一、醫務人員上班時間要衣帽整齊，下班就餐，開會時應脫去工作服。

二、診療換藥處置工作后均應洗手，必要時用消毒液泡洗。無菌操作時，要嚴格遵守無菌操作規程。

三、無菌器械容器、器械敷料缸、持物鉗等，要定期消毒、滅菌，消毒液定期更換，體溫計用后要用消毒液浸泡。

四、病房應定時通風換氣，每日空氣消毒，拖洗地面，床頭桌及椅子每日濕擦，抹布要專用，定期消毒。

五、換下污衣被服，放于指定處，不隨地亂丟，不在病房清點，便器每次用后清洗消毒。

六、各種醫療用具，使用后均須消毒備用，藥杯、餐具必須消毒后再用，病人被褥要定期更換消毒。

繼電隔離法的使用原理是因為繼電器內部的觸電與線圈不是通過電氣方式來進行連接的，所以在繼電器內部線圈接收信號時同時可以利用繼電器內部的觸電來傳送和發出控制信號，這樣就能夠有效地避免弱電信號和強電之間直接接觸，從而實現了干擾隔離這一目的。布線隔離法是指將容易滋生噪聲干擾的控制線路與微弱的信號電路相互分開，使兩個線路不產生接觸并且保證兩者具有一定的有效距離。布線隔離法的基本內容是較強的電控制線、電源控制線必須要與信號控制線相互分開設置，并保證兩個之間具有一定的有效距離。在配線和布線過程中要注意區分直接電源線、交流電源線、數字式信號線、模擬式信號線、負載驅動線等，總體來說降低干擾的最佳效果是控制線之間無限遠、信號線長度無限小，但受實際環境所限無法做到這一點，因此在實際操作中只要保證線路間隔、長度設置不會產生干擾即可。光電隔離法的作用原理是在不采用以電路為信號傳播媒介的條件下，用光做為信號傳播的主要媒介達到電氣設備與主控制系統之間的相互交流目的。電是噪聲、干擾信號等干擾源的產生之源，因此將電隔絕于外就能有效降低電氣運作時產生的噪聲污染、信號干擾等情況。光信號傳播方式有著諸多優良的特點，如信號保真度高、信息傳遞線路更安全、信號的辨別力好、使用壽命長、傳播速度快等等一系列優質特點，因此光電隔離法已經推出就受到了各大醫療機構的青睞，并且光電隔離法所使用的設備體積小、操作簡單、抗干擾力強，這使其在有強弱接口的電氣設備中頗受歡迎，在微機控制系統的前、后信息通道中更是應用廣泛。

電源是電干擾和電磁干擾的主要來源，也是電氣系統中必不可少的組成元件，因此如何使用正確的方式方法在電源電路處進行隔離處理也是電氣設備的控制線隔離技術所面臨的一個難題，同樣也是一個必經的發展階段。電源中電干擾的主要來源是電源設備內部的變壓器系統，為了能夠降低電源所產生的電干擾一般在電氣設備內部采用隔離變壓器這一方式，而且要求隔離變壓器要比普通變壓器大一點二倍到一點五倍。在使用過程中需對隔離變壓器進行良好的接地設置，變壓器內的次級線圈的連接線要采用雙絞線形式，這樣能夠有效降低變壓器在工作時產生的電干擾，如果醫院條件允許應在電源輸入、輸出線路中加入濾波裝置，其抗干擾效果則會更好。交流電源中存在著諸多電干擾源，如交流電源在工作時產生的數量巨大的諧波、高頻波、雷擊浪涌等一系列干擾噪聲，所以在以交流式電源為主要供電設備的電氣系統中其電源系統均應該采取抗干擾措施，隔離電源變壓器就是一個較為有效的電源抗干擾裝置，該裝置能夠有效地防止電源工作中由電流產生的噪聲干擾。隔離電源變壓器的運作原理是在電壓器內部的加入了隔離層，并且變電器內部結構做了相應的調整，之所以一般的交流變器不論如何概念其內構都無法達到這種效果是因為即使使變壓器內的一次燒和二次燒組件絕緣不產電流流動，但由于交流電流的作用變壓器中會有分布電容（鐵心與燒組之間，燒組與燒組之間，層匝之間以及引線與引線之間）存在，這樣交流電網之中就會有電容耦合存在，從而產生噪聲。因此采用隔離電壓變壓器才能有效對交流電源進行有效的噪音隔離。直流電源供電系統雖然與交流電源供電系統比起來在工作過程中產生的噪聲較小，而且直流電產生的噪聲污染也比較好控制，但在工作中如對直流電源供電系統不加以控制和預防其產生噪聲也會有較明顯的影響作用。直流電源供電系統內部產生干擾主要來自直流電源系統中的子系統，各個子系統之間相互的作用影響或是子系統內部自身的影響，導致直流供電系統產生噪聲，要想對直流電源供電系統做噪聲隔離就要在直流變壓器中的各個子系統間添加隔離膜，或者直接采用隔膜變壓器也能有效降低直流變壓器在工作是產生的噪聲。

