ISO 27040-2015 信息技术安全技术存储安全管理手册程序文件制度文件表单一整套

受控状态：深圳市XX数字科技有限公司发布发布日期：2023-4-3实施日期：第2页共384页变更说明审核刘海燕目录0.1管理手册发布令0.2安全方针0.3存储安全小组组长委任书0.4组织简介0.5公司组织架构图2规范性参考文献3术语和定义4符号和缩略语5概述和概念5.1概述5.2存储概念5.3存储安全简介5.4存储安全风险5.4.3数据损坏或销毁5.4.4暂时或永久性的访问/可用性损失5.4.5满足法定、监管或法律要求6支持控制6.1概述6.2直连存储(DAS)6.3存储网络6.3.2存储区域网络(SAN)6.4存储管理6.4.3确保管理接口6.4.4安全审计、会计和监控6.5基于块的存储6.8.3数据缩减7存储安全设计和实施指南7.2存储安全设计原则7.3数据可靠性、可用性和弹性7.4数据保留8.2存储安全风险评估8.3存储安全风险处置9绩效评价9.2内部审核9.3管理评审10.2持续改进附件A(规范性)介质卫生处理附件B(资料性附录)选择适当的存储安全控制附件C(资料性)重要安全概念附件1信息存储安全目标附件2组织角色、职责和权限附件3信息存储安全职责权限划分对照表120.1管理手册发布令公司依据ISO/IEC27040:2015《信息技术.安全技术.存储安全》标准的要求，结合公司的实际情况，在公司内部建立信息技术.安全技术.存储安全管理体系，组织编写了《信息技术.安全技术.存储安全管理手册》,经审定符合国家、地方及行业的有关法律法规和本公司的实际情况，现予以发布。自本手册发布令签批之日起本公司信息技术.安全技术.存储安全管理体系进入实施运行阶段。。总经理：黄静0.2安全方针存储安全管理体系方针：对于存储安全方针的解释：安全第一：安全是企业管理的重中之重。科学预防：安全管理的基本原理，防患于未然；采用适宜的、充分的、有效的控制措施来纠正和预防存储安全事态。全员参与：体系在集体的讨论、参与管理、自觉执行的理念，由管理制度化转换成管理标准化。将管理与技术相结合，建立完整的存储安全管理体系。遵守法规：遵守法规是企业生存之前提，满足法律法规及相关行业标准/技术规范的要求也是本公司必须承担的社会责任。持续改进：控制风险是前提，风险自身是动态的过程。本公司在运行过程中需要审时度势、量体裁衣、因地制宜，逐步修订现有的制度，不断完善自身的管理水平。本公司承诺提供一切可能的资源与先进的技术，保证信息的保密性、可用性和完整性，有针对性地采取一切必要的安全措施，使用有效的风险评估的工具和方法，严格控制风险事故在可接受风险范围之内。制订周密可靠的应急方案并定期进行演练，关键信息数据异地备份，制订业务连续性计划，以确保业务的持续进行。0.3存储安全小组组长委任书为贯彻执行ISO/IEC27040:2015《信息技术.安全技术.存储安全》管理体系，加强对公司管理体系运作的领导，任命刘海燕担任本公司的存储安全小组组长。存储安全小组组长的职责是：1、确保信息技术.安全技术.存储安全管理体系所需的过程得到建立、实施和保持；2、明确信息技术.安全技术.存储安全管理体系的业绩和任何改进的需求；3、确保在整个公司内提高信息技术.安全技术.存储安全的意识；4、就信息技术.安全技术.存储安全管理体系有关事宜进行内外部联络；5、组织、指挥、监督、协调各部门体系的运作。0.5公司组织架构图销售部销售部技术部综合行政部8理系统-要求)和ISO/IEC27040:2015(信息技术.安全技术.存储安全)特制定本手册。1)存储安全包括设备和媒体的安全，与设备和媒体相关的管理活动的安全，应用程序和服务的安全，以及2)存储安全性适用于存储信息的保护(安全性),以及通过与存储相关联的通信链路传输的信息的安全性。存储安全性与任何涉及拥有、操作或使用数3)本公司信息技术.安全技术.存储安全管理体系的范围包括：b)认证范围：计算机软件开发、系统集成和软硬件运营维护服务所涉及的信息存储安全管理活动。本手册概述了存储安全概念和相关定义。包括与典型存储方案和存储技术领域相关2规范性参考文献ISO/IEC27000:信息技术-安全技术ISO/IEC27005:信息技术-安全技术-信息安全风险管理3术语和定义在本手册中，引用ISO/IEC27000、ISO/IEC27002、ISO/IEC27005中术语.及参考ISO/IEC其他有关标准列出以下有关术语和定义。在磁盘和磁带设备(3.2.14)上存储和检索数据的单元(3.2.50)使用逻辑技术对所有用户可寻址存储位置中的数据进行卫生处理(3.2.38),以防止使用用户可用的相同接口的简单非侵入性数据恢复技术3.3压缩消除数字数据冗余以减少应存储或传输的数据量(3.2.50)的过程9注1:对于存储(3.2.43),需要无损压缩(即使用保留原始数据的全部内容的技术进行压缩，并且可消毒方法(3.37),其中对加密的目标数据(3.52)的加密密钥进行消毒(3.38),使得无法恢复解密的目标数据(3.52)3.5加密期在稳定的非易失性存储器(3.30)上存储的数据(3.50)注1:重复数据消除有时被视为一种压缩形式(3.3)。3.11消磁3.12破坏数据注1:分解(3.15)、焚烧(3.21)、熔化(3.25)、粉碎(3.34)和粉碎(3.41)是破坏形式的卫生处理(3.37)。3.13销毁3.14装置3.15分解任何种类和来源的数据或信息，其暂时存在通过存储在(3.50)任何电子介质中或其上来证明演示文稿和计算机上常见的其他电子格式。ESI还包括系统、应用程序和文件相关的元数据(3.26),如时注2:电子介质可以是存储设备(3.45)和存储元件(3.47),但不限于此。3.17光纤通道能够支持多种协议的串行I/O互连，包括访问开放系统存储(3.43)、访问大型机存储(3.43)和联网注1:光纤通道支持点对点、仲裁环路和交换拓扑，各种铜缆和光纤链路以每秒1千兆位到每秒10千3.18光纤通道协议用于光纤通道(3.17)互连的串行小型计算机系统接口(SCSI)传输协议3.19网关将协议转换为另一协议的设备(3.14)3.20频带内管理(in-band)在先前建立的通信方法或信道中发生的通信或传输注1:通信或传输通常采用单独协议的形式，例如在与主数据协议相同的介质上的管理协议。3.21焚烧通过将介质完全烧成灰烬来破坏(3.12)3.22恶意软件注1:病毒和特洛伊木马是恶意软件的例子。3.23平均无故障时间系统或组件中连续故障之间的预期时间3.24平均修复时间使故障系统或部件恢复正常运行所需的或观察到的持续时间3.25熔化通常通过加热将介质从固态变为液态来破坏(3.12)3.26元数据定义和描述其他数据的数据3.27多因素认证使用以下两个或多个因素进行身份验证：-知识因素，“个人知道的东西”;-占有因素，“个人拥有的东西”3.28多租户物理或虚拟资源的分配，以使多个租户及其计算和数据彼此隔离和不可访问存储元件(3.47)和存储设备(3.45)使用的技术，其中可用介质的子集通过接口公开注1:存储介质(3.48)由存储元件(3.47)内部独立使用，以提高性能、耐久性或可靠性。3.33加密点信息和通信技术(ICT)基础设施中的位置，数据在进入存储器的过程中被加密(3.43),存储器访问时被解密(3.43)注1:加密点仅适用于静止数据(3.6)。