受控狀態(tài)：深圳市XX數字科技有限公司發(fā)布發(fā)布日期：2023-4-3實施日期：第2頁共384頁變更說明審核劉海燕目錄0.1管理手冊發(fā)布令0.2安全方針0.3存儲安全小組組長委任書0.4組織簡介0.5公司組織架構圖2規(guī)范性參考文獻3術語和定義4符號和縮略語5概述和概念5.1概述5.2存儲概念5.3存儲安全簡介5.4存儲安全風險5.4.3數據損壞或銷毀5.4.4暫時或永久性的訪問/可用性損失5.4.5滿足法定、監(jiān)管或法律要求6支持控制6.1概述6.2直連存儲(DAS)6.3存儲網絡6.3.2存儲區(qū)域網絡(SAN)6.4存儲管理6.4.3確保管理接口6.4.4安全審計、會計和監(jiān)控6.5基于塊的存儲6.8.3數據縮減7存儲安全設計和實施指南7.2存儲安全設計原則7.3數據可靠性、可用性和彈性7.4數據保留8.2存儲安全風險評估8.3存儲安全風險處置9績效評價9.2內部審核9.3管理評審10.2持續(xù)改進附件A(規(guī)范性)介質衛(wèi)生處理附件B(資料性附錄)選擇適當的存儲安全控制附件C(資料性)重要安全概念附件1信息存儲安全目標附件2組織角色、職責和權限附件3信息存儲安全職責權限劃分對照表120.1管理手冊發(fā)布令公司依據ISO/IEC27040:2015《信息技術.安全技術.存儲安全》標準的要求，結合公司的實際情況，在公司內部建立信息技術.安全技術.存儲安全管理體系，組織編寫了《信息技術.安全技術.存儲安全管理手冊》,經審定符合國家、地方及行業(yè)的有關法律法規(guī)和本公司的實際情況，現予以發(fā)布。自本手冊發(fā)布令簽批之日起本公司信息技術.安全技術.存儲安全管理體系進入實施運行階段。?？偨浝恚狐S靜0.2安全方針存儲安全管理體系方針：對于存儲安全方針的解釋：安全第一：安全是企業(yè)管理的重中之重?？茖W預防：安全管理的基本原理，防患于未然；采用適宜的、充分的、有效的控制措施來糾正和預防存儲安全事態(tài)。全員參與：體系在集體的討論、參與管理、自覺執(zhí)行的理念，由管理制度化轉換成管理標準化。將管理與技術相結合，建立完整的存儲安全管理體系。遵守法規(guī)：遵守法規(guī)是企業(yè)生存之前提，滿足法律法規(guī)及相關行業(yè)標準/技術規(guī)范的要求也是本公司必須承擔的社會責任。持續(xù)改進：控制風險是前提，風險自身是動態(tài)的過程。本公司在運行過程中需要審時度勢、量體裁衣、因地制宜，逐步修訂現有的制度，不斷完善自身的管理水平。本公司承諾提供一切可能的資源與先進的技術，保證信息的保密性、可用性和完整性，有針對性地采取一切必要的安全措施，使用有效的風險評估的工具和方法，嚴格控制風險事故在可接受風險范圍之內。制訂周密可靠的應急方案并定期進行演練，關鍵信息數據異地備份，制訂業(yè)務連續(xù)性計劃，以確保業(yè)務的持續(xù)進行。0.3存儲安全小組組長委任書為貫徹執(zhí)行ISO/IEC27040:2015《信息技術.安全技術.存儲安全》管理體系，加強對公司管理體系運作的領導，任命劉海燕擔任本公司的存儲安全小組組長。存儲安全小組組長的職責是：1、確保信息技術.安全技術.存儲安全管理體系所需的過程得到建立、實施和保持；2、明確信息技術.安全技術.存儲安全管理體系的業(yè)績和任何改進的需求；3、確保在整個公司內提高信息技術.安全技術.存儲安全的意識；4、就信息技術.安全技術.存儲安全管理體系有關事宜進行內外部聯絡；5、組織、指揮、監(jiān)督、協(xié)調各部門體系的運作。0.5公司組織架構圖銷售部銷售部技術部綜合行政部8理系統(tǒng)-要求)和ISO/IEC27040:2015(信息技術.安全技術.存儲安全)特制定本手冊。1)存儲安全包括設備和媒體的安全，與設備和媒體相關的管理活動的安全，應用程序和服務的安全，以及2)存儲安全性適用于存儲信息的保護(安全性),以及通過與存儲相關聯的通信鏈路傳輸的信息的安全性。存儲安全性與任何涉及擁有、操作或使用數3)本公司信息技術.安全技術.存儲安全管理體系的范圍包括：b)認證范圍：計算機軟件開發(fā)、系統(tǒng)集成和軟硬件運營維護服務所涉及的信息存儲安全管理活動。本手冊概述了存儲安全概念和相關定義。包括與典型存儲方案和存儲技術領域相關2規(guī)范性參考文獻ISO/IEC27000:信息技術-安全技術ISO/IEC27005:信息技術-安全技術-信息安全風險管理3術語和定義在本手冊中，引用ISO/IEC27000、ISO/IEC27002、ISO/IEC27005中術語.及參考ISO/IEC其他有關標準列出以下有關術語和定義。在磁盤和磁帶設備(3.2.14)上存儲和檢索數據的單元(3.2.50)使用邏輯技術對所有用戶可尋址存儲位置中的數據進行衛(wèi)生處理(3.2.38),以防止使用用戶可用的相同接口的簡單非侵入性數據恢復技術3.3壓縮消除數字數據冗余以減少應存儲或傳輸的數據量(3.2.50)的過程9注1:對于存儲(3.2.43),需要無損壓縮(即使用保留原始數據的全部內容的技術進行壓縮，并且可消毒方法(3.37),其中對加密的目標數據(3.52)的加密密鑰進行消毒(3.38),使得無法恢復解密的目標數據(3.52)3.5加密期在穩(wěn)定的非易失性存儲器(3.30)上存儲的數據(3.50)注1:重復數據消除有時被視為一種壓縮形式(3.3)。3.11消磁3.12破壞數據注1:分解(3.15)、焚燒(3.21)、熔化(3.25)、粉碎(3.34)和粉碎(3.41)是破壞形式的衛(wèi)生處理(3.37)。3.13銷毀3.14裝置3.15分解任何種類和來源的數據或信息，其暫時存在通過存儲在(3.50)任何電子介質中或其上來證明演示文稿和計算機上常見的其他電子格式。ESI還包括系統(tǒng)、應用程序和文件相關的元數據(3.26),如時注2:電子介質可以是存儲設備(3.45)和存儲元件(3.47),但不限于此。3.17光纖通道能夠支持多種協(xié)議的串行I/O互連，包括訪問開放系統(tǒng)存儲(3.43)、訪問大型機存儲(3.43)和聯網注1:光纖通道支持點對點、仲裁環(huán)路和交換拓撲，各種銅纜和光纖鏈路以每秒1千兆位到每秒10千3.18光纖通道協(xié)議用于光纖通道(3.17)互連的串行小型計算機系統(tǒng)接口(SCSI)傳輸協(xié)議3.19網關將協(xié)議轉換為另一協(xié)議的設備(3.14)3.20頻帶內管理(in-band)在先前建立的通信方法或信道中發(fā)生的通信或傳輸注1:通信或傳輸通常采用單獨協(xié)議的形式，例如在與主數據協(xié)議相同的介質上的管理協(xié)議。3.21焚燒通過將介質完全燒成灰燼來破壞(3.12)3.22惡意軟件注1:病毒和特洛伊木馬是惡意軟件的例子。3.23平均無故障時間系統(tǒng)或組件中連續(xù)故障之間的預期時間3.24平均修復時間使故障系統(tǒng)或部件恢復正常運行所需的或觀察到的持續(xù)時間3.25熔化通常通過加熱將介質從固態(tài)變?yōu)橐簯B(tài)來破壞(3.12)3.26元數據定義和描述其他數據的數據3.27多因素認證使用以下兩個或多個因素進行身份驗證：-知識因素，“個人知道的東西”;-占有因素，“個人擁有的東西”3.28多租戶物理或虛擬資源的分配，以使多個租戶及其計算和數據彼此隔離和不可訪問存儲元件(3.47)和存儲設備(3.45)使用的技術，其中可用介質的子集通過接口公開注1:存儲介質(3.48)由存儲元件(3.47)內部獨立使用，以提高性能、耐久性或可靠性。3.33加密點信息和通信技術(ICT)基礎設施中的位置，數據在進入存儲器的過程中被加密(3.43),存儲器訪問時被解密(3.43)注1:加密點僅適用于靜止數據(3.6)。3.34粉碎通過將介質研磨成粉末或灰塵來破壞(3.1使用物理技術消毒(3.38),使用最先進的實驗室技術使恢復不可行，但將存儲介質(3.48)保持在潛在的3.36可靠性清潔過程或方法(3.38)致使對存儲介質(3.48)上的目標數據(3.52)的訪問在給定的等級下不可行注1:清除(3.2)、清除(3.35)和銷毀(3.12)是可以對(3.38)存儲介質(3.48)進行清潔的操作。