信息安全技术 IP存储网络安全技术要求-编制说明

任务来源根据国家标准化管理委员会2010年下达的国家标准制修订计划，国家标准《信息安全技术IP存储网络安全技术要求》由北京邮电大学负责主办。编制原则本标准属于信息系统灾难备份与网络存储方面的标准，以自主编写的方式完成。IP存储网络技术是一种封装串行SCSI(SmallComputerSystemInterface)实现在IP网络中传输的存储区域网络技术。相比于以往的FibreChannel(FC，光纤通道)存储网络技术，IP存储网络技术具有低成本、被广泛采用、良好的标准化情况、高扩展性、易管理、良好的广域网连接以及灵活的安全性和QoS保证等诸多优点，特别是吉比特以太网技术的使用和万兆以太网技术的出现也消除了IP存储网络技术在性能上的瓶颈，因此IP网络存储技术必将成为未来构筑存储区域网络的主流技术。由于IP存储网络是基于TCP/IP传输数据，包括各种各样的敏感数据，TCP/IP本身不具有安全性，容易受到来自第三方的攻击和恶意破坏，普通IP网络上攻击手段都可以适用于IP存储环境上，从而影响数据存储的安全性和一致性。攻击者能够通过截取数据包，替换数据包中的数据和控制信息以及伪装数据包等手段进入IP存储网络，获取敏感数据甚至身份鉴别信息。攻击者还可以利用重启TCP连接，中断安全协商过程以减弱认证强度或者盗取用户口令等方法对存储设备发起攻击。因此，IP存储网络的安全性成为这项新技术被广泛应用的关键因素。然而，在灾备存储领域仍然没有相应的安全标准，也缺乏相应的安全测试标准。虽然目前各家的产品、系统都有数据数据加密的功能，但是对于达到的安全级别以及需要的安全强度没有一个统一个规范，不利于对灾备存储系统的选择和使用。因此，本标准针对这种现状，提出了采用IPSecc为IP存储协议（包括iSCSI、iFCP、FCIP）以及因特网存储名称服务（iSNS）提供安全机制的技术要求。主要工作过程标准制定的主要工作过程如下：2009年3月2日在中国通信标准化协会作为通信行业标准立项；2009年4月份申请国标立项，申请书的名称为《网络存储设备安全技术规范》；根据项目计划的要求，北京邮电大学、工业和信息化部电信研究院、华为技术有限公司成立了标准起草小组。标准起草小组深入研究了国际、国内网络存储设备安全技术的现状，对存储行业进行了广泛的、有针对性的调研，与存储设备生产企业、科研机构以及相关的高校进行沟通，听取了各方面的意见和建议。因为目前网络存储设备的包括DAS、NAS、SAN、IP-SAN等，各类网络存储设备具有不同的网络结构和应用场景，对安全的威胁和需求也不同，标准起草小组和各方专家都认为原项目名称“网络存储设备安全技术要求”较为宽泛，应将标准名称细化，为此选择了研究制定目前最为热点、应用广泛的IP存储网络（包括iSCSI、iFCP、FCIP以及因特网存储名称服务）中的安全技术规范。2009年9月22日召开的中国通信标准化协会WG3第19次会议，标准起草小组提出了标准名称变更申请，与会专家对变更申请及标准讨论稿进行了认真讨论，同意将名称变更为《IP存储网络安全技术要求》。2009年12月9日召开的中国通信标准化协会TC8第八次全会及WG3第20次会议，标准征求意见第一稿在广泛征求有关单位意见后修改完善形成标准征求意见第二稿。2010年3月份，该标准被全国信息安全标准化技术委员会批准立项，标准起草小组对任务书进行了细化调整，主要研究“IP存储网络的安全技术规范”。2010年3月25日召开的中国通信标准化协会WG3第21次会议，吸收了对标准征求意见第二稿反馈意见，对标准进一步完善，提出了通信行业标准送审稿。2010年6月11日召开的中国通信标准化协会TC8第九次全会及WG3第22次会议，提出了通信行业标准报批稿。2011年12月工业和信息化部将该标准作为通信行业标准发布，编号为YD/T2391-2011。2013年4月18日召开的中国通信标准化协会TC8WG3第33次会议，吸收了专家的反馈意见，对标准进一步完善，提出了国家标准草稿。2013年8月1日召开的中国通信标准化协会TC8WG3第35次会议，与会专家对标准做了进一步审查，提出了国家标准征求意见稿。秘书处组织对标准格式进行了集中修改，冯惠老师对标准提出了修改意见，并据此进行了修改，提出了国家标准征求意见稿。标准征求意见的落实情况如下：发送《标准草案稿》的单位包括工作组专家（评审）、全体工作组成员（投票）；回函的单位数为全体工作组成员，有建议或意见的单位数共计2个；没有回函的单位数为0个。标准的主要内容及确定内容的依据本标准提出了利用IPSec为IP存储协议（包括iSCSI、iFCP、FCIP）以及因特网存储名称服务（iSNS）提供安全机制的技术要求。本标准主要框架如下：范围规范性引用文件术语和定义IP存储网络安全iSCSI安全FCIP安全iFCP安全iSNS安全与相关法律法规及国家有关规定、国内相关标准的关系本标准参考以下标准：IETFRFC3720因特网小型计算机系统接口（iSCSI）IETFRFC3723基于IP的安全块存储协议IETFRFC3821基于IP的光纤信道协议（FCIP）IETFRFC4171因特网存储名称服务（iSNS）IETFRFC4172因特网光纤信道协议（iFCP）IETFRFC4301因特网协议的安全体系（IPSec）IETFRFC4306因特网密钥交换协议（IKE）有关问题的说明本标准规定了利用IPSec为IP存储协议（包括iSCSI、iFCP、FCIP）以及因特网存储名称服务（iSNS）提供安全机制的技术要求。本标准发布后，对IP存储网络有关设备的研制、生产、测试具有指导意