|
存儲網(wǎng)絡(luò)已在部分企業(yè)單位安裝部署��,不少企業(yè)在實施后面臨新的安全問題���,安全正在超越服務(wù)器,進入存儲網(wǎng)絡(luò)�。當存儲環(huán)境處于隔離狀態(tài)時......
1威脅
存儲網(wǎng)絡(luò)已在部分企業(yè)單位安裝部署,不少企業(yè)在實施后面臨新的安全問題��,安全正在超越服務(wù)器����,進入存儲網(wǎng)絡(luò)。當存儲環(huán)境處于隔離狀態(tài)時��,只需控制對于應(yīng)用的訪問和實施存儲數(shù)據(jù)物理保護措施就足以限制網(wǎng)絡(luò)漏洞�,最大限度地減少存儲基礎(chǔ)設(shè)施所面臨的威脅�。但是隨著網(wǎng)絡(luò)存儲的發(fā)展,新的漏洞層出不窮。新的互相連接的接入點讓存儲環(huán)境直接面臨著新的威脅和漏洞所帶來的影響���。
2隱患
在主機上目前主要漏洞來自于不安全的主機對存儲網(wǎng)絡(luò)的訪問�������?梢允菍Ψ娇刂屏酥鳈C�,或者某個應(yīng)用中隱藏的特洛伊木馬�����。如為了訪問存儲而偽造主機身份;為了監(jiān)控存儲數(shù)據(jù)而竊聽存儲網(wǎng)絡(luò);對于存儲網(wǎng)絡(luò)的拒絕服務(wù)攻擊�����。
在網(wǎng)絡(luò)土河能存在對方利用存儲管理應(yīng)用執(zhí)行非法操作���,通過某個未經(jīng)允許的服務(wù)器偽裝控制臺或者存儲管理服務(wù)器���,從而執(zhí)行未經(jīng)授權(quán)的操作。
在數(shù)據(jù)上�,復(fù)制和復(fù)制管理服務(wù)很容易受到源自于網(wǎng)絡(luò)或者存儲管理的不當使用所造成的安全漏洞����,如存儲管理員未經(jīng)授權(quán)的復(fù)制操作;通過對復(fù)制網(wǎng)絡(luò)的竊聽活動�����,竊取機密信息;偽裝成一臺故障恢復(fù)服務(wù)器��,以竊取數(shù)據(jù);在網(wǎng)絡(luò)上竄改所復(fù)制的數(shù)據(jù)����。
3安全理念
3.1全面的安全保護
安全是存儲網(wǎng)絡(luò)的一個關(guān)鍵特性。它可能會影響到存儲解決方案的所有組成部樂一個完整的存儲安全解決方案需要考慮所有可能的存儲接人點和安全機制的管理����。在靜態(tài)數(shù)據(jù)的保護中關(guān)注的是保護存儲在陣列中的數(shù)據(jù),它包括防病毒���、電子數(shù)據(jù)銷毀或者靜態(tài)數(shù)據(jù)加密��,這種保護主要是為了防止數(shù)據(jù)受到用戶對陣列的物理訪問的影響��。還必須保護主機和存儲管理應(yīng)用對存儲的訪問:存儲分隔通過只向主機提供對主機應(yīng)用需要訪問的部分存儲的訪問權(quán)限�����,降低了存儲被主機訪問的可能性��,它可以利用LUN屏蔽和分區(qū)�,對主機的存儲訪問和在數(shù)據(jù)復(fù)制過程中進行統(tǒng)一的控制��。存儲管理安全可以保護和控制存儲管理應(yīng)用對存儲的訪問�。基于政策的存儲區(qū)域網(wǎng)絡(luò)安全管理可以確保對存儲區(qū)域網(wǎng)絡(luò)安全參數(shù)的管理和監(jiān)控�����。
3.2靜態(tài)數(shù)據(jù)的保護
當新的威脅和攻擊試圖訪問或者破壞存儲數(shù)據(jù)時�,存儲平臺必須能夠與可以消除這些威脅的專業(yè)技術(shù)進行交互操作。從專門針對網(wǎng)絡(luò)附加存儲的防病毒保護����、電子數(shù)據(jù)銷毀到靜態(tài)數(shù)據(jù)的加密。