多租戶類型(3.28),它使用安全控件來顯式地防止數據泄露(3.7),并為適當的治理提供這些控件的驗證3.41碎片3.43儲存支持數據輸入和檢索的設備(3.14)、功能或服務3.44存儲區(qū)域網絡(SAN:StorageAreaNetwork)主要目的是在計算機系統(tǒng)和存儲設備(3.45)之間以及存儲設備(3.45)之間傳輸數據的網絡3.45存儲設備任何存儲元素(3.48)或存儲元素的集合(3.47),其設計和構建主要用于數據存儲(3.43)和交付3.46儲存生態(tài)系統(tǒng)一個由相互依賴的組件組成的復雜系統(tǒng)，這些組件協(xié)同工作以實現存儲(3.43)服務和功能注1:組件通常包括存儲設備(3.45)。存儲元件(3.47)、存儲網絡、存儲管理和其他信息和通信技術(ICT)3.47儲存元件用于構建存儲設備(3.45)并有助于數據存儲(3.43)和傳輸的組件注1:存儲元素的常見示例包括磁盤或磁帶驅動器。3.48儲存介質存儲介質：記錄或可記錄電子存儲信息(3.16)或數字數據的材料3.49存儲安全應用物理、技術和管理控制來保護存儲系統(tǒng)和基礎設施以及其中存儲的數據(3.50)注1:存儲安全性的重點是保護數據(及其存儲基礎設施)免受未經授權的泄露、修改或破壞，同時確保其注2:這些控制措施可能是預防性的、偵查性的、糾正性的、威懾性的、恢復性的或補償性的。3.50存儲在易失性存儲器(3.53)或非易失性存儲器(3.30)上記錄數據3.51強認證通過加密派生憑據進行身份驗證3.52目標數據受給定過程約束的信息，通常包括存儲介質上的大部分或全部信息(3.48)3.53易失性存儲器斷電后無法保留其內容物的存儲器(3.43)3.54弱鍵與特定密碼定義的某個方面進行交互，從而削弱密碼的安全強度(3.40)的密鑰簡寫訪問控制條目活動目錄AdvancedEncryptionStanda高級加密標準AdvancedTechnologyAttachm先進的技術附件BusinessContinuityManag內容可尋址存儲器CounterwithCipherblockMessageauthenticationcodeCloudDataManagementInt云數據管理界面連續(xù)數據保護ChallengeHandshakeAuthen常見的網絡文件系統(tǒng)命令行接口融合網絡適配器DiscretionaryAccessControl自由訪問控制DistributedDenialofSe分布式拒絕服務DiffieHellman-ChallengeHanDataEncryptionSta數據加密標準DataLifecycleManagement胡錦濤區(qū)災難恢復DisasterRecoveryPla災難恢復計劃ElectronicHealthcare電子醫(yī)療記錄ElectronicallyStoredInfor電子存儲的信息EncapsulatingSecurity光纖通道FibreChannel-SecurityProtocol光纖通道——安全協(xié)議光纖通道證書身份驗證協(xié)議簡寫光纖通道可擴展身份驗證協(xié)議FibreChannelProtocol光纖通道協(xié)議FibreChannelPasswordAuthe光纖通道密碼身份驗證協(xié)議固定內容存儲全磁盤加密圖形用戶界面HeatAssistedMagneticRecor熱輔助磁記錄HypertextTransferProtocolSec安全超文本傳輸協(xié)議InformationandCommunicationsTID標識符電氣和電子工程師學會因特網密鑰交換InformationLifecycleManag輸入/輸出互聯網協(xié)議互聯網協(xié)議的安全ICT準備業(yè)務連續(xù)性互聯網小型計算機系統(tǒng)接口Inter-Switch鏈接InformationSecurityInternet存儲NameService網絡存儲名稱服務密鑰加密密鑰KeyManagementInteroperability局域網LogicalBlockAddressLightweightDirectoryAccessProtocolMandatoryAccessControl強制訪問控制簡寫媒體加密密鑰MeanTimeBetweenFail平均故障間隔時間平均失效到達時間平均修復時間網絡附加存儲NetworkAddressTranslat網絡地址轉換網絡文件系統(tǒng)網絡接口卡網絡信息服務N_Port_IDVirtualizatNetworkTimeProtocol網絡時間協(xié)議非易失性內存結構化信息標準促進組織Object-based存儲DevicePeripheralComponentInterconn外圍組件互連表達個人身份信息公鑰基礎設parallelNetworkFile并行網絡文件系統(tǒng)Pseudo-RandomNumberGen獨立磁盤冗余陣列隨機存取存儲器Role-BasedAccessControl基于角色的訪問控制REpresentationalState具象狀態(tài)傳輸隨機數字生成器只讀存儲器遠程過程調用串行連接SCSI簡寫小型計算機系統(tǒng)接口安全散列算法安全信息和事件管理ServiceLocatorProtoc存儲管理倡議——規(guī)范存儲NetworkingIndustryAsSimpleNetworkManagementProtocol簡單網絡管理協(xié)議小型/家庭辦公安全子系統(tǒng)的類固態(tài)驅動器安全外殼固態(tài)硬盤單點登錄可信計算組織TransmissionControlProtocolUserDatagramProtocol用戶數據報協(xié)議通用串行總線VirtualLocalAreaNe虛擬局域網廣域網寫一次讀多次XEX-basedTweaked-codebo55概述和概念5.1概述計算機數據存儲或信息存儲，通常稱為存儲，是指保留電子存儲信息(ESI)或數字數據的計算機部件、存儲5.2存儲概念5.2.1直連存儲(DAS):在過去，存儲被簡單地看作是硬盤驅動器(HDD)和磁帶驅動器連接到計算機來存儲數據。這種方法通常稱為直連存儲(DAS),基于將網絡技術用于存儲的替代方法應運而生。隨著存儲技術從非智能內部和外部DAS發(fā)展到智能網絡存儲，這現代存儲解決方案包括以下部分或全部要素：-備份/恢復系統(tǒng)、連續(xù)數據保護(CDP)等(即數據保護系統(tǒng))。5.2.3在企業(yè)級和中端計算環(huán)境中，存儲已成為信息和通信技術(ICT)基礎設施的一個重要而獨立的層。這些環(huán)境的需求常常超過了簡單的數據存儲能力。推動新存儲技術出現的應用程序和功能示例包括：-通過網絡在多個系統(tǒng)之間共享大量存儲資源(以PB和EB為單位);-不需要使用局域網(LAN)的備份；-支持用于快速恢復(如備份)和存檔的集中數據存儲庫。5.3存儲安全簡介A、存儲安全還可以強制引入專門技術，如：◆-媒體殺毒；◆-虛擬化安全；◆-自加密存儲設備(見C.3),如硬盤驅動器、固態(tài)驅動器(SSD)和固態(tài)硬盤驅動器(SSHD);◆-關鍵管理服務；◆-數據真實性和完整性服務◆-動態(tài)數據保護(加密和數據縮減);◆-目錄服務和其他用戶管理系統(tǒng)。B、為了更好地理解存儲的安全問題和含義，我們應該知道存儲技術的使用方式和原因。作為起點，需要了解以下內容：光纖通道(FC)、以太網光纖通道(FCoE)和InfiniBand等技術。根據網絡技術和所使用的拓撲結構，◆-存儲時，數據通常以塊數據或文件/對象的形式表示和訪問；這兩種存儲方法之間存在顯著差異。