新時期下網絡存儲和網絡安全技術問題分析

摘 要:隨著網絡技術的不斷發展，越來越多的信息以存儲的形式存在，尤其是隨著網絡存儲(SAN與NAS)的發展，面對一個越來越開放的網絡環境，高效安全的信息存儲與傳輸已經成為網絡經濟發展必不可少的特性。本文首先介紹了網絡存儲重要性等相關知識，并對網絡存儲的安全性問題進行探討。

關鍵詞:網絡存儲 網絡安全 安全機制

中圖分類號:TP393 文獻標識碼:A 文章編號:1674-098X(2011)03(c)-0029-01

網絡存儲安全是指網絡存儲系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或惡意的因素而遭到更改、破壞，系統連續、可靠、正常地運行，網絡存儲服務不會中斷。目前，我們正面臨著由電子商務應用所生成的數據爆炸，這些數據必須得到適當的存儲和管理，而且有時還需要使用數據挖掘應用程序從原始數據中提取信息，企業資源計劃(ERP)，數據挖掘和決策支持應用也推動了對網絡存儲安全的需求，因為其中涉及的數據必須從異地環境中存取和拷貝。安全的信息存儲技術在其中扮演了突出的角色。

1 安全的信息存儲技術在網絡存儲中的重要性

數據是信息的符號，數據的價值取決于信息的價值，越來越多有價值的關鍵信息轉變為數據，數據的價值就越來越高。數據的丟失對于企業來講，其損失是無法估量的，甚至是毀滅性的，這就要求數據存儲系統具有卓越的安全性。同時，數據總量在呈爆炸式增長。據權威咨詢公司IDC統計，企業的數據量每半年就會翻一番。截至2002年底，財富500強企業平均擁有的存儲容量達到48TB以上，這一數字到2007年底將超過230TB。數據的爆炸性增長表明企業將越來越依賴于這些關鍵數據，對很多大型企業來講，這些數據是企業最寶貴的財富，必須以盡可能可靠的措施來保證數據的安全。

前幾年，傳統數據存儲系統成為計算機系統的性能瓶頸，即I／O瓶頸。傳統存儲系統結構難以解決這一問題，這使得采用網絡存儲結構成為一種迫切的技術需要。存儲的網絡化程度越高，獲取信息的機會也越大，存放這些數據的存儲媒介也成為惡意攻擊者的主要目標。如果攻擊者能成功入侵一個數據存儲設備，他就能獲得機密數據，甚至能阻礙合法用戶的訪問，造成難以估量的負面影響。存儲安全環節之所以薄弱，是因為一方面，由于存儲安全威脅造成的損失是巨大的;另一方面，相比于網絡安全的完備研究，存儲安全的研究尚處在起步階段。任何公司或機構都不敢置數據安全風險于不顧，由安全問題帶來的損失可能遠遠超過在安全解決方案上的投資。據統計，僅美國的公司在2001年便因病毒攻擊導致大約123億美元的損失，任何人都無法保證數據存儲系統能免遭攻擊者的惡意傷害。

2 當前存儲安全服務和系統安全研究

目前，按照信息存儲系統的構成，主要有三種選擇:直接連接存儲(DAS)、網絡附加存儲(NAS)和存儲區域網絡(SAN)。

DAS (Direct Attached Storage——直接連接存儲)是指將存儲設備通過SCSI接口或光纖通道直接連接到一臺計算機上。當服務器在地理上比較分散，很難通過遠程連接進行互連時，直接連接存儲是比較好的解決方案，甚至可能是唯一的解決方案。利用直接連接存儲的另一個原因也可能是企業決定繼續保留已有的傳輸速率并不很高的網絡系統。

NAS(Network Attached Storage——網絡連接存儲)即將存儲設備通過標準的網絡拓撲結構(例如以太網)連接到一群計算機上，是一種專業的網絡文件存儲及文件備份設備，或稱為網絡直聯存儲設備、網絡磁盤陣列。簡單地說，NAS是通過網線連接的磁盤陣列，它具備了磁盤陣列的所有主要特征:高容量、高效能、高可靠。一個NAS里面包括核心處理器、文件服務管理工具、一個或者多個的硬盤驅動器用于數據的存儲。

