網(wǎng)絡(luò)安全常見(jiàn)風(fēng)險(xiǎn)精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全常見(jiàn)風(fēng)險(xiǎn)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全常見(jiàn)風(fēng)險(xiǎn)范文

 

隨著社會(huì)經(jīng)濟(jì)的不斷發(fā)展，網(wǎng)絡(luò)時(shí)代逐漸進(jìn)入人們的生活，計(jì)算機(jī)被運(yùn)用在了各個(gè)領(lǐng)域中，成為促進(jìn)社會(huì)發(fā)展的重要媒介。而與此同時(shí)，企業(yè)信息安全問(wèn)題也逐漸凸顯出來(lái)，嚴(yán)重阻礙了企業(yè)的可持續(xù)發(fā)展，因此，在網(wǎng)絡(luò)時(shí)代背景下研究企業(yè)安全風(fēng)險(xiǎn)和控制具有重要意義。

 

1 企業(yè)信息安全相關(guān)概述

 

1.1 信息安全的含義

 

迄今為止，對(duì)信息安全依然沒(méi)有一個(gè)統(tǒng)一和公認(rèn)的定義。但是從國(guó)內(nèi)外研究來(lái)看，對(duì)其主要存在2種說(shuō)法：一種指的是具體信息安全技術(shù)系統(tǒng)的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態(tài)的角度上闡述了信息安全的基本層面，但是信息系統(tǒng)和網(wǎng)絡(luò)的影響決定了信息安全是一個(gè)動(dòng)態(tài)的改變，其主要是防止企業(yè)信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對(duì)象提供安全、可靠的信息。

 

1.2 信息安全在企業(yè)中發(fā)揮的重要作用

 

企業(yè)信息作為企業(yè)的寶貴資源，保證企業(yè)信息的安全性對(duì)企業(yè)的生存和發(fā)展具有重要作用，主要體現(xiàn)在以下3個(gè)方面：一是企業(yè)信息安全是保障企業(yè)正常運(yùn)行的基本前提。在網(wǎng)絡(luò)時(shí)代背景下，企業(yè)信息安全的內(nèi)容更廣泛，再加上現(xiàn)代企業(yè)制度的不斷建立和完善，越來(lái)越多的企業(yè)依靠信息數(shù)據(jù)庫(kù)開(kāi)展各項(xiàng)工作，例如：對(duì)于市場(chǎng)情況的分析、做出重大決策等等。二是保障企業(yè)信息安全是提高企業(yè)市場(chǎng)競(jìng)爭(zhēng)力的必備條件。隨著市場(chǎng)經(jīng)濟(jì)的不斷完善，企業(yè)面臨的競(jìng)爭(zhēng)也越來(lái)越激烈，在這種形勢(shì)下，企業(yè)要想獲取市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)就需要依靠信息安全來(lái)實(shí)現(xiàn)。三是企業(yè)信息安全作為企業(yè)發(fā)展戰(zhàn)略中重要的組成部分，而企業(yè)實(shí)施各項(xiàng)戰(zhàn)略主要是通過(guò)自身的經(jīng)營(yíng)活動(dòng)、財(cái)務(wù)信息等開(kāi)展的，這些數(shù)據(jù)也能夠?qū)⑵髽I(yè)的戰(zhàn)略實(shí)施方法以及下一步計(jì)劃詳細(xì)地反應(yīng)出來(lái)，因此，如果企業(yè)的信息安全無(wú)法得到保障，那么企業(yè)要實(shí)施各項(xiàng)戰(zhàn)略難度也很大。

 

2 網(wǎng)絡(luò)時(shí)代下企業(yè)信息安全風(fēng)險(xiǎn)分析

 

2.1 缺乏高度的信息安全風(fēng)險(xiǎn)意識(shí)

 

