化技術，可以將企業的一些硬件資源包括服務器、網絡全部整合起來，可以高效地利用這些資源，提高這些資源的利用率，減少資源的浪費。

• 負載動態優化：一方面體現在采用了虛擬化技術后可以隨著業務系統的工作負載動態變化來調整資源的供給。另一方面是從整個企業的數據中心資源利用率方面考慮，通過使用一些動態優化的算法能夠將這些虛擬化的服務器在不同的資源、機器里面進行調配，減少物理機器的數量。

• 自動化管理：一是可以通過虛擬化技術屏蔽硬件底層的差異，不管是系統管理員還是上層的服務，都可以用統一的方式使用下層的資源，讓管理和使用更加方便、高效。二是利用虛擬化組件的技術可以將企業經常用的軟件、服務等做成虛擬組件模板，實現一次創建模板、到處可以使用的便捷方式，提高IT系統響應能力。三是維護數量龐大的服務器群的運維管理成本也因為整合服務器提高管理效率而得以降低，由于減少了服務器，通過控制臺集中管理，簡化了管理任務，使管理工作變得輕松易行。

• 安全性高：由于虛擬系統的硬件平臺無關性，虛擬化技術可應對系統在突發情況下的安全威脅。當前的虛擬化計劃可以做到在特定的時間對其上運行的系統進行“快照”抓取，有了“快照”，即使服務器受到了惡意攻擊，也能夠很方便地進行恢復，對服務器的安全起到了很好的保障作用。

• 節能環保：一方面由于企業現有應用復雜性非常高，在硬件、軟件、散熱等方面的資金投入非常大，借助虛擬化技術可極大地提高每一臺服務器的利用率，降低整體服務器基礎架構的總成本。另一方面采用虛擬化技術之后由于物理服務器數量的減少，服務器能耗、制冷電器等的用電量也大大降低，還有利于創建更加綠色環保的環境。

數字證書是一種權威性的電子文檔，它提供了一種在 Internet 上驗證身份的方式。 其作用類似于司機的駕駛執照或日常生活中憑證。 它是由一個權威機構——CA證書授權(Certificate Authority)中心發行的，人們可以在互聯網交往中用它來識別對方的身份。即以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性。當然在數字證書認證的過程中，數字證書認證中心（CA）作為權威的、公正的、 可信賴的第三方，其作用是至關重要的。數字證書也必須具有唯一性和可靠性。

數字證書的特性：

• 保密性

  交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

• 確定性

  網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是 一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對于為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地 開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認工作完全交給銀行來完 成。銀行和信用卡公司可以采用各種保密與識別方法，確認顧客的身份是否合法，同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。

• 不可否認性

  由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單后，金價上漲了，如收 單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。

• 不可修改性

  交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單后，發現金價大幅上漲了，如其能改動文件內容，將訂購數1噸改為1克，則可大幅受益，那么訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。

繞過安全機制的方法如下：

• 猜測/計算cookie：提前預測或者通過技術計算出安全機制的cookie，讓通過識別cookie的安全機制失效來繞過；

• 覆蓋SEH：通過(pop pop ret)覆蓋SEH來達到溢出的目的來繞過安全機制；

• 覆蓋虛表指針：當把虛表指針覆蓋后，由于要執行虛函數得通過虛表指針來搜索，即可借此劫持來繞過安全機制。

選擇防火墻產品時要注意以下方面：

• 防火墻自身的安全性：防火墻自身的安全性主要體現在自身設計和管理兩個方面。設計的安全性關鍵在于操作系統。而應用系統的安全是以操作系統的安全為基礎的，同時防火墻自身的安全實現也直接影響整體系統的安全性。

• 系統的穩定性：目前，由于種種原因，有些防火墻尚未最后定型或經過嚴格的大量測試就被推向了市場，其穩定性可想而知。

• 高效性：高性能是防火墻的一個重要指標，它直接體現了防火墻的可用性，也體現了企業用戶使用防火墻產品的代價。如果由于使用防火墻而帶來了網絡性能較大幅度的下降，就意味著安全代價過高。

