ISO27040:2015數(shù)據(jù)存儲(chǔ)安全管理體系關(guān)于存儲(chǔ)安全性

發(fā)布時(shí)間：2020-11-25 作者：廣匯聯(lián)合來(lái)源：廣匯聯(lián)合

存儲(chǔ)安全性涉及物理，技術(shù)和管理控制以及與5.2中概述的存儲(chǔ)系統(tǒng)和基礎(chǔ)架構(gòu)相關(guān)的預(yù)防，檢測(cè)和糾正控制。存儲(chǔ)安全性還可以強(qiáng)制引入專(zhuān)門(mén)技術(shù)，例如：

1.介質(zhì)清理;

2.虛擬化安全;

3.自加密存儲(chǔ)設(shè)備（見(jiàn)C.3），如HDD，固態(tài)硬盤(pán)（SSD）和固態(tài)硬盤(pán)（SSHD）;

4.關(guān)鍵管理服務(wù);

5.數(shù)據(jù)真實(shí)性和完整性服務(wù);

6.運(yùn)動(dòng)保護(hù)中的數(shù)據(jù)（加密和數(shù)據(jù)減少）;

7.目錄服務(wù)和其他用戶(hù)管理系統(tǒng)。

8.為了更好地理解安全問(wèn)題和存儲(chǔ)的影響，應(yīng)該知道存儲(chǔ)技術(shù)的使用方式和原因。作為起點(diǎn)，請(qǐng)考慮以下事項(xiàng)：

9.存儲(chǔ)系統(tǒng)可以作為存儲(chǔ)網(wǎng)絡(luò)中的節(jié)點(diǎn)，可以基于但不限于傳輸控制協(xié)議/網(wǎng)際協(xié)議（TCP / IP），光纖通道（FC），以太網(wǎng)光纖通道（FCoE）等技術(shù)，和InfiniBand。根據(jù)網(wǎng)絡(luò)技術(shù)和使用的拓?fù)浣Y(jié)構(gòu)，潛在威脅可能會(huì)有很大差異。

10.存儲(chǔ)時(shí)，數(shù)據(jù)通常以塊數(shù)據(jù)或文件/對(duì)象的形式表示和訪問(wèn);這兩種存儲(chǔ)方法之間存在顯著差異。同樣，與每個(gè)相關(guān)的安全措施可能存在根本差異，尤其是訪問(wèn)控制，加密和數(shù)據(jù)完整性。

11.作為正常存儲(chǔ)操作的一部分，許多存儲(chǔ)設(shè)備類(lèi)型具有比通過(guò)接口公開(kāi)的內(nèi)部介質(zhì)功能更多的內(nèi)部介質(zhì)功能。 SSD和SSHD通常通常過(guò)度配置，其中數(shù)據(jù)可以在物理介質(zhì)區(qū)域之間內(nèi)部移動(dòng)以改善寫(xiě)入延遲。 HDD存在通常包含備用區(qū)域，當(dāng)存在臨時(shí)訪問(wèn)問(wèn)題時(shí)，可以在物理介質(zhì)區(qū)域之間內(nèi)部移動(dòng)數(shù)據(jù)。即使在通過(guò)其接口寫(xiě)入設(shè)備之后，用戶(hù)數(shù)據(jù)也可能保留在這些區(qū)域上?？赡軣o(wú)法通過(guò)接口覆蓋清除此類(lèi)設(shè)備。

12.存儲(chǔ)管理既是存儲(chǔ)基礎(chǔ)架構(gòu)的一個(gè)組成部分，也是在許多系統(tǒng)上執(zhí)行的操作。通常，特權(quán)用戶(hù)應(yīng)用配置更改，配置存儲(chǔ)，調(diào)整，監(jiān)視等此基礎(chǔ)結(jié)構(gòu)。一些管理可以遠(yuǎn)程執(zhí)行，也可以涉及供應(yīng)商支持人員等第三方。

13.數(shù)據(jù)可用性和完整性是組織存儲(chǔ)架構(gòu)中的關(guān)鍵因素，因此安全性必須是互補(bǔ)而不是權(quán)衡，并且不會(huì)通過(guò)引入阻塞點(diǎn)和額外的單點(diǎn)故障來(lái)否定高可用性度量。

14.許多組織實(shí)施精心設(shè)計(jì)的數(shù)據(jù)彈性策略，這些策略是災(zāi)難恢復(fù)（DR）和業(yè)務(wù)連續(xù)性（BC）計(jì)劃不可或缺的一部分。必須謹(jǐn)慎實(shí)施靜態(tài)數(shù)據(jù)加密等安全機(jī)制，以確保不影響彈性策略。