在網(wǎng)絡(luò)時(shí)代的浪潮下，很多企業(yè)都在逐步加強(qiáng)自身信息安全的建設(shè)，通過(guò)加大資金投入、創(chuàng)新技術(shù)等措施來(lái)保障自身的信息安全，然而，對(duì)信息風(fēng)險(xiǎn)的控制并非僅僅依靠技術(shù)就可以實(shí)現(xiàn)，更重要的是人們要樹(shù)立起信息安全的風(fēng)險(xiǎn)意識(shí)。但是從當(dāng)前來(lái)看，還有很大一部分企業(yè)的領(lǐng)導(dǎo)者、管理者、員工缺乏對(duì)信息安全風(fēng)險(xiǎn)的高度重視，主要表現(xiàn)在：個(gè)別人甚至片面地認(rèn)為信息安全僅僅是網(wǎng)絡(luò)部門(mén)的責(zé)任，跟自身沒(méi)有多大關(guān)系;二是有個(gè)別企業(yè)領(lǐng)導(dǎo)者認(rèn)為對(duì)信息安全的宣傳過(guò)度夸張，遭受網(wǎng)絡(luò)攻擊的概率小，一般不會(huì)發(fā)生在自己身上;三是個(gè)別企業(yè)沒(méi)有建立信息安全風(fēng)險(xiǎn)管理體系，再加上企業(yè)缺乏具體的故障系統(tǒng)，導(dǎo)致企業(yè)信息安全遭到風(fēng)險(xiǎn)時(shí)，員工往往手足無(wú)措，雖說(shuō)有些企業(yè)針對(duì)自身的信息安全制定了一系列規(guī)章和制度，但是由于缺乏針對(duì)性和操作性，導(dǎo)致這些制度無(wú)法得到真正落實(shí)。

 

2.2 應(yīng)用系統(tǒng)的安全性不高

 

企業(yè)要實(shí)現(xiàn)信息化建設(shè)的目的，少不了各種應(yīng)用系統(tǒng)作支撐，但是從實(shí)際情況來(lái)看，很多企業(yè)還存在著應(yīng)用系統(tǒng)的安全性不高等問(wèn)題，進(jìn)而導(dǎo)致企業(yè)在數(shù)據(jù)傳輸和存儲(chǔ)等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取，實(shí)現(xiàn)非法訪問(wèn)，進(jìn)而引發(fā)企業(yè)信息丟失或者泄露等安全風(fēng)險(xiǎn)。另外，很多企業(yè)應(yīng)用系統(tǒng)的安全方模式也較為單一，絕大部分主要是采用“口令”的方式進(jìn)行認(rèn)證，無(wú)法實(shí)現(xiàn)對(duì)信息安全全方位的防范。另外，企業(yè)設(shè)置的密碼過(guò)于簡(jiǎn)單、操作不規(guī)范等等都會(huì)增加應(yīng)用系統(tǒng)安全的風(fēng)險(xiǎn)。

 

2.3 技術(shù)設(shè)備和設(shè)施的作用發(fā)揮不足

 

個(gè)別企業(yè)為了防范信息安全風(fēng)險(xiǎn)，針對(duì)一些重要信息設(shè)置了安全設(shè)備，但是由于操作條件和參數(shù)設(shè)施不夠合理，無(wú)法將這些設(shè)備的作用充分發(fā)揮出來(lái)。還有很多企業(yè)沒(méi)有通過(guò)建立工作日志來(lái)對(duì)安全設(shè)備、設(shè)施的運(yùn)行情況進(jìn)行監(jiān)控，進(jìn)而不能根據(jù)企業(yè)的經(jīng)營(yíng)情況對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)控制，更無(wú)法采取有效措施保障企業(yè)風(fēng)險(xiǎn)管理。

 

3 網(wǎng)絡(luò)時(shí)代下控制企業(yè)信息安全風(fēng)險(xiǎn)途徑分析

 

3.1 加強(qiáng)信息安全教育，提高信息安全風(fēng)險(xiǎn)意識(shí)

 

