4.存储安全与管理

第15章 确保存储基础设施安全
两个标准来衡量一套存储安全方法的效率。第一，部署系统的花费应当只占被保护数据的价值的小部分。 第二，相对于被保护的数据的价值来说，一个潜在的攻击者将花费更多的时间、金钱来危害系统。
被动攻击的类型
• 窃听：偷听谈话，未授权的获取信息的方式。
• 窥探：用一种未授权的方式来访问另一个用户的数据。
键盘记录器，拦截电子邮件。

拒绝服务（DoS）攻击阻止合法的用户使用资源。

逻辑单元屏蔽（LUN masking）决定了哪些主机可以访问哪些存储设备。

安全通信通道，Secure Shell（SSH）/Secure Sockets Layer（SSL），事件日志记录帮助识别未授权的访问以及对基础设施的未授权的更改。
保护管理网络基础设施的控制措施包括加密管理数据流、加强管理访问控制、应用IP网络最好的安全措施。

FC-SAN的安全机制FC-SP（光纤通道安全协议）标准，将IP和FC互连的安全机制和算法进行了标准化。

在一个文件可共享的环境下，NAS设备使用标准的文件共享协议：NFS和CIFS。

第16章 管理存储基础设施
7×24小时
路径故障转移软件。

BIOS：基本输入/输出系统
CAS：内容寻址存储
CRC：循环冗余校验
DAS：直连存储
FC-AL:光纤通道仲裁环
GE：千兆位以太网
GUI：图形用户界面
HBA：主机总线适配器
iSCSI：互联网小型计算机接口协议
JBOD：简单磁盘捆绑
LAN：局域网
LBA：逻辑块地址
LUN：逻辑设备编号
LV：逻辑卷
VLAN：虚拟局域网
WWN：万维网名称
仲裁：当在FC-AL（光纤仲裁环）中的多个节点试图传送数据时，决策哪个节点获得控制权。

初次访问时复制（CoFA） 一种基于指针的全卷复制方法。只有当源端数据进行写操作，或者第一次对目标数据进行读/写操作时，才将数据从源端复制到目标端。
初次写时复制（CoFW) 一种基于指针的虚拟复制方法。当第一次对源或目标数据进行写操作时，将数据复制到事先定义好的阵列区域内。
文件级访问：一个块级别访问的抽象，对应用程序隐藏了逻辑块地址的复杂性。
文件级虚拟化：提供文件数据访问和文件物理存储位置之间的相互独立性。
刷清：一个数据从缓存提交到磁盘上的过程。
强行刷清：在大规模的并发输入输出中，强制性地将脏页面刷清到磁盘上。
前端控制器：从主机上接受和处理输入输出请求，并且与缓存或后端进行通信。
前段端口：提供存储系统和主机或者互连设备间的端口。
热备份：在应用程序并运行时进行数据备份，此时用户可以正常访问应用。
增量备份：复制那些最近发生的自上次完全或增量备份后的变化数据。
启动器（Initiator）
局域网（LAN）
逻辑块地址（LBA）：预先定义的存储空间块使用动态号码的地址分配方法。
虚拟专用网络（VPN）：一种安全的专用的通信网络，通过另一种网络提供通道。