USDP產品安全解決方案

1、USDP產品安全解決方案 廣州市星系數據資訊有限公司第 PAGE 15 頁 共 NUMPAGES 15 頁USDP產品安全解決方案廣州市星系數據資訊有限公司2002年6月目 錄 toc o 1-3 * MERGEFORMAT 1引言 PAGEREF _Toc12421846 h 32網絡安全 PAGEREF _Toc12421847 h 32.1網絡規(guī)劃 PAGEREF _Toc12421848 h 32.2防火墻 PAGEREF _Toc12421849 h 32.3VPN PAGEREF _Toc12421850 h 43系統安全 PAGEREF _Toc12421851 h 63.1核心

2、策略分層安全防護 PAGEREF _Toc12421852 h 63.2操作系統的安全配置 PAGEREF _Toc12421853 h 73.3數據庫系統的安全配置 PAGEREF _Toc12421854 h 73.4應用服務器的安全配置 PAGEREF _Toc12421855 h 73.5實時入侵檢測 PAGEREF _Toc12421856 h 83.6安全漏洞評估系統 PAGEREF _Toc12421857 h 83.7病毒防護 PAGEREF _Toc12421858 h 84數據安全 PAGEREF _Toc12421859 h 94.1存儲安全 PAGEREF _Toc12

3、421860 h 94.2傳輸安全 PAGEREF _Toc12421861 h 94.3容災系統 PAGEREF _Toc12421862 h 105應用安全 PAGEREF _Toc12421863 h 135.1用戶安全 PAGEREF _Toc12421864 h 145.2數據安全 PAGEREF _Toc12421865 h 145.3功能安全 PAGEREF _Toc12421866 h 146管理安全 PAGEREF _Toc12421867 h 146.1內部管理安全 PAGEREF _Toc12421868 h 156.2外部管理安全 PAGEREF _Toc1242186

4、9 h 157結論 PAGEREF _Toc12421870 h 15引言對于一個企業(yè)來說，安全在信息化管理系統的實施中是至關重要的。有時，一個關鍵數據的丟失，可能會造成企業(yè)很多業(yè)務的中止，或給其生產帶來一系列的麻煩，所以，企業(yè)信息系統的安全性成為企業(yè)實施信息化管理系統的首要考慮因素。一般來說，安全主要包括以下兩個方面，第一是本身非人為的安全性，這主要包括雷電，地震或服務器本身摔壞或其它因素使某些硬件和軟件造成不可修復性損壞，這部分的安全措施主要是對數據進行及時備份。第二個安全方面是企業(yè)本身的信息系統要做到防病毒，防黑客或非合法用戶的訪問。通常來講，第二個環(huán)節(jié)是重中之重，因為黑客，病毒攻擊的可

5、能性隨時會存在。廣州星系的USDP產品在設計之初，就以安全，適用，靈活為設計原則。在安全方面，USDP采取了多層安全結構體系（分為網絡安全、系統安全、數據安全、應用安全、管理安全），從根本上解決了企業(yè)信息化的安全隱患，使信息系統可以24*7的安全穩(wěn)定地運行。多層安全結構體系是緊密聯系的，從技術和業(yè)務兩個方面上來保證系統的安全。網絡安全USDP產品采用B/S體系結構，所以在保證產品安全時，首先要保證網絡系統的安全，在網絡安全方面，我們采用了如下解決方案：網絡規(guī)劃、VPN、防火墻等。網絡規(guī)劃一個成功的安全的網絡系統設計，要先從網絡規(guī)劃開始，因為網絡的拓撲結構是和安全性息息相關的，如果網絡的設計有問

6、題，那么對整個系統構成不僅僅是性能上的問題，更有可能在安全上引起隱患。廣州星系可以根據客戶的實際情況，為客戶設計出合理，經濟的安全網絡方案。防火墻所謂“防火墻”，就是一種將內網和外網分開的方法，實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡，防止他們更改、拷貝、毀壞你的重要信息。它相當于一個閥門，一個過濾器或者說國家的海關、邊防檢查站，負責審查經過的數據和信息，根據設定的規(guī)則處理不同的情況。由此可見，建立一個安全的防火墻系統并不僅僅取決于購買了什么牌子

