数据存储安全解决方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

多备份-让数据存储更安全
关键技术
• 登录访问控制
登录访问控制为网络访问提供了第一层访问控制 它主要控制哪些 用户能够登录到网络存储系统并获取存储资源。
• 访问权限控制
将能够访问网络的合法用户划分为不同的用户组,每个用户组被 赋予一定的权限。用户对存储资源的访问权限可以用访问控制表 来描述。
• 目录级安全控制
多备份-让数据存储更安全
异地备份
• 异地备份是保护数据的最安全的方式。无论发生什么情况,那怕 是火灾、地震,当其他保护数据的手段都不起作用时,异地容灾 的优势就体现出来了。 • 困扰异地容灾的问题在于速度和成本,这要求拥有足够带宽的网 络连接和优秀的数据复制管理软件。 • 一般主要从三方面实现异地备份:
用户在目录一级指定的权限对所有文件和子目录有效,系统还可 进一步指定对目录下的子目录和文件的权限。
• 属性安全控制
当用户访问文件,目录和网络设备时,系统管理员应该给出 文件目录的访问属性,网络存储系统上的资源都应预先标 出安全属性,用户对存储资源的访问权限对应一张访问控 制表,用以表明用户对网络存储资源的访问能力.
多备份-让数据存储更安全
关键技术
• 网络存储安全系统向用户提供和本地存储设备相同的访问接口, 可以让用户访问存储在网络上的任何存储设备节点。网络存储系 统中的用户来自不同的节点,它所管理的存储资源也可能分布在 不同的存储节点上,而在同一个存储节点上也可能同时给多个用 户提供服务。
多备份-让数据存储更安全
多备份-让数据存储更安全
网络存储安全
• 网络存储系统采用高速网络连接存储设备建立数据中心 ,统一给 用户提供集中、共享和海量的存储服务,它分离了计算资源和存储 资源,存储资源逐渐成为应用的中心,人们对其安全性提出了更高 的要求。 • NAS和SAN是典型的网络存储系统。 • NAS由专用文件服务器对磁盘进行集中管理,并统一提供文件级的 访问接口,一般通过增强文件服务器的安全性保证网络存储系统的 安全。 • SAN提供块级的访问接口,客户端通过高速网络直接访问磁盘,一 般是通过分区等措施来保证网络存储系统的安全性。
多备份-让数据存储更安全
多备份-让数据存储更安全
多备份-让数据存储更安全
镜像
• 数据镜像就是保留两个或两个以上在线数据的拷贝。以两个镜像磁 盘为例,所有写操作在两个独立的磁盘上同时进行;当两个磁盘都 正常工作时,数据可以从任一磁盘读取;如果一个磁盘失效,则数 据还可以从另外的一个正常工作的磁盘读出。 • 远程镜像根据采用的写协议不同可划分为两种方式:同步镜像和异 步镜像。 • 本地设备遇到不可恢复的硬件毁坏时,仍可以启动异地与此相同环 境和内容的镜像设备,以保证服务不间断。
数据存储安全解决方案
多备份-让数据存储更安全
内容简介
1 2 简介 目标 现状 解决方法 网络存储安全
3
4 5
多备份-让数据存储更安全
数据存储安全
• 在过去十年中,存储已演变为多个系统共享的一种资源。 • 存储设备目前连接到非常多系统上,因此,必须保护各个系统上的有 价值的数据,防止其他系统未经授权访问数据,或破坏数据。 • 安全的本质是三方面达到平衡,即采取安全措施的成本,安全缺口带 来的影响,入侵者要突破安全措施所需要的资源。 • 利用数据存储技术,实现数据合理备份是关键.