隨著醫院信息化進程的不斷加快，電氣系統已經成為醫院開展醫療工作的重要基礎，要想持久有效地發展我國的醫療體制就必須營造一個良好穩定的醫院內部工作環境，其中電氣設備的降噪抗干擾工作則是一項較為重要的日常工作，在對醫院電氣系統進行隔離處理時要根據不同電氣設備的不同電氣特點而有針對性的采用隔離技術，使其發揮出最大的降噪抗干擾的作用。

本文作者：李輝工作單位：山西晉城煤業集團總醫院信息科

●年輕大學生隕命廣州收容站

年僅27歲，正當風華之年的湖北大學生孫志剛，一夜之間隕命于廣州市人民政府開辦的廣州收容站。

據說收容的理由，是畢業兩年已任深圳某公司設計師的孫志剛近日來廣州卻沒有及時辦理暫住證，而且由于不為人知的原因，即使有中華人民共和國公民身份證，該決定收容的公安派出所堅稱也不能釋放。所以就進入了這幾年來經常有惡性事件發生的廣州市人民政府開辦的收容站。

進入收容站的當天（2003年3月18日），大學生孫志剛即因某一無名疾病被帶到廣州收容人員救治站進行緊急救治。兩日后，年僅27歲的大學生孫志剛不治而亡。4月18日：尸檢結果表明，孫死前72小時曾遭毒打，而從孫志剛被公安派出所予以收容到其死亡，時間不過72小時。

孫志剛死亡后，他的父親和弟弟從湖北黃岡窮困的家鄉趕來，翻出了孫生前遺物讓記者看，里面有很多獲獎證書。“他是我們家鄉出的第一個大學生。”不過，現在孫的家人有點后悔供孫志剛讀大學了，“如果沒有讀過書，不認死理，也許他也就不會死……”

●我真的不懂：為什么在自己的祖國，我們卻只能暫住？

摘要端口隔離技術在ISP寬帶接入中已發揮重要作用，而在園區網中應用還不多，由于網絡中病毒增多、危害加大，端口隔離技術越來越受到技術人員的重視。本文詳細介紹了端口隔離技術的概況，端口隔離技術在不同廠商、不同層次交換機上不同的實現，具體分析和舉例端口隔離技術在園區網中的規劃、實施和應用。

關鍵詞端口隔離；交換機

1引言

在小區寬帶接入環境中，個別計算機中毒發包、廣播對其它接入計算機都有影響，也會占用帶寬，所以ISP在其接入交換機上早就實施了端口隔離技術，隔離技術對網絡靜化、安全和病毒隔離都有相當良好的作用，應用普遍。而在園區網中由于端口隔離實現在端口之間二、三層隔離，會對一些應用帶來不便，所以應用并不是很多。但是隨著網絡中病毒增多、危害加大，新的難以對付、傳播速度又快病毒出現的情況下，端口隔離技術在園區網中應用會越來越多，下面我們從端口隔離的原理、在H3C、D-LINK、港灣和CISCO不同廠商交換機上的實現和舉例說明在園區網中的應用。

2端口隔離技術綜述

端口隔離技術是一種實現在客戶端的端口間的足夠的隔離度以保證一個客戶端不會收到另外一個客戶端的流量的技術。通過端口隔離技術，用戶可以將需要進行控制的端口加入到一個隔離組中，實現隔離組中的端口之間二層、三層數據的隔離，既增強了網絡的安全性，也為用戶提供了靈活的組網方案。使用隔離技術后隔離端口之間就不會產生單播、廣播和組播，病毒就不會在隔離計算機之間傳播，尤其對頭痛的ARP病毒效果明顯。