3.34粉碎通过将介质研磨成粉末或灰尘来破坏(3.1使用物理技术消毒(3.38),使用最先进的实验室技术使恢复不可行，但将存储介质(3.48)保持在潜在的3.36可靠性清洁过程或方法(3.38)致使对存储介质(3.48)上的目标数据(3.52)的访问在给定的等级下不可行注1:清除(3.2)、清除(3.35)和销毁(3.12)是可以对(3.38)存储介质(3.48)进行清洁的操作。多租户类型(3.28),它使用安全控件来显式地防止数据泄露(3.7),并为适当的治理提供这些控件的验证3.41碎片3.43储存支持数据输入和检索的设备(3.14)、功能或服务3.44存储区域网络(SAN:StorageAreaNetwork)主要目的是在计算机系统和存储设备(3.45)之间以及存储设备(3.45)之间传输数据的网络3.45存储设备任何存储元素(3.48)或存储元素的集合(3.47),其设计和构建主要用于数据存储(3.43)和交付3.46储存生态系统一个由相互依赖的组件组成的复杂系统，这些组件协同工作以实现存储(3.43)服务和功能注1:组件通常包括存储设备(3.45)。存储元件(3.47)、存储网络、存储管理和其他信息和通信技术(ICT)3.47储存元件用于构建存储设备(3.45)并有助于数据存储(3.43)和传输的组件注1:存储元素的常见示例包括磁盘或磁带驱动器。3.48储存介质存储介质：记录或可记录电子存储信息(3.16)或数字数据的材料3.49存储安全应用物理、技术和管理控制来保护存储系统和基础设施以及其中存储的数据(3.50)注1:存储安全性的重点是保护数据(及其存储基础设施)免受未经授权的泄露、修改或破坏，同时确保其注2:这些控制措施可能是预防性的、侦查性的、纠正性的、威慑性的、恢复性的或补偿性的。3.50存储在易失性存储器(3.53)或非易失性存储器(3.30)上记录数据3.51强认证通过加密派生凭据进行身份验证3.52目标数据受给定过程约束的信息，通常包括存储介质上的大部分或全部信息(3.48)3.53易失性存储器断电后无法保留其内容物的存储器(3.43)3.54弱键与特定密码定义的某个方面进行交互，从而削弱密码的安全强度(3.40)的密钥简写访问控制条目活动目录AdvancedEncryptionStanda高级加密标准AdvancedTechnologyAttachm先进的技术附件BusinessContinuityManag内容可寻址存储器CounterwithCipherblockMessageauthenticationcodeCloudDataManagementInt云数据管理界面连续数据保护ChallengeHandshakeAuthen常见的网络文件系统命令行接口融合网络适配器DiscretionaryAccessControl自由访问控制DistributedDenialofSe分布式拒绝服务DiffieHellman-ChallengeHanDataEncryptionSta数据加密标准DataLifecycleManagement胡锦涛区灾难恢复DisasterRecoveryPla灾难恢复计划ElectronicHealthcare电子医疗记录ElectronicallyStoredInfor电子存储的信息EncapsulatingSecurity光纤通道FibreChannel-SecurityProtocol光纤通道——安全协议光纤通道证书身份验证协议简写光纤通道可扩展身份验证协议FibreChannelProtocol光纤通道协议FibreChannelPasswordAuthe光纤通道密码身份验证协议固定内容存储全磁盘加密图形用户界面HeatAssistedMagneticRecor热辅助磁记录HypertextTransferProtocolSec安全超文本传输协议InformationandCommunicationsTID标识符电气和电子工程师学会因特网密钥交换InformationLifecycleManag输入/输出互联网协议互联网协议的安全ICT准备业务连续性互联网小型计算机系统接口Inter-Switch链接InformationSecurityInternet存储NameService网络存储名称服务密钥加密密钥KeyManagementInteroperability局域网LogicalBlockAddressLightweightDirectoryAccessProtocolMandatoryAccessControl强制访问控制简写媒体加密密钥MeanTimeBetweenFail平均故障间隔时间平均失效到达时间平均修复时间网络附加存储NetworkAddressTranslat网络地址转换网络文件系统网络接口卡网络信息服务N_Port_IDVirtualizatNetworkTimeProtocol网络时间协议非易失性内存结构化信息标准促进组织Object-based存储DevicePeripheralComponentInterconn外围组件互连表达个人身份信息公钥基础设parallelNetworkFile并行网络文件系统Pseudo-RandomNumberGen独立磁盘冗余阵列随机存取存储器Role-BasedAccessControl基于角色的访问控制REpresentationalState具象状态传输随机数字生成器只读存储器远程过程调用串行连接SCSI简写小型计算机系统接口安全散列算法安全信息和事件管理ServiceLocatorProtoc存储管理倡议——规范存储NetworkingIndustryAsSimpleNetworkManagementProtocol简单网络管理协议小型/家庭办公安全子系统的类固态驱动器安全外壳固态硬盘单点登录可信计算组织TransmissionControlProtocolUserDatagramProtocol用户数据报协议通用串行总线VirtualLocalAreaNe虚拟局域网广域网写一次读多次XEX-basedTweaked-codebo55概述和概念5.1概述计算机数据存储或信息存储，通常称为存储，是指保留电子存储信息(ESI)或数字数据的计算机部件、存储5.2存储概念5.2.1直连存储(DAS):在过去，存储被简单地看作是硬盘驱动器(HDD)和磁带驱动器连接到计算机来存储数据。这种方法通常称为直连存储(DAS),基于将网络技术用于存储的替代方法应运而生。随着存储技术从非智能内部和外部DAS发展到智能网络存储，这现代存储解决方案包括以下部分或全部要素：-备份/恢复系统、连续数据保护(CDP)等(即数据保护系统)。5.2.3在企业级和中端计算环境中，存储已成为信息和通信技术(ICT)基础设施的一个重要而独立的层。这些环境的需求常常超过了简单的数据存储能力。推动新存储技术出现的应用程序和功能示例包括：-通过网络在多个系统之间共享大量存储资源(以PB和EB为单位);-不需要使用局域网(LAN)的备份；-支持用于快速恢复(如备份)和存档的集中数据存储库。5.3存储安全简介A、存储安全还可以强制引入专门技术，如：◆-媒体杀毒；◆-虚拟化安全；◆-自加密存储设备(见C.3),如硬盘驱动器、固态驱动器(SSD)和固态硬盘驱动器(SSHD);◆-关键管理服务；◆-数据真实性和完整性服务◆-动态数据保护(加密和数据缩减);◆-目录服务和其他用户管理系统。B、为了更好地理解存储的安全问题和含义，我们应该知道存储技术的使用方式和原因。作为起点，需要了解以下内容：光纤通道(FC)、以太网光纤通道(FCoE)和InfiniBand等技术。根据网络技术和所使用的拓扑结构，◆-存储时，数据通常以块数据或文件/对象的形式表示和访问；这两种存储方法之间存在显著差异。