摘 要:隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，越來(lái)越多的信息以存儲(chǔ)的形式存在，尤其是隨著網(wǎng)絡(luò)存儲(chǔ)(SAN與NAS)的發(fā)展，面對(duì)一個(gè)越來(lái)越開(kāi)放的網(wǎng)絡(luò)環(huán)境，高效安全的信息存儲(chǔ)與傳輸已經(jīng)成為網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展必不可少的特性。本文首先介紹了網(wǎng)絡(luò)存儲(chǔ)重要性等相關(guān)知識(shí)，并對(duì)網(wǎng)絡(luò)存儲(chǔ)的安全性問(wèn)題進(jìn)行探討。

關(guān)鍵詞:網(wǎng)絡(luò)存儲(chǔ) 網(wǎng)絡(luò)安全 安全機(jī)制

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2011)03(c)-0029-01

網(wǎng)絡(luò)存儲(chǔ)安全是指網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的因素而遭到更改、破壞，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)存儲(chǔ)服務(wù)不會(huì)中斷。目前，我們正面臨著由電子商務(wù)應(yīng)用所生成的數(shù)據(jù)爆炸，這些數(shù)據(jù)必須得到適當(dāng)?shù)拇鎯?chǔ)和管理，而且有時(shí)還需要使用數(shù)據(jù)挖掘應(yīng)用程序從原始數(shù)據(jù)中提取信息，企業(yè)資源計(jì)劃(ERP)，數(shù)據(jù)挖掘和決策支持應(yīng)用也推動(dòng)了對(duì)網(wǎng)絡(luò)存儲(chǔ)安全的需求，因?yàn)槠渲猩婕暗臄?shù)據(jù)必須從異地環(huán)境中存取和拷貝。安全的信息存儲(chǔ)技術(shù)在其中扮演了突出的角色。

1 安全的信息存儲(chǔ)技術(shù)在網(wǎng)絡(luò)存儲(chǔ)中的重要性

數(shù)據(jù)是信息的符號(hào)，數(shù)據(jù)的價(jià)值取決于信息的價(jià)值，越來(lái)越多有價(jià)值的關(guān)鍵信息轉(zhuǎn)變?yōu)閿?shù)據(jù)，數(shù)據(jù)的價(jià)值就越來(lái)越高。數(shù)據(jù)的丟失對(duì)于企業(yè)來(lái)講，其損失是無(wú)法估量的，甚至是毀滅性的，這就要求數(shù)據(jù)存儲(chǔ)系統(tǒng)具有卓越的安全性。同時(shí)，數(shù)據(jù)總量在呈爆炸式增長(zhǎng)。據(jù)權(quán)威咨詢公司IDC統(tǒng)計(jì)，企業(yè)的數(shù)據(jù)量每半年就會(huì)翻一番。截至2002年底，財(cái)富500強(qiáng)企業(yè)平均擁有的存儲(chǔ)容量達(dá)到48TB以上，這一數(shù)字到2007年底將超過(guò)230TB。數(shù)據(jù)的爆炸性增長(zhǎng)表明企業(yè)將越來(lái)越依賴于這些關(guān)鍵數(shù)據(jù)，對(duì)很多大型企業(yè)來(lái)講，這些數(shù)據(jù)是企業(yè)最寶貴的財(cái)富，必須以盡可能可靠的措施來(lái)保證數(shù)據(jù)的安全。

前幾年，傳統(tǒng)數(shù)據(jù)存儲(chǔ)系統(tǒng)成為計(jì)算機(jī)系統(tǒng)的性能瓶頸，即I／O瓶頸。傳統(tǒng)存儲(chǔ)系統(tǒng)結(jié)構(gòu)難以解決這一問(wèn)題，這使得采用網(wǎng)絡(luò)存儲(chǔ)結(jié)構(gòu)成為一種迫切的技術(shù)需要。存儲(chǔ)的網(wǎng)絡(luò)化程度越高，獲取信息的機(jī)會(huì)也越大，存放這些數(shù)據(jù)的存儲(chǔ)媒介也成為惡意攻擊者的主要目標(biāo)。如果攻擊者能成功入侵一個(gè)數(shù)據(jù)存儲(chǔ)設(shè)備，他就能獲得機(jī)密數(shù)據(jù)，甚至能阻礙合法用戶的訪問(wèn)，造成難以估量的負(fù)面影響。存儲(chǔ)安全環(huán)節(jié)之所以薄弱，是因?yàn)橐环矫?，由于存?chǔ)安全威脅造成的損失是巨大的;另一方面，相比于網(wǎng)絡(luò)安全的完備研究，存儲(chǔ)安全的研究尚處在起步階段。任何公司或機(jī)構(gòu)都不敢置數(shù)據(jù)安全風(fēng)險(xiǎn)于不顧，由安全問(wèn)題帶來(lái)的損失可能遠(yuǎn)遠(yuǎn)超過(guò)在安全解決方案上的投資。據(jù)統(tǒng)計(jì)，僅美國(guó)的公司在2001年便因病毒攻擊導(dǎo)致大約123億美元的損失，任何人都無(wú)法保證數(shù)據(jù)存儲(chǔ)系統(tǒng)能免遭攻擊者的惡意傷害。

