存储安全介绍及实现存储安全的方法

核心提示： 存储安全是客户整个安全计划的一部分，也是数据中心安全和组织安全的一部分，存储安全介绍及实现存储安全的方法(2)，如果只小心翼翼地保护存储的安全而将整个系统向互联网开放，那这样的存储安全是丝毫没有意义的，存储系统会查看访问请求发回的地址，如果这个地址不是所有者的，应该认识到，安全计划可能需要

存储安全是客户整个安全计划的一部分，也是数据中心安全和组织安全的一部分。如果只小心翼翼地保护存储的安全而将整个系统向互联网开放，那这样的存储安全是丝毫没有意义的。应该认识到，安全计划可能需要满足各种数据库和应用的不同层次的安全需求。

当前主要有三种存储架构：DAS(直连存储)、NAS(网络附加存储)、SAN(存储区域网络)。DAS是直接连接到一个单一的系统。NAS是通过Ethernet LAN网络的方式来访问文件。SAN是通过一个存储网络来访问，现在典型的是FC(光纤通道)SAN。iSCSI SAN 基于Ethernet LAN，但是目前使用并不广泛。Object storage是一种新兴的技术，结合SAN和NAS。本文指的存储主要是SAN和NAS。

存储安全不是附加在SAN上的一个设备。存储安全是一种属性，是每个系统，每个交换机，每个SAN中的设备的一种属性。存储安全意味着要应付多种威胁，不是所有的危险都能提前预知的。存储安全还包括一整套程序，即定义数据访问权力，授权管理设备，当安全问题出现时给予合适的回应。最后，或许也是最重要的是，被授权访问数据或管理设备的人必须是可靠的，经过精心挑选的。

用一个组织的中心目录(比如Active Directory ，NDS)来进行认证有几种重要的好处。首先，个人只有被授予的权力去管理特定的设备，或者对很多设备进行有限访问(比如可以看到配置数据但是无法更改数据)。其次，审计跟踪(日志)会显示做了什么，是谁做的。这些日志会组织故意滥用权力并帮助纠正错误。第三，如果个人的责任有所改变，或者他(她)离职，那么就可以直接删除他(她)的身份或者改变授权。

原则上，存储安全是很简单直接的。在线存储――磁盘存储――被指定为不同的部分。每个部分属于一个特殊的系统或用户。如果这个部分被访问，存储系统会查看访问请求发回的地址，如果这个地址不是所有者的，那么就拒绝请求。