• 可靠性：可靠性對防火墻類訪問控制設備來說尤為重要，直接影響受控網絡的可用性，它在重要行業及關鍵業務系統中的重要作用是顯而易見的。從系統設計上，提高可靠性的措施一般是提高本身部件的強健性，增大設計閾值和增加冗余部件，這要求有較高的生產標準和設計冗余度。

• 功能靈活性：防火墻需要能夠有效地控制通信，能夠為不同級別、不同需求的用戶提供不同的控制策略。例如對普通用戶，只要對IP地址進行過濾即可；如果是內部有不同安全級別的子網，有時則必須允許高級別子網對低級別子網進行單向訪問。

• 配置和管理方便性：一般防火墻系統具有強大的功能，但是其配置安裝的過程也較為復雜，要求較高的技術含量，但是一些支持透明通信的防火墻在安裝時就不需要對網絡配置做任何改動。因此，一個好的防火墻產品應符合用戶的需求，操作方便。

• 是否可以抵抗拒絕服務攻擊：在當前的網絡攻擊中，拒絕服務攻擊是使用頻率最高的方法。抵抗拒絕服務攻擊應該是防火墻的基本功能之一。目前有很多防火墻號稱可以抵御拒絕服務攻擊，但嚴格地說，它應該是可以降低拒絕服務攻擊的危害而不是抵御這種攻擊。在采購防火墻時，用戶應該詳細考察這一功能的真實性和有效性。

• 是否可以針對用戶身份過濾：防火墻過濾報文，需要一個針對用戶身份而不是IP地址進行過濾的辦法。目前常用的是一次性口令驗證機制，保證用戶在登錄防火墻時，口令不會在網絡上泄露。

• 是否可擴展、可升級：用戶的網絡不是一成不變的，和防病毒產品類似，防火墻也必須不斷地進行升級，此時支持軟件升級就很重要了。如果不支持軟件升級，為了抵御新的攻擊手段，用戶就必須進行硬件上的更換，而在更換期間網絡是不設防的，同時用戶也要為此花費更多的錢。

導致入侵和攻擊的原因十分復雜，其可能的原因歸納如下：

1. 竊取情報、獲取文件和傳輸的數據信息；

2. 安裝有害程序、病毒或特殊進程等；

3. 獲得更高的系統使用權限；

4. 搜索系統漏洞、安裝后門等；

5. 非法訪問、進行非法操作等；

6. 干擾網絡系統工作、拒絕服務等；

7. 其他目的，例如，傳播非法信息、篡改數據、欺騙、挑戰、政治企圖、危害國家經濟利益、破壞等；

8. 電子信息戰的需要。

數據安全是計算機網絡安全的核心問題。根據數據安全準則，數據安全的技術特征有以下幾方面：

• 數據只能由授權用戶使用，不能泄露給非授權用戶或實體；

• 要防止數據在存儲或傳輸過程中發生篡改、刪除、偽造、重放等事件；

• 合法用戶需要使用數據時，應能保證其正常使用；

• 加強審計、鑒別，防止發生對數據操作行為的抵賴。

實現數據安全的基礎是密碼技術，通過密碼技術可以增強數據的保密性、完整性、可用性和一致性等安全性能。另外，當數據受到威脅后，數據的穩定性和可恢復性也是數據安全的重要內容之一。

堡壘機連接會話經常提示登錄超時，斷開連接原因如下：

• 原因一：用戶使用默認“登錄超時”30分鐘，在堡壘機運維會話超過30分鐘無操作，云堡壘機系統退出登錄，登錄的資源斷開連接。

• 原因二：ECS主機資源系統空閑等待時間或鎖屏超時時間設置不合理，配置時間太短，ECS主機系統超時退出。

解決辦法：

• 原因一解決辦法：重新設置“登錄超時”時間，延長登錄超時時間，保持堡壘機或者云堡壘機運維會話界面在線狀態。

• 原因二解決辦法：設置Linux主機的空閑等待時間TMOUT，即設置TMOUT=目標時間，如果是windows系統則設置Windows主機的鎖屏超時時間，即在Windows主機系統設置中，重新選擇目標超時鎖屏時間。