7、的設備，更重要的是在于使用者是否了解本企業(yè)網絡的情況、掌握用戶的實際需求并正確地付諸實施。一般的安全來說：防火墻是必不可少的，因為內部服務主機不能完全暴露在外網上，因為再主流的操作系統和應用軟件，其中安全問題也屢見不鮮，例如最常見的緩沖區(qū)溢出漏洞存在于各種Unix，Linux和Window系統操作系統中，還有一些常用軟件的漏洞，如IIS的安全漏洞，wu-ftp的漏洞，所以說防火墻是保證系統安全的首要考慮因素。目前防火墻主要有三類：建立在通用操作系統上的軟件防火墻、具有安全操作系統的軟硬件結合的防火墻和基于專用安全操作系統的硬件防火墻。代表產品有Check Point、東大阿派Neteye、Li

8、nux下的IPChains、Cisco的PIX等等。目前的防火墻從結構上講，可分為兩種：用網關結構。內部網絡代理網關(Proxy Gateway)Internet。路由器加過濾器結構。內部網絡過濾器(Filter)路由器(Router)Internet。總的來講，應用網關結構的防火墻系統在安全控制的粒度上更加細致，多數基于軟件系統，用戶界面更加友好，管理控制較為方便；路由器加過濾器結構的防火墻系統多數基于硬件或軟硬件結合，速度比較快，但是一般僅控制到第三層和第四層協議，不能細致區(qū)分各種不同業(yè)務；有一部分防火墻結合了包過濾和應用網關兩種功能，形成復合型防火墻。具體使用防火墻則應該根據本企業(yè)實際情

9、況加以選擇。下面我就用一個實際例子講解建立安全防火墻系統的過程。網絡結構拓撲圖所有的內部網絡用戶通過兩個路由器連接防火墻，防火墻作為本網絡的唯一出口連接到Internet。內部網絡有兩個網段：192。168。1。0 /255。255。255。0和192。168。2。0 /255。255。255。0。一般來說，防火墻起以下幾個作用：障內部網絡安全，禁止外部用戶連接到內部網絡。要求具備防IP地址欺騙能力。要求具備防止IP地址盜用功能，保證特權用戶的IP不受侵害。要求對可以訪問Internet的用戶進行限制，僅允許特定用戶的IP地址可以訪問外部網絡。隱蔽內部網絡結構過濾掉一些不允許出入的包，一般來說

10、，只允許對業(yè)務有關的數據在端口上出入，并且能阻止某些病毒的特征串出入組建防火墻的關鍵在于對用戶需求的掌握和對工具的熟練的運用和實施上面。因為防火墻把內外網隔離起來后，當我們要維護或遠程備份等工作時，我們就面要使用下面的VPN技術來把公司或各分公司的內網和服務主機安全地聯系在一起。VPNVPN技術是指在公共的網絡平臺上傳輸用戶私有的數據，實現方式是在公網如Internet上搭建隧道，從而使在互聯網上傳輸私有數據得到保證。這種技術的效果類似于傳統的租用專線聯網方式，但其費用遠比采用專線方式聯網便宜。目前與企業(yè)相關的VPN隧道協議分三種：點到點隧道協議PPTP，第二層隧道協議L2TP，網絡層隧道協議

11、IPSec。1點到點隧道協議-PPTP。PPTP協議在一個已存在的IP連接上封裝PPP會話，只要網絡層是連通的，就可以運行PPTP協議。PPTP協議將控制包與數據包分開，控制包采用TCP控制，用于嚴格的狀態(tài)查詢以及信令信息；數據包部分先封裝在PPP協議中，然后封裝到GRE V2協議中。GRE是通用路由封裝協議，用于在標準IP包中封裝任何形式的數據包，因此PPTP可以支持所有的協議，包括IP，IPX，NetBEUI等等。除了搭建隧道，PPTP本身沒有定義加密機制，但它繼承了PPP的認證和加密機制，包括認證機制PAP/CHAP/MS-CHAP以及加密機制MPPE。2第二層隧道協議-L2TP。L2T