由于在企業(yè)信息安全控制中，提高員工的信息安全意識(shí)是保證企業(yè)信息安全的決定性因素，因此，企業(yè)應(yīng)該加強(qiáng)對(duì)員工的信息安全教育，幫助員工樹(shù)立起信息安全風(fēng)險(xiǎn)意識(shí)，例如：企業(yè)可以利用一些重大節(jié)日開(kāi)展關(guān)于信息安全的演講比賽、征文比賽，也可以通過(guò)建立適當(dāng)?shù)募?lì)制度以及開(kāi)展培訓(xùn)活動(dòng)等途徑來(lái)加強(qiáng)員工對(duì)信息安全重要性的認(rèn)識(shí)，進(jìn)而提高自身的信息安全風(fēng)險(xiǎn)防范意識(shí)和觀念。

 

3.2 加強(qiáng)信息化建設(shè)，設(shè)置信息安全管理部門(mén)

 

在企業(yè)信息化建設(shè)中，信息安全作為重要的基礎(chǔ)，企業(yè)要強(qiáng)化自身的內(nèi)部控制，就應(yīng)該落實(shí)信息安全的建設(shè)工作。加強(qiáng)信息化建設(shè)首先需要企業(yè)將信息安全納入安全管理范圍內(nèi)，進(jìn)而突出信息安全建設(shè)管理的重要地位;然后不斷健全信息安全的責(zé)任制度，爭(zhēng)取形成信息安全聯(lián)動(dòng)管理機(jī)制，確保信息安全管理的有效性;最后，在企業(yè)中設(shè)置信息安全管理機(jī)構(gòu)，該部分的主要職能為企業(yè)信息安全建設(shè)、管理以及員工的信息安全教育培訓(xùn)工作等，從而為企業(yè)的信息安全風(fēng)險(xiǎn)控制創(chuàng)建一個(gè)良好的內(nèi)部環(huán)境[2]。

 

3.3 運(yùn)用新技術(shù)，加強(qiáng)信息安全風(fēng)險(xiǎn)防范

 

當(dāng)前控制信息安全風(fēng)險(xiǎn)常見(jiàn)的主要有VPN技術(shù)和防火墻技術(shù)：(1)VPN技術(shù)。VPN主要指的是在公共網(wǎng)絡(luò)的虛擬專(zhuān)用網(wǎng)絡(luò)中建立一個(gè)臨時(shí)的安全鏈接，在通常情況下，對(duì)VPN內(nèi)部進(jìn)行擴(kuò)展可以實(shí)現(xiàn)遠(yuǎn)程操作，建立一條分公司、商業(yè)合作商和供應(yīng)商跟公司內(nèi)部網(wǎng)絡(luò)安全聯(lián)系，從而確保信息交換的安全性，保證數(shù)據(jù)傳輸?shù)陌踩浴?2)防火墻技術(shù)。防火墻也被稱為訪問(wèn)控制系統(tǒng)，主要是通過(guò)對(duì)網(wǎng)絡(luò)做拓?fù)浣Y(jié)構(gòu)和服務(wù)類(lèi)型上的隔離來(lái)保障網(wǎng)絡(luò)安全。運(yùn)用防火墻技術(shù)可以保證企業(yè)的內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的侵占，并阻斷非法訪問(wèn)的外部網(wǎng)絡(luò)進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，保證企業(yè)信息和資源的安全。

 

4 結(jié) 語(yǔ)

 

總之，網(wǎng)絡(luò)時(shí)代的產(chǎn)生為企業(yè)發(fā)展創(chuàng)造了新的模式和發(fā)展契機(jī)，但與此同時(shí)，企業(yè)的信息安全也面臨著很大的威脅，在很大程度上制約了企業(yè)的可持續(xù)發(fā)展。要實(shí)現(xiàn)對(duì)企業(yè)信息安全風(fēng)險(xiǎn)的控制，首先應(yīng)該找準(zhǔn)企業(yè)信息安全的風(fēng)險(xiǎn)點(diǎn)，然后采取對(duì)應(yīng)措施，如：加強(qiáng)信息安全教育、加強(qiáng)信息化建設(shè)、運(yùn)用新技術(shù)等幾個(gè)方面來(lái)控制信息安全風(fēng)險(xiǎn)。

 