同樣，與每種方法相關聯的安全措施可能有根本性的不同，特別是在訪問控制、加密和數據當出現臨時訪問問題時，數據可以在物理媒體區(qū)域◆-存儲管理既是存儲基礎結構的一個元素，也是在許多系統(tǒng)上執(zhí)行的操作。有特權用戶應用配置更改、配置存儲、調整、監(jiān)視等此基礎結構是常見的。有些管理可以遠程執(zhí)行，也可以涉及第三方，如供應商支持◆-數據可用性和完整性是一個組織存儲體系結構中的關鍵因素，因此安全性必須是互補的，◆-許多組織實施詳細的數據恢復策略，這些策略是其災難恢復(DR)和業(yè)務連續(xù)性(BC)計劃的一部分。必須小心地實現安全機制，如靜態(tài)數據加密，以確保彈性策◆-存儲中的虛擬化可以采取多種形式，并在存儲基礎結構中的不同點實施。這種虛擬化可以屏蔽與存儲表示相關的物理細節(jié)(例如，服務器的邏輯單元或文件系統(tǒng)),屏蔽設備的真實容量，執(zhí)行策略驅動的自主數據移動(如分層存儲),或完全抽象存儲基礎結構(如云計算存儲)。平衡安全性和虛擬化以便它們能◆-一些組織中的數據增長率正在推動更多地使用數據存儲技術。作為獲得額外存儲的替代方案，企業(yè)正在◆-作為常規(guī)數據保護策略的一部分，最終會創(chuàng)建許多數據副本(例如，在系統(tǒng)和站點之間復制、備份、快照等)。這些副本在使用時需要得到適當的保護，然后在其有效性結束時進行適當的消毒。IPsec可能會對某些技術的使用產生有害影響，如網絡地址轉換(NAT)、入侵檢測系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)或其他深入研究網絡流量幀的系統(tǒng)。是否依賴IPsec或其他動態(tài)保護協(xié)議，取決于能否◆-許多組織正在實施靜態(tài)數據加密，以保護敏感和高價值的數據。特定的加密機制和加密點是實際數據保◆-加密的成功使用通常取決于密鑰材料在其整個生命周期中的正確管理。這包括密鑰的正確生成、密鑰材料的安全存儲和傳輸、作為正常策略的一部分復制密鑰以確保數據的可用性，以及在正確處理密鑰材料。要保護的數據的敏感性和重C、要確?，F有和新興存儲技術上存儲和訪問的數據具有足夠的保密性、完整性和可用性，就需要在這一層信息和通信技術中協(xié)同努力。其中許多安全工作將側重于：◆-保護存儲管理(操作和接口);◆-確保充分的憑證和信任管理；◆-保護數據備份和恢復資源；◆-動態(tài)數據保護；◆-靜止數據保護；◆-數據可用性保護；◆-災難恢復和業(yè)務連續(xù)性支持；◆-適當的衛(wèi)生處理和處置；◆-安全的自主數據移動；◆-確保多租戶。5.4存儲安全風險5.4.1背景A、存儲安全風險是由組織對特定存儲系統(tǒng)或基礎架構的使用造成的。存儲安全風險來自：a)針對存儲系統(tǒng)和基礎設施處理的信息的威脅；b)脆弱性(技術性和非技術性);以及c)通過威脅成功利用漏洞的影響。根據ISO/IEC27005,“信息安全風險管理“過程可應用于整個組織、組織的任何離散部分(如部門、物理位置、服務)、任何信息系統(tǒng)，控制的現有或計劃的或特定方面(如業(yè)務連續(xù)性規(guī)劃)。”信息安全風險管理“過程C、存儲系統(tǒng)和基礎架構面臨的威脅包括但不限于：-未經授權的訪問；-拒絕服務(DoS)和分布式拒絕服務(DDoS)攻擊存儲；這些威脅可能導致各種各樣的風險。然而，對于存儲系統(tǒng)和基礎設施，與數據泄露、1)數據泄露可能是安全危害的結果之一，它可以采取多種形式。2)未經授權訪問或披露受保護信息是兩種常見的數據泄露形式。3)根據所涉及信息的數量和類型(如個人識別信息、受保護的健康信息等)以及適用的法律法規(guī)，數據泄露4)丟失安全信息的實體存在經濟和安全風險，因為信息的丟失可能包括以下內容：-秘密或機密信息(如密碼、加密密鑰等);-知識產權或其他敏感商業(yè)信息；表1總結了更可能發(fā)生的基于存儲的安全威脅，并列出了這些危害可能導致的數據泄露形式。盜竊或媒體的存儲元素非法訪問、非法披露、非法數據丟失、非法數據破壞數據破壞數據丟失非法的、未經授權的或偶然的數據破壞或腐敗源，不正確的補丁管理，等等)的授權人員意外訪問、意外披露accidental數據破壞，意外數據變更非法訪問、非法披露、非法數據破壞，非法數據變更私人數據)非法或未經授權的訪問或披露由外部或內部惡意數據篡改adversar非法數據破壞或改變未經授權的數據破壞，損失，或變更非法或未經授權的披露5.4.3數據損壞或破壞1)數據損壞是指由于人為、硬件和軟件錯誤導致的計算機數據的惡化或損壞(即對原始數據的意外更改)?？梢栽趯懭?、讀取、存儲、傳輸或處理過程中發(fā)生。數據損壞可能只影響數據或元數據的一小部分，可以在適當的條件下進行恢復，還可能導致永久性數據丟失。如果沒有使用備份等數據保護機制，數據丟失可能是永久性的。2)數據損壞和破壞都可能是無意或故意事件的結果，在數據破壞的情況下，可以進一步歸類為惡意或非惡意事件。3)諸如火災、洪水、斷電、編程錯誤和用戶錯誤等事件都是數據損壞和破壞的一般、無意來源。背景輻射、碰撞、存儲硬件老化或磨損是更多數據損壞和破壞的其他來源。4)外方或內部人員故意進行惡意攻擊/事件，目的是使部分或全部受影響的數據不可用或被銷毀。在這種情況下，可能是應用了未經授權的修改、懷疑有修改，或者可以使用了未知密鑰或機制對數據進行加密。5)非惡意攻擊通常是由于粗心大意、缺乏知識或出于“完成任務”等原因故意規(guī)避安全性造成的，但對數據的影響可能與惡意攻擊一樣具有破壞性。6)采用適當的機制來檢測和補救數據損壞是維護數據完整性的重要途徑。同樣，檢測數據丟失并使用數據保護機制恢復該數據可以防止數據的完全丟失。但是如果存儲管理得不好，可能會導致其他問題(如，隨著存儲設備或介質的劣化，臨時可糾正的錯誤可能會變成永久性錯誤)。5.4.4暫時或永久性的訪問/可用性損失可用性是指確保對存儲元素、存儲網絡元素、存儲信息、信息流、服務和應用程序不存在或有限制地拒絕授權訪問。一般來說，數據可用性是通過冗余數據的存儲位置和訪問方式來實現的。可用性的喪失通?？蓺w因于以下一個或多個問題：-可靠性；-無障礙；6.3存儲網絡5.4.5不符合法定、監(jiān)管或法律要求組織可能會因不遵守法律、法規(guī)或法律要求而招致重大責任和處罰。對于跨國組織，國家特定的立法對信息安全要求有更大的影響。這些不合規(guī)問題可能會導致6支持控制6.1概述1)本條款提供了支持存儲安全技術體系結構的控件、它們的相關技術控件以及其他不僅適用于存儲的控件(技術和非技術)。有關許多此類控制的信息可在ISO/IEC27002中找到。下文第6.2至6.8條擴大了對使用儲存特別2)在選擇和使用控制裝置時，數據敏感性、臨界性和數值也是一個重要的考慮因素，因此還應參考附錄B,特別6.2直連存儲(DAS)1)DAS設備是直接連接到計算機的存儲元件(例如HDD、磁帶等),而計算機之間沒有存儲網絡(即，沒有網絡設備像集線器、路由器或兩者之間的交換機)。2)DAS設備可以采用內部存儲器(即計算機系統(tǒng)的一個組成部分)或外部存儲器(即輔助存儲器)的形式。此外，它們通常專用于它們所連接的系統(tǒng)；DAS多個接口(端口)。3)DAS存儲元件具有有限的數據訪問和管理接口。保護DAS的選項往往有限，包括：A、-DAS的物理尺寸往往很小，可能位于辦公環(huán)境中，在那里它們可能會受到惡意攻擊(例如被盜、破壞、未經授權的訪問等),因此DAS應該具有物理安全性。B-為避免未經授權訪問DAS上的敏感和高值數據，應使用某種形式的加密來保護靜止數據，包括：◆具有集成加密和訪問控制功能的存儲元件，也稱為自加密驅動器(sed);◆基于計算機或基于應用程序的加密，包括全磁盤加密(FDE)。C、-對于涉及敏感或高值數據的所有DAS,應使用介質消毒(有關更多信息，請參閱和附錄A),包括以下任何一種：◆-在存儲單元中使用集成的消毒功能；◆-使用基于計算機或基于應用程序的消毒?！?