12、P是一個國際標準隧道協議，它結合了PPTP協議以及第二層轉發(fā)L2F協議的優(yōu)點。L2TP與PPTP的最大不同在于L2TP將控制包和數據包合二為一，并運行在UDP上，而不是TCP上。UDP省去了TCP中同步、檢錯、重傳等機制，因此L2TP速度很快。與PPTP類似，L2TP也可支持多種協議。L2TP協議本身并沒有提供任何加密功能。3IPsec協議。IPsec是標準的第三層安全協議，用于保護IP數據包或上層數據，它可以定義哪些數據流需要保護，怎樣保護以及應該將這些受保護的數據流轉發(fā)給誰。由于它工作在網絡層，因此可以用于兩臺主機之間，網絡安全網關之間（如防火墻，路由器），或主機與網關之間。IPsec協議

13、分兩種：ESP和AH，這兩種協議都可以提供網絡安全，如數據源認證（確保接收到的數據是來自發(fā)送方），數據完整性（確保數據沒有被更改）以及防中繼保護（確保數據到達次序的完整性）。除此之外，ESP協議還支持數據的保密性，能夠確保其它人無法讀取傳送的數據，這實際上是采用加密算法來實現的。IPsec的安全服務要求支持共享鑰匙完成認證和/或保密。在IPsec協議中引入了一個鑰匙管理協議，稱Internet鑰匙交換協議-IKE，該協議可以動態(tài)認證IPsec對等體，協商安全服務，并自動生成共享鑰匙。IPsec協議（AH或ESP）保護整個IP包或IP包中的上層協議。IPsec有兩種工作方式：傳輸方式保護上層協議

14、如TCP；隧道方式保護整個IP包。在傳輸方式下，IPsec包頭加在IP包頭和上層協議包頭之間；而在隧道方式下，整個IP包都封裝在一個新的IP包中，并在新的IP包頭和原來的IP包頭之間插入IPsec頭。兩種IPsec協議AH 和ESP都可以工作在傳輸方式下或隧道方式下。4L2TP與IPsec傳輸方式的集成。鑒于IPsec缺少用戶認證，只支持IP協議，目前有一種趨勢將L2TP和IPsec結合起來使用，采用L2TP作為隧道協議，而用IPsec協議保護數據。PPTP和L2TP都支持多協議，但要記住L2TP協議缺少數據保密性的保護。PPTP和L2TP都不具有機器認證的能力，而必須依賴于用戶認證。在所有的

15、VPN協議中，IPsec提供最好的安全性，但IPsec無法提供用戶認證，也不支持多協議。許多廠家都采用的附加的特性來支持用戶認證，比如支持Radius協議。IPsec協議十分靈活，可以滿足所有網關到網關的VPN連接。如下圖：上圖的解決方案是把帶有VPN功能的3Com公司的防火墻，采用硬件加速引擎的硬件防火墻。網絡安全產品推薦廠商：NetScreenCisco安氏3ComLucent Technologies推薦產品：東大阿爾派NetEyeCisco PIX防火墻3Com SuperStack防火墻Check Point FireWall朗新科技NetShine(適合Linux平臺)中科院安全中

16、心的ERCIST(安勝)防火墻系統安全系統安全至關重要，因為系統一旦被入侵，那么應用系統的數據就可能會被泄露出去，雖然在數據存儲上有加密措施，但整個系統被控制，將對數據的安全性造成重大的安全隱患，因為系統有被入侵者全部偷走，毀掉，解密的可能，還有，如果被移植木馬系統，將對整個公司的信息網造成重大的損失，這一個步驟，我們主要措施如下。核心策略分層安全防護在網絡和系統的安全領域，往往其進步是同一些具有標志性概念的提出聯系在一起的，“分層安全防護”就是這樣一個概念。它提出了這樣一種思路：結合不同的安全保護因素，例如防病毒軟件、防火墻和安全漏洞檢測工具，來創(chuàng)建一個比單一防護有效得多的綜合保護屏障。分層

