随着数字信息的爆炸式增长和个人与组织对这些信息的依赖性不断增加,存储系统正逐渐成为整个信息系统的中心,数据成为***重要的资产。然而,存储系统由本地直连向着网络化和分布式的方向发展,使存储系统变得更易受到攻击。窃取、篡改或破坏重要数据的事件不断发生。因此安全问题是日前存储网研究中急需要解决的重要问题。
一、存储安全的服务
存储系统提供的存储安全服务主要包括认证和授权、可用性、机密性和完整性、密钥共享和密钥管理施、审计和人侵检测以及可使用性、可管理性和性能等方面。
二、当前存储一系统安全研究
网络存储是网络时代******的存储解决方案。NAS(Network AttachedStorage)和SAN(Storage Area Network)是常用的2种网络存储技术,不同于直接连接存储DAS(Direct Attached Storage)的是网络存储直接与网络连接,为整个网络提供集中、共享的存储服务。
网络连接存储,简称NAS是一种可以提供文件级服务的存储设备。其特点是可以直接挂到网络上向用户提供文件级服务。此外。它有自己简化的实时操作系统,并将硬件和软件有效地集合在一起,用以提供文件服务NAS存储系统的特点是通过基于IP网络的网络文件协议向多种客户端提供文件级I/O服务,客户端可以在NAS存储设备提供的目录或设备中进行文件级操作当用户或应用程序试图访问文件时,经过解释的I/O请求被重定向到网络传输路径这螳经过解释的I/O请求经过IP网络传输到NAS服务器端,由NAS服务器端的网络文件协议接收,之后,进行解包,同时处理客户端和块设备的映射关系,***后,将正常的I/O操作请求交给服务器上的文件系统处理。
SAN是一种以数据存储为中心且面向网络的存储结构。SAN技术采用可扩展的网络拓扑结构连接存储设备和服务器,是一种面向服务器提供数据存储服务,并将数据的存储和管理集中在相对独立的专用网络中的存储技术.在SAN技术中,由于服务器和存储设备之间的多路可选择的数据交换,因此,以往存储结构中存在的可扩展性和数据共享方面的局限性被******了,SAN中通过协议映射,存储设备的磁盘或磁带表现为服务器节点上的“网络磁盘”在服务器操作系统看来,网络盘与本地盘相同,服务器节点操作网络盘就像操作本地硬盘一样对其发送命令,命令通过相关协议的封装后,由服务器发送到SAN网络,并由存储设备接收并执行服务器节点可以对“网络磁盘”进行各种块操作和文件操作。
三、网络存储系统安全技术分析所需解决的问题
(一)SAN安全机制
SAN交换机、HBA(Host—Bus Adapters)和存储阵列等SAN设备层的配置都与其安全特性有关。SAN的安全机制包括交换机端口类型配置、分区和LUN(Logical Unit Number)屏蔽。WWN(World Wide Name)是光纤通道中用于标识节点和端口的64位惟一注册标识符。分区的作用类似于VLAN,基于WWN的软分区由于存在WWN的盗用,因此安全性较低。硬件分区根据交换机端口WWN的组合划分,分区的访问限制不能突破,因而具有更高的安全性。应是******的分区方法。逻辑单元号LUN是一种对存储设备的划分。LUN屏蔽是一种比分区粒度更细的访问控制方法,它可以控制服务器对不同逻辑单元的访问。
(二)NAS文件系统安全机制
NAS使用CIFS和NFS来实现网络文件共享,其安全机制建立在CIFS和NFS的基础上。CIFS提供认证和授权这2种安全机制,其中认证又包括共享级认证和用户级认证。在共享级认证方式下,整个共享点只有一个单一的口令用于共享访问,提供的安全保障有限,只能用于对安全性要求不高的公共资源共享或临时资源共享等场合。用户级认证方式为不同用户提供不同的用户名,因此能提供高于共享级认证的安全性,但用户名和口令是以明文方式传送,因此也存在被监听的威胁。
四、总结
作为全新的网络存储技术,NAS和SAN尚处于成长期,其国际标准尚未形成因此,对于网络存储安全体系结构的研究,只能是根据目前的体系结构进行一些探讨,给出一个相对安全的对策方案,以保证能获得******水平的数据与系统安全随着与的结合与广泛应用,关于加强网络存储的安全性研究有待进一步的改进和扩展。