大規模公有云的潛在問題包括以下方面：

• 成本：最初使用公有云時，僅允許有限的少數幾個人訪問，這時跟蹤成本相對簡單。然而，隨著更多（通常是相互獨立的）部門中越來越多的人獲得訪問權限，你可能會遇到功能重復、過度供應、未經授權的采購、未使用的“僵尸”實例、多余的帶寬和存儲費用，以及其他一些不必要的影響因素，這些不斷蠶食著預期的成本預算。

• 未經授權的訪問：對小規模的公有云服務訪問的管理相對簡單，但是隨著公有云的采用規模逐漸增加，管理將很快失控。公司的前雇員在離職后可能仍然保留訪問權限，員工的角色變化后，并沒有相應地更新訪問權限，新員工難以訪問到所需的資源等。由于多數云服務提供者無法提供企業級的安全保障，隨著逐步擴大公有云的采用規模，你將很快成為未經授權的訪問的犧牲品。

• 惡意入侵：比員工的訪問權限控制問題更嚴重的是外部對云服務的惡意入侵。密碼丟失、共享的用戶ID、數據泄漏、簡單密碼、社會工程學、網絡釣魚和惡意軟件都有可能使公有云服務暴露在數據丟失、篡改、攻擊、拒絕服務和其他惡意入侵的威脅之下。

• 人為失誤：公有云服務規模較小時，通過人工就可方便地管理，但隨著規模的不斷擴大，不可能持續地增加人力以維持其可管理性。這就意味著更少的人做更多的工作，均衡法則告訴我們最終肯定會有人犯錯誤，進而可能會導致大規模的故障。盡管這并不是云服務獨有的問題。

• 可見性低：當只有少數幾個服務時，管理可以很細致，只要一兩個人就可以了解這些服務的部署位置、配置方式、成本花費、使用情況、所屬關系、問題原因、解決方案、服務關閉時間、恢復辦法等。然而，在規模較大的系統中，隨著公有云部署規模的不斷擴大和更多用例的訪問放開，云的使用情況將變得越來越難以捉摸。

• 分類診斷困難：可見性差導致的后果之一就是使問題的分類診斷也變得更加困難。例如，如果不知道系統運行在哪里或者它如何與其他的服務連接，基本上就無法確定事務流變慢的原因。系統思維方面的專家愛德華·戴敏曾經說過：“不可衡量者不可管理”。也許更恰當的說法是：“知己知彼，方能百戰不殆”。

• 可恢復性低：盡管嚴重的停機故障并非云所獨有，但是幾乎每周我們都會聽到新的令人關注的公有云故障的報道。然而多數云服務提供者，特別是商品化服務，并未內置恢復功能；即便是更加健壯的服務，也可能無法提供及時的恢復服務或優先考慮某個用戶的業務需求。如果沒有系統可用于備份、故障轉移和恢復，停機故障就在所難免且后果嚴重。

IDS 的部署方式有：

• 共享模式和交換模式:從HUB上的任意一個接口，或者在交換機上做端口鏡像的端口上收集信息。

• 隱蔽模式:在其他模式的基礎上將探測器的探測口IP地址去除，使得IDS在對外界不可見的情況下正常工作。

• Tap模式:以雙向監聽全雙工以太網連接中的網絡通信信息，能捕捉到網絡中的所有流量，能記錄完整的狀態信息使得與防火墻聯動或發送 Reset 包更加容易。

• In-line模式:直接將IDS串接在通信線路中，位于交換機和路由器之間。這種模式可以將威脅通信包丟棄，以實時阻斷網絡攻擊。

• 混合模式：通過監聽所有連接到防火墻的網段，全面了解網絡狀況。

Oracle防止黑客攻擊的措施有以下這些：

• 用戶管理機制：在Oracle系統中，根據工作性質和特點，用戶可以分為3類：數據庫管理員（DBA）、數據庫開發人員和普通用戶。不同類型的用戶分別賦予不同的權限，從而保證數據庫系統的安全。任何需要進入數據庫的操作都需要在數據庫中有一個合法的用戶名，每個用戶必須通過一個密碼連接到數據庫，以便被確認，只有經過系統核實的用戶才可以訪問數據庫。用戶配置文件主要用于控制用戶使用主機系統資源，可以通過該文件進行賬號管理。