3.3防病毒和內(nèi)容安全
網(wǎng)絡(luò)存儲必須與內(nèi)容安全技術(shù)緊密地結(jié)合起來��。在內(nèi)容被存儲到存儲平臺時和被恢復(fù)到某個備用存儲時對內(nèi)容進行動態(tài)掃描��,掃描存儲內(nèi)容中是否存在惡意代碼和非法的���、不適當?shù)膬?nèi)容����。
3.4靜態(tài)數(shù)據(jù)的加密
對于加密數(shù)據(jù)的需求通常取決于數(shù)據(jù)的敏感性或者數(shù)據(jù)所在的存儲的類型,敏感信息的加密���。信息的敏感性取決于業(yè)務(wù)和政策要求�����,敏感信息的數(shù)據(jù)加密為其他數(shù)據(jù)訪問控制機制增加了一個保護層�,有助于達到隱私權(quán)法規(guī)的要求����。
3.5遠程服務(wù)的安全性
有些存儲管理應(yīng)用可以提供在互聯(lián)網(wǎng)上的遠程存儲服務(wù)。在這種情況下�,互聯(lián)網(wǎng)的使用將會大大增加人們對于保護管理組件之間的通信安全的需求。在大多數(shù)情況下�����,SSL被用作遠程汗儲管理服務(wù)的一個安全的通信渠道���。
3.6基于政策的安全管理
目前�����,基于政策的管理在安全領(lǐng)域中發(fā)展得比較完善����,安全政策的實例包括基于角色的用戶管理政策����,它可以設(shè)定關(guān)于添加和移除用戶的應(yīng)用訪問權(quán)限的規(guī)則;或者參考配置政策,它可以為安全的應(yīng)用實施定義配置模板�。為了加強和監(jiān)控這些安全實施,企業(yè)已經(jīng)部署了很多覆蓋整個企業(yè)的安全管理工具���,并組建了集中的安全管理團隊���,以執(zhí)行一些過往由系統(tǒng)或應(yīng)用管理員負責的安全管理任務(wù)。并采用一些技術(shù)�,例如目錄管理技術(shù)、身份管理解決方案�����、入侵檢測或者日志管理應(yīng)用來加強和監(jiān)控他們的安全政策�。
4防護策略
目前在我公司內(nèi)部,采用的是2家主流的大型存儲設(shè)備廠商的產(chǎn)品(EMC2和Netapp)����,在具體防護措施手段上不同��,但防護策略基本一致����。一是保持網(wǎng)絡(luò)運行的完整性����,防止未經(jīng)授權(quán)的主機或者交換機接人網(wǎng)絡(luò)或者導(dǎo)致網(wǎng)絡(luò)中斷:采用冗余的交換機,設(shè)置ZONE�,進一步提高存儲系統(tǒng)訪問控制。二是重要數(shù)據(jù)存放到存儲網(wǎng)絡(luò)上��。三是陣列內(nèi)的數(shù)據(jù)采用RAID保護及系統(tǒng)自帶保護措施�����。四是分隔主機對存儲卷和陣列的訪問�����,禁止未經(jīng)授權(quán)的跨組訪問���,保護和隔離數(shù)據(jù)��。五是存儲網(wǎng)絡(luò)陣列內(nèi)部可利用SnapVie���,功能做數(shù)據(jù)的備份�����。六是建立遠程容災(zāi)機房��,遠距離復(fù)制數(shù)據(jù)。七是采取多級備份措施����,將備份出來的數(shù)據(jù)再進行異地磁帶備份。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強���!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