作者：袁亮 來(lái)源：中國(guó)管理信息化 2015年17期

第2篇：網(wǎng)絡(luò)安全常見(jiàn)風(fēng)險(xiǎn)范文

 

1 SAN架構(gòu)存在的主要安全問(wèn)題

 

(1)與傳統(tǒng)單臺(tái)服務(wù)器直接連接自己的專(zhuān)屬存儲(chǔ)設(shè)備不同，一個(gè)SAN存儲(chǔ)陣列通常供多臺(tái)運(yùn)行著不同操作系統(tǒng)的服務(wù)器訪問(wèn)，這就意味著必須有嚴(yán)格的措施來(lái)控制數(shù)據(jù)訪問(wèn)的范圍，同時(shí)影響SAN的安全因素?cái)U(kuò)大，不可能僅僅依賴于單臺(tái)服務(wù)器操作系統(tǒng)的安全性。此外，SAN存儲(chǔ)網(wǎng)絡(luò)中還包含F(xiàn)C交換機(jī)、管理控制設(shè)備、備份服務(wù)器等許多其他設(shè)備，也大大增加了SAN存儲(chǔ)網(wǎng)絡(luò)遭到安全威脅的風(fēng)險(xiǎn)和被攻擊的幾率。

 

(2)任何網(wǎng)絡(luò)主要的數(shù)據(jù)安全威脅來(lái)自非授權(quán)訪問(wèn)，尤其是管理接口。一旦惡意用戶獲得到與存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)相連接服務(wù)器管理員的權(quán)限，入侵者就可以訪問(wèn)任何一個(gè)和SAN連接的系統(tǒng)，從而造成嚴(yán)重的數(shù)據(jù)失竊。

 

(3)一些網(wǎng)絡(luò)嗅探工具會(huì)攔截SAN中傳輸?shù)臄?shù)據(jù)，如果數(shù)據(jù)是以明文形式傳輸?shù)模秃苋菀妆缓诳徒馕鲞€原，從而導(dǎo)致敏感信息被竊。

 

(4)存儲(chǔ)設(shè)備中以明文存儲(chǔ)的數(shù)據(jù)，如果存儲(chǔ)介質(zhì)被竊取，將造成敏感數(shù)據(jù)失密事件。數(shù)據(jù)在靜態(tài)存儲(chǔ)下的安全問(wèn)題是至關(guān)重要的，應(yīng)避免數(shù)據(jù)以明文的形式存儲(chǔ)。

 

(5)由于某種原因，存儲(chǔ)系統(tǒng)遭到破壞時(shí)，損毀的部件可能導(dǎo)致整個(gè)存儲(chǔ)系統(tǒng)癱瘓，因此必須保證存儲(chǔ)系統(tǒng)擁有足夠的冗余性，以確保數(shù)據(jù)安全和數(shù)據(jù)恢復(fù)。

 

(6)來(lái)自外部的存儲(chǔ)網(wǎng)絡(luò)安全威脅有：拒絕服務(wù)攻擊、中間人、電子欺騙等。拒絕服務(wù)攻擊使資源過(guò)載，從而阻止了合法用戶訪問(wèn)資源;中間人攻擊冒合法交換機(jī)地址，一旦數(shù)據(jù)流向該偽造交換機(jī)，傳輸?shù)臄?shù)據(jù)就被竊聽(tīng)和泄漏;電子欺騙攻擊利用有漏洞的合法程序向存儲(chǔ)網(wǎng)絡(luò)發(fā)出請(qǐng)求，從而竊取數(shù)據(jù)。

 

2 SAN存儲(chǔ)安全問(wèn)題的主要應(yīng)對(duì)技術(shù)介紹

 

2.1 SAN分區(qū)

 