同样，与每种方法相关联的安全措施可能有根本性的不同，特别是在访问控制、加密和数据当出现临时访问问题时，数据可以在物理媒体区域◆-存储管理既是存储基础结构的一个元素，也是在许多系统上执行的操作。有特权用户应用配置更改、配置存储、调整、监视等此基础结构是常见的。有些管理可以远程执行，也可以涉及第三方，如供应商支持◆-数据可用性和完整性是一个组织存储体系结构中的关键因素，因此安全性必须是互补的，◆-许多组织实施详细的数据恢复策略，这些策略是其灾难恢复(DR)和业务连续性(BC)计划的一部分。必须小心地实现安全机制，如静态数据加密，以确保弹性策◆-存储中的虚拟化可以采取多种形式，并在存储基础结构中的不同点实施。这种虚拟化可以屏蔽与存储表示相关的物理细节(例如，服务器的逻辑单元或文件系统),屏蔽设备的真实容量，执行策略驱动的自主数据移动(如分层存储),或完全抽象存储基础结构(如云计算存储)。平衡安全性和虚拟化以便它们能◆-一些组织中的数据增长率正在推动更多地使用数据存储技术。作为获得额外存储的替代方案，企业正在◆-作为常规数据保护策略的一部分，最终会创建许多数据副本(例如，在系统和站点之间复制、备份、快照等)。这些副本在使用时需要得到适当的保护，然后在其有效性结束时进行适当的消毒。IPsec可能会对某些技术的使用产生有害影响，如网络地址转换(NAT)、入侵检测系统(IDS)、入侵防御系统(IPS)或其他深入研究网络流量帧的系统。是否依赖IPsec或其他动态保护协议，取决于能否◆-许多组织正在实施静态数据加密，以保护敏感和高价值的数据。特定的加密机制和加密点是实际数据保◆-加密的成功使用通常取决于密钥材料在其整个生命周期中的正确管理。这包括密钥的正确生成、密钥材料的安全存储和传输、作为正常策略的一部分复制密钥以确保数据的可用性，以及在正确处理密钥材料。要保护的数据的敏感性和重C、要确保现有和新兴存储技术上存储和访问的数据具有足够的保密性、完整性和可用性，就需要在这一层信息和通信技术中协同努力。其中许多安全工作将侧重于：◆-保护存储管理(操作和接口);◆-确保充分的凭证和信任管理；◆-保护数据备份和恢复资源；◆-动态数据保护；◆-静止数据保护；◆-数据可用性保护；◆-灾难恢复和业务连续性支持；◆-适当的卫生处理和处置；◆-安全的自主数据移动；◆-确保多租户。5.4存储安全风险5.4.1背景A、存储安全风险是由组织对特定存储系统或基础架构的使用造成的。存储安全风险来自：a)针对存储系统和基础设施处理的信息的威胁；b)脆弱性(技术性和非技术性);以及c)通过威胁成功利用漏洞的影响。根据ISO/IEC27005,“信息安全风险管理“过程可应用于整个组织、组织的任何离散部分(如部门、物理位置、服务)、任何信息系统，控制的现有或计划的或特定方面(如业务连续性规划)。”信息安全风险管理“过程C、存储系统和基础架构面临的威胁包括但不限于：-未经授权的访问；-拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击存储；这些威胁可能导致各种各样的风险。然而，对于存储系统和基础设施，与数据泄露、1)数据泄露可能是安全危害的结果之一，它可以采取多种形式。2)未经授权访问或披露受保护信息是两种常见的数据泄露形式。3)根据所涉及信息的数量和类型(如个人识别信息、受保护的健康信息等)以及适用的法律法规，数据泄露4)丢失安全信息的实体存在经济和安全风险，因为信息的丢失可能包括以下内容：-秘密或机密信息(如密码、加密密钥等);-知识产权或其他敏感商业信息；表1总结了更可能发生的基于存储的安全威胁，并列出了这些危害可能导致的数据泄露形式。盗窃或媒体的存储元素非法访问、非法披露、非法数据丢失、非法数据破坏数据破坏数据丢失非法的、未经授权的或偶然的数据破坏或腐败源，不正确的补丁管理，等等)的授权人员意外访问、意外披露accidental数据破坏，意外数据变更非法访问、非法披露、非法数据破坏，非法数据变更私人数据)非法或未经授权的访问或披露由外部或内部恶意数据篡改adversar非法数据破坏或改变未经授权的数据破坏，损失，或变更非法或未经授权的披露5.4.3数据损坏或破坏1)数据损坏是指由于人为、硬件和软件错误导致的计算机数据的恶化或损坏(即对原始数据的意外更改)。可以在写入、读取、存储、传输或处理过程中发生。数据损坏可能只影响数据或元数据的一小部分，可以在适当的条件下进行恢复，还可能导致永久性数据丢失。如果没有使用备份等数据保护机制，数据丢失可能是永久性的。2)数据损坏和破坏都可能是无意或故意事件的结果，在数据破坏的情况下，可以进一步归类为恶意或非恶意事件。3)诸如火灾、洪水、断电、编程错误和用户错误等事件都是数据损坏和破坏的一般、无意来源。背景辐射、碰撞、存储硬件老化或磨损是更多数据损坏和破坏的其他来源。4)外方或内部人员故意进行恶意攻击/事件，目的是使部分或全部受影响的数据不可用或被销毁。在这种情况下，可能是应用了未经授权的修改、怀疑有修改，或者可以使用了未知密钥或机制对数据进行加密。5)非恶意攻击通常是由于粗心大意、缺乏知识或出于“完成任务”等原因故意规避安全性造成的，但对数据的影响可能与恶意攻击一样具有破坏性。6)采用适当的机制来检测和补救数据损坏是维护数据完整性的重要途径。同样，检测数据丢失并使用数据保护机制恢复该数据可以防止数据的完全丢失。但是如果存储管理得不好，可能会导致其他问题(如，随着存储设备或介质的劣化，临时可纠正的错误可能会变成永久性错误)。5.4.4暂时或永久性的访问/可用性损失可用性是指确保对存储元素、存储网络元素、存储信息、信息流、服务和应用程序不存在或有限制地拒绝授权访问。一般来说，数据可用性是通过冗余数据的存储位置和访问方式来实现的。可用性的丧失通常可归因于以下一个或多个问题：-可靠性；-无障碍；6.3存储网络5.4.5不符合法定、监管或法律要求组织可能会因不遵守法律、法规或法律要求而招致重大责任和处罚。对于跨国组织，国家特定的立法对信息安全要求有更大的影响。这些不合规问题可能会导致6支持控制6.1概述1)本条款提供了支持存储安全技术体系结构的控件、它们的相关技术控件以及其他不仅适用于存储的控件(技术和非技术)。有关许多此类控制的信息可在ISO/IEC27002中找到。下文第6.2至6.8条扩大了对使用储存特别2)在选择和使用控制装置时，数据敏感性、临界性和数值也是一个重要的考虑因素，因此还应参考附录B,特别6.2直连存储(DAS)1)DAS设备是直接连接到计算机的存储元件(例如HDD、磁带等),而计算机之间没有存储网络(即，没有网络设备像集线器、路由器或两者之间的交换机)。2)DAS设备可以采用内部存储器(即计算机系统的一个组成部分)或外部存储器(即辅助存储器)的形式。此外，它们通常专用于它们所连接的系统；DAS多个接口(端口)。3)DAS存储元件具有有限的数据访问和管理接口。保护DAS的选项往往有限，包括：A、-DAS的物理尺寸往往很小，可能位于办公环境中，在那里它们可能会受到恶意攻击(例如被盗、破坏、未经授权的访问等),因此DAS应该具有物理安全性。B-为避免未经授权访问DAS上的敏感和高值数据，应使用某种形式的加密来保护静止数据，包括：◆具有集成加密和访问控制功能的存储元件，也称为自加密驱动器(sed);◆基于计算机或基于应用程序的加密，包括全磁盘加密(FDE)。C、-对于涉及敏感或高值数据的所有DAS,应使用介质消毒(有关更多信息，请参阅和附录A),包括以下任何一种：◆-在存储单元中使用集成的消毒功能；◆-使用基于计算机或基于应用程序的消毒。