为了解决传统存储技术无法满足各行业信息系统日益增长的数据存储需求的问题，基于NAS与SAN的网络存储技术应运而生。然而存储在NAS和SAN环境下的数据有巨大的安全隐患，鉴于此，本文分别对NAS和SAN存在的安全问题进行分析并给出相应的对策。

    随着IT技术的迅猛发展，各行业中越来越多的业务被迁移到IT平台上运行，系统中所容纳的数据呈现出爆炸性的增长，各方面对系统可用性和安全性以及数据共享能力的要求不断提高。传统的数据存储技术和数据管理方法在这种形势面前开始显得捉襟见肘，于是，网络化存储的概念被提出并得到了迅速发展。

    目前，主流的网络存储技术有两种：网络附加存储（NAS）和存储区域网（SAN）。它们为那些对数据可用性、安全性要求极高的关键业务应用提供了可行的存储解决方案。本文对这两种网络存储技术中存在的安全问题展开讨论并给出相应的解决方案。

    网络存储技术概述

    直接连接存储

    直接连接存储（DirectAccessStorage。简称DAS）也叫总线连接存储（BusAccessStorage。，简称DAS），是传统的存储模式，是以服务器为中心的存储结构。在这种结构中，存储器与服务器之间通过传统的I/O总线通信，服务器实际上起到存储转发数据的作用。各种存储设备通过IDE、SCSI等I/O总线，经过一个通用的服务器连接在网络上。客户端如果需要访问存储器上的数据，必须先给文件服务器发送请求信息。

    网络连接存储

    网络连接存储（NetworkAttachedStorage,简称NAS）是一种可以提供文件级服务的存储设备，其特点是可以直接挂到网络上向用户提供文件级服务。此外，它有自己简化的实时操作系统，并将硬件和软件有效地集合在一起，用以提供文件服务，NAS存储系统的特点是通过基于IP网络的网络文件协议向多种客户端提供文件级I/0服务，客户端可以在NAS存储设备提供的目录或设备中进行文件级操作。

    网络存储的主角SAN

    SAN是一种以数据存储为中心且面向网络的存储结构。SAN技术采用可扩展的网络拓扑结构连接存储设备和服务器，是一种面向服务器提供数据存储服务，并将数据的存储和管理集中在相对独立的专用网络中的存储技术。在SAN技术中，由于服务器和存储设备之间的多路、可选择的数据交换，因此，以往存储结构中存在的可扩展性和数据共享方面的局限性被消除。

    SAN中通过协议映射，存储设备的磁盘或磁带表现为服务器节点上的“网络磁盘”在服务器操作系统看来，网络盘与本地盘相同，服务器节点操作网络盘就像操作本地SCSI硬盘一样对其发送SCSI命令，命令通过相关协议的封装后，由服务器发送到SAN网络，并由存储设备接收并执行。服务器节点可以对网络磁盘，进行各种块操作和文件操作，例如FDISK,FORMAT、拷贝文件、创建目录等等。

    NAS的安全问题及对策

    NAS的安全问题

    安全性问题主要体现在：①当处于网络中的两个实体建立连接或传输信息时，对对方的合法性进行确认，以防假冒，即如何对授权用户的身份进行认证。②如何保证所接受/发送信息的安全性，也就是如何保证用户口令及传输的各种信息不被非法用户中途窃听、篡改。网络连接存储安全对策

    在安全系统中设置五个服务进程，它们分别是：认证请求分类处理服务进程、内置认证服务进程、认证请求服务进程、认证应答服务进程和应用级加密解密服务进程，这些进程对来自客户的认证信息及客户与NASS之间传递的信息进行处理。在设置以上五个服务进程的基础上还需要设置一个守护进程，该进程用来负责接受的认证请求信息。当打开网络附加存储服务器时，系统首先读配置文件并对系统进行各种配置，配置完毕后，创建并激活守护进程，守护进程通过监听 WebServer的相应端口，接受用户的认证请求信息。各模块工作过程如下：

    ·内置认证服务模块。

    ·认证请求模块

    ·认证请求应答模块。

    ·应用及加密模块。

    ·SAN的安全问题及对策

    ·SAN的安全问题

    由于计算机网络技术的高速发展及C/S、B/S模式的出现，本地的存储系统不仅要为本地服务，同时也要为远程的用户服务。按照对SAN的攻击和破坏程度来区分，有以下几类攻击方式：

    （1）非授权访问攻击。非授权访问攻击是指非法的用户或者是某些低级别的用户通过修改和构造访问权限以获取需要的信息，或者是利用得到的权限对数据存储系统进行破坏。

    （2）拒绝服务攻击。拒绝服务攻击方式主要可两种：一种方式是耗尽被攻击系统的可用资源，另一种方式是耗尽其网络的带宽。攻击者的主要目的是使得服务器不能向合法的用户提供正常的资源服务。

    （3）缓冲区溢出攻击。缓冲区溢出攻击是通过向系统的缓冲区写入过多的数据以破坏主机堆找，使系统跳转到攻击者设定的代码部分运行的一种系统的攻击手段。

    （4）扫描类攻击。扫描类的攻击是一种在服务器网络中比较流行的攻击方式。这种攻击通常只是为了获得一些被攻击主机系统的重要信息。

    SAN的安全策略

    构建一个安全的SAN网络是由可靠的物理拓扑结构架上密码技术共同实现的，并且是可重构、可更换的络是由许多存储体构成，并且是可重构、可更换的。比较现实的方法是：在SAN的外端设置门卫式密码服务机制，再配上有效的安全管理机制，这样同样可以达到安全存储和访问的目的。

    （1）安全代理服务策略。采用该策略可以建立一个由安全代理服务器环境构建的局域网SAN的安全系统。该方案是以主干交换机和安全代理服务器组成后端的安全存储网络，而前端的网络是由客户喘与各类服务器组成的LAN和WAN，前端的所有客户都可以通过代理服务器透明地访问后端网络的所有存储设备，在客户端和代理服务器之间形成加密的访问控制链。

    （2）远程安全访问备份策略。采用远程安全访问备份策略建立的DAN安全系统是一种典型VPN结构数据加密传输。该方案是以解决远程数据备份和灾难恢复为主要目的的远程安全访问备份系统。通过这种手段，可以达到远程数据相互备份和灾难恢复的目的。

    结束语

    NAS/SAN作为全新的网络存储技术，尚处于成长期。因此，对于网络存储安全体系结构的研究，只能是根据目前的体系结构进行一些探讨，给出一个相对安全的对策方案，以保证能获得最高水平的数据与系统安全。随着SAN与NAS的结合与广泛应用，关于加强网络存储的安全性研究有待进一步的改进和扩展。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。