1 范圍

      本標準規定了網絡存儲的安全技術要求，包括安全功能要求、安全保障要求。

      本標準適用于網絡存儲的設計和實現，網絡存儲的安全測試和管理可參照使用。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18336.3-2015 信息技術 安全技術 信息技術安全評估準則 第3部分：安全保障組件

      GB/T 25069-2010 信息安全技術 術語

3 術語和定義

      GB/T 18336.3-2015和GB/T25069-2010界定的以及下列術語和定義適用于本文件。

3.1

      網絡存儲 network storage

      通過網絡基于不同協議連接到服務器的專用存儲設備。

      示例：網絡存儲通常包括DAS存儲設備、NAS存儲設備、SAN存儲設備和對象存儲設備。

3.2

      直接附加存儲 direct attached storage

      將存儲設備直接連接到服務器上的存儲架構。

3.3

      存儲區域網絡 storage area network

      通過網絡方式連接存儲設備和應用服務器并提供數據塊訪問的存儲構架。

3.4

      網絡附加存儲 network attached storage

      將存儲設備直接聯網并使用網絡文件共享協議提供文件級數據訪問的存儲架構。

3.5

      對象存儲 object based storage

      基于對象的方式提供數據訪問的存儲架構。

      注：一個對象通常包括數據、描述該對象的元數據和該對象的唯一標識符。

3.6

      獨立磁盤冗余陣列 redundant array of independent disks

      將一個個單獨的磁盤以不同的組合方式形成一個邏輯硬盤。

3.7

      鏡像 mirroring

      實時地將一個邏輯磁盤卷上的數據復制到若干個邏輯磁盤卷上。

3.8

      快照 snapshot

      對指定數據集合的一個完全可用拷貝，該拷貝包含源數據在拷貝時間點的靜態映像。注：快照可以是數據再現的一個副本或者復制。

4 縮略語

      下列縮略語適用于本文件。

      CPU：中央處理器（Central Processing Unit）

      DAS：直接附加存儲（Direct-attached Storage）

      NAS：網絡附加存儲（Network Attached Storage）

      RAID：獨立磁盤冗余陣列（Redundant Array of Independent Disks）

      SAN：存儲區域網絡（Storage Area Network）

      WEB：萬維網（World Wide Web）

      WORM：一次寫多次讀（Write Once Read Many）

5 產品描述

5.1 網絡存儲描述

      在信息系統中，存儲設備初期只安裝在服務器內，之后逐漸形成了多磁盤陣列組成的可以通過網絡基于不同協議連接到服務器的專用存儲設備，稱為網絡存儲。網絡存儲一般有三種典型的架構，見圖1，常見的為NAS存儲設備、SAN存儲設備。

圖1 網絡存儲三種典型架構

      網絡存儲的三種典型架構分別是：

      a）直接附加存儲（DAS）：將存儲設備直接連接到服務器上使用，數據分散管理。

      b）網絡附加存儲（NAS）：將存儲設備連接到以太網上，支持網絡文件共享協議，提供數據和文件服務。

      c）存儲區域網絡（SAN）：是一種通過網絡方式連接存儲設備和應用服務器的存儲架構，提供在服務器和存儲設備之間的數據傳輸，服務器、存儲設備可以獨立擴展。

      圖1中網絡存儲的通用簡要邏輯結構見圖2。

圖2 網絡存儲邏輯結構圖

      網絡存儲硬件層由硬盤、CPU、內存、固件等構成，為設備運行提供基本支持。硬件層支持系統層的運行，系統層通常包含操作系統、驅動、數據庫等。存儲軟件運行在操作系統上，提供備份、快照等存儲功能。

5.2 網絡存儲安全框架

      網絡存儲應具備的安全功能，所組成的安全框架見圖3。

圖3 網絡存儲安全框架

      網絡存儲安全框架分為訪問安全、系統安全、數據安全以及管理安全，簡要介紹如下：

      a）訪問安全包括：訪問鑒別、訪問控制。

      b）系統安全包括：設備可靠運行支持、設備工作狀態監控、系統完整性保護、軟件及軟件運行安全、安全加固、Web安全、安全啟動。

      c）數據安全包括：數據完整性、數據保密性、數據可用性。

      d）管理安全包括：身份管理、身份鑒別、會話管理、密碼算法、安全審計、數字證書管理、密鑰管理。

5.3 級別劃分描述

      網絡存儲安全功能要求分為3個級別，分別是第一級、第二級和第三級，“宋體加粗”字表示較低等級中沒有出現或增強的要求，安全功能要求在不同級別間的增強或新增內容的定性表示參見附錄A的表A.1；安全保障要求分為3個級別，分別是第一級，第二級和第三級，“宋體加粗”字表示較低等級中沒有出現或增強的要求，安全保障要求在不同級別間的增強或新增內容的定性表示參見表A.2。在標準應用時，滿足所選擇的安全保障要求級別不低于安全功能要求的級別。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。