◆-如果可能，应使用诸如光纤通道-安全协议-2(FC-SP-2)进行身份验证(请参阅C.7.2),身份验证来防止对敏感和高值数据的未经授权的访问；◆-为防止意外或故意的数据丢失或损坏，应定期备份DAS内容。6.3.1背景1)除了DAS之外，网络在存储基础设施中发挥着重要作用，这些网络可以包括通用网络技术(如LAN和WAN)、使用这些技术的特定于存储的网络协议以及特定于存储的技术(如光纤通道)。对于通用网络2)存储系统使用网络有三个主要目的：1)存储和检索数据，2)保护数据，3)管理存储系统。没有一种用6.3.2存储区域网络(SAN)1)存储区域网络(SAN)是一种专门的高速网络，它提供对存储的块级网络访问。SAN通常由服务器、交换机、存储元素和存储设备组成，这些设备使2)SAN通常用于提高应用程序可用性(例如，多个数据路径)、提高应用程序性能(例如，卸载存储功能、使用单独的网络等)、提高存储利用率和效率(例如，整合存储资源、分层存储等)以及改进数据保护和4)SAN将存储设备(如磁盘阵列和磁带库)呈现给服务器操作系统，这样，对于服务器，存储似乎是本地A、通常基于光纤通道(FC)技术，该技术对开放系统使用光纤通道协议(FCP),对大型机使用专有变体。B、通过使用以太网光纤通道(FCoE),可以跨现有高速以太网基础设施移动FC通信量，并将存储和IP协C、也可以使用其他技术，如Internet小型计算系统接口(iSCSI),通常在中小型组织中用作成本较低的FC替代品，以及在高性能计算环境中常用的InfiniBanD、利用扩展器和交换机的串行连接SCSI(SAS)和外围组件Interconnectexpress(PCle)等互连也开始E、还可以通过网关在不同的SAN技术之间移动数据。6)与SAN相关的安全控制分为以下类别：A、访问控制：SAN上的访问控制通过应用分区、逻辑单元(LUN)屏蔽和端口绑定机制来实现：■端口绑定：称为全球通用名称(WWN)的全局唯一标识符用于SAN中的标识。端口绑定是一种SAN安全机>软分区：基于将SAN光纤名称服务器对查询的响应限制在假设服务器，不会与未通过名称服务>LUN映射是指将一个数字分配给一个LUN,它通常发生在一个存储阵列中，但也可以作为交换机、主机总线适配器(HBA)或聚合网络适配器(CNA)和虚拟化层中重定向(初始地址到新地址)的一部分发生。B、身份验证：对于SAN,交换机必须验证与其通信的SAN中其他交换机的身份。如果未实现交换机身份验证，则恶意交换机可能加入SAN并可能危害SAN数据。SAN中的节点(例如，存储设备和服务器)也需要使用C、加密：SAN上的数据机密性有两个主要组成部分：1)动态数据和2)静止数据。敏感和高值数据在运行时以及在存储设备上静止时，都需要在SANs中进行加密保护。这可能需要使用特殊用途的硬件，可以对发送到存储设备的数据进行加密。请参阅了解有关保护动态数据的附加指南，以及了解有关保护静态数纵深防御战略(见7.2.1)有助于降低因一项安全控制失效(可能是单点失效)而危及受保护资产的风险。7)SAN中分离单元的物理和逻辑隔离也可以发挥重要作用，可以采取以下形式：A、物理隔离包括：------将生产与其他系统类别(如质量保证、开发)分开；------尽可能避免类之间的网络连接(例如，连接到生产和开发网络的生产服务器);------在适当的情况下，按类别隔离网络和仓库；------在每个类中物理上分离系统。------如果可行的话，将英国石油公司的设备与其他数据中心设备隔离。B、逻辑隔离包括：------使用以下方法将业务与正常服务器业务分离：------在公共物理基础设施上创建独立逻辑域的可用网络控制；------信任和访问控制以管理逻辑域中的成员身份。------将管理流量与所有其他流量隔离；------确保网络网关的配置保持适当的网络隔离。光纤通道SAN1)光纤通道是一种用于块式存储的千兆位速度网络技术。2)有三种主要的光纤通道拓扑结构，描述了多个端口如何连接在一起：点对点(两个设备直接连接)、仲裁环路和交换结构。3)光纤通道协议(FCP)是用于在该网络技术上传输SCSI通信量的接口协议。光纤通道SAN有关控制如下：A、--控制FCP节点访问，包括：1)使用访问控制列表(ACL)、绑定列表和FC-SP-2结构策略(请参阅C.7.1)等技术限制交换机上的服务器访问：2)使用启用NPIV(N_Port_IDVirtualization)的hba将单个N_Port_ID分配给虚拟服务器。B、--实施基于开关的控制，包括：1)使用ACL、绑定列表和FC-SP-2结构策略等技术限制交换机互连(请参阅C.7.1):2)分区应在FCSAN结构中使用，优先使用硬分区；3)确定基本分区是否是目标环境足够强的安全措施，如果不是，请在供应商支持的情况下使用更强大的技术，4)禁用未使用的端口；5)小心使用默认区域和区域集(采用最低权限的姿态)。6)通过配置满足要求所必需的交换机、扩展器、路由器和网关，安全地互连存储网络。如IETFRFC3720中描述的InternetSCSI(iSCSI)是一种基于TCP的面向连接的命令/响应协议，用于访问磁盘、磁带和其他设备。1)通过以下方式控制iSCSI网络访问和协议：A、避免将iSCSI接口连接到通用lan;安全性和性能隔离；的光纤通道(FCIP)是一种纯光纤通道封装协议。它允许通过基于IP的网络将光纤通道存储区域网络的孤岛互连，2)FCIP网络访问和协议控制应通过以下方式进行控制：A、在FCIP实体之间建立对等关系，认识到安全策略将被统一应用；B、尽可能使用由FCIP实体独占的专用IP网络。3)通过以下方式结合FCIP实施IPsec安全措施：A、至少执行加密认证和数据完整性；IETFRFC3723,《通过IP保护块存储协议》提供了有关iSCSI和FCIP的其他有用信息。第6.5.2款提供了IETFRFCs3720、3723和3821提供了重要的安全更新。子条款6.5.1提供了基于块的光纤通道存储的指导1)以太网光纤通道(FCoE)是一种协议规范，用于将光纤通道帧封装在以太网数据包中。2)支持FCoE的以太网必须是一个无损以太网，A、利用光纤通道安全机制(见C.7):B、防止以太网广播风暴(例如，分配足够的输入缓冲)可能导致吞吐量和超时问题；C、使用acl控制网络访问(例如，拒绝特定计算机不必要或不需要的通信);D、当不选择使用物理隔离的LAN时，使用FCoEVLAN。1)网络连接存储(NAS)是一种数据存储技术，通过网络向异构客户端提供文件级访问。2)NAS使物理上位于一台服务器或设备上的文件系统能够被远程客户端计算机访问，在用户看来它是一3)NAS系统通常是专门为NAS目的而设计和构建的，但也可以使用通用服务器计算机。4)NAS系统可以实现为单独的存储服务器，也可以实现为存储服务器的群集集合，这些存储服务器通过但也存在其他技术，如基于对象的存储设备(OSD)和云计算存储。与NAS相关的安全控制分为以下几类：A、限制用户访问NAS设备提供的文件和文件夹资源的授权控件(如ACL):B、数据加密，包括动态和静态数据；以及C、身份验证控件，如Kerberos,用于验证试图访问NAS数据的用户的身份。2)指定并使用了多个NFS版本，包括NFS版本3(在IETFRFC1813中指定)、NFS版本4(在IETFRFC3530中指定)和NFS版本4.1(在IETFRFC5661中指定)。