• 審計機制：在Oracle系統中，利用審計跟蹤來監視用戶對數據庫施加的操作，通常用于調查非法活動以及監控、收集特定數據庫的活動信息。審計功能啟用一個專用的審計日志（audit log），系統自動將用戶對數據庫的所有操作記錄在上面，包括操作用戶、操作對象、操作時間、操作名稱等。

• 授權與檢查機制：Oracle 的權限分為系統級權限和對象（或實體）級權限。系統級權限完成某種特定操作的權限或者對某一特定類型實體執行特定操作的權限，如刪除配置文件、查詢任意表。實體級權限：對特定的表、視圖、序列生成器、過程等執行特定操作的權限。角色指可以授予用戶或其他角色的一組相關權限的集合，通過角色可以簡化權限管理，減少權限的授予工作；實現動態權限管理，即隨著任務的變化可通過改變角色的權限，達到對用戶權限的改變。

• 視圖機制：視圖機制是利用一個虛表，反映一個或多個基表的數據。視圖可以由基表中的某些行和列組成，也可以由幾個表中滿足一定條件的數據行組成。利用視圖可以對無權用戶屏蔽數據，用戶只能使用視圖定義中的數據，而不能使用視圖定義外的其他數據。例如，只讀視圖只能讀，不能改，可以有效保護基表中的數據。

• 觸發器機制：觸發器是一個與表相關聯的、被存儲的PL/SQL程序。每當一個特定的數據操作語句在指定的表上發生時，就會引發觸發器的執行。利用觸發器可以定義特殊的更復雜的用戶級安全措施，保護粒度可以細化到行和列。

• 數據備份與恢復機制：Oracle 數據庫的備份分為兩種：物理備份和邏輯備份。前者是實際物理數據庫文件從一處復制到另一處的備份，操作系統備份、使用恢復管理器的備份、冷備份和熱備份都是物理備份；后者是利用SQL從數據庫中提取數據，并將其存入二進制文件中，這些數據可以重新導入原來的數據庫，或者以后導入其他數據庫。

網絡安全框架的類型有以下這些：

• NIST網絡安全框架：NIST改善關鍵基礎設施網絡安全框架，簡而言之就是”NIST網絡安全框架”，是在奧巴馬政府時期為響應總統13636號行政命令而建立的。NIST旨在保護美國的關鍵基礎設施(如水壩、發電廠)免受網絡攻擊。NIST是一套自愿的安全標準，私營部門的公司可以用它來發現、識別和應對網絡攻擊。該框架還具有幫助組織預防和恢復網絡攻擊的準則。

• 互聯網安全中心關鍵安全控制(CIS)：如果您想讓公司從小事做起，逐漸發展壯大，您必須選擇CIS。這個框架是在2000年代末開發的，旨在保護公司免受網絡威脅。它由20項控制措施組成，由來自許多領域(學術界、政府、工業界)的安全專家定期更新。該框架從基礎知識開始，接著是基礎性的，最后以組織性的結束。CIS使用基于共同標準的基準，如HIPAA或NIST，映射安全標準，并為不受強制安全協議約束但想提高網絡安全的組織提供替代配置。

• 國際標準組織(ISO)的框架ISO/IEC27001和27002：這個框架也被稱為ISO270K。它被認為是國際公認的網絡安全驗證標準，適用于內部情況和跨第三方。ISO270K運作的前提是組織要具備一個信息安全管理系統。ISO/IEC27001要求管理層詳盡地管理其組織的信息安全風險，重點關注威脅和漏洞。ISO270K的要求非常高。該框架推薦了114種不同的控制措施，分為14個類別。因此，考慮到維護標準所涉及的工作量，ISO270K可能不適合所有人。然而，如果實施ISO270K是吸引新客戶的一個賣點，那么它是值得的。