摘要端口隔離技術在ISP寬帶接入中已發揮重要作用，而在園區網中應用還不多，由于網絡中病毒增多、危害加大，端口隔離技術越來越受到技術人員的重視。本文詳細介紹了端口隔離技術的概況，端口隔離技術在不同廠商、不同層次交換機上不同的實現，具體分析和舉例端口隔離技術在園區網中的規劃、實施和應用。

關鍵詞端口隔離；交換機

1引言

在小區寬帶接入環境中，個別計算機中毒發包、廣播對其它接入計算機都有影響，也會占用帶寬，所以ISP在其接入交換機上早就實施了端口隔離技術，隔離技術對網絡靜化、安全和病毒隔離都有相當良好的作用，應用普遍。而在園區網中由于端口隔離實現在端口之間二、三層隔離，會對一些應用帶來不便，所以應用并不是很多。但是隨著網絡中病毒增多、危害加大，新的難以對付、傳播速度又快病毒出現的情況下，端口隔離技術在園區網中應用會越來越多，下面我們從端口隔離的原理、在H3C、D-LINK、港灣和CISCO不同廠商交換機上的實現和舉例說明在園區網中的應用。

2端口隔離技術綜述

端口隔離技術是一種實現在客戶端的端口間的足夠的隔離度以保證一個客戶端不會收到另外一個客戶端的流量的技術。通過端口隔離技術，用戶可以將需要進行控制的端口加入到一個隔離組中，實現隔離組中的端口之間二層、三層數據的隔離，既增強了網絡的安全性，也為用戶提供了靈活的組網方案。使用隔離技術后隔離端口之間就不會產生單播、廣播和組播，病毒就不會在隔離計算機之間傳播，尤其對頭痛的ARP病毒效果明顯。

摘要：對隔離病區的壓力梯度進行了數值模擬，分析了環境風速、門窗開啟、運行狀態的改變等外界因素對壓力梯度的影響。模擬結果表明，環境風速對隔離病區的壓力梯度不會產生較大的影響，而門窗開啟、運行狀態的改變則會導致壓力梯度的變化，引起交叉感染。

關鍵詞：隔離病區壓力梯度外擾數值模擬

0導言

2003年SARS期間發生在醫院內的超級感染事件給人們敲響了警種，醫院內部無序的氣流組織是發生交叉感染的最大隱患，嚴重影響到了醫患人員的健康安全。特別是病人治療場所－隔離病房區域更是人們關注的焦點，為了防止傳染病源的擴散，需要對單元內的分區進行合理的布置，盡量減少干擾壓力梯度形成的氣流。因此，不僅要保持單元與外部環境之間的合理氣流流向，在單元內部也需要形成合理的氣流流向。切斷致病微生物沿空氣途徑傳播的關鍵在于不同潔凈區域之間形成合理的壓力差，即壓力梯度。目前國內外的相關標準對室內外的壓差值作了相應的規定。但是，這些壓力差值都指是靜態壓力值，但是對于醫院的病房來講，室外風速、開關門、運行狀態的改變、外部電梯運行等動態狀況是不克避免的，這些動作必然會影響到隔離室的壓差和氣流。本文利用CFD對外擾對隔離病區的壓力梯度的影響進行數值模擬研究，為隔離病房的相關工程實際提供理論和應用基礎。

1區域壓力梯度的數值模擬

1.1壓力梯度模擬的對象

防火隔離帶被廣泛應用于森林、草原、城市消防規劃、民用建筑外保溫系統中，作為重要的阻止火災蔓延措施，保護人員生命和財產安全。近幾年，防火隔離帶又進一步被引進室內建筑，力圖以一種新型的、邏輯的防火分隔措施，應對高大空間建筑中需防火分區而區域功能統一又無法物理分隔的難題。室內建筑空間采用防火隔離帶進行防火分區，由于受煙氣流動特性、室內燃燒能量、消防設施、人員、物品流動以及后期安全管理等諸多因素的影響，其設置方法不能簡單等同于室外防火隔離帶，即以間距為唯一控制指標。據了解，近年來的國內不少工程在防火分區中采用了室內防火隔離帶的理念，但是目前各地防火隔離帶的設計指標各不相同，而現行的國家技術規范、地方標準又無相關規定，只能根據公安部《建設工程消防性能化設計評估管理暫行規定》的要求，進行性能化評估和專家論證。而性能化評估方法、模擬軟件、安全曠據等也存有一定爭議。基于防火設計必須有效、可靠、安全的實質出發，筆者對室內防火隔離帶的設計進行分析和總結，以期尋找出共性規律及防火要求。