如果可能，應使用諸如光纖通道-安全協(xié)議-2(FC-SP-2)進行身份驗證(請參閱C.7.2),身份驗證來防止對敏感和高值數據的未經授權的訪問；◆-為防止意外或故意的數據丟失或損壞，應定期備份DAS內容。6.3.1背景1)除了DAS之外，網絡在存儲基礎設施中發(fā)揮著重要作用，這些網絡可以包括通用網絡技術(如LAN和WAN)、使用這些技術的特定于存儲的網絡協(xié)議以及特定于存儲的技術(如光纖通道)。對于通用網絡2)存儲系統(tǒng)使用網絡有三個主要目的：1)存儲和檢索數據，2)保護數據，3)管理存儲系統(tǒng)。沒有一種用6.3.2存儲區(qū)域網絡(SAN)1)存儲區(qū)域網絡(SAN)是一種專門的高速網絡，它提供對存儲的塊級網絡訪問。SAN通常由服務器、交換機、存儲元素和存儲設備組成，這些設備使2)SAN通常用于提高應用程序可用性(例如，多個數據路徑)、提高應用程序性能(例如，卸載存儲功能、使用單獨的網絡等)、提高存儲利用率和效率(例如，整合存儲資源、分層存儲等)以及改進數據保護和4)SAN將存儲設備(如磁盤陣列和磁帶庫)呈現給服務器操作系統(tǒng)，這樣，對于服務器，存儲似乎是本地A、通?；诠饫w通道(FC)技術，該技術對開放系統(tǒng)使用光纖通道協(xié)議(FCP),對大型機使用專有變體。B、通過使用以太網光纖通道(FCoE),可以跨現有高速以太網基礎設施移動FC通信量，并將存儲和IP協(xié)C、也可以使用其他技術，如Internet小型計算系統(tǒng)接口(iSCSI),通常在中小型組織中用作成本較低的FC替代品，以及在高性能計算環(huán)境中常用的InfiniBanD、利用擴展器和交換機的串行連接SCSI(SAS)和外圍組件Interconnectexpress(PCle)等互連也開始E、還可以通過網關在不同的SAN技術之間移動數據。6)與SAN相關的安全控制分為以下類別：A、訪問控制：SAN上的訪問控制通過應用分區(qū)、邏輯單元(LUN)屏蔽和端口綁定機制來實現：■端口綁定：稱為全球通用名稱(WWN)的全局唯一標識符用于SAN中的標識。端口綁定是一種SAN安全機>軟分區(qū)：基于將SAN光纖名稱服務器對查詢的響應限制在假設服務器，不會與未通過名稱服務>LUN映射是指將一個數字分配給一個LUN,它通常發(fā)生在一個存儲陣列中，但也可以作為交換機、主機總線適配器(HBA)或聚合網絡適配器(CNA)和虛擬化層中重定向(初始地址到新地址)的一部分發(fā)生。B、身份驗證：對于SAN,交換機必須驗證與其通信的SAN中其他交換機的身份。如果未實現交換機身份驗證，則惡意交換機可能加入SAN并可能危害SAN數據。SAN中的節(jié)點(例如，存儲設備和服務器)也需要使用C、加密：SAN上的數據機密性有兩個主要組成部分：1)動態(tài)數據和2)靜止數據。敏感和高值數據在運行時以及在存儲設備上靜止時，都需要在SANs中進行加密保護。這可能需要使用特殊用途的硬件，可以對發(fā)送到存儲設備的數據進行加密。請參閱了解有關保護動態(tài)數據的附加指南，以及了解有關保護靜態(tài)數縱深防御戰(zhàn)略(見7.2.1)有助于降低因一項安全控制失效(可能是單點失效)而危及受保護資產的風險。7)SAN中分離單元的物理和邏輯隔離也可以發(fā)揮重要作用，可以采取以下形式：A、物理隔離包括：------將生產與其他系統(tǒng)類別(如質量保證、開發(fā))分開；------盡可能避免類之間的網絡連接(例如，連接到生產和開發(fā)網絡的生產服務器);------在適當的情況下，按類別隔離網絡和倉庫；------在每個類中物理上分離系統(tǒng)。------如果可行的話，將英國石油公司的設備與其他數據中心設備隔離。B、邏輯隔離包括：------使用以下方法將業(yè)務與正常服務器業(yè)務分離：------在公共物理基礎設施上創(chuàng)建獨立邏輯域的可用網絡控制；------信任和訪問控制以管理邏輯域中的成員身份。------將管理流量與所有其他流量隔離；------確保網絡網關的配置保持適當的網絡隔離。光纖通道SAN1)光纖通道是一種用于塊式存儲的千兆位速度網絡技術。2)有三種主要的光纖通道拓撲結構，描述了多個端口如何連接在一起：點對點(兩個設備直接連接)、仲裁環(huán)路和交換結構。3)光纖通道協(xié)議(FCP)是用于在該網絡技術上傳輸SCSI通信量的接口協(xié)議。光纖通道SAN有關控制如下：A、--控制FCP節(jié)點訪問，包括：1)使用訪問控制列表(ACL)、綁定列表和FC-SP-2結構策略(請參閱C.7.1)等技術限制交換機上的服務器訪問：2)使用啟用NPIV(N_Port_IDVirtualization)的hba將單個N_Port_ID分配給虛擬服務器。B、--實施基于開關的控制，包括：1)使用ACL、綁定列表和FC-SP-2結構策略等技術限制交換機互連(請參閱C.7.1):2)分區(qū)應在FCSAN結構中使用，優(yōu)先使用硬分區(qū)；3)確定基本分區(qū)是否是目標環(huán)境足夠強的安全措施，如果不是，請在供應商支持的情況下使用更強大的技術，4)禁用未使用的端口；5)小心使用默認區(qū)域和區(qū)域集(采用最低權限的姿態(tài))。6)通過配置滿足要求所必需的交換機、擴展器、路由器和網關，安全地互連存儲網絡。如IETFRFC3720中描述的InternetSCSI(iSCSI)是一種基于TCP的面向連接的命令/響應協(xié)議，用于訪問磁盤、磁帶和其他設備。1)通過以下方式控制iSCSI網絡訪問和協(xié)議：A、避免將iSCSI接口連接到通用lan;安全性和性能隔離；的光纖通道(FCIP)是一種純光纖通道封裝協(xié)議。它允許通過基于IP的網絡將光纖通道存儲區(qū)域網絡的孤島互連，2)FCIP網絡訪問和協(xié)議控制應通過以下方式進行控制：A、在FCIP實體之間建立對等關系，認識到安全策略將被統(tǒng)一應用；B、盡可能使用由FCIP實體獨占的專用IP網絡。3)通過以下方式結合FCIP實施IPsec安全措施：A、至少執(zhí)行加密認證和數據完整性；IETFRFC3723,《通過IP保護塊存儲協(xié)議》提供了有關iSCSI和FCIP的其他有用信息。第6.5.2款提供了IETFRFCs3720、3723和3821提供了重要的安全更新。子條款6.5.1提供了基于塊的光纖通道存儲的指導1)以太網光纖通道(FCoE)是一種協(xié)議規(guī)范，用于將光纖通道幀封裝在以太網數據包中。2)支持FCoE的以太網必須是一個無損以太網，A、利用光纖通道安全機制(見C.7):B、防止以太網廣播風暴(例如，分配足夠的輸入緩沖)可能導致吞吐量和超時問題；C、使用acl控制網絡訪問(例如，拒絕特定計算機不必要或不需要的通信);D、當不選擇使用物理隔離的LAN時，使用FCoEVLAN。1)網絡連接存儲(NAS)是一種數據存儲技術，通過網絡向異構客戶端提供文件級訪問。2)NAS使物理上位于一臺服務器或設備上的文件系統(tǒng)能夠被遠程客戶端計算機訪問，在用戶看來它是一3)NAS系統(tǒng)通常是專門為NAS目的而設計和構建的，但也可以使用通用服務器計算機。4)NAS系統(tǒng)可以實現為單獨的存儲服務器，也可以實現為存儲服務器的群集集合，這些存儲服務器通過但也存在其他技術，如基于對象的存儲設備(OSD)和云計算存儲。與NAS相關的安全控制分為以下幾類：A、限制用戶訪問NAS設備提供的文件和文件夾資源的授權控件(如ACL):B、數據加密，包括動態(tài)和靜態(tài)數據；以及C、身份驗證控件，如Kerberos,用于驗證試圖訪問NAS數據的用戶的身份。2)指定并使用了多個NFS版本，包括NFS版本3(在IETFRFC1813中指定)、NFS版本4(在IETFRFC3530中指定)和NFS版本4.1(在IETFRFC5661中指定)。