存储虚拟化环境中的安全防护分析
(2)检测文件模式的非正常修改:根据系统中某些文件操作模式的规律制定检测依据。如系统日志文件在正常情况下,总是以增量的方式进行周期性滚动,当有背离以上模式的行为发生时可以认为是发生了非法入侵行为;系统中的另一种更新模式是时间的不可回溯性;如文件内容的更改只会引起文件属性的变化,而文件创建时间等属性是不能发生变化的,当发生以上行为时也应该认为发生了入侵行为并进行报警。
(3)监控文件结构的完整性:基于存储的入侵检测系统对存储信息进行结构化分析,并建立结构规则库,当违反规则库中结构的行为发生时应认为发生了入侵行为。典型的文件结构规则库如UNIX系统的口令文件(/etc/passwd文件)包含一组记录条,记录之间通过换行符分割,每一条记录都包含七个不同的字段,每个字段用冒号分开。入侵检测系统可以监控并校验/etc/passwd文件内容是否符合正常规则来判断是否发生入侵行为,但这种基于文件内容的检测将占用系统大量的运算资源,因此监控的对象应限制在较小的范围内。
(4)扫描检测可疑文件:对存储设备上所有文件的扫描发现病毒或木马的存在。在这点上,入侵检测系统类似与基于主机的病毒防护系统,通过对病毒或恶意代码的特征库匹配来发现可疑文件。
4自安全存储设备
提高存储虚拟化安全防护水平的另一个手段是选用具有自安全功能的存储设备。安全存储设备最早是由卡内基?梅隆大学并行数据实验室于2000年在USENIX协会的第四次操作系统设计和实现会议中提出来,目的是通过将以往存在于服务器上的安全机制嵌入到存储设备中来,防止入侵者永久性地删除存储数据或对方利用存储服务器和一定权限对用户进行攻击。在存储设备自身建立一套安全机制,通过内置的操作指令对存储行为进行管理。由于存储设备具有一定的独立性,因此在主机或客户端系统受到攻击的情况下,仍能确保数据不受到破坏,从而提高系统的安全性。在存储虚拟化环境下,应对自安全存储设备进行统一的安全策略配置,以保证全网达到一致的安全防护水平。
5数据删除或销毁
应用存储虚拟化技术后,数据的彻底删除也是必须考虑的问题。由于数据存放的物理位置是位于多个异构存储系统之上,对于应用而言,并不了解数据的具体存放位置,而普通的文件删除操作并不是真正删除文件,只是删掉了索引文件的入口。因此在应用存储虚拟化技术之后,应在虚拟化管理软件将安全保密需求相同的文件在物理存储上分配在同一块或多块磁盘上,在删除文件时,为了彻底清除这些磁盘上的敏感信息,将该磁盘或多块磁盘的文件所有位同时进行物理写覆盖。对于安全保密需求高的场合,还应采用消磁的方式来进行更进一步地销毁。
随着企业信息数字化的进一步深入发展,在面对不断膨胀的数据量和不断增多的物理存储设备下,存储虚拟化技术正逐渐成为共享存储管理的主流技术。基于这项技术建设的存储网络的安全也越来越引起人们的重视,由于目前存储虚拟化中应用的各项安全技术依然缺乏标准化,不同产品提供的安全技术不能完全兼容,因此,尽快出台业界公认的标准,解决不同厂商之间存储系统安全机制的互操作问题是迫在眉睫的事情。 (编辑:我爱故事小小网_铜陵站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |