分享
 
 
 

SAN安全策略逐个歼灭可能的威胁

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

对于网络存储,存在着太多可能的威胁,包括数据更改、破坏、窃取、拒绝服务攻击、恶意软件、硬件窃取,以及未授权访问等。

要保证SAN(存储域网)的安全,必须逐个歼灭这些可能威胁。

近年来,对于网络存储安全,存在着太多威胁,包括数据更改、破坏、窃取、拒绝服务攻击、恶意软件、硬件窃取,以及未授权访问等。要保证SAN(存储域网)的安全,必须逐个歼灭这些可能威胁。值得庆幸的是,许多用于解决传统网络漏洞的安全策略和协议也可以帮助保证存储网络的可用性。

不可否认,当今有不少网络仍旧缺乏高效的安全机制。本文主要讲述基本的安全概念和原理、支撑这些概念的协议,以及它们组织成一套整体的SAN安全策略方式。事实上,无论什么样的安全策略,底层都包括基本的安全概念,包括验证性、授权性、机密性、完整性、确认性以及访问控制。

访问控制

在设计安全网络环境时,访问控制是一个基础性概念,指的是控制某用户可以或不可以访问网络、资源、文件等。

为了有效地保证这些资源的安全,必须认真考虑并控制授予每个网络用户的访问级别,然后设置策略来保证只有合法用户才能真正获得资源的访问权。这是强健安全网络环境的基础。

访问控制策略主要包括:强制访问控制(MAC)、自主访问控制(DAC)和基于角色的访问控制(RBAC)。

MAC是最严格的访问控制。这种策略中,不允许任何信息的制作者控制对数据的访问和修改权。相反,由管理人员或管理程序控制对数据、系统、资源的访问和修改权限。强制访问控制系统通常用于对安全要求非常高的网络环境,比如军事部署、财政系统、医疗系统等。

自主访问控制不受管理员或操作系统策略的约束。相反,由被访问对象的所有者控制访问权。在DAC模型中,如果用户创建了一个文件夹,则由此用户来决定谁将拥有对此文件夹的访问权。

DAC要用到访问控制列表(ACL)。ACL管理用户对像文件、目录、网络资源等特定系统对象的访问权信息。每个对象都有一个安全属性来标识访问控制列表,列表对于拥有相关访问权的每位系统用户都有一个入口。最普通的访问权包括读、写、执行文件。

在一个基于角色的访问控制的配置中,访问权是由用户在组织中所代表的角色决定的。网络用户被赋予特定的角色,比如销售员、经理、秘书等。同类角色的用户自成一组,通过这些用户在网络上的角色决定访问控制权。基于角色的访问需要对组织的运作方式、用户的数目以及他们在组织中的职责有全面的了解。

当某个用户和角色联系起来时,应该给该用户只授予做本职工作需要的权限。这条安全规则是最基本的,称为“最少权限”,用于所有的访问控制方法。在一个基于角色的情景中,当组织机构雇用了新员工,首先要清晰定义其角色:教师、秘书、销售员、经理等。为该用户创建一个新账号,将其放入该组织中有相同角色的组里。不必设置个人许可,因为访问控制的级别从组里继承就可获得。实际上,基于角色的访问控制是MAC的一种形式,因为控制是由管理员决定的,且访问级别的标准也不掌握在对象所有者手中。

用户验证策略

用户验证策略包括:验证性、授权性、确认性。弱的用户验证性及授权性是常见的网络缺陷,存储域网络也不例外。

验证性指的是检验核实某人确实是他所声称的那个人。通常情况下,包括一个用户名、密码对,也可以包括其它表明身份的方法,比如智能卡、语音识别、指纹识别等。从网络和系统的安全角度来讲,验证性是实施安全访问控制的一个重要组成部分。

授权性是指确定已被识别和验证的用户是否可以访问某特定资源的过程。通常是通过检验该用户是否属于某一拥有访问权的组来决定的。

确认性指在系统上记录事件的跟踪机制,这里常用到审计。审计是监测事件的发生并为之做日志的过程。至于哪类事件应该跟踪,哪类事件无需跟踪,基本上是由管理员决定的。通过在系统上跟踪事件,期望能够记录下尝试访问网络或其它试图破坏数据的行为,并采取相应的防御措施。

反入侵策略

在任一安全策略中,都需要对入侵者有所防范,制定响应的反入侵策略,在反入侵策略中,关键是保证数据的机密性来保护数据不被入侵者获取和判断数据在传输过程中是否已被篡改的完整性。

为防止入侵者获得数据,采用了加密机制。把原始数据加密后,如果没有密钥,则密文不可读,即使被窃也毫无意义,被窃的数据仍然保持机密性。例如,在IPSec中,ESP协议可以加密将要通过光纤通道连接传输的数据。普通的以太网通信也可以使用IPSec或其它加密协议,比如SSL等。所有的加密协议都是为了使被窃数据不可读,从而保证机密性的。完整性指的是检验数据,以确保未被篡改。举例来讲,在IPSec密钥交换过程中,最初的交互使用MD5或SHA完整性验证方法,来保证在此过程中数据未被篡改。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有