17、的安全防護成倍地增加了黑客攻擊的成本和難度，從而大大減少了他們的攻擊頻度。分層的安全防護技術具體來說包括攻擊檢測、攻擊防范、攻擊后的恢復三個大方向，其中每一個方向有一個代表性的產品：入侵檢測系統負責進行攻擊檢測，防火墻和強制訪問控制系統負責攻擊防范，攻擊后的恢復則由自動恢復系統來解決。這三大方向體現了在網絡安全防護上的多層安全防護的思想。下面我們就多層次保護中的主要環(huán)節(jié)做具體說明。防火墻我們在網絡安全上已經講過，不過，由于病毒防范和實時檢測系統方面的技術因素比較多，所以歸并到系統安全上來。操作系統的安全配置操作系統的安全配置的涉及面很廣，第一要去掉一些操作系統本身安裝時自帶的不安全的東西，例如

18、，UNIX安裝后有一些不安全的服務如Rlogin，還有一些無用的用戶名等，這些都需要重新清理，第二：消除一些應用軟件的漏洞。這部分工作可以配合安全評估軟件來找出漏洞，還有密切關注安全公司和軟件提供商的安全公告，及時安裝安全補丁。數據庫系統的安全配置數據庫的安全首先要對口令進行嚴格的控制，因為口令的管理的不妥，可能會造成攻擊都很大的機會。還有，在數據庫訪問時，口令不能是文安放，在USDP產品中，在系統初始化后，數據庫的口令不會明文放在配置文件中，而是以動態(tài)加密的方法保存著。數據庫的安全配置還包括數據庫的權限的分配問題，應該刪掉一些不必要的用戶，數據庫維護人員和應用人員的權限嚴格分開。一般的數據庫

19、本身有一些安全機制可選取，例如只允許某幾臺或某網段的機器可訪問本數據庫等，這時我們可以用這個規(guī)則來制訂安全，只允許維護人員和應用服務器等的IP可以訪問數據庫服務。另外，有一些數據庫本身因為技術的復雜性，其產品其身設計有漏洞，這時就應該及時地打好補丁，來防范數據庫的入侵。應用服務器的安全配置應用服務器的安全性也必須考慮在系統安全中，一個很明顯的例子就是有些應用服務器本身有源碼泄露的漏洞，這樣，入侵者可透過防火墻直接從WEB方式得到源碼，給系統造成很大的威脅。應用服務器配置在安裝后，一般有一些管理程序或范例在系統里面，這里我們必須要刪掉或移走這些程序，因為這些程序也能給系統造成安全隱患，透過這些程

20、序，有些不良用戶可以看到系統的基本信息，如程序的存儲路徑等。這部分主要解決方案是系統實施時作一次比較徹底的配置，打上最新的補丁來配合應服服務器的順利運行。廣州星系在這方面有著比較獨到的研究，對各種產品有著比較透徹，實時的的了解，在各種應用服務器的安裝實施方面，我們可以解決這方面的隱患。實時入侵檢測入侵檢測系統是指監(jiān)視（或者在可能的情況下阻止）入侵或者試圖控制你的系統或者網絡資源等不良行為的系統。入侵檢測系統是近年出現的新型網絡安全技術，其目的是提供實時的入侵檢測及采取相應的防護手段。選擇入侵檢測系統，應特別注意其主要性能的情況，包括：協議分析及檢測能力、解碼效率(速度)、自身安全的完備性、精確

21、度及完整度防欺騙能力、模式更新速度，等等。入侵檢測系統是分層安全中日益被普遍采用的成分，它將有效地提升黑客進入網絡系統的門檻。入侵監(jiān)測系統能夠通過向管理員發(fā)出入侵或者入侵企圖來加強當前的存取控制系統，例如防火墻。識別防火墻通常不能識別的攻擊，如來自企業(yè)內部的攻擊；在發(fā)現入侵企圖之后提供必要的信息，幫助系統移植。安全漏洞評估系統安全漏洞評估系統是一個漏洞和風險評估工具，用于發(fā)現、發(fā)掘和報告網絡安全漏洞。一個出色的安全評估系統不僅能夠檢測和報告漏洞，而且還可以發(fā)現漏洞發(fā)生在什么地方以及發(fā)生的原因。它在系統間分享信息并繼續(xù)探測各種漏洞直到發(fā)現所有的安全漏洞；還可以通過發(fā)掘漏洞以提供更高的可信度以確保

