隨著數(shù)字信息的爆炸式增長(zhǎng)和個(gè)人與組織對(duì)這些信息的依賴性不斷增加,存儲(chǔ)系統(tǒng)正逐漸成為整個(gè)信息系統(tǒng)的中心,數(shù)據(jù)成為***重要的資產(chǎn)。然而,存儲(chǔ)系統(tǒng)由本地直連向著網(wǎng)絡(luò)化和分布式的方向發(fā)展,使存儲(chǔ)系統(tǒng)變得更易受到攻擊。竊取、篡改或破壞重要數(shù)據(jù)的事件不斷發(fā)生。因此安全問(wèn)題是日前存儲(chǔ)網(wǎng)研究中急需要解決的重要問(wèn)題。
一、存儲(chǔ)安全的服務(wù)
存儲(chǔ)系統(tǒng)提供的存儲(chǔ)安全服務(wù)主要包括認(rèn)證和授權(quán)、可用性、機(jī)密性和完整性、密鑰共享和密鑰管理施、審計(jì)和人侵檢測(cè)以及可使用性、可管理性和性能等方面。
二、當(dāng)前存儲(chǔ)一系統(tǒng)安全研究
網(wǎng)絡(luò)存儲(chǔ)是網(wǎng)絡(luò)時(shí)代******的存儲(chǔ)解決方案。NAS(Network AttachedStorage)和SAN(Storage Area Network)是常用的2種網(wǎng)絡(luò)存儲(chǔ)技術(shù),不同于直接連接存儲(chǔ)DAS(Direct Attached Storage)的是網(wǎng)絡(luò)存儲(chǔ)直接與網(wǎng)絡(luò)連接,為整個(gè)網(wǎng)絡(luò)提供集中、共享的存儲(chǔ)服務(wù)。
網(wǎng)絡(luò)連接存儲(chǔ),簡(jiǎn)稱NAS是一種可以提供文件級(jí)服務(wù)的存儲(chǔ)設(shè)備。其特點(diǎn)是可以直接掛到網(wǎng)絡(luò)上向用戶提供文件級(jí)服務(wù)。此外。它有自己簡(jiǎn)化的實(shí)時(shí)操作系統(tǒng),并將硬件和軟件有效地集合在一起,用以提供文件服務(wù)NAS存儲(chǔ)系統(tǒng)的特點(diǎn)是通過(guò)基于IP網(wǎng)絡(luò)的網(wǎng)絡(luò)文件協(xié)議向多種客戶端提供文件級(jí)I/O服務(wù),客戶端可以在NAS存儲(chǔ)設(shè)備提供的目錄或設(shè)備中進(jìn)行文件級(jí)操作當(dāng)用戶或應(yīng)用程序試圖訪問(wèn)文件時(shí),經(jīng)過(guò)解釋的I/O請(qǐng)求被重定向到網(wǎng)絡(luò)傳輸路徑這螳經(jīng)過(guò)解釋的I/O請(qǐng)求經(jīng)過(guò)IP網(wǎng)絡(luò)傳輸?shù)絅AS服務(wù)器端,由NAS服務(wù)器端的網(wǎng)絡(luò)文件協(xié)議接收,之后,進(jìn)行解包,同時(shí)處理客戶端和塊設(shè)備的映射關(guān)系,***后,將正常的I/O操作請(qǐng)求交給服務(wù)器上的文件系統(tǒng)處理。
SAN是一種以數(shù)據(jù)存儲(chǔ)為中心且面向網(wǎng)絡(luò)的存儲(chǔ)結(jié)構(gòu)。SAN技術(shù)采用可擴(kuò)展的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)連接存儲(chǔ)設(shè)備和服務(wù)器,是一種面向服務(wù)器提供數(shù)據(jù)存儲(chǔ)服務(wù),并將數(shù)據(jù)的存儲(chǔ)和管理集中在相對(duì)獨(dú)立的專用網(wǎng)絡(luò)中的存儲(chǔ)技術(shù).