B、尽可能使用NFSv4(或更高版本),并限制NFSv3的使用；1)服务器消息块(SMB)3.0是CIFS(通用Internet文件系统)的后续版本，本身也是SMB1.0的后续版v2或Kerberos代替；6.4.1背景3)存储管理活动有：根据ISO/IEC27002:2013,9.2.3特权访问权的分配和使用应受到限制和控制。不当使用系统管理特权可能是导致系统故障或破坏的主要因素。为了减轻这些威胁，可能需要ISO/IEC27002:2013,9.4.2中所述的安全登录过程以及附加的身份验证措施(见C.1),包括但不限于：A、所有用户应具有唯一标识符(用户ID),仅供个人使用；B、应选择适当的身份验证技术，通过使用以下方法证实用户的声明身份：强密码(增加最小字符数、增加复杂性等),使用时间缩短；>强身份验证(例如，质询响应协议);或>多因素身份验证，例如生物测定数据(如指纹验证、签名验证)和硬件令牌(如智能卡)的使C、对于所有远程访问，使用强身份验证或多因素身份验证以及安全通道；D、在可能的情况下，使用集中认证解决方案(如远程认证拨入用户服务或RADIUS、单点登录或SSO等)来改进监控；E、在管理敏感和高价值数据时使用多因素身份验证；除了用户身份验证之外，存储系统有时还采用实体身份验证，即任的过程。实体身份验证可以在传输层安全性(TLS)和IPsec连接以及存储协议(例如，使用iSCSI的质询握手身份验证协议、FCP中的Diffie-Hellman质询握手身份验证协议等)中进行。如果可能，应该使用这些实体身份验证机制。在金融服务和医疗保健等市场领域，授权和访问控制(见C.2)与利用特定角色的最低权限模型相一致是一种趋势。应在存储技术中实现和使用以下角色：●-安全管理员-此角色具有查看和修改权限，以建立和管理帐户、创建和关联角色/权(审核日志事件项永远不能更改)、与IT基础结构建立信任关系(例如，RADIUS的共享机密)、管理证●-存储管理员-此角色具有查看和修改存储系统所有方面的权限。未授予对安全相关元素或数据的访问权限。●-存储审核员-此类似于操作员的角色，具有允许验证存储参数和配置以及检查运行状况/故障日志的查看权保护管理接口免受未经授权的访问和侦察至关重要。由于未能实施适当的控制而对管理接口存储系统的管理接口可以采用多种物理形式，包括：串行端口(如RS-232、DB9、DB25等)、局域网、调制解调器，甚至用于数据路径的技术(如光纤通道)。混合接口(例如，插入控制台集中器的串行端口，在局域网上提供接口)也比较常见。1)为了保护这些物理接口，组织应：A、限制对管理接口的物理访问；B、不使用时，关闭和断开串行管理端口；C、将用于管理的LAN接口与其他LAN通信量隔离，注意最好使用物理隔离，但至少应使用逻辑隔离存储系统还使用各种软件和固件来管理存储系统。这些软件接口可以包括：简单的命令行界面(CLI)、基于Web的图形用户界面(GUI)、对简单网络管理协议(SNMP)的支持以及处理带内管理(即通过数据路径)的基2)为了保护这些软件/固件接口，组织应：A、使用防火墙和TCP包装器将对管理网络的访问限制为授权的系统和协议；B、使用实体身份验证在存储系统和管理系统之间建立信任关系(例如，使用FC-SP-2AUTH-A对执D、使用具有适当安全控制的ICT基础设施(域名系统或DNS、服务定位协议或SLP、网络时间协议或NTP),以避免间接攻击；E、使用适当的特权用户控件，包括身份验证(见642.1)、授权(见)和安全审核/监视(见F、确保操作系统和应用程序是最新的，并且对攻击有足够的防御能力(见6.4.5)。3)远程管理存储系统时，应使用以下附加安全措施：A、对所有远程访问使用安全通道(虚拟专用网或VPN、TLS、安全外壳或SSH、超文本传输协议安全或HTTPS)采用强认证或多因素认证；B、将权限限制在所需的最小值(即，最小权限);4)组织应设计组织和技术控制，以限制用于远程(非本地)供应商维护会话的管理接口。通过外部网络(如互联网)进行通信的个人进行的远程供应商维护操作，不仅在可用性方面，而且在完整性和保密性方面都会带来重A、技术控制应将通信流量(即系统、端口和协议)限制在远程供应商维护操作所需的最低限度。C、应生成包含供应商操作审核记录的适当日6.4.4安全审计、会计和监控合规法规和合同条款通常包括监测和报告要求。事件日志和系统记帐是帮助解决这些需求的关键功能见C.5)。从存储安全的角度来看，事件日志记录可能更有用，因为它既可以实时使用，也可以作以下日志记录指南适用于存储系统及被使用：A、在日志策略中包括存储，以便：A1、关于存储系统和设备，应处理以下策略元素：-存储系统和设备应参与审核日志；-应收集所有重要的存储管理事件；-根据日志数据保留策略对日志数据进行存档A2、日志政策(另见7.7.2)应包括证据预期(真实性、保管链等)。B、通过以下方式将外部或集中式事件日志记录到受信任的)远程源：B1、实行集中的审计日志记录，以从单个存储库中的所有资源中收集事件；B3、避免将设备驻留日志用于系统运行状况监视和调试之外的任何其他用途，因为它们更容易受到篡改或破坏，日志的可用存储空间有限，并且它们排除了使用集中的自动化分析、警报和存档；B4、将事件本地记录到一个(最好是多个)外部日志服务器；B5、使用支持可靠传输和安全传输(如TLS)的标准日志协议，如syslog9;B6、当审计日志的主要驱动程序是合规性、责任性或安全性时，将设备配置为在事件发生时记录事件(即没B7、实现分析协议，以跨事件源关联审核日志记录，以识别提供安全事件指示的重要安全事件；B8、确保在部署安全信息和事件管理(SIEM)解决方案时，将存储日志记录考虑在内。C、确保完成事件日志记录C1、一旦确定要记录的事件类型，则应记录这些事件的所有发生(带内或带外);C2、应记录以下类型的事件(至少一组安全事件):-对敏感和高值数据的文件和对象访问尝试失败；-帐户和组配置文件的添加、更改和删除；-对系统安全配置的更改(例如，审核日志记录、网络筛选、分区更改);-对安全服务器使用的更改(例如syslog、网络时间协议或NTP、域名系统或DNS、身份验证);-系统关闭和重启；-特权操作(即管理员发起的更改);-使用敏感实用程序(例如，权限提升命令);C3、每个日志条目应包括：-时间戳(日期和时间);-事件ID和文本描述(对于实现事件的本地化/国际化是必要的，其中事件ID保持不变，但文本描述可以翻译成不同的语言);目的地降低了意外丢失的风险。C4、在筛选诸如“严重性”之类的字段时要小心，因为企业日志策略应作为确定哪种筛选是适当的以及哪D、实施适当的保留和保护，以便：D1、应正确处理可能具有证据价值的审计日志数据(如维护保管链、可验证的完整性和真实性等);D2、具有特定保留要求的审核日志数据(如法规遵从性)应与组织的数据保留解决方案一起保存(见74);D3、采取适当措施保护日志完整性，防止其修改或破坏(恶意或意外);D4、当审计日志条目包含敏感信息时，应使用适当的保密机制保护审计日志数据；D5、对于独特的审核日志记录要求(如大容量、特殊保存、事件签名等),应使用专用的、经过特殊加固和配置的系统；D6、利用日志中继和日志过滤将专用存储需求(例如，一次写入只读或WORM)的影响降到最低。6.4.5系统强化所有操作系统、虚拟机监控程序和应用程序有关A、任何操作系统都应该使用的一些最佳实践包括：-更改(例如重命名、禁用、更改任何默认密码等)任何预定义或默认帐户；-从可信来源安装最新补丁；-安装和维护恶意软件保护(另见ISO/IEC27002-2013,12.2)。B、当存储基础结构的元素收到更新(例如微码)或修补程序时，应确保要应用的软件来自受信任的源。否则，攻击者可以编写自己的“更新”,而不是包含自己选择的恶意代码，如rootkit、botnet或其他恶意软件。C、供应商应对其控制下的元件执行6.4.5中所述的操作。6.5基于块的存储6.5.1光纤通道(FC)存储光纤通道存储系统使用专用网络(请参阅)向计算机提供基于块的存储资源。这些资源通常采用逻辑单元(lun)和磁带设备(包括虚拟磁带)的形式。对于光纤通道系统，应考虑以下几点：A应使用LUN掩蔽和映射(WWN筛选)以及其他访问控制机制来限制对存储的访问B实施FCP安全措施，包括：-所有服务器和交换机都应使用使用FC-SP-2AUTH-A(请参阅C.份验证服务；-如果可能，应使用ESP_Header11对离开受保护区域(例如物理控制数据中心的范围)的光纤通道连接进行加密(请参阅和C.7.3)。C实施静态数据加密措施(见),包括：-敏感和高值数据在存储设备或介质上应加密12);-应在可能接触敏感或受管制数据的存储设备中实施加密，并促进快速消毒(见A.3)。D实施卫生处理措施(见6.8.1和附件A),包括：-敏感和规范数据应采用介质校准消毒(见);-应使用逻辑清理(请参阅)来清除虚拟化存储(请参阅7.6.1),特别是在无法确定实际的存储设供应商应在其产品中实现6.5.1中描述的访问控制、身份验证、净化和加密功能。与FC存储不同，IP存储使用TCP/IP网络(参见),特别是iSCSI,向计算机提供基于块的存储资源。对于IP存储系统，应考虑以下因素：A通过基于源IP地址和协议的筛选来控制对iSCSI发起程序的访问；B实施iSCSI安全措施，包括：-双向质询握手身份验证协议(CHAP)身份验证，使用随机质询(即不重复),应在所有iSCSI实现中同时用于发起方和目标方；-当敏感或高值数据可能暴露时，应使用IPsec保护通信通道(见);C实施静态数据加密措施(见)D实施卫生处理措施(见6.8.1和附录A)-敏感和规范数据应采用介质校准消毒(见6.8-确保NFSv4ACL(访问控制列表)分配正确；统降级；所不同(请参阅)。-禁用对CIFS共享和NAS设备的未经身份验证的访问(即限制匿名访问);-禁止“来宾”和“所有人”访问所有CIFS共享；-通过集中式机制(RADIUS、轻量级目录访问协议或LDAP)实现身份验证和访问控制。B通过为客户端和NAS设备启用SMB签名来限制SMB/CIFS客户端行为；CSMB/CIFS服务器上的安全数据：-持续审查CIFS共享和相关访问控制中的内容；-必要时对静止数据进行加密；-防范恶意软件(如病毒、蠕虫、rootkit等)。D使用强身份验证(NTLMv2、Kerberos供应商应在其产品中实现6.6.2中描述的访问控制、身份验证和加密功能。6.6.3基于NFS的并行NAS如所述，NAS设备可以实现为单个存储服务器或存储服务器的群●对称群集允许所有文件服务器都是完整的文件服务器，使用重定向或类似技术根据客件选择适当的服务器。一种常见的技术是将文件系统命名空间分区，让不同的服务器负责该分一在这种结构中，文件名解析可能导致客户端遍历涉及多个文件服务器的命名空间路径。●非对称群集跨服务器拆分功能-并行NFS至少使用一个主文件服务器和多个从属于主服务器的辅助存储服务器(客户端必须联系主文件服务器，以了解辅助存储服务器上存储的数据以及如何访问它)。●对于对称群集，包括pNFS的主文件服务器群集，主要指导是在群集服务器上一致应用控制和控制机制(例如，身份验证和授权),以便安全保证属性不依赖于客户端碰巧访问的文件服务器。●对于非对称集群，控制和控制机制的一致应用非常重要，但是服务器的不同角色可以主服务器获得的布局信息，而不是访问它没有布局的块存储-这应该以某种方式捕获在一个控件中，该控件强全注意事项(第4节)。对于pNFS系统，应考虑以下因素：A控制和控制机制应在集群中一致应用(对称和非对称);B安全保证属性不应依赖于访问特定文件服务器的客户端；C对于非对称集群，应该实现控制，使它们在不同协议之间保持一致；D安全控制不应依赖于跨服务器的文件系统命名空间的路径遍历。6.7基于对象的存储6.7.1云计算存储正在使用专有和基于标准的云计算存储产品，它们通常提供：复制功能例如，备份和恢复功能、长期保留功能(例如，存档)和多系统同步功能(例如，允许用户同步多个可能不同类型设备上的数据)。其中一些云计算实现是基于对象的，并且通常依赖于HTTPS(HTTPover云计算存储的安全使用应包括以下部分或全部内容：A确保传输安全性(如IPsec或传输层安全性(TLS))用于所有事务(请参阅):B当敏感数据存储在第三方云环境中时，应使用静态数据加密(和适当的密钥管理过程)来防止未经授权的方(如云服务提供商人员、其他租户、对手等)访问；C确保用户注册安全，并使用强密码验证来保护对数据的访问；E使用提供的清理功能清除云计算存储中的敏感数据。云计算的实施经常利用不同形式的虚拟化，因此7.6中的指南可能也很相关供应商应在其产品中实现中描述的访问控制、身份验证、加密、日志记录、清理等适当的云计算存储云数据管理接口(CDMI)安全基于ISO/IEC17826:2012云数据管理接口(CDMI)规范的云计算存储是一种基于对象的存储技术，使用CDMI中的安全措施可以概括为：传输安全、用户和实体身份验证、授权和访问控制、数据完整性、数据和媒CDMI客户应：A确保传输层安全(TLS)用于所有交易(见);B查询云服务提供商CDMI实现的安全能力并根据提供的安全性是否足够做出基于风险的决策；C认证CDMI实体(服务器的证书和客户端的HTTP基本认证);D使用CDMI域名为身份验证映射到外部身份验证提供位置；F使自动删除功能(CDMI删除)与组织的数据保留策略保持一致；G在使用CDMI货舱之前，了解提升CDMI货舱的过程和机制；H使用静态数据加密措施保护敏感和高值数据；I对于加密功能，始终验证实现是否使用了请求的CDMI功能(支持的操作),而不是其他功能；6.7.2基于对象的存储设备(OSD)基于对象的存储设备(OSD)是一种计算机存储设备，类似于磁盘存储，但工作在更高的级别(即，物理存储位置隐藏在对象接口下，由存储设备本身管理)。OSD不提供面向块的接口来读取和写入固定大小的数据块，而是将数据组织到称为对象的灵活大小的数据容器中。每个对象既有通过指定对象标识符(OID)和元组(offset,length)访问的数据(线性字节序列),也有元数据(描述对象的可扩展属性集)。OSD接口包括命令用于创建和删除对象、向单个对象写入字节和从单个对象读取字节，以及设置和获取对象的属性。OSD负责管理对象及其元数据的存储。OSD实现了一种安全机制，它提供了对每个对象和每个命令的访问控OSD使用基于凭证的访问控制系统，该系统由三个活动实体组成：对象存储要安全使用OSD:B对象存储应在执行操作之前验证功能的真实性；COSD和安全管理器之间的时钟同步应使用安全协议实现；D容量失效时间应该有限制，以尽量减少使用受损容量的时间；E应经常刷新工作密钥(用于生成功能密钥)。供应商应在其产品中实现6.7.2中描述的访问控制、身份验证、加密等适当的OSD功能。6.7.3内容寻址存储(CAS)◆内容寻址存储(CAS),有时称为固定内容存储(FCS),旨在存储不随时间变化的数据(即固定时间)。CAS◆CAS通常公开由加密哈希函数(如MD5或SHA-1)从其引用的文档生成的摘要。根据内容摘要，CAS支持B、在授予对CAS系统的访问之前，用户和应用程序应该经过身份验证和授权。