专家博客：如何保障存储区域网（SAN）的安全

看上去存储区域网(SAN)所处的是一个安全的环境，用户往往没有对其安全性问题投入太多精力。然而，种种迹象都表明SAN的安全问题越来越突出，用户需要采取更多的有效措施。

毫无疑问，SAN是一个相对封闭的存储网络，在多数情况下，它在物理上就是一个独立的网络。因此，许多用户都不太在意SAN中的安全问题。

但是，当我们仔细探讨SAN中的安全问题时就会发现，其实在SAN中仍然存在许多的安全隐患：由于默认光纤通道协议的使用环境是安全的，因此该协议设计之初在安全方面并没有进行太多考虑;在存储区域网中进行的访问控制也几乎没有;在SAN中发生的一些人为操作错误会给关键业务应用带来极大危害。

McDATA中国区技术经理雷涛在谈到SAN安全话题时介绍说，随着存储区域网的日益普及，SAN的安全问题日益受到人们的关注，为了保证SAN的高度安全性，企业必需对SAN的常见风险和攻击有通盘的了解，然后才能对症下药，最大程度抵御这些威胁，尽可能避免系统停顿及经济损失。

SAN的安全威胁

SAN中最典型的安全威胁有未经授权的访问、欺骗(Spoofing)和数据盗窃(Sniffing)。

未经授权的访问是最为常见的安全威胁，它的成因可以是简单地接上了错误的连接线，也可以是将一台已被入侵的服务器连接到光纤网络上。未被授权的访问将导致其他形式的攻击。

欺骗是与未经授权访问有关的一种威胁。欺骗有多种形式和名称：仿冒、身份窃取、抢劫、伪装和WWN(全球名字)欺骗。其中一种形式是假冒用户，而另一种是伪装成一个已被授权的WWN。

数据会通过很多种途径被窃取，其中一种途径就是在数据还在传输的过程中进行盗窃，它对数据线进行窥探，例如“光纤通道分析器”就是一种可以完全监控数据传输的数据盗窃方法。如果数据盗窃做得巧妙，不会影响设备的操作。

严格的访问控制

示意图显示了攻击威胁对存储网络的各个可能切入点，每一个攻击点都有可能成为后续攻击的垫脚石。为了保证高度的安全保护，SAN系统管理员必须在入侵者和数据之间设置多个监测点。认识各个攻击点有助制定相应的防护对策。系统管理员可在下列攻击点控制未经授权访问的入侵。