15.存儲(chǔ)中的虛擬化可以采用多種形式，并在存儲(chǔ)基礎(chǔ)架構(gòu)的不同位置實(shí)施。此虛擬化可以屏蔽與存儲(chǔ)呈現(xiàn)相關(guān)聯(lián)的物理詳細(xì)信息（例如，邏輯單元或文件系統(tǒng)到服務(wù)器），屏蔽設(shè)備的真實(shí)容量，執(zhí)行策略驅(qū)動(dòng)的自主數(shù)據(jù)移動(dòng)（如分層存儲(chǔ)）或完全抽象存儲(chǔ)基礎(chǔ)架構(gòu)（如云計(jì)算存儲(chǔ)）。平衡安全性和虛擬化以便它們可以共存需要仔細(xì)規(guī)劃和選擇正確的技術(shù)。

16.一些組織的數(shù)據(jù)增長(zhǎng)率正在推動(dòng)數(shù)據(jù)存儲(chǔ)技術(shù)的使用增加。作為獲取額外存儲(chǔ)的替代方案，組織正在采用壓縮和重復(fù)數(shù)據(jù)刪除等數(shù)據(jù)縮減技術(shù)。但是，這些數(shù)據(jù)縮減技術(shù)可能會(huì)受到靜態(tài)加密機(jī)制中的數(shù)據(jù)的影響，反過(guò)來(lái)，它們會(huì)在DR和BC操作期間引入數(shù)據(jù)完整性問(wèn)題。

17.作為正常數(shù)據(jù)保護(hù)策略的一部分，最終會(huì)創(chuàng)建許多數(shù)據(jù)副本（例如，在系統(tǒng)和站點(diǎn)之間復(fù)制，備份，快照等）。這些副本在使用時(shí)需要進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，然后在其有用性結(jié)束時(shí)進(jìn)行適當(dāng)?shù)那謇怼?/span>

18.使用諸如Internet協(xié)議安全（IPsec）之類(lèi)的機(jī)制，在系統(tǒng)之間傳輸時(shí)，通常需要保護(hù)敏感和高價(jià)值數(shù)據(jù)。 IPsec可能對(duì)某些技術(shù)的使用產(chǎn)生不利影響，如網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），入侵檢測(cè)系統(tǒng)（IDS），入侵防御系統(tǒng)（IPS）或其他深入了解網(wǎng)絡(luò)流量幀的系統(tǒng)。是否依賴(lài)IPsec或其他運(yùn)動(dòng)保護(hù)協(xié)議可能取決于可能中和其他技術(shù)的價(jià)值或在其中部署網(wǎng)絡(luò)的位置的權(quán)衡。許多組織正在實(shí)施靜態(tài)加密數(shù)據(jù)，以保護(hù)敏感和高價(jià)值數(shù)據(jù)。具體的加密機(jī)制和加密點(diǎn)是實(shí)際數(shù)據(jù)保護(hù)中的重要因素，也是滿(mǎn)足合規(guī)性要求的重要因素。

19.成功使用加密通常取決于在整個(gè)生命周期內(nèi)對(duì)密鑰材料的正確管理。這包括正確生成密鑰，安全存儲(chǔ)和傳輸密鑰材料，復(fù)制密鑰作為正常策略的一部分以確保數(shù)據(jù)的可用性，以及在不再需要時(shí)正確處理密鑰材料。要保護(hù)的數(shù)據(jù)的敏感性和重要性也可能影響到密鑰管理方法。確保在當(dāng)前和新興存儲(chǔ)技術(shù)上存儲(chǔ)和訪問(wèn)的數(shù)據(jù)具有足夠的機(jī)密性，完整性和可用性需要在這一層ICT中共同努力。其中許多安全措施將側(cè)重于：

1)保護(hù)存儲(chǔ)管理（操作和接口）;

2)確保充分的證書(shū)和信任管理;

3)保護(hù)數(shù)據(jù)備份和恢復(fù)資源;

4)運(yùn)動(dòng)保護(hù)數(shù)據(jù);

5)靜止保護(hù)數(shù)據(jù);

6)數(shù)據(jù)可用性保護(hù);

7)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性支持;

8)適當(dāng)?shù)那謇砗吞幹?

9)安全的自主數(shù)據(jù)移動(dòng);

10)安全的多租戶(hù)。

如您想更詳細(xì)的了解ISO27040標(biāo)準(zhǔn)，需要ISO27040標(biāo)準(zhǔn)，請(qǐng)您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。

ISO27040:2015數(shù)據(jù)存儲(chǔ)安全管理體系關(guān)于存儲(chǔ)安全性

如您想更詳細(xì)的了解ISO27040標(biāo)準(zhǔn)，需要ISO27040標(biāo)準(zhǔn)，請(qǐng)您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。

如您想更詳細(xì)的了解ISO27040標(biāo)準(zhǔn)，需要ISO27040標(biāo)準(zhǔn)，請(qǐng)您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。