这可以防止未经授权的用户存储数据或检索数据。此外，CAS系统应确保内容在其整个生命◆在满足中短期保留需求时，CAS是一种特别有用的技术(见7.4.2)。◆供应商应在其产品中实现6.7.3中描述的用于身份验证、授权、可用性、散列等的适当CAS功能。6.8.1数据卫生处理◆卫生处理是指将存储介质中以前写入的数据呈现为不可检索的一般过程，这样就可以合理地保证数据不易检索或重建(见C.4)。◆为了对所有媒体类型有效地使用本标准，组织和个人应将其信息分类，评估记录信息的媒体的性质，评估保密风险，并确定媒体的未来计划(如，重新使用)。然后决定适当的卫生处理方式。应评估所选类型的成本、环境影响等，并作出最能降低保密风险和最能◆只有在信息披露不会对组织使命造成影响、不会对组织资产造成损害、不会对任何个人造成经济损失或伤害的◆清除和销毁(销毁)是可以对存储进行清理的操作。附件A.1介绍了每种方法，并在适当的情况下提供了其他选项。附件A.2通过提供对硬拷贝和电子(软)拷贝介质消毒的具体指导来补充此信息。◆清理操作可能成本高昂且耗时，但出于安全原因，这些操作是必需的。净化处理操作的水平应与风险相平衡。应特别注意个人识别信息(PII)和电子医疗记录(EHR)以及业务或关键任务数据(如商业机密知识产权等)。◆当卫生处理是合规的一个要素时，应审查特定要求和相关规范，以确定它们是否要求特定的覆盖技术、卫生处◆为了提供适当的卫生处理能力，供应商应在其附录A应用于确定特定介质的建议卫生处理。尽管这里强烈建议使用附件A,但清除(在某些情况下仍然相关)和销毁的目的，而且附件A中未规定的方法只要经本组织审查并令人满意，就可能适用。并非所有类型的可用介质都在本国际标准中有详细说明，对于未包括在内的介质许多存储设备虚拟化底层存储媒体，并将其作为逻辑存储呈现。逻辑存储情况可能会更别所有底层存储介质。此外，清理所有物理介质可能不合适，因为多个逻辑存A、如果逻辑存储(例如，逻辑单元、文件系统或对象存储)是可写的，则应使用覆盖或加密擦除技术进行清理，以清除逻辑存储所使用的底层存储媒体部分；B、成功应用加密擦除进行清理(见A.3)取决于在逻辑存储上记录数据之前加密处于活动状态。C、数据保护技术(见7.3.3)可以包括复制、备份和CDP存储，通常与逻辑存储结合使用，因此应对与数据保护1)组织应保存一份卫生处理活动的记录，以记录哪些介质已消毒、何时消毒、如何消毒以及介质的最终处置。通常，当一个组织被怀疑失去对其信息的控制时，这2)卫生处理证明至少有两种形式：1)审计日志跟踪和2)卫生处理证书。这些卫生处理记录是组织应为合规/法律目的保留的证据，否则它们将面临制裁或代价高昂的数据泄露3)卫生处理证书至少应包括以下信息：-制造商；-模型；-序列号；-介质类型(如磁性、闪光、混合等);-媒体源(即媒体来自的用户或系统);-卫生处理说明(即清除、清洗、销毁);-使用的净化方法(例如消磁、覆盖、块擦除、加密擦除等);-使用的工具(包括版本);-验证方法(如全量、快速取样等);-对于消毒和验证：-姓名；-日期和时间(完成);-位置；-联系信息(如电话号码、电子邮件地址等);◆除了与清理证书相关的详细信息外，审核跟踪还应捕获带有时间戳的事务和与清理相关的进度。◆如果介质处于不可操作状态，需要进行物理破坏，则应通过卫生处理证书获得卫生处理证明。◆净化验证的目标是确保目标数据得到有效的卫生处理。1)当设备接口(如高级技术附件或ATA或SCSIHDD或SSD)支持时，有效净化处理(实验室外)的最高保证2)如果组织选择有代表性的抽样，那么有三个主要目标适用于电子媒体卫生处理验证：a)选择媒体上的伪随机位置，每次应用分析工具时使用伪随机数生成器(PRNG)的新种子。这降低了在敏b)在可寻址空间中选择位置。c)每个连续的样本位置(第一个和最后一个可寻址位置除外)应覆盖至少5%的小节，且不与小节中的其他样本重叠。给定两个不重叠的样本，一旦所有小节都采集了两个样本，结果验证应至少覆盖10%的介质。3)使用访问控制机制保护的设备有额外的验证注意事项。无论这些设备是通过覆盖、块擦除还是加密擦除进行清理(见A.3),在清理之前和之后都需要能够访问这些设备，以启用验证过4)加密擦除具有与其他过程不同的验证注意事项，当使用加密擦除时，应尝试应用简单的检查，例如读取包含已知内容(例如，文件系统元数据)的存储位置，以验证未返回预期数据。◆如果由于任何原因(例如，执行加密擦除的人没有读取权限)无法进行验证，则可以跳过验证。6.8.2数据保密◆在存储基础结构中，通常使用某种加密方法来维护数据机密性这些方法通常与数据在存储基础结构中传输(有时称为飞行中或运动中)或在设备或存储介质中存储(或静止)时的保护相关。◆加密过程是将加密算法(或密码)应用于产生加密数据(或密文)的明文数据。相反，解密是将密文转换回原◆密码与密钥和可能的其他密钥材料(例如，初始化向量)相关联地工作。在对称密码中，同一密钥用于加密和◆密钥的管理和保护(称为密钥管理)对于维护数据机密性至关重要。◆密钥管理的目的是提供处理与对称或非对称加密机制一起使用的加密密钥材料的过程。◆为了提供适当的数据保密功能，供应商应在其产品中实现和中描述的功能。◆动态数据保护通常是对数据的临时保护，只有在移动数据时才可能存在。对于动态加密，发送方应用加密算法并发送密文。它还可以应用完整性算法并发送完整性值。相反，接收器应用将密文◆有各种标准规范，包括光纤通道安全标准(见C.7.1)、IPsecRFC和TLSRFC,它们详细说明了保护移动数◆对于某些协议，标准中有多种操作模式或选项。此外，还有多种密码模式或数字签名(完整性)算法。操作模式的定义和规范见ISO/IEC10116:2006。◆初始认证密钥的管理和保护对于维护数据的机密性和动态数据的完整性至关重要。◆引用的标准详细说明了在使用动态数据保护方法时必须保护的关键安全参数的附加信息。a)当需要保护运动中的数据时，它应该提供端到端的保护。b)运动数据的加密会给通信实体带来很大的计算负担，应该进行适当的补偿以将影响降到最低。c)对于IPsec,应使用版本3和Internet密钥交换(IKE)版本2(或更高版本)。d)对于TLS,存储客户端应符合存储网络行业协会(SNIA)技术立场：存储系统TLS规范1.0版(或最新版本)的要求。◆对存储基础结构中静态数据的加密确实提供了基本级别的保护，以防止由于失去对媒体(尤其是磁带)的控制而造成的破坏。因此，应使用存储设备(自加密驱动器以及基于控制器的技术)、交换机、专用设备、hba等◆实现数据加密需要购买具有加密功能的设备并将其连接到现有的存储基础架构。◆需要选择加密机制(加密点)在基础设施中的位置，以解决已识别的风险，并作出安排，为该位置提供密钥材◆此外，还需要创建足够的加密证明，并将其集成到审计日志基础结构中，这种加密证明可能采用日志的形式。更多信息见7.5。◆对存储使用所有类型的加密依赖于对加密密钥的管理：1)由密码学保护的信息的安全性直接取决于密钥的强度、与密钥相关的机制和协议的有效性以及对密钥的保2)所有密钥都需要防止修改，而密钥(对于对称加密)和私钥(对于非对称或公钥加密)则需要防止未经授3)密钥管理为密钥的安全生成、存储、分发和销毁提供了基础。