B、盡可能使用NFSv4(或更高版本),并限制NFSv3的使用；1)服務器消息塊(SMB)3.0是CIFS(通用Internet文件系統(tǒng))的后續(xù)版本，本身也是SMB1.0的后續(xù)版v2或Kerberos代替；6.4.1背景3)存儲管理活動有：根據ISO/IEC27002:2013,9.2.3特權訪問權的分配和使用應受到限制和控制。不當使用系統(tǒng)管理特權可能是導致系統(tǒng)故障或破壞的主要因素。為了減輕這些威脅，可能需要ISO/IEC27002:2013,9.4.2中所述的安全登錄過程以及附加的身份驗證措施(見C.1),包括但不限于：A、所有用戶應具有唯一標識符(用戶ID),僅供個人使用；B、應選擇適當的身份驗證技術，通過使用以下方法證實用戶的聲明身份：強密碼(增加最小字符數、增加復雜性等),使用時間縮短；>強身份驗證(例如，質詢響應協(xié)議);或>多因素身份驗證，例如生物測定數據(如指紋驗證、簽名驗證)和硬件令牌(如智能卡)的使C、對于所有遠程訪問，使用強身份驗證或多因素身份驗證以及安全通道；D、在可能的情況下，使用集中認證解決方案(如遠程認證撥入用戶服務或RADIUS、單點登錄或SSO等)來改進監(jiān)控；E、在管理敏感和高價值數據時使用多因素身份驗證；除了用戶身份驗證之外，存儲系統(tǒng)有時還采用實體身份驗證，即任的過程。實體身份驗證可以在傳輸層安全性(TLS)和IPsec連接以及存儲協(xié)議(例如，使用iSCSI的質詢握手身份驗證協(xié)議、FCP中的Diffie-Hellman質詢握手身份驗證協(xié)議等)中進行。如果可能，應該使用這些實體身份驗證機制。在金融服務和醫(yī)療保健等市場領域，授權和訪問控制(見C.2)與利用特定角色的最低權限模型相一致是一種趨勢。應在存儲技術中實現和使用以下角色：●-安全管理員-此角色具有查看和修改權限，以建立和管理帳戶、創(chuàng)建和關聯角色/權(審核日志事件項永遠不能更改)、與IT基礎結構建立信任關系(例如，RADIUS的共享機密)、管理證●-存儲管理員-此角色具有查看和修改存儲系統(tǒng)所有方面的權限。未授予對安全相關元素或數據的訪問權限?！?存儲審核員-此類似于操作員的角色，具有允許驗證存儲參數和配置以及檢查運行狀況/故障日志的查看權保護管理接口免受未經授權的訪問和偵察至關重要。由于未能實施適當的控制而對管理接口存儲系統(tǒng)的管理接口可以采用多種物理形式，包括：串行端口(如RS-232、DB9、DB25等)、局域網、調制解調器，甚至用于數據路徑的技術(如光纖通道)?；旌辖涌?例如，插入控制臺集中器的串行端口，在局域網上提供接口)也比較常見。1)為了保護這些物理接口，組織應：A、限制對管理接口的物理訪問；B、不使用時，關閉和斷開串行管理端口；C、將用于管理的LAN接口與其他LAN通信量隔離，注意最好使用物理隔離，但至少應使用邏輯隔離存儲系統(tǒng)還使用各種軟件和固件來管理存儲系統(tǒng)。這些軟件接口可以包括：簡單的命令行界面(CLI)、基于Web的圖形用戶界面(GUI)、對簡單網絡管理協(xié)議(SNMP)的支持以及處理帶內管理(即通過數據路徑)的基2)為了保護這些軟件/固件接口，組織應：A、使用防火墻和TCP包裝器將對管理網絡的訪問限制為授權的系統(tǒng)和協(xié)議；B、使用實體身份驗證在存儲系統(tǒng)和管理系統(tǒng)之間建立信任關系(例如，使用FC-SP-2AUTH-A對執(zhí)D、使用具有適當安全控制的ICT基礎設施(域名系統(tǒng)或DNS、服務定位協(xié)議或SLP、網絡時間協(xié)議或NTP),以避免間接攻擊；E、使用適當的特權用戶控件，包括身份驗證(見642.1)、授權(見)和安全審核/監(jiān)視(見F、確保操作系統(tǒng)和應用程序是最新的，并且對攻擊有足夠的防御能力(見6.4.5)。3)遠程管理存儲系統(tǒng)時，應使用以下附加安全措施：A、對所有遠程訪問使用安全通道(虛擬專用網或VPN、TLS、安全外殼或SSH、超文本傳輸協(xié)議安全或HTTPS)采用強認證或多因素認證；B、將權限限制在所需的最小值(即，最小權限);4)組織應設計組織和技術控制，以限制用于遠程(非本地)供應商維護會話的管理接口。通過外部網絡(如互聯網)進行通信的個人進行的遠程供應商維護操作，不僅在可用性方面，而且在完整性和保密性方面都會帶來重A、技術控制應將通信流量(即系統(tǒng)、端口和協(xié)議)限制在遠程供應商維護操作所需的最低限度。C、應生成包含供應商操作審核記錄的適當日6.4.4安全審計、會計和監(jiān)控合規(guī)法規(guī)和合同條款通常包括監(jiān)測和報告要求。事件日志和系統(tǒng)記帳是幫助解決這些需求的關鍵功能見C.5)。從存儲安全的角度來看，事件日志記錄可能更有用，因為它既可以實時使用，也可以作以下日志記錄指南適用于存儲系統(tǒng)及被使用：A、在日志策略中包括存儲，以便：A1、關于存儲系統(tǒng)和設備，應處理以下策略元素：-存儲系統(tǒng)和設備應參與審核日志；-應收集所有重要的存儲管理事件；-根據日志數據保留策略對日志數據進行存檔A2、日志政策(另見7.7.2)應包括證據預期(真實性、保管鏈等)。B、通過以下方式將外部或集中式事件日志記錄到受信任的)遠程源：B1、實行集中的審計日志記錄，以從單個存儲庫中的所有資源中收集事件；B3、避免將設備駐留日志用于系統(tǒng)運行狀況監(jiān)視和調試之外的任何其他用途，因為它們更容易受到篡改或破壞，日志的可用存儲空間有限，并且它們排除了使用集中的自動化分析、警報和存檔；B4、將事件本地記錄到一個(最好是多個)外部日志服務器；B5、使用支持可靠傳輸和安全傳輸(如TLS)的標準日志協(xié)議，如syslog9;B6、當審計日志的主要驅動程序是合規(guī)性、責任性或安全性時，將設備配置為在事件發(fā)生時記錄事件(即沒B7、實現分析協(xié)議，以跨事件源關聯審核日志記錄，以識別提供安全事件指示的重要安全事件；B8、確保在部署安全信息和事件管理(SIEM)解決方案時，將存儲日志記錄考慮在內。C、確保完成事件日志記錄C1、一旦確定要記錄的事件類型，則應記錄這些事件的所有發(fā)生(帶內或帶外);C2、應記錄以下類型的事件(至少一組安全事件):-對敏感和高值數據的文件和對象訪問嘗試失敗；-帳戶和組配置文件的添加、更改和刪除；-對系統(tǒng)安全配置的更改(例如，審核日志記錄、網絡篩選、分區(qū)更改);-對安全服務器使用的更改(例如syslog、網絡時間協(xié)議或NTP、域名系統(tǒng)或DNS、身份驗證);-系統(tǒng)關閉和重啟；-特權操作(即管理員發(fā)起的更改);-使用敏感實用程序(例如，權限提升命令);C3、每個日志條目應包括：-時間戳(日期和時間);-事件ID和文本描述(對于實現事件的本地化/國際化是必要的，其中事件ID保持不變，但文本描述可以翻譯成不同的語言);目的地降低了意外丟失的風險。C4、在篩選諸如“嚴重性”之類的字段時要小心，因為企業(yè)日志策略應作為確定哪種篩選是適當的以及哪D、實施適當的保留和保護，以便：D1、應正確處理可能具有證據價值的審計日志數據(如維護保管鏈、可驗證的完整性和真實性等);D2、具有特定保留要求的審核日志數據(如法規(guī)遵從性)應與組織的數據保留解決方案一起保存(見74);D3、采取適當措施保護日志完整性，防止其修改或破壞(惡意或意外);D4、當審計日志條目包含敏感信息時，應使用適當的保密機制保護審計日志數據；D5、對于獨特的審核日志記錄要求(如大容量、特殊保存、事件簽名等),應使用專用的、經過特殊加固和配置的系統(tǒng)；D6、利用日志中繼和日志過濾將專用存儲需求(例如，一次寫入只讀或WORM)的影響降到最低。6.4.5系統(tǒng)強化所有操作系統(tǒng)、虛擬機監(jiān)控程序和應用程序有關A、任何操作系統(tǒng)都應該使用的一些最佳實踐包括：-更改(例如重命名、禁用、更改任何默認密碼等)任何預定義或默認帳戶；-從可信來源安裝最新補??；-安裝和維護惡意軟件保護(另見ISO/IEC27002-2013,12.2)。