基于磁盘阵列,通过软件的复制模块,实现磁盘阵列之间的数据复制, 这种方式适用于在复制的两端具有相同的磁盘阵列; 基于主机方式,这种方式与磁盘阵列无关; 基于存储管理平台,它与主机和磁盘阵列均无关。
多备份-让数据存储更安全
RAID(独立磁盘冗余阵列)
• RAID(独立磁盘冗余阵列)可以减少磁盘部件的损坏; • RAID系统使用许多小容量磁盘驱动器来存储大量数据,并且使可靠 性和冗余度得到增强; • 所有的RAID系统共同的特点是“热交换”能力:用户可以取出一个 存在缺陷的驱动器,并插入一个新的予以更换。对大多数类型的 RAID来说,不必中断服务器或系统,就可以自动重建某个出现故障 的磁盘上的数据。
多备份-让数据存储更安全
快照
• 快照可以是其所表示的数据的一个副本,也可以是数据的一个复 制品。 • 快照可以迅速恢复遭破坏的数据,减少宕机损失。 • 快照的作用主要是能够进行在线数据备份与恢复。当存储设备发 生应用故障或者文件损坏时可以进行快速的数据恢复,将数据恢 复某个可用的时间点的状态。 • 瞬时备份:在不产生备份窗口的情况下,可以帮助客户创建一致 性的磁盘快照,每个磁盘快照都可以认为是一次对数据的全备份 • 快速恢复:用户可以依据存储管理员的定制,定时自动创建快照 ,通过磁盘差异回退,快速回滚到指定的时间点上来。通过这种 回滚在很短的时间内可以完成。
多备份-让数据存储更安全
数据存储安全目标
• • • • 保护机密的数据; 确保数据的完整性; 防止数据被破坏或丢失。 一旦发生数据丢失或被破坏,后果可想而知。敏感的业务数据或 客户资料将被泄露,业务记录将被篡改或毁坏。所有最糟糕的情 形都有可能发生。
多备份-让数据存储更安全
现状
• 随着存储产品在市场中的升温,后端存储系统逐渐成为企业业务 系统的核心和关键。不可避免,企业更加关注数据安全方面的工 作。 • 近年来,网络存储系统正被越来越多地应用在有多层接口的复杂网 络拓扑结构中,用户可以通过主机、交换机、LAN/WAN和VPN等 设备访问网络存储系统 ,这些都给网络存储系统的安全带来了很 大威胁 ,所以研究和实现海量存储网安全是目前大规模存储系统 中急需解决的重要问题。
多备份-让数据存储更安全
关键技术
访问控制
• 访问控制是指主体依据某些控制策略或权限对客体或其资源进行的 不同授权访问,限制对关键资源的访问,防止非法用户进入系统及 合法用户对资源的非法使用。 • 访问控制是进行安全防范和保护的核心策略,为有效控制用户访问 网络存储系统,保证存储资源的安全,可授予每个存储用户不同的 访问级别,并设臵相应的策略保证合法用户获得资源的访问权。 • 访问控制策略可以分别通过登录访问控制、访问权限控制、目录级 安全控制、属性安全控制来实现。
软件加密的优点是使用方便,只要安装软件,开启选项即能自动执行, 但软件加密的缺点是加密运算将会增加系统负担,拖累效能。 硬件加密则是可通过独立的加密硬件来进行加密运算,因此不会拖累系 统效能。另外密钥管理也是通过独立硬件进行,不会受到前端服务器损 毁的影响。
多备份-让数据存储更安全
关键技术
加密
• 按执行加密的环节则可区分为主机层(Host- base)、网络层 (Network- base)与存储层(Storage- base)加密。 • 主机层加密的做法,是在前端欲加密的主机上安装加密软件,当 数据从服务器输出时就已是加密状态。 • 网络层加密是指数据在存储网络上流通时加密,通过在存储网络 中插入特殊加密硬件,或是在欲加密的服务器上安装加密软件。 • 存储层加密则是由存储媒体自身来加密,通过使用某些带有身份 认证与加密机制的硬盘或磁带机来达成。
多备份-让数据存储更安全
现状
目前造成网络存储安全数据破坏的原因主要有以下几个方面: • 自然灾害,如水灾、火灾、雷击、地震等造成计算机系统的破坏 ,导致存储数据被破坏或丢失,这属于客观因素我们无能为力。 • 计算机设备故障,其中包括存储介质的老化、失效,这也属于客 观原因,但可以提前预防,只需经常做到维护,就可以及时发现 问题,避免灾难的发生。 • 系统管理员及维护人员的误操作,这属于主观因素,虽然不可能 完全避免,但至少可以尽量减少。 • 病毒感染造成的数据破坏和网络存储安全上的“黑客”攻击,这 虽然也可归属于客观因素,但其实我们还是可以做好预防的, 而且还有可能完全避免这类灾难的发生。
多备份-让数据存储更安全
小结
• 随着数据价ຫໍສະໝຸດ Baidu不断提升,以及存储网络化不断发展,存储系统正 逐渐成为整个信息系统的中心,数据成为最重要的资产。然而, 存储系统由本地直连向着网络化和分布式的方向发展,使存储系 统变得更易受到攻击,数据遭受的安全威胁日益增多,窃取、篡 改或破坏重要数据的事件不断发生,如果没有存储安全防范措施 ,一旦攻击者成功地渗透到数据存储系统中,其负面影响将是无 法估计的。 • 这就要求在特定存储系统结构下,从存储系统的角度考虑存储安 全性,综合考虑存储机制和安全策略是网络存储安全的一个重要 环节。 • 存储安全保障的最终目标是保障数据信息的完整、不受损坏、不 被窃取。未来存储安全的核心是以数据恢复为主,兼顾数据备份 、数据擦除。
关键技术
安全操作系统
• 网络存储系统中安全操作系统的研究目标是基于动态安全策略框 架体系,设计面向存储的安全策略,并与其他安全策略整合,提 供适应不同环境的安全保证。
多备份-让数据存储更安全
关键技术
加密
• 存储加密指的是当数据从前端服务器输出,或在写进存储媒体之前 通过系统为数据加密,以确保存放在存储媒体上的数据只有经过授 权才能读取。 • 按加密装臵可分为硬件加密或软件加密。
相关文档
最新文档