2 當(dāng)前存儲(chǔ)安全服務(wù)和系統(tǒng)安全研究

目前，按照信息存儲(chǔ)系統(tǒng)的構(gòu)成，主要有三種選擇:直接連接存儲(chǔ)(DAS)、網(wǎng)絡(luò)附加存儲(chǔ)(NAS)和存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)。

DAS (Direct Attached Storage——直接連接存儲(chǔ))是指將存儲(chǔ)設(shè)備通過(guò)SCSI接口或光纖通道直接連接到一臺(tái)計(jì)算機(jī)上。當(dāng)服務(wù)器在地理上比較分散，很難通過(guò)遠(yuǎn)程連接進(jìn)行互連時(shí)，直接連接存儲(chǔ)是比較好的解決方案，甚至可能是唯一的解決方案。利用直接連接存儲(chǔ)的另一個(gè)原因也可能是企業(yè)決定繼續(xù)保留已有的傳輸速率并不很高的網(wǎng)絡(luò)系統(tǒng)。

NAS(Network Attached Storage——網(wǎng)絡(luò)連接存儲(chǔ))即將存儲(chǔ)設(shè)備通過(guò)標(biāo)準(zhǔn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(例如以太網(wǎng))連接到一群計(jì)算機(jī)上，是一種專業(yè)的網(wǎng)絡(luò)文件存儲(chǔ)及文件備份設(shè)備，或稱為網(wǎng)絡(luò)直聯(lián)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)磁盤陣列。簡(jiǎn)單地說(shuō)，NAS是通過(guò)網(wǎng)線連接的磁盤陣列，它具備了磁盤陣列的所有主要特征:高容量、高效能、高可靠。一個(gè)NAS里面包括核心處理器、文件服務(wù)管理工具、一個(gè)或者多個(gè)的硬盤驅(qū)動(dòng)器用于數(shù)據(jù)的存儲(chǔ)。

SAN(Storage Area Network——存儲(chǔ)局域網(wǎng))是獨(dú)立于服務(wù)器網(wǎng)絡(luò)系統(tǒng)之外幾乎擁有無(wú)限存儲(chǔ)能力的高速存儲(chǔ)網(wǎng)絡(luò)，這種網(wǎng)絡(luò)采用高速的光纖通道作為傳輸媒體，以FC(Fiber Channel，光通道)+SCSI(Small Computer System Interface，小型計(jì)算機(jī)系統(tǒng)接口)的應(yīng)用協(xié)議作為存儲(chǔ)訪問(wèn)協(xié)議，將存儲(chǔ)子系統(tǒng)網(wǎng)絡(luò)化，實(shí)現(xiàn)了真正高速共享存儲(chǔ)的目標(biāo)。SAN(儲(chǔ)藏區(qū)域網(wǎng)絡(luò)存儲(chǔ)區(qū)域網(wǎng)絡(luò))可以定義為是以存儲(chǔ)設(shè)備為中心，采用可伸縮的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過(guò)具有高傳輸速率的光通道的直接連接方式，提供SAN內(nèi)部任意節(jié)點(diǎn)之間的多路可選擇的數(shù)據(jù)交換，并且將數(shù)據(jù)存儲(chǔ)管理集中在相對(duì)獨(dú)立的存儲(chǔ)區(qū)域網(wǎng)內(nèi)。