SAN分區(qū)就是通過(guò)在SAN交換機(jī)上進(jìn)行ZONE(區(qū)域)的劃分，將連接在SAN網(wǎng)絡(luò)中的設(shè)備，邏輯上劃分為不同的區(qū)域。一個(gè)分區(qū)可以由多個(gè)服務(wù)器、存儲(chǔ)設(shè)備、光纖交換機(jī)、HBA卡等組成。只有同一個(gè)分區(qū)的設(shè)備才可以互相通訊，不同分區(qū)的設(shè)備相互間不能訪問(wèn)，從而達(dá)到SAN中服務(wù)器和設(shè)備相互隔離的目的。區(qū)域的劃分是在光纖交換機(jī)上進(jìn)行的，對(duì)服務(wù)器或其他存儲(chǔ)設(shè)備是完全透明的，在它們上面不需要進(jìn)行任何的配置。SAN網(wǎng)絡(luò)的區(qū)域劃分通常有以下幾種方法。

 

2.1.1 端口分區(qū)

 

使用光纖交換機(jī)物理端口的FC地址來(lái)定義分區(qū)，也稱為硬分區(qū)。在端口分區(qū)里，是否可訪問(wèn)數(shù)據(jù)取決于節(jié)點(diǎn)連接到哪個(gè)物理交換端口。使用這種分區(qū)安全性比軟分區(qū)高，但該方法要求在光纖通道的連接變更時(shí)，必須修改分區(qū)配置信息。

 

2.1.2 WWN分區(qū)

 

WWN分區(qū)使用設(shè)備的WWN(萬(wàn)維網(wǎng)名稱，World Wide Name)名稱來(lái)定義分區(qū)。WWN分區(qū)也被稱為軟分區(qū)。WWN分區(qū)的一個(gè)主要優(yōu)點(diǎn)就是它的靈活性：它允許在SAN中變更連線但并不需要重新配置分區(qū)信息。

 

2.1.3 混合分區(qū)

 

混合分區(qū)結(jié)合了WWN分區(qū)和端口分區(qū)的優(yōu)點(diǎn)。使用混合分區(qū)可以將光纖交換機(jī)的一個(gè)特定的端口綁定到一個(gè)節(jié)點(diǎn)的WWN上。

 

2.2 邏輯單元屏蔽(LUN masking)

 

LUN是SAN中磁盤(pán)邏輯單元的SCSI標(biāo)志，在光纖通道領(lǐng)域，LUN是基于系統(tǒng)的WWN實(shí)現(xiàn)的。分區(qū)一般與LUN掩碼結(jié)合，來(lái)加強(qiáng)控制服務(wù)器對(duì)存儲(chǔ)器的訪問(wèn)。但是，兩者在不同過(guò)程層面進(jìn)行控制：分區(qū)工作在光纖通道層，而LUN掩碼工作在陣列層。

 

在SAN存儲(chǔ)網(wǎng)絡(luò)中，任何一個(gè)服務(wù)器和所有存儲(chǔ)系統(tǒng)在物理上是相通的。采用LUN掩碼技術(shù)，可限制特定的服務(wù)器只能訪問(wèn)分配給它的特定的邏輯存儲(chǔ)空間(LUN)。如果有多個(gè)服務(wù)器訪問(wèn)同一特定設(shè)備，可以通過(guò)設(shè)定特定的LUN組，并允許組內(nèi)服務(wù)器可訪問(wèn)該特定設(shè)備。這樣就可以拒絕其他服務(wù)器對(duì)該 LUN的訪問(wèn)，從而起到保護(hù)數(shù)據(jù)安全的目的。

 

2.3 保護(hù)存儲(chǔ)管理網(wǎng)絡(luò)

 

存儲(chǔ)設(shè)備都設(shè)有專(zhuān)門(mén)的管理端口，可通過(guò)串口和以太網(wǎng)口進(jìn)行管理。管理口通常只有用戶名口令等基本安全校驗(yàn)，沒(méi)有更多的安全防護(hù)措施，這使管理口本身容易招收攻擊而成為安全的短板。應(yīng)該采取措施使管理口不直接與數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行連接。

 

2.4 數(shù)據(jù)加密

 