B、當存儲基礎結構的元素收到更新(例如微碼)或修補程序時，應確保要應用的軟件來自受信任的源。否則，攻擊者可以編寫自己的“更新”,而不是包含自己選擇的惡意代碼，如rootkit、botnet或其他惡意軟件。C、供應商應對其控制下的元件執(zhí)行6.4.5中所述的操作。6.5基于塊的存儲6.5.1光纖通道(FC)存儲光纖通道存儲系統(tǒng)使用專用網絡(請參閱)向計算機提供基于塊的存儲資源。這些資源通常采用邏輯單元(lun)和磁帶設備(包括虛擬磁帶)的形式。對于光纖通道系統(tǒng)，應考慮以下幾點：A應使用LUN掩蔽和映射(WWN篩選)以及其他訪問控制機制來限制對存儲的訪問B實施FCP安全措施，包括：-所有服務器和交換機都應使用使用FC-SP-2AUTH-A(請參閱C.份驗證服務；-如果可能，應使用ESP_Header11對離開受保護區(qū)域(例如物理控制數據中心的范圍)的光纖通道連接進行加密(請參閱和C.7.3)。C實施靜態(tài)數據加密措施(見),包括：-敏感和高值數據在存儲設備或介質上應加密12);-應在可能接觸敏感或受管制數據的存儲設備中實施加密，并促進快速消毒(見A.3)。D實施衛(wèi)生處理措施(見6.8.1和附件A),包括：-敏感和規(guī)范數據應采用介質校準消毒(見);-應使用邏輯清理(請參閱)來清除虛擬化存儲(請參閱7.6.1),特別是在無法確定實際的存儲設供應商應在其產品中實現6.5.1中描述的訪問控制、身份驗證、凈化和加密功能。與FC存儲不同，IP存儲使用TCP/IP網絡(參見),特別是iSCSI,向計算機提供基于塊的存儲資源。對于IP存儲系統(tǒng)，應考慮以下因素：A通過基于源IP地址和協(xié)議的篩選來控制對iSCSI發(fā)起程序的訪問；B實施iSCSI安全措施，包括：-雙向質詢握手身份驗證協(xié)議(CHAP)身份驗證，使用隨機質詢(即不重復),應在所有iSCSI實現中同時用于發(fā)起方和目標方；-當敏感或高值數據可能暴露時，應使用IPsec保護通信通道(見);C實施靜態(tài)數據加密措施(見)D實施衛(wèi)生處理措施(見6.8.1和附錄A)-敏感和規(guī)范數據應采用介質校準消毒(見6.8-確保NFSv4ACL(訪問控制列表)分配正確；統(tǒng)降級；所不同(請參閱)。-禁用對CIFS共享和NAS設備的未經身份驗證的訪問(即限制匿名訪問);-禁止“來賓”和“所有人”訪問所有CIFS共享；-通過集中式機制(RADIUS、輕量級目錄訪問協(xié)議或LDAP)實現身份驗證和訪問控制。B通過為客戶端和NAS設備啟用SMB簽名來限制SMB/CIFS客戶端行為；CSMB/CIFS服務器上的安全數據：-持續(xù)審查CIFS共享和相關訪問控制中的內容；-必要時對靜止數據進行加密；-防范惡意軟件(如病毒、蠕蟲、rootkit等)。D使用強身份驗證(NTLMv2、Kerberos供應商應在其產品中實現6.6.2中描述的訪問控制、身份驗證和加密功能。6.6.3基于NFS的并行NAS如所述，NAS設備可以實現為單個存儲服務器或存儲服務器的群●對稱群集允許所有文件服務器都是完整的文件服務器，使用重定向或類似技術根據客件選擇適當的服務器。一種常見的技術是將文件系統(tǒng)命名空間分區(qū)，讓不同的服務器負責該分一在這種結構中，文件名解析可能導致客戶端遍歷涉及多個文件服務器的命名空間路徑?！穹菍ΨQ群集跨服務器拆分功能-并行NFS至少使用一個主文件服務器和多個從屬于主服務器的輔助存儲服務器(客戶端必須聯系主文件服務器，以了解輔助存儲服務器上存儲的數據以及如何訪問它)?！駥τ趯ΨQ群集，包括pNFS的主文件服務器群集，主要指導是在群集服務器上一致應用控制和控制機制(例如，身份驗證和授權),以便安全保證屬性不依賴于客戶端碰巧訪問的文件服務器?！駥τ诜菍ΨQ集群，控制和控制機制的一致應用非常重要，但是服務器的不同角色可以主服務器獲得的布局信息，而不是訪問它沒有布局的塊存儲-這應該以某種方式捕獲在一個控件中，該控件強全注意事項(第4節(jié))。對于pNFS系統(tǒng)，應考慮以下因素：A控制和控制機制應在集群中一致應用(對稱和非對稱);B安全保證屬性不應依賴于訪問特定文件服務器的客戶端；C對于非對稱集群，應該實現控制，使它們在不同協(xié)議之間保持一致；D安全控制不應依賴于跨服務器的文件系統(tǒng)命名空間的路徑遍歷。6.7基于對象的存儲6.7.1云計算存儲正在使用專有和基于標準的云計算存儲產品，它們通常提供：復制功能例如，備份和恢復功能、長期保留功能(例如，存檔)和多系統(tǒng)同步功能(例如，允許用戶同步多個可能不同類型設備上的數據)。其中一些云計算實現是基于對象的，并且通常依賴于HTTPS(HTTPover云計算存儲的安全使用應包括以下部分或全部內容：A確保傳輸安全性(如IPsec或傳輸層安全性(TLS))用于所有事務(請參閱):B當敏感數據存儲在第三方云環(huán)境中時，應使用靜態(tài)數據加密(和適當的密鑰管理過程)來防止未經授權的方(如云服務提供商人員、其他租戶、對手等)訪問；C確保用戶注冊安全，并使用強密碼驗證來保護對數據的訪問；E使用提供的清理功能清除云計算存儲中的敏感數據。云計算的實施經常利用不同形式的虛擬化，因此7.6中的指南可能也很相關供應商應在其產品中實現中描述的訪問控制、身份驗證、加密、日志記錄、清理等適當的云計算存儲云數據管理接口(CDMI)安全基于ISO/IEC17826:2012云數據管理接口(CDMI)規(guī)范的云計算存儲是一種基于對象的存儲技術，使用CDMI中的安全措施可以概括為：傳輸安全、用戶和實體身份驗證、授權和訪問控制、數據完整性、數據和媒CDMI客戶應：A確保傳輸層安全(TLS)用于所有交易(見);B查詢云服務提供商CDMI實現的安全能力并根據提供的安全性是否足夠做出基于風險的決策；C認證CDMI實體(服務器的證書和客戶端的HTTP基本認證);D使用CDMI域名為身份驗證映射到外部身份驗證提供位置；F使自動刪除功能(CDMI刪除)與組織的數據保留策略保持一致；G在使用CDMI貨艙之前，了解提升CDMI貨艙的過程和機制；H使用靜態(tài)數據加密措施保護敏感和高值數據；I對于加密功能，始終驗證實現是否使用了請求的CDMI功能(支持的操作),而不是其他功能；6.7.2基于對象的存儲設備(OSD)基于對象的存儲設備(OSD)是一種計算機存儲設備，類似于磁盤存儲，但工作在更高的級別(即，物理存儲位置隱藏在對象接口下，由存儲設備本身管理)。OSD不提供面向塊的接口來讀取和寫入固定大小的數據塊，而是將數據組織到稱為對象的靈活大小的數據容器中。每個對象既有通過指定對象標識符(OID)和元組(offset,length)訪問的數據(線性字節(jié)序列),也有元數據(描述對象的可擴展屬性集)。OSD接口包括命令用于創(chuàng)建和刪除對象、向單個對象寫入字節(jié)和從單個對象讀取字節(jié)，以及設置和獲取對象的屬性。OSD負責管理對象及其元數據的存儲。OSD實現了一種安全機制，它提供了對每個對象和每個命令的訪問控OSD使用基于憑證的訪問控制系統(tǒng)，該系統(tǒng)由三個活動實體組成：對象存儲要安全使用OSD:B對象存儲應在執(zhí)行操作之前驗證功能的真實性；COSD和安全管理器之間的時鐘同步應使用安全協(xié)議實現；D容量失效時間應該有限制，以盡量減少使用受損容量的時間；E應經常刷新工作密鑰(用于生成功能密鑰)。供應商應在其產品中實現6.7.2中描述的訪問控制、身份驗證、加密等適當的OSD功能。6.7.3內容尋址存儲(CAS)◆內容尋址存儲(CAS),有時稱為固定內容存儲(FCS),旨在存儲不隨時間變化的數據(即固定時間)。CAS◆CAS通常公開由加密哈希函數(如MD5或SHA-1)從其引用的文檔生成的摘要。根據內容摘要，CAS支持B、在授予對CAS系統(tǒng)的訪問之前，用戶和應用程序應該經過身份驗證和授權。這可以防止未經授權的用戶存儲數據或檢索數據。此外，CAS系統(tǒng)應確保內容在其整個生命◆在滿足中短期保留需求時，CAS是一種特別有用的技術(見7.4.2)?！