• PCIDSS框架：PCIDSS代表支付卡行業數據安全標準。這可以定義為組織必須遵循的愿意接受或處理在線支付的標準。該標準與保護用戶免受在線欺詐有關。為了遵守該標準，組織必須確保他們非常仔細地處理用戶的敏感信息，除非需要，否則不應存儲用戶的卡信息，交易必須以安全模式完成，等等。這個。這種符合標準的要求使用戶感到對組織的信任，因為他們的關鍵數據保持安全。

云計算的邏輯模型分為以下幾種：

• 基礎結構：包括計算系統的核心組件，即計算機、網絡和存儲，是其他結構設立的基礎。

• 元結構：提供基礎設施層與其他層之間接口的協議和機制，是一種將多種技術緊密聯系起來、實現管理與配置的黏合劑。

• 信息結構：數據和信息，如數據庫中的內容、文件存儲等。

• 應用結構：部署在云端的應用程序和用于構建它們的底層應用程序服務。例如，PaaS的功能特性（如消息隊列），人工智能分析或通知服務。

云計算的部署模型如下：

• 私有云：云端資源只給一個單位組織內的用戶使用，這是私有云的核心特征。而云端的所有權、日常管理和操作的主體到底屬于誰并沒有嚴格的規定，可能是本單位，也可能是第三方機構，還可能是二者的聯合。云端可能位于本單位內部，也可能托管在其他地方。私有云的核心特征是云端資源只供一個企事業單位內的員工使用，其他的人和機構都無權租賃并使用云端計算資源。至于云端部署何處、所有權歸誰、由誰負責日常管理，并沒有嚴格的規定。由于本地私有云的云端部署在企業內部，私有云的安全及網絡安全邊界定義都由企業自己實現并管理，一切由企業掌控，所以本地私有云適合運行企業中關鍵的應用。

• 社區云：云端資源專門給固定的幾個單位內的用戶使用，而這些單位對云端具有相同的訴求（如安全要求、云端使命、規章制度、合規性要求等）。云端的所有權、日常管理和操作的主體可能是本社區內的一個或多個單位，也可能是社區外的第三方機構，還可能是二者的聯合。云端可能部署在本地，也可能部署于他處。社區云的核心特征是云端資源只給兩個或者兩個以上的特定單位組織內的員工使用，除此之外的人和機構都無權租賃和使用云端計算資源。參與社區云的單位組織具有共同的要求，如云服務模式、安全級別等。具備業務相關性或者隸屬關系的單位組織建設社區云的可能性更大一些，因為一方面能降低各自的費用，另一方面能共享信息。

• 公共云：云端資源開放給社會公眾使用。云端的所有權、日常管理和操作的主體可以是一個商業組織、學術機構、政府部門或者它們其中的幾個聯合。云端可能部署在本地，也可能部署于其他地方。公共云的核心特征是云端資源面向社會大眾開放，符合條件的任何個人或者單位組織都可以租賃并使用云端資源。公共云的管理比私有云的管理要復雜得多，尤其是安全防范，要求更高。公共云的一些例子：深圳超算中心、亞馬遜、微軟的 Azure、阿里云等。

• 混合云：混合云由兩個或兩個以上不同類型的云組成，它們各自獨立，但用標準的或專有的技術將它們組合起來，而這些技術能實現云之間的數據和應用程序的平滑流轉。由多個相同類型的云組合在一起屬于多云的范疇。比如兩個私有云組合在一起，混合云屬于多云的一種。由私有云和公共云構成的混合云是目前最流行的——當私有云資源短暫性需求過大時，自動租賃公共云資源來平抑私有云資源的需求峰值。

堡壘機要連接虛擬機需要借助第三方軟件才可以連接，一般常用的是Xshell，使用Xshell連接方法如下：

1. 安裝Xshell

   安裝xhsell，然后打開xshell,新建站點，在連接窗口，輸入堡壘機IP、port；

   

2. 身份驗證設置

   進入用戶身份驗證頁面連接方法選擇 Public Key,用戶名：堡壘機用戶名，用戶密鑰：本地私鑰；

   

3. 建立隧道

   在堡壘機屬性中的ssh中設置建立連接隧道；

   

4. 隧道建立成功

   隧道建立成功，如圖所示；

   

5. 連接內部服務器

   隧道建好后，就可以開始連接內部服務器了，新建站點，設置代理；

   

