存儲(chǔ)網(wǎng)絡(luò)在企業(yè)應(yīng)用中的安全隱患及防護(hù)

安全是存儲(chǔ)網(wǎng)絡(luò)的一個(gè)關(guān)鍵特性。它可能會(huì)影響到存儲(chǔ)解決方案的所有組成部樂(lè)一個(gè)完整的存儲(chǔ)安全解決方案需要考慮所有可能的存儲(chǔ)接人點(diǎn)和安全機(jī)制的管理。在靜態(tài)數(shù)據(jù)的保護(hù)中關(guān)注的是保護(hù)存儲(chǔ)在陣列中的數(shù)據(jù)，它包括防病毒、電子數(shù)據(jù)銷(xiāo)毀或者靜態(tài)數(shù)據(jù)加密，這種保護(hù)主要是為了防止數(shù)據(jù)受到用戶對(duì)陣列的物理訪問(wèn)的影響。還必須保護(hù)主機(jī)和存儲(chǔ)管理應(yīng)用對(duì)存儲(chǔ)的訪問(wèn)：存儲(chǔ)分隔通過(guò)只向主機(jī)提供對(duì)主機(jī)應(yīng)用需要訪問(wèn)的部分存儲(chǔ)的訪問(wèn)權(quán)限，降低了存儲(chǔ)被主機(jī)訪問(wèn)的可能性，它可以利用LUN屏蔽和分區(qū)，對(duì)主機(jī)的存儲(chǔ)訪問(wèn)和在數(shù)據(jù)復(fù)制過(guò)程中進(jìn)行統(tǒng)一的控制。存儲(chǔ)管理安全可以保護(hù)和控制存儲(chǔ)管理應(yīng)用對(duì)存儲(chǔ)的訪問(wèn)�；�于政策的存儲(chǔ)區(qū)域網(wǎng)絡(luò)安全管理可以確保對(duì)存儲(chǔ)區(qū)域網(wǎng)絡(luò)安全參數(shù)的管理和監(jiān)控。

下面本文將帶大家一起來(lái)了解一下存儲(chǔ)網(wǎng)絡(luò)在企業(yè)應(yīng)用中的安全隱患及防護(hù)：

1、威脅

存儲(chǔ)網(wǎng)絡(luò)已在部分企業(yè)單位安裝部署，不少企業(yè)在實(shí)施后面臨新的安全問(wèn)題，安全正在超越服務(wù)器，進(jìn)入存儲(chǔ)網(wǎng)絡(luò)。當(dāng)存儲(chǔ)環(huán)境處于隔離狀態(tài)時(shí)，只需控制對(duì)于應(yīng)用的訪問(wèn)和實(shí)施存儲(chǔ)數(shù)據(jù)物理保護(hù)措施就足以限制網(wǎng)絡(luò)漏洞，最大限度地減少存儲(chǔ)基礎(chǔ)設(shè)施所面臨的威脅。但是隨著網(wǎng)絡(luò)存儲(chǔ)的發(fā)展，新的漏洞層出不窮。新的互相連接的接入點(diǎn)讓存儲(chǔ)環(huán)境直接面臨著新的威脅和漏洞所帶來(lái)的影響。

2、隱患

在主機(jī)上目前主要漏洞來(lái)自于不安全的主機(jī)對(duì)存儲(chǔ)網(wǎng)絡(luò)的訪問(wèn)。可以是對(duì)方控制了主機(jī)，或者某個(gè)應(yīng)用中隱藏的特洛伊木馬。如為了訪問(wèn)存儲(chǔ)而偽造主機(jī)身份；為了監(jiān)控存儲(chǔ)數(shù)據(jù)而竊聽(tīng)存儲(chǔ)網(wǎng)絡(luò)；對(duì)于存儲(chǔ)網(wǎng)絡(luò)的拒絕服務(wù)攻擊。

在網(wǎng)絡(luò)土河能存在對(duì)方利用存儲(chǔ)管理應(yīng)用執(zhí)行非法操作，通過(guò)某個(gè)未經(jīng)允許的服務(wù)器偽裝控制臺(tái)或者存儲(chǔ)管理服務(wù)器，從而執(zhí)行未經(jīng)授權(quán)的操作。

在數(shù)據(jù)上，復(fù)制和復(fù)制管理服務(wù)很容易受到源自于網(wǎng)絡(luò)或者存儲(chǔ)管理的不當(dāng)使用所造成的安全漏洞，如存儲(chǔ)管理員未經(jīng)授權(quán)的復(fù)制操作；通過(guò)對(duì)復(fù)制網(wǎng)絡(luò)的竊聽(tīng)活動(dòng)，竊取機(jī)密信息；偽裝成一臺(tái)故障恢復(fù)服務(wù)器，以竊取數(shù)據(jù)；在網(wǎng)絡(luò)上竄改所復(fù)制的數(shù)據(jù)。