艄虘谄洚a品中實現6.7.3中描述的用于身份驗證、授權、可用性、散列等的適當CAS功能。6.8.1數據衛(wèi)生處理◆衛(wèi)生處理是指將存儲介質中以前寫入的數據呈現為不可檢索的一般過程，這樣就可以合理地保證數據不易檢索或重建(見C.4)?！魹榱藢λ忻襟w類型有效地使用本標準，組織和個人應將其信息分類，評估記錄信息的媒體的性質，評估保密風險，并確定媒體的未來計劃(如，重新使用)。然后決定適當的衛(wèi)生處理方式。應評估所選類型的成本、環(huán)境影響等，并作出最能降低保密風險和最能◆只有在信息披露不會對組織使命造成影響、不會對組織資產造成損害、不會對任何個人造成經濟損失或傷害的◆清除和銷毀(銷毀)是可以對存儲進行清理的操作。附件A.1介紹了每種方法，并在適當的情況下提供了其他選項。附件A.2通過提供對硬拷貝和電子(軟)拷貝介質消毒的具體指導來補充此信息?！羟謇聿僮骺赡艹杀靖甙呵液臅r，但出于安全原因，這些操作是必需的。凈化處理操作的水平應與風險相平衡。應特別注意個人識別信息(PII)和電子醫(yī)療記錄(EHR)以及業(yè)務或關鍵任務數據(如商業(yè)機密知識產權等)?！舢斝l(wèi)生處理是合規(guī)的一個要素時，應審查特定要求和相關規(guī)范，以確定它們是否要求特定的覆蓋技術、衛(wèi)生處◆為了提供適當的衛(wèi)生處理能力，供應商應在其附錄A應用于確定特定介質的建議衛(wèi)生處理。盡管這里強烈建議使用附件A,但清除(在某些情況下仍然相關)和銷毀的目的，而且附件A中未規(guī)定的方法只要經本組織審查并令人滿意，就可能適用。并非所有類型的可用介質都在本國際標準中有詳細說明，對于未包括在內的介質許多存儲設備虛擬化底層存儲媒體，并將其作為邏輯存儲呈現。邏輯存儲情況可能會更別所有底層存儲介質。此外，清理所有物理介質可能不合適，因為多個邏輯存A、如果邏輯存儲(例如，邏輯單元、文件系統(tǒng)或對象存儲)是可寫的，則應使用覆蓋或加密擦除技術進行清理，以清除邏輯存儲所使用的底層存儲媒體部分；B、成功應用加密擦除進行清理(見A.3)取決于在邏輯存儲上記錄數據之前加密處于活動狀態(tài)。C、數據保護技術(見7.3.3)可以包括復制、備份和CDP存儲，通常與邏輯存儲結合使用，因此應對與數據保護1)組織應保存一份衛(wèi)生處理活動的記錄，以記錄哪些介質已消毒、何時消毒、如何消毒以及介質的最終處置。通常，當一個組織被懷疑失去對其信息的控制時，這2)衛(wèi)生處理證明至少有兩種形式：1)審計日志跟蹤和2)衛(wèi)生處理證書。這些衛(wèi)生處理記錄是組織應為合規(guī)/法律目的保留的證據，否則它們將面臨制裁或代價高昂的數據泄露3)衛(wèi)生處理證書至少應包括以下信息：-制造商；-模型；-序列號；-介質類型(如磁性、閃光、混合等);-媒體源(即媒體來自的用戶或系統(tǒng));-衛(wèi)生處理說明(即清除、清洗、銷毀);-使用的凈化方法(例如消磁、覆蓋、塊擦除、加密擦除等);-使用的工具(包括版本);-驗證方法(如全量、快速取樣等);-對于消毒和驗證：-姓名；-日期和時間(完成);-位置；-聯系信息(如電話號碼、電子郵件地址等);◆除了與清理證書相關的詳細信息外，審核跟蹤還應捕獲帶有時間戳的事務和與清理相關的進度?！羧绻橘|處于不可操作狀態(tài)，需要進行物理破壞，則應通過衛(wèi)生處理證書獲得衛(wèi)生處理證明?！魞艋炞C的目標是確保目標數據得到有效的衛(wèi)生處理。1)當設備接口(如高級技術附件或ATA或SCSIHDD或SSD)支持時，有效凈化處理(實驗室外)的最高保證2)如果組織選擇有代表性的抽樣，那么有三個主要目標適用于電子媒體衛(wèi)生處理驗證：a)選擇媒體上的偽隨機位置，每次應用分析工具時使用偽隨機數生成器(PRNG)的新種子。這降低了在敏b)在可尋址空間中選擇位置。c)每個連續(xù)的樣本位置(第一個和最后一個可尋址位置除外)應覆蓋至少5%的小節(jié)，且不與小節(jié)中的其他樣本重疊。給定兩個不重疊的樣本，一旦所有小節(jié)都采集了兩個樣本，結果驗證應至少覆蓋10%的介質。3)使用訪問控制機制保護的設備有額外的驗證注意事項。無論這些設備是通過覆蓋、塊擦除還是加密擦除進行清理(見A.3),在清理之前和之后都需要能夠訪問這些設備，以啟用驗證過4)加密擦除具有與其他過程不同的驗證注意事項，當使用加密擦除時，應嘗試應用簡單的檢查，例如讀取包含已知內容(例如，文件系統(tǒng)元數據)的存儲位置，以驗證未返回預期數據。◆如果由于任何原因(例如，執(zhí)行加密擦除的人沒有讀取權限)無法進行驗證，則可以跳過驗證。6.8.2數據保密◆在存儲基礎結構中，通常使用某種加密方法來維護數據機密性這些方法通常與數據在存儲基礎結構中傳輸(有時稱為飛行中或運動中)或在設備或存儲介質中存儲(或靜止)時的保護相關?！艏用苓^程是將加密算法(或密碼)應用于產生加密數據(或密文)的明文數據。相反，解密是將密文轉換回原◆密碼與密鑰和可能的其他密鑰材料(例如，初始化向量)相關聯地工作。在對稱密碼中，同一密鑰用于加密和◆密鑰的管理和保護(稱為密鑰管理)對于維護數據機密性至關重要。◆密鑰管理的目的是提供處理與對稱或非對稱加密機制一起使用的加密密鑰材料的過程?！魹榱颂峁┻m當的數據保密功能，供應商應在其產品中實現和中描述的功能?！魟討B(tài)數據保護通常是對數據的臨時保護，只有在移動數據時才可能存在。對于動態(tài)加密，發(fā)送方應用加密算法并發(fā)送密文。它還可以應用完整性算法并發(fā)送完整性值。相反，接收器應用將密文◆有各種標準規(guī)范，包括光纖通道安全標準(見C.7.1)、IPsecRFC和TLSRFC,它們詳細說明了保護移動數◆對于某些協(xié)議，標準中有多種操作模式或選項。此外，還有多種密碼模式或數字簽名(完整性)算法。操作模式的定義和規(guī)范見ISO/IEC10116:2006?！舫跏颊J證密鑰的管理和保護對于維護數據的機密性和動態(tài)數據的完整性至關重要?！粢玫臉藴试敿氄f明了在使用動態(tài)數據保護方法時必須保護的關鍵安全參數的附加信息。a)當需要保護運動中的數據時，它應該提供端到端的保護。b)運動數據的加密會給通信實體帶來很大的計算負擔，應該進行適當的補償以將影響降到最低。c)對于IPsec,應使用版本3和Internet密鑰交換(IKE)版本2(或更高版本)。d)對于TLS,存儲客戶端應符合存儲網絡行業(yè)協(xié)會(SNIA)技術立場：存儲系統(tǒng)TLS規(guī)范1.0版(或最新版本)的要求。◆對存儲基礎結構中靜態(tài)數據的加密確實提供了基本級別的保護，以防止由于失去對媒體(尤其是磁帶)的控制而造成的破壞。因此，應使用存儲設備(自加密驅動器以及基于控制器的技術)、交換機、專用設備、hba等◆實現數據加密需要購買具有加密功能的設備并將其連接到現有的存儲基礎架構?！粜枰x擇加密機制(加密點)在基礎設施中的位置，以解決已識別的風險，并作出安排，為該位置提供密鑰材◆此外，還需要創(chuàng)建足夠的加密證明，并將其集成到審計日志基礎結構中，這種加密證明可能采用日志的形式。更多信息見7.5。◆對存儲使用所有類型的加密依賴于對加密密鑰的管理：1)由密碼學保護的信息的安全性直接取決于密鑰的強度、與密鑰相關的機制和協(xié)議的有效性以及對密鑰的保2)所有密鑰都需要防止修改，而密鑰(對于對稱加密)和私鑰(對于非對稱或公鑰加密)則需要防止未經授3)密鑰管理為密鑰的安全生成、存儲、分發(fā)和銷毀提供了基礎。