主流存儲技術分析

摘要：為了解決傳統存儲技術無法滿足各行業信息系統日益增長的數據存儲需求的問題，基于NAS與SAN的網絡存儲技術應運而生。然而存儲在NAS和SAN環境下的數據有巨大的安全隱患，鑒于此，本文分別對NAS和SAN存在的安全問題進行分析并給出相應的對策。

關鍵詞：網絡存儲；NAS；SAN；認證加密；安全代理

隨著IT技術的迅猛發展，各行業中越來越多的業務被遷移到IT平臺上運行，系統中所容納的數據呈現出爆炸性的增長，各方面對系統可用性和安全性以及數據共享能力的要求不斷提高。傳統的數據存儲技術和數據管理方法在這種形勢面前開始顯得捉襟見肘，于是，網絡化存儲的概念被提出并得到了迅速發展。

目前，主流的網絡存儲技術有兩種：網絡附加存儲(NAS)和存儲區域網(SAN)。它們為那些對數據可用性、安全性要求極高的關鍵業務應用提供了可行的存儲解決方案。本文對這兩種網絡存儲技術中存在的安全問題展開討論并給出相應的解決方案。

網絡存儲技術概述

直接連接存儲

直接連接存儲(Direct Access Storage。簡稱DAs)也叫總線連接存儲(Bus Access Storage。，簡稱DAs)，是傳統的存儲模式，是以服務器為中心的存儲結構。在這種結構中，存儲器與服務器之間通過傳統的I/O總線通信，服務器實際上起到存儲轉發數據的作用。各種存儲設備通過IDE、SCSI等I/O總線，經過一個通用的服務器連接在網絡上。客戶端如果需要訪問存儲器上的數據，必須先給文件服務器發送請求信息。

網絡連接存儲

網絡連接存儲(Network Attached Storage，簡稱NAS)是一種可以提供文件級服務的存儲設備，其特點是可以直接掛到網絡上向用戶提供文件級服務。此外，它有自己簡化的實時操作系統，并將硬件和軟件有效地集合在一起，用以提供文件服務，NAS存儲系統的特點是通過基于IPN絡的網絡文件協議向多種客戶端提供文件級I/O服務，客戶端可以在NAS存儲設備提供的目錄或設備中進行文件級操作。

網絡存儲的主角SAN

SAN是一種以數據存儲為中心且面向網絡的存儲結構。SAN技術采用可擴展的網絡拓撲結構連接存儲設備和服務器，是一種面向服務器提供數據存儲服務，并將數據的存儲和管理集中在相對獨立的專用網絡中的存儲技術。在SAN技術中，由于服務器和存儲設備之間的多路、可選擇的數據交換，因此，以往存儲結構中存在的可擴展性和數據共享方面的局限性被消除。

SAN中通過協議映射，存儲設備的磁盤或磁帶表現為服務器節點上的“網絡磁盤”在服務器操作系統看來，網絡盤與本地盤相同，服務器節點操作網絡盤就像操作本地SCSI硬盤一樣對其發送SCSI命令，命令通過相關協議的封裝后，由服務器發送到SAN網絡，并由存儲設備接收并執行。服務器節點可以對網絡磁盤，進行各種塊操作和文件操作，例如FDISK。FORMAT、拷貝文件、創建目錄等等。

NAS的安全問題及對策

NAS的安全問題

安全性問題主要體現在：①當處于網絡中的兩個實體建立連接或傳輸信息時，對對方的合法性進行確認，以防假冒，即如何對授權用戶的身份進行認證。②如何保證所接受／發送信息的安全性，也就是如何保證用戶口令及傳輸的各種信息不被非法用戶中途竊聽、篡改。

網絡連接存儲安全對策

在安全系統中設置五個服務進程，它們分別是：認證請求分類處理服務進程、內置認證服務進程、認證請求服務進程、認證應答服務進程和應用級加密解密服務進程，這些進程對來自客戶的認證信息及客戶與NASS之間傳遞的信息進行處理。在設置以上五個服務進程的基礎上還需要設置一個守護進程，該進程用來負責接受的認證請求信息。當打開網絡附加存儲服務器時，系統首先讀配置文件并對系統進行各種配置，配置完畢后，創建并激活守護進程，守護進程通過監聽Web Server的相應端口，接受用戶的認證請求信息。各模塊工作過程如下：

內置認證服務模塊。

認證請求模塊

認證請求應答模塊。

應用及加密模塊。

SAN的安全問題及對策

SAN的安全問題

由于計算機網絡技術的高速發展及C/S、B/S模式的出現，本地的存儲系統不僅要為本地服務，同時也要為遠程的用戶服務。按照對sAN的攻擊和破壞程度來區分，有以下幾類攻擊方式：

(1)非授權訪問攻擊。非授權訪問攻擊是指非法的用戶或者是某些低級別的用戶通過修改和構造訪問權限以獲取需要的信息，或者是利用得到的權限對數據存儲系統進行破壞。

(2)拒絕服務攻擊。拒絕服務攻擊方式主要可兩種：一種方式是耗盡被攻擊系統的可用資源，另一種方式是耗盡其網絡的帶寬。攻擊者的主要目的是使得服務器不能向合法的用戶提供正常的資源服務。

(3)緩沖區溢出攻擊。緩沖區溢出攻擊是通過向系統的緩沖區寫入過多的數據以破壞主機堆找，使系統跳轉到攻擊者設定的代碼部分運行的一種系統的攻擊手段。

(4)掃描類攻擊。掃描類的攻擊是一種在服務器網絡中比較流行的攻擊方式。這種攻擊通常只是為了獲得一些被攻擊主機系統的重要信息。

SAN的安全策略

構建一個安全的SAN網絡是由可靠的物理拓撲結構架上密碼技術共同實現的，并且是可重構、可更換的絡是由許多存儲體構成。并且是可重構、可更換的。比較現實的方法是：在SAN的外端設置門衛式密碼服務機制，再配上有效的安全管理機制，這樣同樣可以達到安全存儲和訪問的目的。

(1)安全代理服務策略。采用該策略可以建立一個由安全代理服務器環境構建的局域網SAN的安全系統。該方案是以主干交換機和安全代理服務器組成后端的安全存儲網絡，而前端的網絡是由客戶端與各類服務器組成的LAN和WAN，前端的所有客戶都可以通過代理服務器透明地訪問后端網絡的所有存儲設備，在客戶端和代理服務器之間形成加密的訪問控制鏈。

(2)遠程安全訪問備份策略。采用遠程安全訪問備份策略建立的DAN安全系統是一種典型VPN結構數據加密傳輸。該方案是以解決遠程數據備份和災難恢復為主要目的的遠程安全訪問備份系統。通過這種手段，可以達到遠程數據相互備份和災難恢復的目的。

結束語

NAS/SAN作為全新的網絡存儲技術，尚處于成長期。因此，對于網絡存儲安全體系結構的研究，只能是根據目前的體系結構進行一些探討，給出一個相對安全的對策方案，以保證能獲得最高水平的數據與系統安全。隨著SAN與NAS的結合與廣泛應用，關于加強網絡存儲的安全性研究有待進一步的改進和擴展。