二、大型数据中心的存储安全

　　存储安全固然十分重要，但是存储安全只是数据中心整个安全解决方案的一个组成部分。安全是一个内涵很广泛的话题，存储在业务流程中扮演的并非是主角，但确实是关键角色，因为存储包含了公司绝大部分记录，如果没有存储，很多业务流程将没法继续。

　　存储安全的重点不仅体现在企业的安全管理和危机意识，也体现在它集中式的授权模式和认证服务。当企业制定的存储安全策略没有和服务器和网络的安全策略集中考虑的时候，黑客就可以从这三个方面寻找突破口。为了防止这类事件，认证和审计就必须在这三个方面都要有实施。

　　对于标准网络上的存储，包括NAS和iSCSI块级存储在内，安全取决于是怎样保护网络的以及存储系统自身。特别是当通过公司的中枢网络而不是独立存储网络或子网络访问存储时，安全更加取决于网络自身的安全。

　　病毒以及类似蓄意破坏的行为都是必须考虑的重要问题。目前控制病毒的主要方法是网络级防火墙和独立客户机/服务器级的防火墙，电子邮件防火墙可以扫描邮件消息找出已知的病毒，单独的客户机/服务器级防火墙可以检测正在读写的文件，发现可疑的迹象。

　　对于SAN和DAS存储来说，LUNs提供给系统，只有系统才能清楚某一文件是从何开始在哪结束的，因此，只有系统能检测出文件的病毒。

　　对于NAS和对象存储来说，可以在存储子系统内检测病毒。最重要的是，要减少病毒威胁，需要以全局的眼光来计划并规划，然后在IT基础架构合适的地方来实施解决方案。

　　存储安全的目的

　　存储安全的目的是要保护：

　　保护机密的数据;
　　保证数据的完整性;
　　防止数据被破坏或丢失。

　　一旦发生数据丢失或被破坏，后果可想而知。敏感的业务数据或客户资料将被泄露，业务记录将被篡改或毁坏。所有最糟糕的情形都有可能发生。

　　减少存储安全的危险

　　通常用于减少危险的方法有：

　　身份认证　　在管理员的行动得到许可以前，管理员必须登录

　　授权　　当特定存储管理员发送一个请求后，在执行请求行动之前存储设备必须验证管理员的请求是得到授权的。当特定系统发送I/O指令后，在执行I/O指令之前磁盘阵列必须验证这个指令是否得到许可。现在有一项新兴的技术是磁带库控制器可以验证I/O许可。

　　审计　　存储子系统记录管理员所有的举动以及任何重大事件。审计子系统提供了一种纪录系统安全方面信息的方法，同时可以为系统管理员在用户违反系统安全法则或存在违反的潜在可能时，提供及时的警告信息，这些审计子系统所搜集的信息包括：可被审计的事件名称，事件状态(成功或失败)，别的安全相关的信息。

　　加密(目前还没有得到广泛应用)　　保护数据的机密性(没人可以看见)和完整性(没人可以更改)，其中又分为两种方式：给磁盘上的数据加密，给磁带和其他可移动的介质上的数据加密