6. 連接成功

   連接成功后即可遠程連接內部服務器了。

   

在堡壘機中安裝該軟件后通過ssh協議即可遠程連接到虛擬機，前提是將虛擬機的ssh允許遠程連接打開，否則無法進行連接。通常堡壘機連接服務器也是通過ssh進行連接的，連接虛擬機一樣只需要先登錄堡壘機，然后通過ssh這個系統將服務器連接起來。然后，在連接的時候輸入賬號密碼進行登錄即可，一般堡壘機安全性較高需要輸入三次賬號密碼。

移動云漏洞掃描報表支持word、PDF、Excel、HTML等格式，目前大部分漏洞掃描器或者掃描系統在掃描完成后導出的報告都支持以上四種格式，有少部分會導出RTF等特殊格式的報表文件，但這些文件都詳細記錄了本次掃描中存在的漏洞、掃描漏洞的類型等詳細信息，這些信息不回因為是不同格式而內容不同，word和Excel支持后期編輯，HTML占用內存小、PDF顯示簡潔，可以根據需要自行選擇格式。

漏洞掃描報告一般有以下內容：

• 任務綜述；

• 網站指紋信息；

• 掃描概覽；

• 漏洞類型分布；

• 端口開放情況；

• 漏洞詳情和其危險級別；

• 漏洞修復辦法；

從攻擊的角度可以將虛擬機攻擊方式分類如下：

• 虛擬機跳躍：虛擬機跳躍是指攻擊者利用一臺虛擬機通過某種方式獲取同一個VMM上的其他虛擬機的訪問權限。例如，在同一物理機上的虛擬機A通過獲取虛擬機B的IP地址或宿主機的控制權，監控虛擬機B的流量，進行流量攻擊等操作，使虛擬機B離線，造成通信中斷，停止服務。虛擬機的物理資源被多租戶共享是出現這種攻擊方式的根源所在。

• 虛擬機逃逸：虛擬機逃逸是一種常見的虛擬機攻擊方式。正常情況下，同一虛擬化平臺下的客戶虛擬機之間不能互相監視或影響其他虛擬機及其進程，但虛擬化漏洞的存在或隔離方式的不正確可能會導致隔離失效，使得非特權虛擬機獲得Hypervisor的訪問權限，并入侵同一宿主機上的其他虛擬機，這種攻擊方式稱為虛擬機逃逸。虛擬機逃逸與虛擬機跳躍攻擊的不同之處在于，虛擬機逃逸攻擊需要獲取Hypervisor的訪問權限甚至是入侵或破壞Hypervisor。

• 遠程管理缺陷：虛擬化平臺管理人員通常使用遠程管理平臺通過Hypervisor提供的接口對虛擬機進行管理，如VMware的vCenter、XenServer的XenCenter。集中管理降低了管理復雜度，但可能帶來如跨站腳本攻擊、SQL注入等危險。內部人員可以通過管理工具對虛擬機進行惡意操作，例如虛擬機轉存（Dump）、快照（Snapshot）和遷移（Live Migration），甚至虛擬鏡像備份。

• 拒絕服務攻擊：拒絕服務攻擊是指攻擊者利用各種攻擊方法造成目標機不能正常提供服務。同一物理機上的虛擬機共享資源，如果攻擊者利用一臺虛擬機獲得宿主機的所有資源，導致其他虛擬機沒有資源可用，就會造成虛擬化環境下的拒絕服務攻擊。

• 虛擬機遷移攻擊:虛擬機遷移時，需要先遷移虛擬機的內存等狀態信息，并傳輸虛擬機副本到新的物理機上恢復運行，攻擊者有較多的時間獲取敏感信息，而且若被遷移的虛擬機存在安全漏洞，遷移到的物理機安全性又不高，則很容易遭受攻擊。由于攻擊對象并非真實虛擬機，因此較難溯源攻擊者的身份。

• 虛擬機監視器攻擊:在虛擬化環境中，虛擬機監視器是核心，控制著整個虛擬化平臺。由于虛擬機監視器的權限較高，其安全問題顯得尤其重要，一旦被攻破，將造成整個虛擬化平臺的崩潰。