《信息存储与管理》读书笔记12 存储安全

1、安全服务

1）可稽核性服务：所有事件和操作都可核查。（事件的日志）

2）保密性服务：授权访问、传递数据加密

3）完整性服务：信息不被篡改

4）可用性服务

 

2、风险三元组

1）资产

（1）硬件、软件及网络基础设施

（2）两个目标

1.授权访问、可靠稳定

2.阻止未授权访问、攻击、减少漏洞

（3）两个安全方法效率的衡量标准

1.部署系统花费 < 被保护数据的价值

2.攻击者需花费更多的时间进行攻击

2）威胁

（1）主动：篡改、DoS、抵赖攻击（提供虚假信息）

（2）被动：窃听、窥探

3）漏洞

（1）纵深防御：保护环境内的所有访问点

（2）安全威胁的脆弱程度

1.攻击面：发起一次攻击的各种不同入口点（接口、协议）

2.攻击向量：完成一次攻击所需的步骤

3.功系数：开发一个攻击向量所需的时间和精力

最小化攻击面、最大化功系数

（3）控制措施（技术、非技术）

1.防御性的

2.侦测性：IPS、IDS

3.矫正性

4.恢复性

5.赔偿性

 

3、存储安全域

1）应用程序访问

（1）未授权的访问存储信息：伪造身份、篡改数据、窥探网络、DoS

（2）访问用户对数据的访问

1.控制措施：技术控制；用户授权。

2.主机认证-->为存储资源指定安全控制措施（被授权的卷、端口等）-->管理控制（策略、标准）

（3）保护存储基础设施

1.控制措施：网络连接设施的完整性、存储网络加密性

2.逻辑隔离：基于MAC的vlan

（4）数据加密

2）管理控制访问

（1）加密管理方式：SSH\SSL\TLS

（2）控制管理权限：LDAP、活动目录（AD）

（3）保护管理网络基础设施：单独的私有网络

3）BURA（备份、恢复和归档）

（1）备份、远程复制可用

（2）基础设施可用

（3）可灾难恢复

 

4、存储网络中安全措施的实施

1）SAN

（1）SAN的安全架构

（2）基本的SAN安全机制

（3）逻辑单元屏蔽和分区

（4）全面的交换机和全面的网络访问控制

（5）Fabric的逻辑分区：虚拟SAN（VSAN）

2）NAS

（1）NAS文件共享：windows访问控制列表

（2）NAS文件共享：UNIX权限

（3）认证和授权

（4）Kerberos

（5）网络层的防火墙

3）IP SAN