◆对于存储上的静态数据加密，应遵循以下步骤：数器或Galois/计数器模式(如IEEE1619.1-2007中所述)的磁带；>如果存储特定模式不可用，则可以使用适当的AES模式，如密码块链(CBCX在ISO/IEC10116:2006b)限制密钥以明文形式存在的时间，并防止用户查看明文密钥c)加密密钥只能用于一个目的，特别是不要使用密钥加密密钥(也称为密钥包装密钥)来加密数据或使用数据加密密钥来加密其他密钥；d)从整个按键空间中随机选择按键；e)检查并避免使用已知的弱键；f)数据加密密钥应限制在有限的加密期(通常不超过2年)或处理的最大数据量；g)在可能的情况下，存储系统和基础设施应使用可互操作的集中密钥管理基础设施；h)存储系统和基础架构应使用OASIS批准的、符合KMIP的客户端来访问和使用密钥管理基础架构(请参见1)数据压缩通过使用已知的算法对数据进行编码来减少数据量，以生成使用比未编码表示更少的存储位的数据表示。另一方面，重复数据删除尝试使用对共享副本的引用替换多个数据副本。这两种2)数据压缩通常与磁带存储结合使用，以减少备份等操作所需的磁带数量。此外，压缩可以是远程复制中使3)数据压缩通常在硬件中执行，因此需要注意确保编码的数据可以在以后解码(例如，当磁带被另一个磁带驱动器读取或当压缩的数据被网络网关接收时)。4)重复数据消除可以在存储基础结构中的各种不同点进行，包括在文件系统级别、与存储网络和存储设备保5)数据缩减技术本身并不代表安全机制。但是，它们的存在可能会受到存储安全活动的影响：a)当加密与压缩一起使用时，应在加密之前应用压缩，因为密文不能有效地压缩；相反的顺序应在另一端使用(即解密后展开)。b)当加密与重复数据消除一起使用时，应在加密之前应用重复数据消除，因为重复数据消除通常对密文d)压缩或重复数据消除会影响灾难恢复和业务连续性实施，因此应将它们纳入灾难恢复和业务连续性解7存储安全设计和实施指南7.1概述与存储安全体系结构相关的常见风险区域是由于设计不当或缺乏对业务连续性规划的适当考虑，或设计与当前或预期的威胁级别不符而导致的设计故障。设计应考虑5.4中描述的存储系统中的所有相关威胁和漏洞。有关评估安全风险和相关威胁的信息也可以在ISO/IEC27001、ISO/IEC2707.2存储安全设计原则7.2.1纵深防御企业不仅需要从一个角度来看待安全性，还需要将其视为一种跨所有应用程序、系统、网络遍分层方法。采用这种分层方法被认为是纵深防御，特别是当它结合了政策、设计、管一项重要的纵深防御原则：利用多种安全控制或安全技术，帮助降低防御的一个险。具体指导包括：a)确保平衡地关注三个主要要素：人员、技术和运营；b)贯彻有效的信息保证政策和程序，分配角色和责任，投入资源，培训关键人员，以及个人责任；d)在潜在对手和目标之间部署多个防御机制(分层);f)部署强大的密钥管理和公钥基础设施(PKI)框架，支持所有信息保证技术，并具有高度的抗攻击性；g)维护可见和最新的系统安全策略；h)主动管理存储技术和保护机制的安全态势(如安装安全补丁和防病毒更新、维护acl等);对于存储，分层方法意味着在整个存储基础结构中部署和使用安全控制，包括计算机中的HBA/CNA/NIC、存储网7.2.2安全域安全域基于这样一个概念，即不同敏感级别(即不同的风险容忍度值和威胁敏感性)的系统资源应该位于不同对于存储基础设施，安全域通常表示为SAN,特别是在存储系统中存储和处理敏感数据时。在数据敏感度较低的情况下，分区和VLAN可以被认为是可接受的，需要注意的是，这种通用功能不是一种安全机制，如F区(请参阅C.7.5)。基于ISO/IEC27033-2中描述的分区原则，应考虑以下存储安全设计规则：A.-在使用安全域时考虑数据敏感性B.-不同敏感度的存储和存储网络应位于不同的安全域中；C.-为外部网络(如因特网)提供服务的设备和计算机系统应位于不同的域(非军事化区或DMZ),而不是内部网络设备和计算机系统；D.-战略资产应位于专用安全域；E.-不受信任的设备和计算机系统应具有对存储资产的有限或无访问权F.-使用安全域的因素用途G.-用于不同目的(如开发、生产、管理等)和使用不同技术(如CIFS/NFS、iSCSI、CDMI等)的存储和存储网络应位于不同的安全域中；H.-存储网络应与常规网络(如公司局域网)位于不同的安全域中；I.-存储设备和存储网络管理系统应位于专用的安全域中；J.-处于开发阶段的系统应该位于与生产系统不同K.-可能允许驻留在单个安全域中但用于多个目的或包含多个级别敏感数据的存储设备应进一步隔离(使用7.2.3设计弹性■存储安全设计应包含几层冗余，以消除单点故障，并最大限度地提高存储基础架构的可用性。包括口、备份模块、备用设备和拓扑冗余路径。此外，设计还应使用一系列旨在使1)作为设计原则，存储系统的体系结构应支持安全的初始化顺序，以确保在通电或复位后从“关闭”状态过渡。2)在初始化阶段，外部可访问的进程和网络接口不应可用或拒绝访问，直到主体通过身份验证。3)软件和操作系统加载进程应从已知状态开始，在系统上次运行时由系统管理员指定安全值。●供应商应在其产品中实现7.2.4中描述的安全初始化功能。7.3数据可靠性、可用性和弹性7.3.1可靠性可靠性量化为：a)可修复产品的平均无故障时间(MTBF),是系统或部件中连续故障之间的预期时间，有时被认为是系统或部件在故障之间执行正常操作的平均可用时间(见图5);b)可修复产品的平均修复时间(MTTR),是指使故障系统或部件恢复正常运行的预期或观察持续时间，有时被认为是修复故障部件的平均时间；c)不可修复产品的平均故障时间(MTTF),是指系统或组件在故障前正常运行的平均时间。应用系统或应用程序修补程序或其他系统强化措施(如6.4.5中所述)也会产生影响。例如，不正确地应用更新或●-存储系统和基础设施的可靠性不应因包含安全功能而受到不利影响；●-应主动管理漏洞，以尽量减少其对系统可靠性的影响；●-应评估控制措施，以确定它们是否能够确保数据的可靠性和安全性。7.3.2可用性在存储环境中，数据可用性通常指以某种形式存储数据时的可访问性，通常指通过网络或外可用性通常被测量为当需要时某物出现的概率(即系统处于运行状态的时间比例),它可以被计算为(a)系统在给定时间间隔内能够使用的总时间与(b)时间间隔长度的比率。例如，假设一个存储阵列在一年中有大约5分钟的停机时间(假设为24x7操作),那么它的可用性将为099999(99999%)。为了实现数据的高可用性，现代存储系统和存储基础架构中实现了大量的硬件和软件冗余(例如，自动I/O路径故障切换、冗余组件、RAID保护、全局热备盘和带电池备份的镜像数据缓存)。此外，数据冗余机制(如镜像和复制)以及数据保护机制(如备份和CDP)通常用于确保在发生故障时快速恢复数据。1)-由于可用性的重要性，存储安全设计和实现应努力将对可用性的影响降至最低(例如，将单点故障降至最低)。2)-应管理数据加密密钥，以避免在密钥不可用或意外销毁时出现数据可用性问题。3)-数据保护机制(如备份、复制等)应该是可用性设计的一部分，以防止由于系统故障而导致的重大停机。7.3.3备份和复制由于对数据可用性和完整性的依赖性增加，许多组织采数据保护机制本身也需要一种安全措施，包括但不限于：1)-数据保护机制(如备份、复制等)的设计应考虑到快速恢复，而不仅仅是数据的保存；2)-备份安全性a.确保备份方法，特别是针对业务/任务关键型数据的备份方法，与其相关的恢复策略保持一致；b.确保备份方法提供足够和适当的保护，防止未经授权的访问(例如加密或用户验证);c.建立一个处理存储介质的可信个人(和供应商)链；(ISO/IEC27002:2013,12.3提供了备份的相关指南)3)-复制安全性一致；b.确保复制方法提供足够的保护，防止未经授权的访问(例如，动态数据加密)。4)CDP安全(连续数据