存儲(chǔ)中存放的數(shù)據(jù)和在連接中流動(dòng)的數(shù)據(jù)均會(huì)受到數(shù)據(jù)盜竊的威脅，包括傳輸時(shí)篡改數(shù)據(jù)(破壞數(shù)據(jù)完整性)、私密信息泄露和存儲(chǔ)介質(zhì)失竊(損害數(shù)據(jù)可用性和保密性)。為了阻止這些威脅，需要加密存儲(chǔ)在存儲(chǔ)介質(zhì)上的數(shù)據(jù)或加密即將傳送到磁盤(pán)上的數(shù)據(jù)。 常用的數(shù)據(jù)加密方法有：(1)文件系統(tǒng)加密。(2)采用加密設(shè)備加密。通常文件系統(tǒng)加密會(huì)略微降低系統(tǒng)性能;采用加密設(shè)備，則成本較高。

 

“封裝安全凈載”(ESP)可以對(duì)光纖傳輸數(shù)據(jù)進(jìn)行加密，以確保安全性。以太網(wǎng)傳輸能通過(guò)SSL或者類(lèi)似的協(xié)議來(lái)加密。這些加密技術(shù)可以使用不同的加密程度使得被竊數(shù)據(jù)沒(méi)有可乘之機(jī)。目前，已經(jīng)有一些廠商提供在SAN中進(jìn)行加密的方案。由于光纖通道SAN尤其關(guān)注高性能，因此加密方案應(yīng)該盡量不影響SAN的性能，所以多數(shù)方案都是基于硬件的加密。

 

2.5 鏡像技術(shù)

 

鏡像技術(shù)用于存儲(chǔ)設(shè)備內(nèi)部，或者主存儲(chǔ)和備存儲(chǔ)之間，或者主數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的數(shù)據(jù)冗余備份。鏡像是在兩個(gè)或多個(gè)磁盤(pán)或磁盤(pán)子系統(tǒng)上產(chǎn)生同一個(gè)數(shù)據(jù)的鏡像視圖的信息存儲(chǔ)過(guò)程，一個(gè)叫主鏡像系統(tǒng)，另一個(gè)叫從鏡像系統(tǒng)。按主從鏡像存儲(chǔ)系統(tǒng)所處的位置可分為本地鏡像和遠(yuǎn)程鏡像。遠(yuǎn)程鏡像按請(qǐng)求鏡像的主機(jī)是否需要遠(yuǎn)程鏡像站點(diǎn)的確認(rèn)信息，有可分為同步遠(yuǎn)程鏡像和異步遠(yuǎn)程鏡像。

 

同步遠(yuǎn)程鏡像是指通過(guò)遠(yuǎn)程鏡像軟件，將本地?cái)?shù)據(jù)以完全同步的方式復(fù)制到異地，本地的每一個(gè)I/O事物均需等待遠(yuǎn)程復(fù)制的內(nèi)容完成確認(rèn)信息，方予以釋放。同步鏡像使遠(yuǎn)程拷貝總能與本地機(jī)要求復(fù)制的內(nèi)容相匹配。同步鏡像使遠(yuǎn)程拷貝總能與本地機(jī)要求復(fù)制的內(nèi)容相匹配，但它存在往返傳播造成延時(shí)較長(zhǎng)的缺點(diǎn)，只限于在相對(duì)較近的距離上的應(yīng)用。

 

異步遠(yuǎn)程鏡像保證在更新遠(yuǎn)程存儲(chǔ)視圖前完成向本地存儲(chǔ)系統(tǒng)的基本I/O操作，而由本地存儲(chǔ)系統(tǒng)提供給請(qǐng)求鏡像主機(jī)的I/O操作完成確認(rèn)信息。遠(yuǎn)程的數(shù)據(jù)復(fù)制是以后臺(tái)同步的方式進(jìn)行的，這使本地系統(tǒng)性能受到的影響很小，傳輸距離長(zhǎng)，對(duì)網(wǎng)絡(luò)帶寬要求小。但是，如果出現(xiàn)傳輸失敗，可能出現(xiàn)數(shù)據(jù)一致性問(wèn)題。

 

2.6 快照技術(shù)

 