◆對于存儲上的靜態(tài)數據加密，應遵循以下步驟：數器或Galois/計數器模式(如IEEE1619.1-2007中所述)的磁帶；>如果存儲特定模式不可用，則可以使用適當的AES模式，如密碼塊鏈(CBCX在ISO/IEC10116:2006b)限制密鑰以明文形式存在的時間，并防止用戶查看明文密鑰c)加密密鑰只能用于一個目的，特別是不要使用密鑰加密密鑰(也稱為密鑰包裝密鑰)來加密數據或使用數據加密密鑰來加密其他密鑰；d)從整個按鍵空間中隨機選擇按鍵；e)檢查并避免使用已知的弱鍵；f)數據加密密鑰應限制在有限的加密期(通常不超過2年)或處理的最大數據量；g)在可能的情況下，存儲系統(tǒng)和基礎設施應使用可互操作的集中密鑰管理基礎設施；h)存儲系統(tǒng)和基礎架構應使用OASIS批準的、符合KMIP的客戶端來訪問和使用密鑰管理基礎架構(請參見1)數據壓縮通過使用已知的算法對數據進行編碼來減少數據量，以生成使用比未編碼表示更少的存儲位的數據表示。另一方面，重復數據刪除嘗試使用對共享副本的引用替換多個數據副本。這兩種2)數據壓縮通常與磁帶存儲結合使用，以減少備份等操作所需的磁帶數量。此外，壓縮可以是遠程復制中使3)數據壓縮通常在硬件中執(zhí)行，因此需要注意確保編碼的數據可以在以后解碼(例如，當磁帶被另一個磁帶驅動器讀取或當壓縮的數據被網絡網關接收時)。4)重復數據消除可以在存儲基礎結構中的各種不同點進行，包括在文件系統(tǒng)級別、與存儲網絡和存儲設備保5)數據縮減技術本身并不代表安全機制。但是，它們的存在可能會受到存儲安全活動的影響：a)當加密與壓縮一起使用時，應在加密之前應用壓縮，因為密文不能有效地壓縮；相反的順序應在另一端使用(即解密后展開)。b)當加密與重復數據消除一起使用時，應在加密之前應用重復數據消除，因為重復數據消除通常對密文d)壓縮或重復數據消除會影響災難恢復和業(yè)務連續(xù)性實施，因此應將它們納入災難恢復和業(yè)務連續(xù)性解7存儲安全設計和實施指南7.1概述與存儲安全體系結構相關的常見風險區(qū)域是由于設計不當或缺乏對業(yè)務連續(xù)性規(guī)劃的適當考慮，或設計與當前或預期的威脅級別不符而導致的設計故障。設計應考慮5.4中描述的存儲系統(tǒng)中的所有相關威脅和漏洞。有關評估安全風險和相關威脅的信息也可以在ISO/IEC27001、ISO/IEC2707.2存儲安全設計原則7.2.1縱深防御企業(yè)不僅需要從一個角度來看待安全性，還需要將其視為一種跨所有應用程序、系統(tǒng)、網絡遍分層方法。采用這種分層方法被認為是縱深防御，特別是當它結合了政策、設計、管一項重要的縱深防御原則：利用多種安全控制或安全技術，幫助降低防御的一個險。具體指導包括：a)確保平衡地關注三個主要要素：人員、技術和運營；b)貫徹有效的信息保證政策和程序，分配角色和責任，投入資源，培訓關鍵人員，以及個人責任；d)在潛在對手和目標之間部署多個防御機制(分層);f)部署強大的密鑰管理和公鑰基礎設施(PKI)框架，支持所有信息保證技術，并具有高度的抗攻擊性；g)維護可見和最新的系統(tǒng)安全策略；h)主動管理存儲技術和保護機制的安全態(tài)勢(如安裝安全補丁和防病毒更新、維護acl等);對于存儲，分層方法意味著在整個存儲基礎結構中部署和使用安全控制，包括計算機中的HBA/CNA/NIC、存儲網7.2.2安全域安全域基于這樣一個概念，即不同敏感級別(即不同的風險容忍度值和威脅敏感性)的系統(tǒng)資源應該位于不同對于存儲基礎設施，安全域通常表示為SAN,特別是在存儲系統(tǒng)中存儲和處理敏感數據時。在數據敏感度較低的情況下，分區(qū)和VLAN可以被認為是可接受的，需要注意的是，這種通用功能不是一種安全機制，如F區(qū)(請參閱C.7.5)?；贗SO/IEC27033-2中描述的分區(qū)原則，應考慮以下存儲安全設計規(guī)則：A.-在使用安全域時考慮數據敏感性B.-不同敏感度的存儲和存儲網絡應位于不同的安全域中；C.-為外部網絡(如因特網)提供服務的設備和計算機系統(tǒng)應位于不同的域(非軍事化區(qū)或DMZ),而不是內部網絡設備和計算機系統(tǒng)；D.-戰(zhàn)略資產應位于專用安全域；E.-不受信任的設備和計算機系統(tǒng)應具有對存儲資產的有限或無訪問權F.-使用安全域的因素用途G.-用于不同目的(如開發(fā)、生產、管理等)和使用不同技術(如CIFS/NFS、iSCSI、CDMI等)的存儲和存儲網絡應位于不同的安全域中；H.-存儲網絡應與常規(guī)網絡(如公司局域網)位于不同的安全域中；I.-存儲設備和存儲網絡管理系統(tǒng)應位于專用的安全域中；J.-處于開發(fā)階段的系統(tǒng)應該位于與生產系統(tǒng)不同K.-可能允許駐留在單個安全域中但用于多個目的或包含多個級別敏感數據的存儲設備應進一步隔離(使用7.2.3設計彈性■存儲安全設計應包含幾層冗余，以消除單點故障，并最大限度地提高存儲基礎架構的可用性。包括口、備份模塊、備用設備和拓撲冗余路徑。此外，設計還應使用一系列旨在使1)作為設計原則，存儲系統(tǒng)的體系結構應支持安全的初始化順序，以確保在通電或復位后從“關閉”狀態(tài)過渡。2)在初始化階段，外部可訪問的進程和網絡接口不應可用或拒絕訪問，直到主體通過身份驗證。3)軟件和操作系統(tǒng)加載進程應從已知狀態(tài)開始，在系統(tǒng)上次運行時由系統(tǒng)管理員指定安全值。●供應商應在其產品中實現7.2.4中描述的安全初始化功能。7.3數據可靠性、可用性和彈性7.3.1可靠性可靠性量化為：a)可修復產品的平均無故障時間(MTBF),是系統(tǒng)或部件中連續(xù)故障之間的預期時間，有時被認為是系統(tǒng)或部件在故障之間執(zhí)行正常操作的平均可用時間(見圖5);b)可修復產品的平均修復時間(MTTR),是指使故障系統(tǒng)或部件恢復正常運行的預期或觀察持續(xù)時間，有時被認為是修復故障部件的平均時間；c)不可修復產品的平均故障時間(MTTF),是指系統(tǒng)或組件在故障前正常運行的平均時間。應用系統(tǒng)或應用程序修補程序或其他系統(tǒng)強化措施(如6.4.5中所述)也會產生影響。例如，不正確地應用更新或●-存儲系統(tǒng)和基礎設施的可靠性不應因包含安全功能而受到不利影響；●-應主動管理漏洞，以盡量減少其對系統(tǒng)可靠性的影響；●-應評估控制措施，以確定它們是否能夠確保數據的可靠性和安全性。7.3.2可用性在存儲環(huán)境中，數據可用性通常指以某種形式存儲數據時的可訪問性，通常指通過網絡或外可用性通常被測量為當需要時某物出現的概率(即系統(tǒng)處于運行狀態(tài)的時間比例),它可以被計算為(a)系統(tǒng)在給定時間間隔內能夠使用的總時間與(b)時間間隔長度的比率。例如，假設一個存儲陣列在一年中有大約5分鐘的停機時間(假設為24x7操作),那么它的可用性將為099999(99999%)。為了實現數據的高可用性，現代存儲系統(tǒng)和存儲基礎架構中實現了大量的硬件和軟件冗余(例如，自動I/O路徑故障切換、冗余組件、RAID保護、全局熱備盤和帶電池備份的鏡像數據緩存)。此外，數據冗余機制(如鏡像和復制)以及數據保護機制(如備份和CDP)通常用于確保在發(fā)生故障時快速恢復數據。1)-由于可用性的重要性，存儲安全設計和實現應努力將對可用性的影響降至最低(例如，將單點故障降至最低)。2)-應管理數據加密密鑰，以避免在密鑰不可用或意外銷毀時出現數據可用性問題。3)-數據保護機制(如備份、復制等)應該是可用性設計的一部分，以防止由于系統(tǒng)故障而導致的重大停機。7.3.3備份和復制由于對數據可用性和完整性的依賴性增加，許多組織采數據保護機制本身也需要一種安全措施，包括但不限于：1)-數據保護機制(如備份、復制等)的設計應考慮到快速恢復，而不僅僅是數據的保存；2)-備份安全性a.確保備份方法，特別是針對業(yè)務/任務關鍵型數據的備份方法，與其相關的恢復策略保持一致；b.確保備份方法提供足夠和適當的保護，防止未經授權的訪問(例如加密或用戶驗證);c.建立一個處理存儲介質的可信個人(和供應商)鏈；(ISO/IEC27002:2013,12.3提供了備份的相關指南)3)-復制安全性一致；b.確保復制方法提供足夠的保護，防止未經授權的訪問(例如，動態(tài)數據加密)。4)CDP安全(連續(xù)數據