1 范圍
本標準規(guī)定了網絡存儲的安全技術要求�����,包括安全功能要求�����、安全保障要求���。
本標準適用于網絡存儲的設計和實現(xiàn),網絡存儲的安全測試和管理可參照使用�����。
2 規(guī)范性引用文件
下列文件對于本文件的應用是必不可少的�。凡是注日期的引用文件,僅注日期的版本適用于本文件�。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件����。
GB/T 18336.3-2015 信息技術 安全技術 信息技術安全評估準則 第3部分:安全保障組件
GB/T 25069-2010 信息安全技術 術語
3 術語和定義
GB/T 18336.3-2015和GB/T25069-2010界定的以及下列術語和定義適用于本文件。
3.1
網絡存儲 network storage
通過網絡基于不同協(xié)議連接到服務器的專用存儲設備�。
示例:網絡存儲通常包括DAS存儲設備、NAS存儲設備���、SAN存儲設備和對象存儲設備����。
3.2
直接附加存儲 direct attached storage
將存儲設備直接連接到服務器上的存儲架構���。
3.3
存儲區(qū)域網絡 storage area network
通過網絡方式連接存儲設備和應用服務器并提供數(shù)據塊訪問的存儲構架�。
3.4
網絡附加存儲 network attached storage
將存儲設備直接聯(lián)網并使用網絡文件共享協(xié)議提供文件級數(shù)據訪問的存儲架構����。
3.5
對象存儲 object based storage
基于對象的方式提供數(shù)據訪問的存儲架構。
注:一個對象通常包括數(shù)據����、描述該對象的元數(shù)據和該對象的唯一標識符。
3.6
獨立磁盤冗余陣列 redundant array of independent disks
將一個個單獨的磁盤以不同的組合方式形成一個邏輯硬盤����。
3.7
鏡像 mirroring
實時地將一個邏輯磁盤卷上的數(shù)據復制到若干個邏輯磁盤卷上。
3.8
快照 snapshot
對指定數(shù)據集合的一個完全可用拷貝��,該拷貝包含源數(shù)據在拷貝時間點的靜態(tài)映像���。注:快照可以是數(shù)據再現(xiàn)的一個副本或者復制��。
4 縮略語
下列縮略語適用于本文件��。
CPU:中央處理器(Central Processing Unit)
DAS:直接附加存儲(Direct-attached Storage)
NAS:網絡附加存儲(Network Attached Storage)
RAID:獨立磁盤冗余陣列(Redundant Array of Independent Disks)
SAN:存儲區(qū)域網絡(Storage Area Network)
WEB:萬維網(World Wide Web)
WORM:一次寫多次讀(Write Once Read Many)
5 產品描述
5.1 網絡存儲描述
在信息系統(tǒng)中��,存儲設備初期只安裝在服務器內��,之后逐漸形成了多磁盤陣列組成的可以通過網絡基于不同協(xié)議連接到服務器的專用存儲設備�����,稱為網絡存儲��。網絡存儲一般有三種典型的架構����,見圖1,常見的為NAS存儲設備��、SAN存儲設備����。
圖1 網絡存儲三種典型架構
網絡存儲的三種典型架構分別是:
a)直接附加存儲(DAS):將存儲設備直接連接到服務器上使用,數(shù)據分散管理��。
b)網絡附加存儲(NAS):將存儲設備連接到以太網上����,支持網絡文件共享協(xié)議���,提供數(shù)據和文件服務�。
c)存儲區(qū)域網絡(SAN):是一種通過網絡方式連接存儲設備和應用服務器的存儲架構,提供在服務器和存儲設備之間的數(shù)據傳輸����,服務器、存儲設備可以獨立擴展����。
圖1中網絡存儲的通用簡要邏輯結構見圖2。
圖2 網絡存儲邏輯結構圖
網絡存儲硬件層由硬盤����、CPU、內存��、固件等構成���,為設備運行提供基本支持�。硬件層支持系統(tǒng)層的運行��,系統(tǒng)層通常包含操作系統(tǒng)、驅動�����、數(shù)據庫等�����。存儲軟件運行在操作系統(tǒng)上��,提供備份���、快照等存儲功能����。
5.2 網絡存儲安全框架
網絡存儲應具備的安全功能���,所組成的安全框架見圖3�����。
圖3 網絡存儲安全框架
網絡存儲安全框架分為訪問安全��、系統(tǒng)安全�、數(shù)據安全以及管理安全,簡要介紹如下:
a)訪問安全包括:訪問鑒別���、訪問控制���。
b)系統(tǒng)安全包括:設備可靠運行支持、設備工作狀態(tài)監(jiān)控���、系統(tǒng)完整性保護、軟件及軟件運行安全�����、安全加固�����、Web安全�����、安全啟動��。
c)數(shù)據安全包括:數(shù)據完整性�����、數(shù)據保密性、數(shù)據可用性���。
d)管理安全包括:身份管理�����、身份鑒別�����、會話管理�、密碼算法���、安全審計�����、數(shù)字證書管理��、密鑰管理���。
5.3 級別劃分描述
網絡存儲安全功能要求分為3個級別���,分別是第一級、第二級和第三級�����,“宋體加粗”字表示較低等級中沒有出現(xiàn)或增強的要求��,安全功能要求在不同級別間的增強或新增內容的定性表示參見附錄A的表A.1�;安全保障要求分為3個級別,分別是第一級��,第二級和第三級����,“宋體加粗”字表示較低等級中沒有出現(xiàn)或增強的要求���,安全保障要求在不同級別間的增強或新增內容的定性表示參見表A.2����。在標準應用時�,滿足所選擇的安全保障要求級別不低于安全功能要求的級別。
以上為標準部分內容���,如需看標準全文����,請到相關授權網站購買標準正版。