快照技術(shù)通過(guò)控制軟件對(duì)要備份的磁盤(pán)子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個(gè)要備份數(shù)據(jù)的快照邏輯單元號(hào)LUN和快照Cache，在快速掃描時(shí)，把備份過(guò)程中即將要修改的數(shù)據(jù)塊同時(shí)快速拷貝到快照Cache中。快照LUN是一組指針，它指向快照Cache和磁盤(pán)子系統(tǒng)中不變的數(shù)據(jù)塊。在正常業(yè)務(wù)進(jìn)行的同時(shí)，利用快照LUN實(shí)現(xiàn)對(duì)原數(shù)據(jù)的一個(gè)完全且快速的備份。

 

2.7 基于磁帶庫(kù)的備份系統(tǒng)

 

基于磁帶庫(kù)的備份系統(tǒng)可以提供基本自動(dòng)備份和數(shù)據(jù)恢復(fù)功能，且備份存儲(chǔ)容量達(dá)到TB級(jí)。在專(zhuān)用備份軟件管理下可進(jìn)行集中式網(wǎng)絡(luò)數(shù)據(jù)備份，實(shí)現(xiàn)連續(xù)備份、智能恢復(fù)、實(shí)時(shí)監(jiān)控統(tǒng)計(jì)等功能，為保證數(shù)據(jù)完整性和安全性提供了保障。

 

3 SAN存儲(chǔ)架構(gòu)的全方位、多層次安全措施

 

3.1 劃分SAN存儲(chǔ)網(wǎng)絡(luò)安全區(qū)域

 

通過(guò)前述的SAN存儲(chǔ)風(fēng)險(xiǎn)要素分析，可以看出為保護(hù)信息資產(chǎn)安全，必須建立一個(gè)包含多層次安全措施的SAN安全架構(gòu)。利用現(xiàn)有安全技術(shù)，通常將SAN網(wǎng)絡(luò)化分為5個(gè)不同功能的區(qū)域，然后在各個(gè)切入點(diǎn)進(jìn)行安全建設(shè)，分別為：主機(jī)連接交換機(jī)區(qū)域、管理機(jī)連接交換機(jī)區(qū)域、存儲(chǔ)器連接交換機(jī)區(qū)域、遠(yuǎn)程主機(jī)區(qū)域和交換機(jī)連接交換機(jī)區(qū)域。針對(duì)5種功能區(qū)通常采用的安全防護(hù)手段如圖1所示。

 

3.2 安全區(qū)域A(主機(jī)連接交換機(jī)區(qū)域)的安全措施

 

僅允許授權(quán)的服務(wù)器進(jìn)行FC訪問(wèn)，防護(hù)措施如下。

 

(1)使用訪問(wèn)控制列表：使已知的HBA(光纖通道總線適配器)只可以連接到指定交換機(jī)的指定端口。

 

(2)使用端口分區(qū)和WWN分區(qū)等的安全分區(qū)方法，進(jìn)行區(qū)域隔離，使只有指定端口之間可以訪問(wèn)存儲(chǔ)資源。

 

(3)通過(guò)采用基于磁帶庫(kù)的數(shù)據(jù)存儲(chǔ)備份系統(tǒng)，實(shí)現(xiàn)自動(dòng)的完全備份、增量備份、快速數(shù)據(jù)恢復(fù)等功能，保證了數(shù)據(jù)的安全性。

 

3.3 安全區(qū)域B(交換機(jī)連接交換機(jī)區(qū)域)

 

重點(diǎn)保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)信息流，防護(hù)措施有以下幾種。

 

(1)使用E_Port綁定認(rèn)證。E端口是專(zhuān)門(mén)用于連接交換機(jī)和交換機(jī)的端口，通過(guò)網(wǎng)絡(luò)綁定可以防止未經(jīng)授權(quán)的交換機(jī)加入網(wǎng)絡(luò)中任何已存在的交換機(jī)。

 

(2)加密傳輸數(shù)據(jù)。采用SAN加密交換機(jī)實(shí)現(xiàn)基于光纖的加密，可在不影響性能的情況下，對(duì)傳輸數(shù)據(jù)進(jìn)行加密。