3 網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)安全技術(shù)分析所需解決的問(wèn)題

3.1 SAN安全機(jī)制

SAN交換機(jī)、HBA(Host—Bus Adapters)和存儲(chǔ)陣列等SAN設(shè)備層的配置都與其安全特性有關(guān)。SAN的安全機(jī)制包括交換機(jī)端口類型配置、分區(qū)和LUN(Logical Unit Number)屏蔽。WWN(World Wide Name)是光纖通道中用于標(biāo)識(shí)節(jié)點(diǎn)和端口的64位惟一注冊(cè)標(biāo)識(shí)符。分區(qū)的作用類似于VLAN，基于WWN的軟分區(qū)由于存在WWN的盜用，因此安全性較低。硬件分區(qū)根據(jù)交換機(jī)端口WWN的組合劃分，分區(qū)的訪問(wèn)限制不能突破，因而具有更高的安全性。應(yīng)是首選的分區(qū)方法。邏輯單元號(hào)LUN是一種對(duì)存儲(chǔ)設(shè)備的劃分。LUN屏蔽是一種比分區(qū)粒度更細(xì)的訪問(wèn)控制方法，它可以控制服務(wù)器對(duì)不同邏輯單元的訪問(wèn)。

3.2 NAS文件系統(tǒng)安全機(jī)制

NAS使用CIFS和NFS來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)文件共享，其安全機(jī)制建立在CIFS和NFS的基礎(chǔ)上。CIFS提供認(rèn)證和授權(quán)這2種安全機(jī)制，其中認(rèn)證又包括共享級(jí)認(rèn)證和用戶級(jí)認(rèn)證。在共享級(jí)認(rèn)證方式下，整個(gè)共享點(diǎn)只有一個(gè)單一的口令用于共享訪問(wèn)，提供的安全保障有限，只能用于對(duì)安全性要求不高的公共資源共享或臨時(shí)資源共享等場(chǎng)合。用戶級(jí)認(rèn)證方式為不同用戶提供不同的用戶名，因此能提供高于共享級(jí)認(rèn)證的安全性，但用戶名和口令是以明文方式傳送，因此也存在被監(jiān)聽(tīng)的威脅。

4 結(jié)語(yǔ)

隨著數(shù)據(jù)價(jià)值不斷提升，以及存儲(chǔ)網(wǎng)絡(luò)化不斷發(fā)展，數(shù)據(jù)遭受的安全威脅日益增多，若無(wú)存儲(chǔ)安全防范措施，一旦攻擊者成功地滲透到數(shù)據(jù)存儲(chǔ)系統(tǒng)中，其負(fù)面影響將是無(wú)法估計(jì)的。如果不從系統(tǒng)和控制的角度審視和設(shè)計(jì)安全解決方案，方案本身可能造成新的安全隱患。這要求企業(yè)在特定存儲(chǔ)系統(tǒng)結(jié)構(gòu)下，從存儲(chǔ)系統(tǒng)的角度考慮存儲(chǔ)安全性，綜合考慮存儲(chǔ)機(jī)制和安全策略是存儲(chǔ)安全的一個(gè)研究方向。

作為全新的網(wǎng)絡(luò)存儲(chǔ)技術(shù)，NAS和SAN尚處于成長(zhǎng)期，其國(guó)際標(biāo)準(zhǔn)尚未形成因此，對(duì)于網(wǎng)絡(luò)存儲(chǔ)安全體系結(jié)構(gòu)的研究，只能是根據(jù)目前的體系結(jié)構(gòu)進(jìn)行一些探討，給出一個(gè)相對(duì)安全的對(duì)策方案，以保證能獲得最高水平的數(shù)據(jù)與系統(tǒng)安全隨著與的結(jié)合與廣泛應(yīng)用，關(guān)于加強(qiáng)網(wǎng)絡(luò)存儲(chǔ)的安全性研究有待進(jìn)一步的改進(jìn)和擴(kuò)展。

參考文獻(xiàn)

[1]王慕東.網(wǎng)絡(luò)時(shí)代的數(shù)據(jù)存儲(chǔ)[J].情報(bào)科學(xué)，2001(8):18-19.

[2]王陣光.數(shù)據(jù)存儲(chǔ)備份與恢復(fù)[J].情報(bào)技術(shù)，2002(7):33-34.

[3]王月，賈卓生.網(wǎng)絡(luò)存儲(chǔ)技術(shù)的研究與應(yīng)用[J].計(jì)算機(jī)技術(shù)與發(fā)展.2006年06期.

[4]曾愛(ài)華.網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)與備份探析[J].電腦知識(shí)與技術(shù).2006年14期.

[5]賀新.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的初探.科技創(chuàng)新導(dǎo)報(bào)，2010年第6期.

[6]嚴(yán)凡，任彤.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略的研究.科技創(chuàng)新導(dǎo)報(bào)，2009年第36期.