网络传输安全

网络数据存储的安全与传输

摘要：随着网络技术的不断发展，越来越多的信息以存储的形式存在，尤其是随着网络存储(SAN与NAS)的发展，人们逐渐意识到存储安全的重要性。开放式环境下的安全存储技术研究旨在面向开放式的网络环境，利用加密技术、身份鉴别与认证技术、访问控制技术提供安全的存储与传输能力，获取强大的信息安全保证。本文通过四个部分的论述，详细的阐述了数据存储和传输的安全的重要性。包括网络存储的产生与发展，数据存储安全和数据传输安全，最后对本文进行总结以及论述了网络安全的防护措施。

关键词：网络存储网络传输网络安全

1 引言

Internet的迅速发展在提高了工作效率的同时，也带来了一个日益严峻的问题——网络数据存储安全，网络数据存储安全成为当今研究热点和社会关注焦点。面对一个越来越开放的网络环境，高效安全的信息存储与传输已经成为网络经济发展必不可少的特性。由于黑客入侵、内部人员泄密、管理员权限的滥用等原因，很容易发生文件或资料丢失泄漏，由此造成的重大后果将是无法弥补的，传统的研究方法和解决方案通常是对单一的安全技术进行改进优化或对多个安全措施的简单组合；只有综合运用各种安全措施，使之相互协调工作，从而构建一个全方位的纵深安全防御系统，才能有效提高网络数据存储安全。网络数据存储安全作为一个无法回避的问题呈现在我们面前，通过安全存储技术的应用，在相当程度上能够有效地防止此类事件的发生，避免由于资料泄漏所造成的严重损失。开放式环境下的安全存储技术研究旨在面向开放式的网络环境，利用加密技术、身份鉴别与认证技术、访问控制技术提供安全的存储与传输能力，获取强大的信息安全保证。

2 网络存储的产生与发展

在传统的数据信息存储架构上，信息存储装置多是个别依附在服务器里面的信息孤岛，若要存取某台服务器里面的信息，必须通过区域网络及该台服务器，这样既占据区域网络的带宽，又浪费服务器CPU的资源。如果要在不同应用程序之间共享数据，还必须从独立的信息存储设备中，将数据复制到另外的信息存储设备。这造成了数据使用上的时间差。从商业角度来看，时间差使得做决策的人，必须依照不正确和不即时的信息作决策。另外，管理分散在各地的数据储存系统，也是一个耗费人力的过程。特别是在不同信息存储产品彼此间的整合性不高，使用者界面亦不尽相同。此外,传统的数据信息存储架构是与所支持的应用程序密切结合的，当应用程序有所更动时,数据信息存储架构必须随之调整。因此建立一个具有可伸缩性的、连续可用的、跨平台的、能够提供多种信息处理系统的连接、信息保护、管理、分享的企业信息存储系统，并使之成为网络上的一种公用设施，成为了企业整体战略的重要组成部分。

网络存储技术是现代存储技术与计算机网络技术相结合的产物，他以网络技

术为基础，将服务器系统的数据处理与数据存储相分离（存储子系统独立于服务器），从而实现对数据的海量存储的新技术。在日益依赖因特网的事务处理和计算环境中，网络存储就是计算机。因此，研究和应用网络存储技术对巨量数字资源的存储、备份和管理具有十分重要的意义。存储领域的一个明显趋势是：存储速度持续提高，存储容量不断增大，单位存储成本日益降低，存储体系结构也更加完善和复杂；与此同时，企业却发现存储环境越来越难以管理，设备得不到充分的利用。不断提高的硬件性能并不能有效地解决数据安全性和可用性的问题。这表明存储管理所面临着巨大挑战和需求。

3 网络数据存储安全

存储安全是指保证存储资源只被授权用户或可信网络所访问的一组安全措施、安全配置和安全控制。电子商务正在改变传统的业务模型，因为它以网络为中心，面向全球而且数据强化。数据强化一词说明了所有的电子事物都可以存储以供处理和分析这一个事物。目前，我们正面临着由电子商务应用所生成的数据爆炸，这些数据必须得到适当的存储和管理，而且有时还需要使用数据挖掘应用程序从原始数据中提取信息；企业资源计划（ERP），数据挖掘和决策支持应用也推动了对网络存储安全的需求，因为其中涉及的数据必须从异构环境中存取和拷贝。

企业关键数据丢失会中断企业正常商务运行，造成巨大经济损失。因此需要建立数据安全策略或灾难恢复计划，保证关键数据的安全性，确保业务的连续性。

4 网络数据传输安全

传输安全要求保护网络上被传输的信息，以防止被动地和主动地侵犯。对数据传输安全可以采取如下措施：

4.1加密与数字签名

网络上的加密可以分为三层：第一层为数据链路层加密，即将数据在线路传输前后分别对其进行加密和解密，这样可以减少在传输线路上被窃取的危险；第二层是传输层的加密，使数据在网络传输期间保持加密状态；第三层是应用层上的加密，让网络应用程序对数据进行加密和解密。当然可以对这三层进行综合加密，以增强信息的安全性和可靠性。

数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法，它主要通过加密算法和证实协议而实现。

4.2 防火墙

防火墙（Firewall）是Internet上广泛应用的一种安全措施，它可以设置在不同网络或网络安全域之间的一系列部件的组合。它能通过监测、限制、更改跨越防火墙的数据流，尽可能地检测网络内外信息、结构和运行状况，以此来实现网络的安全保护。

4.3 User Name/Password认证

该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet（远程登录）、rlogin（远程登录）等，但此种认证方式过程不加密，即password容易被监听和解密。

4.4 使用摘要算法的认证

Radius（远程拨号认证协议）、OSPF（开放路由协议）、SNMP Security Protocol 等均使用共享的Security Key（密钥），加上摘要算法（MD5）进行认证，但摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有MD5和SHA-1。

4.5 基于PKI的认证

使用PKI（公开密钥体系）进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。

4.6虚拟专用网络（VPN）技术

VPN技术主要提供在公网上的安全的双向通讯，采用透明的加密方案以保证数据的完整性和保密性。VPN技术的工作原理：VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信，它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。

其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。