 

(3)實(shí)施FC交換機(jī)端口控制。進(jìn)行端口綁定可以：限制連接到交換機(jī)特定端口的設(shè)備數(shù)量;只允許相應(yīng)交換機(jī)連接到一個(gè)節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)訪問(wèn);可以禁用暫時(shí)不用的端口，防止閑置端口被非法使用。

 

3.4 安全區(qū)域C(存儲(chǔ)器連接交換機(jī)區(qū)域)

 

保護(hù)SAN上的存儲(chǔ)陣列，措施如下。

 

(1)采用基于WWN的LUN掩碼技術(shù)，使不同的主機(jī)只能訪問(wèn)指定的存儲(chǔ)資源。

 

(2)利用SOURCE ID鎖定，實(shí)現(xiàn)基于源FCID(光纖通道ID/地址)的屏蔽，使偽裝的HBA WWN無(wú)法登入系統(tǒng)。

 

(3)采用SAN存儲(chǔ)設(shè)備的鏡像技術(shù)和快照技術(shù)，提高存儲(chǔ)系統(tǒng)的可靠性。

 

(4)采用文件系統(tǒng)等加密方法對(duì)數(shù)據(jù)進(jìn)行加密，以實(shí)現(xiàn)存儲(chǔ)系統(tǒng)中靜態(tài)數(shù)據(jù)的保密。

 

3.5 安全區(qū)域D(管理機(jī)連接交換機(jī)區(qū)域)

 

授權(quán)訪問(wèn)管理網(wǎng)段，措施如下。

 

(1)建立專(zhuān)用的管理網(wǎng)絡(luò)。為管理數(shù)據(jù)流創(chuàng)建一個(gè)單獨(dú)的私有的管理網(wǎng)絡(luò)，將存儲(chǔ)系統(tǒng)相關(guān)設(shè)備管理功能集中到該存儲(chǔ)管理網(wǎng)絡(luò)，從而將管理數(shù)據(jù)流與生產(chǎn)數(shù)據(jù)流隔離開(kāi)。設(shè)立專(zhuān)門(mén)的存儲(chǔ)管理服務(wù)器用于管理存儲(chǔ)系統(tǒng)，限制管理網(wǎng)絡(luò)中網(wǎng)絡(luò)活動(dòng)和訪問(wèn)只發(fā)生在一個(gè)有限的主機(jī)集合，從而防止未授權(quán)設(shè)備訪問(wèn)獲取網(wǎng)絡(luò)內(nèi)各存儲(chǔ)設(shè)備接口的訪問(wèn)權(quán)。

 

(2)建立基于角色的訪問(wèn)控制，使指定角色的管理員只能進(jìn)行指定權(quán)限的訪問(wèn)及管理操作。認(rèn)證FC交換機(jī)的管理員，使用雙因素認(rèn)證服務(wù)器對(duì)登錄管理機(jī)的人員進(jìn)行身份認(rèn)證。

 

3.6 安全區(qū)域E(與遠(yuǎn)程主機(jī)或遠(yuǎn)程存儲(chǔ)網(wǎng)絡(luò)連接)

 

(1)與遠(yuǎn)程主機(jī)或存儲(chǔ)網(wǎng)絡(luò)連接需要通過(guò)第三方網(wǎng)絡(luò)或設(shè)備，必須對(duì)傳輸中的數(shù)據(jù)進(jìn)行加密。

 

(2)連接遠(yuǎn)程FC網(wǎng)絡(luò)的，可采用專(zhuān)門(mén)的存儲(chǔ)加密網(wǎng)關(guān)，實(shí)現(xiàn)統(tǒng)一的加密存儲(chǔ)服務(wù)。

 

(3)連接遠(yuǎn)程IP網(wǎng)絡(luò)的，可采用IP網(wǎng)絡(luò)加密方法，通常使用IPSec協(xié)議實(shí)現(xiàn)傳輸中的數(shù)據(jù)進(jìn)行加密。

 

4 結(jié)語(yǔ)