1室內防火隔離帶的概念和特性

室內防火隔離帶是指在建筑空問內，為阻止火災大面積延燒，通過熱輻射模型計算確定，利用室內空間的自身條件設置一定有效寬度的間隔區域，并在該區域設置可靠的消防設施，保證火災時一側的火焰、煙氣不會輻射蔓延至另外一側。室內防火隔離帶的阻隔火災蔓延的效果類似于防火墻、防火卷簾等物理分隔措施，但只是一種邏輯的防火分隔方法。應具有以下4個特性：

(1)阻火可控性。設定的間隔距離可有效地阻止火災區域的熱輻射進一步影響到相鄰的防火分區并引燃可燃物后造成火災蔓延。

(2)隔煙清晰性。該區域必須能阻擋煙氣擴散，空間始終保持足夠的清晰高度，以利于人員疏散和救援。

(3)本體不燃性。在防火隔離帶嚴禁放置任何可燃物，包括展位、商鋪等。該區域自身不可能發生火災，是一種變通的安全區域。

為全面加強疫情防控管控隔離工作，壓實“四位一體”包保責任，進一步明確包保職責，確保各項工作銜接有序，包保措施落實到位，特制定工作方案如下：

一、落實“四位一體”架構及職責

（一）各管控主體單位落實“四位一體”包保架構及職責

“四位一體”包保責任架構由各管控主體單位（工業企業）、局機關、轄區派出所、轄區衛生院相關單位及具體人員組成。

1.各管控主體單位主要職責：

（1）負責建立本單位管控組織，完善管控制度，細化管控措施，協調、保障管控人員防護物資和技防物資。

摘要：本文以此前隔離閉鎖管理系統的不足作為切入點，予以簡述，就運行、維護、檢修工作的風險進行分析。再以此為基礎給出以智能技術和針對性控制為核心思路的新技術方案，就其實現方法、工作元件、標準化作業流程、系統配置等內容展開綜合分析，服務后續相關管理工作。

關鍵詞：檢修隔離閉鎖管理系統；系統配置；作業流程；工作元件檢修

隔離閉鎖管理系統是閉鎖管理常規工作內容，強調在非作業狀態下實現目標對象的隔離檢修，重視檢修安全性和高效率，多見于電力系統等具有一定風險性的特殊領域。當前各地使用的隔離閉鎖管理系統存在一些不足，運行、檢修等人員，均有可能在工作過程中出現安全隱患，或影響其他人員正常作業，需要予以分析和加強，本文就現有隔離閉鎖管理系統工作需要提出新的技術方案。

1現有隔離閉鎖管理系統的不足

1.1運行相關。此前的隔離閉鎖管理系統，對操作人員、操作區域的約束能力不高，可能出現運行人員誤操作情況，包括誤拉、誤合刀閘和開關、誤入間隔、向現場誤送電等，對其他工作人員存在安全威脅。如誤送電模式下，維修人員可能觸電，如果隔離閉鎖管理系統服務于高壓端線路，較強的電流可直接導入人員心臟被擊穿、死亡。這與隔離閉鎖管理系統的管理約束性不足直接相關。1.2維護相關。隔離閉鎖管理系統長期處于工作狀態下，需要通過必要的檢修維護，保持其功能。常規隔離閉鎖管理系統對維護人員存在安全威脅，且維護工作人員工作中出現誤操作的可能性也偏高，如對柜門、機構箱或架空線路的誤碰、誤觸、誤入、誤登等。用于任何工作系統的線路、變電柜、配電箱，都可對維護人員造成致命傷害，維護人員碰觸架空線路，也有可能導致線路連接松動，甚至掉落，對系統工作產生影響。1.3檢修相關。隔離閉鎖管理系統的作業穩定性、可靠性受到多個因素影響，嘗試保持其功能穩定后，需要加強日常檢修，出現故障后也需要通過積極檢修了解問題所在、給予及時處理。此前的隔離閉鎖管理系統檢修，對人員、用戶和設備均存在安全威脅，如系統出現故障，檢修人員進行作業時，用戶一端可能發送電，擅自改變檢修設備狀態；檢修作業尚未結束時，非檢修人員誤入帶電間隔及危險區域、誤觸碰帶電設備，均可能帶來安全隱患、造成事故。此外，檢修過程中不驗電、誤掛、漏拆裝地線和跨越或移動遮攔也可造成安全問題。