在SAN技術(shù)中,由于服務(wù)器和存儲(chǔ)設(shè)備之間的多路可選擇的數(shù)據(jù)交換,因此,以往存儲(chǔ)結(jié)構(gòu)中存在的可擴(kuò)展性和數(shù)據(jù)共享方面的局限性被******了,SAN中通過(guò)協(xié)議映射,存儲(chǔ)設(shè)備的磁盤或磁帶表現(xiàn)為服務(wù)器節(jié)點(diǎn)上的“網(wǎng)絡(luò)磁盤”在服務(wù)器操作系統(tǒng)看來(lái),網(wǎng)絡(luò)盤與本地盤相同,服務(wù)器節(jié)點(diǎn)操作網(wǎng)絡(luò)盤就像操作本地硬盤一樣對(duì)其發(fā)送命令,命令通過(guò)相關(guān)協(xié)議的封裝后,由服務(wù)器發(fā)送到SAN網(wǎng)絡(luò),并由存儲(chǔ)設(shè)備接收并執(zhí)行服務(wù)器節(jié)點(diǎn)可以對(duì)“網(wǎng)絡(luò)磁盤”進(jìn)行各種塊操作和文件操作。
三、網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)安全技術(shù)分析所需解決的問(wèn)題
(一)SAN安全機(jī)制
SAN交換機(jī)、HBA(Host—Bus Adapters)和存儲(chǔ)陣列等SAN設(shè)備層的配置都與其安全特性有關(guān)。SAN的安全機(jī)制包括交換機(jī)端口類型配置、分區(qū)和LUN(Logical Unit Number)屏蔽。WWN(World Wide Name)是光纖通道中用于標(biāo)識(shí)節(jié)點(diǎn)和端口的64位惟一注冊(cè)標(biāo)識(shí)符。分區(qū)的作用類似于VLAN,基于WWN的軟分區(qū)由于存在WWN的盜用,因此安全性較低。硬件分區(qū)根據(jù)交換機(jī)端口WWN的組合劃分,分區(qū)的訪問(wèn)限制不能突破,因而具有更高的安全性。應(yīng)是******的分區(qū)方法。邏輯單元號(hào)LUN是一種對(duì)存儲(chǔ)設(shè)備的劃分。LUN屏蔽是一種比分區(qū)粒度更細(xì)的訪問(wèn)控制方法,它可以控制服務(wù)器對(duì)不同邏輯單元的訪問(wèn)。
(二)NAS文件系統(tǒng)安全機(jī)制
NAS使用CIFS和NFS來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)文件共享,其安全機(jī)制建立在CIFS和NFS的基礎(chǔ)上。CIFS提供認(rèn)證和授權(quán)這2種安全機(jī)制,其中認(rèn)證又包括共享級(jí)認(rèn)證和用戶級(jí)認(rèn)證。在共享級(jí)認(rèn)證方式下,整個(gè)共享點(diǎn)只有一個(gè)單一的口令用于共享訪問(wèn),提供的安全保障有限,只能用于對(duì)安全性要求不高的公共資源共享或臨時(shí)資源共享等場(chǎng)合。用戶級(jí)認(rèn)證方式為不同用戶提供不同的用戶名,因此能提供高于共享級(jí)認(rèn)證的安全性,但用戶名和口令是以明文方式傳送,因此也存在被監(jiān)聽(tīng)的威脅。
四、總結(jié)
作為全新的網(wǎng)絡(luò)存儲(chǔ)技術(shù),NAS和SAN尚處于成長(zhǎng)期,其國(guó)際標(biāo)準(zhǔn)尚未形成因此,對(duì)于網(wǎng)絡(luò)存儲(chǔ)安全體系結(jié)構(gòu)的研究,只能是根據(jù)目前的體系結(jié)構(gòu)進(jìn)行一些探討,給出一個(gè)相對(duì)安全的對(duì)策方案,以保證能獲得******水平的數(shù)據(jù)與系統(tǒng)安全隨著與的結(jié)合與廣泛應(yīng)用,關(guān)于加強(qiáng)網(wǎng)絡(luò)存儲(chǔ)的安全性研究有待進(jìn)一步的改進(jìn)和擴(kuò)展。
中文字幕在线精品不卡_正在播放露脸一区_久久综合欧美_www.男人天堂
