存储安全介绍及实现存储安全的方法

核心提示： 数据访问安全和管理安全将在下一部分进行详细讨论，数据访问安全怎样阻止未经授权的访问，存储安全介绍及实现存储安全的方法(5)，修改数据，破坏数据?有三个广泛的技术领域涉及到这一点，即使如此，网络黑客仍然可以通过伪设置的办法，即身份(认证)、授权(LUN安全)以及机密性/完整性(加密)，1、身

数据访问安全和管理安全将在下一部分进行详细讨论。

数据访问安全

怎样阻止未经授权的访问，修改数据，破坏数据?有三个广泛的技术领域涉及到这一点，即身份(认证)、授权(LUN安全)以及机密性/完整性(加密)。

1、身份认证

与存储有关的验证分为三个级别：不验证、FC WWN验证、询问/响应设备来证明自己的身份。原来根本不验证。最近FC WWN (World Wide Name)被用来验证设备的身份。将来，FC和iSCSI，以及更高级的询问/ 响应(challenge/response)协议将用于确认设备的身份。

不认证

早期的FC安装将SAN划分为几个区域。与某个区域连接的系统被假定属于那个区域。就像是SCSI缆线上的系统。由于互操作性或错误隔离等原因，分区仍然很重要。

Fibre Channel WWN

现在FC验证的最好方法是在线存储识别发出请求的系统的唯一WWN，把WWN作为其身份。对于应付简单的管理员错误或偶然的攻击，这种方法足以应付了。在理论上，经验丰富的黑客可以伪造属于另一个系统的WWN。

光纤安全协定

在FC-SP规格下，FC设备利用最高级别的询问/响应协议互相之间进行认证。几年之后，支持FC-SP的设备才能得到普及，将非FC-SP设备锁定在预先存在的SAN之外。

iSCSI

问询-握手身份验证协议(Challenge-Handshake Authentication Protocol，CHAP)通过匹配用户名和登陆密码，来识别用户的身份。密码不需要以纯文本的形式在网络中传输，从而避免了掉包和被拦截的情况发生，所以，该协议赢得了许多网络管理员的信任。不过，值得一提的是，这些密码必须存放在连接节点的终端，有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务(Remote Authentication Dial-In User Service，RADIUS)协议能够将密码从iSCSI目标设备上转移到中央授权服务器上，对终端进行认证、授权和统计，即使如此，网络黑客仍然可以通过伪设置的办法，侵入客户端。