2隔離閉鎖管理系統技術方案思路和運行模式

虛擬機隔離安全的具體實現

虛擬機之間具有良好的隔離性，但在很多應用場合，需要虛擬機間或虛擬機與宿主機之間共享資源或者通信，很重要的一點是要保證虛擬機上的重要信息與宿主操作系統或其他虛擬機的隔離。虛擬機的硬盤等存儲設備是虛擬機虛擬出來的存儲設備，這些虛擬存儲設備的安全性是虛擬機安全性的重要組成部分。虛擬存儲設備中的數據，最常見的保存方法就是在宿主操作系統上建立一個文件來保存。例如，在VirtualBox中，虛擬機的硬盤是由一個后綴名為vdi的虛擬硬盤文件保存，而VMWare的虛擬機硬盤則是使用后綴名為vmdk的虛擬硬盤文件保存。通常，這樣的文件被稱為映像文件（ImageFile），每個虛擬機的客戶操作系統的文件系統都完整保存在它們各自的映像文件中。在大部分的虛擬機技術中，映像文件位于宿主機操作系統的文件系統中。因此，惡意代碼在宿主機操作系統中讀寫映像文件就成為對破壞虛擬機或竊取虛擬機信息的一條可能的途徑，而且是非常高效和直接的途徑。存儲器的操作最終都會轉換成宿主機操作系統對映像文件的操作[3]，導致映像文件很難與宿主機操作系統的文件系統完全隔離。以明文方式存儲在宿主機操作系統中的映像文件使得宿主機操作系統上運行的軟件或惡意代碼可以從中獲取到所有虛擬機操作系統的文件信息和數據，甚至惡意代碼可以用病毒或其他文件替換掉映像文件。目前，少數虛擬機技術可以為虛擬機操作系統提供獨立的硬盤邏輯分區，與宿主機操作系統進行有效隔離，但這種方式在存儲資源的分配上是低效的，在硬盤邏輯分區的管理上也很繁瑣。因此，映像文件攻擊是一個重要的虛擬機隔離安全問題。一般來說，當用戶因關閉系統或重新配置網絡等原因不再需要已分配的IP地址時，將不再保留此IP地址。當該IP地址變為可用后，通常把它再分配給其他用戶使用。從用戶安全角度而論，IP地址再分配使用可能會帶來問題，用戶無法確信他們對資源的網絡訪問能否隨著IP地址的釋放一并終止，從DNS中的IP地址改變到DNS緩存清理，從ARP表中物理地址改變到將ARP地址從緩存中的清除，都會有一定的時間延遲。這意味著，即使地址可能已經變化，原先的地址在緩存中依舊有效，用戶還是可以訪問到那些理應不存在的資源。信息泄漏是計算機系統中一直存在的一個安全隱患，這是由于很多計算機系統的設計者或者一些安全手段和策略，都沒有將信息泄漏考慮在內。隱蔽通道[4]是信息泄漏的重要渠道。虛擬機雖然具有天生的隔離性，但由于多臺虛擬機分布在同一個虛擬機監控器之上，虛擬機之間又具有一定的耦合性，這種特性可以被利用來構造隱蔽通道。在Xen中，Hypervisor保存有一張全局的機器地址到偽物理地址的關系表，稱之為M2P表。每一個Domain都能對它進行讀操作，并且能通過調用Hypervisor的mmu_update接口來更新屬于自己地址范圍內的表項。這一特性被證明是可以利用在兩虛擬機間構造隱蔽通道的[5]。通信雙方的虛擬機共享一個結構數據類型，其中第一個域充當標志（雙方互相知道對方的標志），而最后一個域包含實際傳遞的隱蔽消息。在實際的傳遞過程中，一方將共享的結構體更新到屬于自己地址范圍的表項內，而另一方則遍歷M2P表的表項，直到找到對方的標志，繼而就能通過結構體中的偏移量字段來找到相應的隱蔽消息。Xen虛擬機的CPU負載變化也可以用來構造隱蔽通道[6]。假設兩臺虛擬機的虛擬CPU（VCPU）被映射到同一個物理CPU（或CPU核），并且假設兩臺虛擬機運行一個相同的任務。作為隱蔽消息接收方的虛擬機一直執行該任務，而作為發送方的虛擬機則通過執行或不執行該任務來引起接收方中此任務執行時間的變化。于是雙方可以這樣約定，當發送方不執行此任務時，傳遞比特0；而當發送方執行此任務時，接收方觀察到任務執行時間變長，此時傳遞比特1。