22、被檢測出的漏洞是真正的漏洞。這就使得風險分析更加精確，并確保管理員可以把風險程度最高的漏洞放在優(yōu)先考慮的位置。最新的漏洞評估系統還采用了獨特的“路徑分析技術”，用以發(fā)現漏洞的根本原因。通過分析漏洞的根本原因，任何重復的漏洞、模式或異常的現象很容易被確定到是否是重要問題，或被確定到網絡中的系統并且迅速被排除。病毒防護防病毒軟件的應用也是多層安全防護的一項必要措施。它是專門為防止已知和未知的病毒感染你的信息系統而設計的。它的針對性很強，但是需要不斷更新，而且存在一定的片面性。讓我們看看多層防護策略是如何發(fā)揮作用的。即使網絡中的入侵檢測系統失效，防火墻、安全漏洞評估和防病毒軟件還會起作用。配置合理的

23、防火墻能夠在入侵檢測系統發(fā)現之前阻止最普通的攻擊。安全漏洞評估能夠發(fā)現漏洞并幫助清除這些漏洞。如果一個系統沒有安全漏洞，即使一個攻擊沒有被發(fā)現，那么這樣的攻擊也不會成功。即使入侵檢測系統沒有發(fā)現已知病毒，防火墻沒能夠阻止病毒，安全漏洞檢測沒有清除病毒傳播途徑，防病毒軟件同樣能夠偵測這些病毒。所以，在使用了多層安全防護措施以后，企圖入侵你的公司的信息系統的黑客要付出成數倍的代價才有可能達到入侵目的。這時，你的信息系統的安全系數得到了大大的提升。如果你擁有多層安全防護系統，那么，黑客滲透進來的成本就更高，他們就需要更多的資源，而這些都是大多數潛在的黑客做不到的。多層安全防護系統使得入侵者更可能放棄

24、對你系統的攻擊。如下圖：就是冠群金辰的一個解決方案圖：推薦廠商：Symantec CorpNAI冠群金辰安氏CheckPointNetwork Associates，Inc的Internet Security Suite(ISS)/ Real SecureCisco的Cisco NetRanger中科網威的天眼網絡偵測系統數據安全存儲安全存儲加密被廣泛地用到了USDP的整個系統中，某些關鍵信息例如密碼關鍵以及相關重要業(yè)務數據被加密保存在數據庫或文本中或其它邏輯存儲設備中，這樣一來，連系統管理員也無法得到真實的數據，在系統中，只有在經過我們的初始化的系統后，再添加一個管理員，只有這個管理員才能看

25、到真正準確的信息。傳輸安全數據在傳輸中，如果涉及到企業(yè)重要的信息，不能以明文方式出去，以免遭到不良動機的人竊下數據包，再加以組合從而看到企業(yè)的信息，為了不致使數據被竊，其中數據傳輸中，我們可以采用SSL加密來保證傳輸的安全性。1SSL（Secure Socket Layer）協議是由Netscape首先發(fā)表的網絡資料安全傳輸協定，其首要目的是在兩個通信間提供秘密而可靠的連接。該協議由兩層組成，底層是建立在可靠的傳輸協議（例如：TCP）上的是SSL的記錄層，用來封裝高層的協議。SSL握手協議準許服務器端與客戶端在開始傳輸數據前，能夠通過特定的加密算法相互鑒別。SSL的先進之處在于它是一個獨立的應

26、用協議，其它更高層協議能夠建立在SSL協議上。目前大部分的Web Server及Browser大多支持SSL的資料加密傳輸協定。因此，可以利用這個功能，將部分具有機密性質的網頁設定在加密的傳輸模式，如此即可避免資料在網絡上傳送時被其他人竊聽。SSL是利用公開密鑰的加密技術（RSA）來作為用戶端與主機端在傳送機密資料時的加密通訊協定。目前，大部分的Web Server及Browser都廣泛使用SSL 技術。對消費者而言，SSL已經解決了大部分的問題。但是，對電子商務而言問題并沒有完全解決，因為SSL只做能到資料保密，廠商無法確定是誰填下了這份資料，即使這一點做到了，還有和銀行清算的問題。還有一個