3、安全理念

3.1、靜態(tài)數(shù)據(jù)的保護(hù)

當(dāng)新的威脅和攻擊試圖訪問(wèn)或者破壞存儲(chǔ)數(shù)據(jù)時(shí)，存儲(chǔ)平臺(tái)必須能夠與可以消除這些威脅的專(zhuān)業(yè)技術(shù)進(jìn)行交互操作。從專(zhuān)門(mén)針對(duì)網(wǎng)絡(luò)附加存儲(chǔ)的防病毒保護(hù)、電子數(shù)據(jù)銷(xiāo)毀到靜態(tài)數(shù)據(jù)加密。

3.2、防病毒和內(nèi)容安全

網(wǎng)絡(luò)存儲(chǔ)必須與內(nèi)容安全技術(shù)緊密地結(jié)合起來(lái)。在內(nèi)容被存儲(chǔ)到存儲(chǔ)平臺(tái)時(shí)和被恢復(fù)到某個(gè)備用存儲(chǔ)時(shí)對(duì)內(nèi)容進(jìn)行動(dòng)態(tài)掃描，掃描存儲(chǔ)內(nèi)容中是否存在惡意代碼和非法的、不適當(dāng)?shù)膬?nèi)容。

3.3、靜態(tài)數(shù)據(jù)的加密

對(duì)于加密數(shù)據(jù)的需求通常取決于數(shù)據(jù)的敏感性或者數(shù)據(jù)所在的存儲(chǔ)的類(lèi)型，敏感信息的加密。信息的敏感性取決于業(yè)務(wù)和政策要求，敏感信息的數(shù)據(jù)加密為其他數(shù)據(jù)訪問(wèn)控制機(jī)制增加了一個(gè)保護(hù)層，有助于達(dá)到隱私權(quán)法規(guī)的要求。

3.4、遠(yuǎn)程服務(wù)的安全性

有些存儲(chǔ)管理應(yīng)用可以提供在互聯(lián)網(wǎng)上的遠(yuǎn)程存儲(chǔ)服務(wù)。在這種情況下，互聯(lián)網(wǎng)的使用將會(huì)大大增加人們對(duì)于保護(hù)管理組件之間的通信安全的需求。在大多數(shù)情況下，SSL被用作遠(yuǎn)程汗儲(chǔ)管理服務(wù)的一個(gè)安全的通信渠道。

3.5、基于政策的安全管理

目前，基于政策的管理在安全領(lǐng)域中發(fā)展得比較完善，安全政策的實(shí)例包括基于角色的用戶管理政策，它可以設(shè)定關(guān)于添加和移除用戶的應(yīng)用訪問(wèn)權(quán)限的規(guī)則；或者參考配置政策，它可以為安全的應(yīng)用實(shí)施定義配置模板。為了加強(qiáng)和監(jiān)控這些安全實(shí)施，企業(yè)已經(jīng)部署了很多覆蓋整個(gè)企業(yè)的安全管理工具，并組建了集中的安全管理團(tuán)隊(duì)，以執(zhí)行一些過(guò)往由系統(tǒng)或應(yīng)用管理員負(fù)責(zé)的安全管理任務(wù)。并采用一些技術(shù)，例如目錄管理技術(shù)、身份管理解決方案、入侵檢測(cè)或者日志管理應(yīng)用來(lái)加強(qiáng)和監(jiān)控他們的安全政策。

4、防護(hù)策略

目前在我公司內(nèi)部，采用的是2家主流的大型存儲(chǔ)設(shè)備廠商的產(chǎn)品(EMC2和Netapp)，在具體防護(hù)措施手段上不同，但防護(hù)策略基本一致。一是保持網(wǎng)絡(luò)運(yùn)行的完整性，防止未經(jīng)授權(quán)的主機(jī)或者交換機(jī)接人網(wǎng)絡(luò)或者導(dǎo)致網(wǎng)絡(luò)中斷：采用冗余的交換機(jī)，設(shè)置ZONE，進(jìn)一步提高存儲(chǔ)系統(tǒng)訪問(wèn)控制。二是重要數(shù)據(jù)存放到存儲(chǔ)網(wǎng)絡(luò)上。三是陣列內(nèi)的數(shù)據(jù)采用RAID保護(hù)及系統(tǒng)自帶保護(hù)措施。四是分隔主機(jī)對(duì)存儲(chǔ)卷和陣列的訪問(wèn)，禁止未經(jīng)授權(quán)的跨組訪問(wèn)，保護(hù)和隔離數(shù)據(jù)。五是存儲(chǔ)網(wǎng)絡(luò)陣列內(nèi)部可利用SnapVie，功能做數(shù)據(jù)的備份。六是建立遠(yuǎn)程容災(zāi)機(jī)房，遠(yuǎn)距離復(fù)制數(shù)據(jù)。七是采取多級(jí)備份措施，將備份出來(lái)的數(shù)據(jù)再進(jìn)行異地磁帶備份。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]