保護好管理界面

通過分析歷年來企業(yè)級光纖系統(tǒng)遭受攻擊的案例，會得到一個重要的結論：保護好存儲設備的管理界面是極其必要的。無論IP SAN系統(tǒng)安全的防范如何嚴密，網(wǎng)絡黑客只要使用一個管理應用程序，就能夠重新分配存儲器的賦值，更改、偷竊甚至摧毀數(shù)據(jù)文件。

因此，用戶應該將管理界面隔離在安全的局域網(wǎng)內，設置復雜的登錄密碼來保護管理員帳戶;并且與存儲產品供應商們確認一下，其設定的默認后門帳戶并非使用常見的匿名登錄密碼。

基于角色的安全技術和作業(yè)帳戶(activity accounting)機制，都是非常有效的反偵破工具;如果用戶現(xiàn)有的存儲系統(tǒng)可支持這些技術的話，建議不妨加以利用。

對網(wǎng)絡傳輸?shù)臄?shù)據(jù)包進行加密

IP security(IPsec)是一種用于加密和驗證IP信息包的標準協(xié)議。IPSec提供了兩種IP SAN系統(tǒng)安全加密通訊手段：

①IPSec Tunnel：整個IP封裝在IPSec報文，提供IPSec-gateway之間的通訊;

②IPSec Transport：對IP包內的數(shù)據(jù)進行加密，使用原來的源地址和目的地址。Transport模式只能加密每個信息包的數(shù)據(jù)部分(即：有效載荷)，對文件頭不作任何處理;Tunnel模式會將信息包的數(shù)據(jù)部分和文件頭一并進行加密，在不要求修改已配備好的設備和應用的前提下，讓網(wǎng)絡黑客無法看到實際的通訊源地址和目的地址，并且能夠提供專用網(wǎng)絡通過Internet加密傳輸?shù)耐ǖ?。因此，絕大多數(shù)用戶均選擇使用Tunnel模式。

用戶需要在接收端設置一臺支持IPsec協(xié)議的解密設備，對封裝的信息包進行解密。記住，如果接收端與發(fā)送端并非共用一個密鑰的話，IPsec協(xié)議將無法發(fā)揮作用。為了確保IP SAN系統(tǒng)安全，存儲供應貨和咨詢顧問們都建議用戶使用IPsec協(xié)議來加密iSCSI系統(tǒng)中所有傳輸?shù)臄?shù)據(jù)。

不過，值得注意的是，IPsec雖然不失為一種強大的安全保護技術，卻會嚴重地干擾網(wǎng)絡系統(tǒng)的性能。有鑒于此，如非必要的話，盡量少用IPsec軟件。

加密閑置數(shù)據(jù)

加密磁盤上存放的數(shù)據(jù)，也是IP SAN系統(tǒng)安全非常必要的。問題是，加密任務應該是在客戶端(如：加密的文件系統(tǒng))、網(wǎng)絡(如：加密解決方案)，還是在存儲系統(tǒng)上完成呢?許多用戶都趨向于第一種選擇--大多數(shù)企業(yè)級操作系統(tǒng)(包括Windows和Linux在內)，都嵌入了強大的基于文件系統(tǒng)的加密技術，何況在數(shù)據(jù)被傳送到網(wǎng)絡之前實施加密，可以確保它在線上傳輸時都處于加密狀態(tài)。

當然，如果實行加密處理大大加重了CPU的負荷的話，你可以考慮將加密任務放到網(wǎng)絡中--或是交由基于磁盤陣列的加密設備--來處理，只不過效果會差一點兒，部分防護屏蔽有可能會失效。提醒用戶注意的是：千萬要保管好你的密鑰，否則，恐怕連你自己也無法訪問那些加密的數(shù)據(jù)了。