提高虛擬機隔離的安全性考慮

（1）資源分配的問題虛擬機運行時，要求在物理機上需要有足夠的處理能力、內存、硬盤容量和帶寬等。為了高效利用資源，有時會分配超出處理能力的資源給虛擬機，很可能會導致拒絕服務。當無法保證所有虛擬機不會在同一時間達到峰值，虛擬機資源共享機制又比較簡單，CPU、內存、磁盤、帶寬都有可能出現資源不夠用的問題，預留出一些額外的處理能力、內存等資源用于調度是非常必要的。（2）限制對虛擬機的訪問宿主機對虛擬機的攻擊有著得天獨厚的條件，包括：不需要賬戶和密碼，即可使用特定的功能來殺死進程，監控資源的使用或者關閉機器；重啟機器，引導到外部媒體從而破解密碼；竊取文件，比如利用外接存儲器等，或直接盜走宿主機的磁盤以訪問虛擬文件系統；刪除一個或多個虛擬磁盤，把它們掛載到已知管理員密碼的機器上，可以進入虛擬機，從而看到該磁盤全部內容；刪除整個虛擬機等。宿主機的環境不同，造成的風險也不同，所以要對宿主機的安全提供周密的安全措施：宿主機的物理環境安全，包括對進入機房的身份卡驗證，對機器進行加鎖（避免被人竊走硬盤）；拆除軟驅、光驅；BIOS設置禁止從其他設備引導，只允許從主硬盤引導。另外，對BIOS設置密碼，避免被人修改啟動選項；控制所有的外部接口。（1）虛擬化軟件層的安全隔離軟件層位于硬件和虛擬服務器之間，提供終端用戶創建和刪除虛擬化實例的能力，由虛擬化服務提供商管理，終端用戶無法看到并訪問虛擬化軟件。其管理程序保證硬件和操作系統虛擬化實現在多個用戶虛擬機之間共享硬件資源，而不會彼此干擾。鑒于管理程序虛擬化是保證在多用戶環境下客戶虛擬機彼此分隔與隔離的基本要素，保護其不受未授權用戶訪問是非常重要的。一旦黑客對其進行完整性攻擊，突破這些隔離單元，將造成災難性后果。虛擬化服務提供商應當建立必要的安全控制，包括限制對管理程序及其他虛擬化層面的物理和邏輯訪問；而用戶應當理解相關技術及虛擬化服務提供商的安全控制流程。虛擬化軟件層的程序絕大部分是服務提供商專有而封閉的源代碼，用戶的安全保障團隊要設法獲得并檢查提供虛擬化服務提供商的軟件源代碼，保障自身安全。（2）虛擬化系統采用虛擬防火墻在基于云計算的虛擬化技術中，安全等級往往采用域進行構建，域與域之間有邏輯隔離。為了實現虛擬機之間安全互訪[7]，虛擬防火墻要具有基于IP地址（特定的地址或子網）、數據包類型（TCP、UDP或者ICMP）以及端口（或者端口范圍）進行流量過濾的功能。同時，為了防止遭受外界攻擊，要阻止所有到虛擬服務器的端口，建議只使用端口號22（SSH——安全外殼協議，要有密鑰認證）來管理虛擬服務器的資源。（3）通信加密和虛擬機身份驗證使用謂詞加密、完全同態加密等各種手段，用HTTPS、TLS、SSH，或者加密VPN來管理。除了通信加密以外，還應有身份鑒別和認證手段，以防止偽造源IP攻擊、連接劫持、中間人攻擊等。虛擬機和宿主機一樣也需要升級認證方式，比如使用key登錄、口令的加密存儲等。

虛擬機技術還面臨著很多其他已知和未知的威脅，這些威脅需要逐一去研究解決，尤其是在國內這樣大范圍使用虛擬機但虛擬機安全技術卻暫時落后的背景下，自身掌握虛擬機的安全技術就顯得更加重要和必要。同時，可信邊界的變動造成了人們對虛擬化技術應用的顧慮，加強對虛擬化技術安全特性的研究是一個非常有意義的課題。

本文作者：范偉韓奕黃偉慶工作單位：中國科學院信息工程研究所