SAN(Storage Area Network——存儲局域網)是獨立于服務器網絡系統之外幾乎擁有無限存儲能力的高速存儲網絡，這種網絡采用高速的光纖通道作為傳輸媒體，以FC(Fiber Channel，光通道)+SCSI(Small Computer System Interface，小型計算機系統接口)的應用協議作為存儲訪問協議，將存儲子系統網絡化，實現了真正高速共享存儲的目標。SAN(儲藏區域網絡存儲區域網絡)可以定義為是以存儲設備為中心，采用可伸縮的網絡拓撲結構，通過具有高傳輸速率的光通道的直接連接方式，提供SAN內部任意節點之間的多路可選擇的數據交換，并且將數據存儲管理集中在相對獨立的存儲區域網內。

3 網絡存儲系統安全技術分析所需解決的問題

3.1 SAN安全機制

SAN交換機、HBA(Host—Bus Adapters)和存儲陣列等SAN設備層的配置都與其安全特性有關。SAN的安全機制包括交換機端口類型配置、分區和LUN(Logical Unit Number)屏蔽。WWN(World Wide Name)是光纖通道中用于標識節點和端口的64位惟一注冊標識符。分區的作用類似于VLAN，基于WWN的軟分區由于存在WWN的盜用，因此安全性較低。硬件分區根據交換機端口WWN的組合劃分，分區的訪問限制不能突破，因而具有更高的安全性。應是首選的分區方法。邏輯單元號LUN是一種對存儲設備的劃分。LUN屏蔽是一種比分區粒度更細的訪問控制方法，它可以控制服務器對不同邏輯單元的訪問。

3.2 NAS文件系統安全機制

NAS使用CIFS和NFS來實現網絡文件共享，其安全機制建立在CIFS和NFS的基礎上。CIFS提供認證和授權這2種安全機制，其中認證又包括共享級認證和用戶級認證。在共享級認證方式下，整個共享點只有一個單一的口令用于共享訪問，提供的安全保障有限，只能用于對安全性要求不高的公共資源共享或臨時資源共享等場合。用戶級認證方式為不同用戶提供不同的用戶名，因此能提供高于共享級認證的安全性，但用戶名和口令是以明文方式傳送，因此也存在被監聽的威脅。

4 結語

隨著數據價值不斷提升，以及存儲網絡化不斷發展，數據遭受的安全威脅日益增多，若無存儲安全防范措施，一旦攻擊者成功地滲透到數據存儲系統中，其負面影響將是無法估計的。如果不從系統和控制的角度審視和設計安全解決方案，方案本身可能造成新的安全隱患。這要求企業在特定存儲系統結構下，從存儲系統的角度考慮存儲安全性，綜合考慮存儲機制和安全策略是存儲安全的一個研究方向。

作為全新的網絡存儲技術，NAS和SAN尚處于成長期，其國際標準尚未形成因此，對于網絡存儲安全體系結構的研究，只能是根據目前的體系結構進行一些探討，給出一個相對安全的對策方案，以保證能獲得最高水平的數據與系統安全隨著與的結合與廣泛應用，關于加強網絡存儲的安全性研究有待進一步的改進和擴展。

參考文獻

[1]王慕東.網絡時代的數據存儲[J].情報科學，2001(8):18-19.

[2]王陣光.數據存儲備份與恢復[J].情報技術，2002(7):33-34.

[3]王月，賈卓生.網絡存儲技術的研究與應用[J].計算機技術與發展.2006年06期.

[4]曾愛華.網絡數據存儲與備份探析[J].電腦知識與技術.2006年14期.

[5]賀新.計算機網絡安全技術的初探.科技創新導報，2010年第6期.

[6]嚴凡，任彤.計算機網絡信息安全及其防護策略的研究.科技創新導報，2009年第36期.