虚拟化(Virtualization)是一种将计算机的各种实体资源,如服务器、网络、内存及存储等,予以抽象、转换后呈现出来的资源管理技术。这种打破实体结构间的不可切割的障碍,使用户可以不受现有资源的架设方式,地域或物理组态所限制,更好的应用这些资源。这种管理方式,是云计算服务得以实现的主要的技术之一。但虚拟化技术能使不同用户进程运行在同一硬件平台上的虚拟机里的特点,也给运行在虚拟机上的用户进程的安全隔离性带来了极大的挑战。针对虚拟机环境下进程的运行安全问题,本文对进程资源的主要控制权进行分析,结合Xen环境中主要I/O运行原理,提出一种层次化的进程隔离管理方案(HPIS)。首先,HPIS考虑从进程运行的整个生命周期入手,引入进程空间的概念,进程空间像是一个容器,将进程以及进程运行时依赖的基本运行环境纳入其中。并对进程空间主体的可信级别、进程空间数据机密性级别,进行层次化的划分。其次,根据可信级别和机密性级别的不同层次制定进程间的安全交互规则,通过在Hypervisor中增加进程控制模块DCM,监控进程空间行为,并对进程行为进行审核限制,旨在保证敏感信息的安全性,防止产生数据泄露和非法操作,实现层次化的进程隔离。最后,通过仿真实验及分析,显示该方法对在虚拟环境下的进程运行具有很好的保护能力,能够满足数据机密性的需求,并且额外的性能开销对进程运行的影响并不明显。说明此方案在进程隔离保护方面具有可行性和有效性。