1 范围

      本标准规定了网络存储的安全技术要求，包括安全功能要求、安全保障要求。

      本标准适用于网络存储的设计和实现，网络存储的安全测试和管理可参照使用。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分：安全保障组件

      GB/T 25069-2010 信息安全技术 术语

3 术语和定义

      GB/T 18336.3-2015和GB/T25069-2010界定的以及下列术语和定义适用于本文件。

3.1

      网络存储 network storage

      通过网络基于不同协议连接到服务器的专用存储设备。

      示例：网络存储通常包括DAS存储设备、NAS存储设备、SAN存储设备和对象存储设备。

3.2

      直接附加存储 direct attached storage

      将存储设备直接连接到服务器上的存储架构。

3.3

      存储区域网络 storage area network

      通过网络方式连接存储设备和应用服务器并提供数据块访问的存储构架。

3.4

      网络附加存储 network attached storage

      将存储设备直接联网并使用网络文件共享协议提供文件级数据访问的存储架构。

3.5

      对象存储 object based storage

      基于对象的方式提供数据访问的存储架构。

      注：一个对象通常包括数据、描述该对象的元数据和该对象的唯一标识符。

3.6

      独立磁盘冗余阵列 redundant array of independent disks

      将一个个单独的磁盘以不同的组合方式形成一个逻辑硬盘。

3.7

      镜像 mirroring

      实时地将一个逻辑磁盘卷上的数据复制到若干个逻辑磁盘卷上。

3.8

      快照 snapshot

      对指定数据集合的一个完全可用拷贝，该拷贝包含源数据在拷贝时间点的静态映像。注：快照可以是数据再现的一个副本或者复制。

4 缩略语

      下列缩略语适用于本文件。

      CPU：中央处理器（Central Processing Unit）

      DAS：直接附加存储（Direct-attached Storage）

      NAS：网络附加存储（Network Attached Storage）

      RAID：独立磁盘冗余阵列（Redundant Array of Independent Disks）

      SAN：存储区域网络（Storage Area Network）

      WEB：万维网（World Wide Web）

      WORM：一次写多次读（Write Once Read Many）

5 产品描述

5.1 网络存储描述

      在信息系统中，存储设备初期只安装在服务器内，之后逐渐形成了多磁盘阵列组成的可以通过网络基于不同协议连接到服务器的专用存储设备，称为网络存储。网络存储一般有三种典型的架构，见图1，常见的为NAS存储设备、SAN存储设备。

图1 网络存储三种典型架构

      网络存储的三种典型架构分别是：

      a）直接附加存储（DAS）：将存储设备直接连接到服务器上使用，数据分散管理。

      b）网络附加存储（NAS）：将存储设备连接到以太网上，支持网络文件共享协议，提供数据和文件服务。

      c）存储区域网络（SAN）：是一种通过网络方式连接存储设备和应用服务器的存储架构，提供在服务器和存储设备之间的数据传输，服务器、存储设备可以独立扩展。

      图1中网络存储的通用简要逻辑结构见图2。

图2 网络存储逻辑结构图

      网络存储硬件层由硬盘、CPU、内存、固件等构成，为设备运行提供基本支持。硬件层支持系统层的运行，系统层通常包含操作系统、驱动、数据库等。存储软件运行在操作系统上，提供备份、快照等存储功能。

5.2 网络存储安全框架

      网络存储应具备的安全功能，所组成的安全框架见图3。

图3 网络存储安全框架

      网络存储安全框架分为访问安全、系统安全、数据安全以及管理安全，简要介绍如下：

      a）访问安全包括：访问鉴别、访问控制。

      b）系统安全包括：设备可靠运行支持、设备工作状态监控、系统完整性保护、软件及软件运行安全、安全加固、Web安全、安全启动。

      c）数据安全包括：数据完整性、数据保密性、数据可用性。

      d）管理安全包括：身份管理、身份鉴别、会话管理、密码算法、安全审计、数字证书管理、密钥管理。

5.3 级别划分描述

      网络存储安全功能要求分为3个级别，分别是第一级、第二级和第三级，“宋体加粗”字表示较低等级中没有出现或增强的要求，安全功能要求在不同级别间的增强或新增内容的定性表示参见附录A的表A.1；安全保障要求分为3个级别，分别是第一级，第二级和第三级，“宋体加粗”字表示较低等级中没有出现或增强的要求，安全保障要求在不同级别间的增强或新增内容的定性表示参见表A.2。在标准应用时，满足所选择的安全保障要求级别不低于安全功能要求的级别。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 37939-2019 信息安全技术 网络存储安全技术要求》