27、文件存儲的安全性，這部分我們可以推薦用戶使用PGP對安全性要求高的文檔來加密。2PGP（Pretty Good Privacy）目前，還有一種非常好的連接網絡與桌面的安全方法，PGP（Pretty Good Privacy）。PGP是一個公鑰加密程序，與以前的加密方法不同的是PGP公鑰加密的信息只能用私鑰解密。在傳統的加密方法中，通常一個密鑰既能加密也能解密。那么在開始傳輸數據前，如何通過一個不安全的信道傳輸密鑰呢？使用PGP公鑰加密法，你可以廣泛傳播公鑰，同時安全地保存好私鑰。由于只有你可擁有私鑰，所以，任何人都可以用你的公鑰加密寫給你的信息，而不用擔心信息被竊聽。使用PGP的另一個好處是可

28、以在文檔中使用數字簽名。一個使用私鑰加密的密鑰只能用公鑰解密。這樣，如果人們閱讀用你的公鑰解密后的文件，他們就會確定只有你才能寫出這個文件。目前最新版本的PGP 2。6。3是美國和加拿大使用的版本，PGP 2.6.3i是一般Internet上使用的，它可以從www.P下載。PGP是一個軟件加密程序，用戶可以使用它在不安全的通信鏈路上創(chuàng)建安全的消息和通信。PGP協議已經成為公鑰加密技術和全球范圍消息安全性的事實標準。因為所有人都能看到它的源代碼，從而查找出故障和安全性漏洞，所有的故障和漏洞都在發(fā)現后被改正了。此外，我們在維護或后臺采編信息到服務器上時，我們用VPN來使內外網聯合在一起，其中VPN

29、的出入數據也嚴格經過了加密，例如有些VPN廠商采用DES，3DES，RC4或RSA等強加密算法來加密，還有，我們在維護機器時，采用的軟件也最好使用有加密性安全性高的軟件，例如，telnet本身是幾乎以明文傳輸的控制程序，這時，我們最發(fā)采用SSH來代替。這時，我們在內部工作時，采用雙種加密，使數據無論是在內網還是在外網，都消除數據被竊聽的可能性。容災系統容災系統的結構比較復雜，一般來說，它首要的功能的數據備份功能，以防止硬碟在運行時出現損壞時，這些自動地數據實時地備份到備份設備如磁帶，磁碟等存貯介質中，第二個容災功能要求是當系統出現不可測問題的，容災系統的備份機會自動啟動工作，來接替主機的工作，

30、使之系統能在24* 7正常地工作。一般地，容災系統的工程比較大，耗費也比較大，比較對信息的實時性或安全性特別重要的情況下，一般要有一個容災小組來規(guī)劃整個系統的災難可能發(fā)生的情況及整個系統的運行環(huán)境，以便于內部實施或請專門的技術公司實施容災系統。在備份方面，比較成熟的技術有DAS(Direct Attached Storage)，SAN(Storage Area Network)和NAS(Network Attach Stroage)。NAS與SAN都是在DAS的基礎上發(fā)展起來的，是新型數據存儲模式中的兩個主要發(fā)展方向。而RAID只是三種存儲的一個常用基礎存儲方式。1DASTypical LAN

31、 using DASDAS系統軟件安裝較為煩瑣，初始化RAID及調試第三方軟件一般需要兩天時間，無獨立的存儲操作系統，需相應服務器或客戶端支持，容易造成網絡癱瘓，管理較復雜。需要第三方軟件支持。由于各系統平臺文件系統不同，增容時需對各自系統分別增加數據存儲設備及管理軟件。異地備份，備份過程麻煩。依靠雙服務器和相關軟件實現雙機容錯功能，但兩服務器同時發(fā)生故障，用戶就不能進行數據存儲。而SAN和NAS在存貯上可以克服上述一些缺點2SANSAN可以定義為是以數據存儲為中心，采用可伸縮的網絡拓撲結構，通過具有高傳輸速率的光通道的直接連接方式，提供SAN內部任意節(jié)點之間的多路可選擇的數據交換，并且將數據

32、存儲管理集中在相對獨立的存儲區(qū)域網內。在多種光通道傳輸協議逐漸走向標準化并且跨平臺群集文件系統投入使用后，SAN最終將實現在多種操作系統下，最大限度的數據共享和數據優(yōu)化管理，以及系統的無縫擴充。Typical LAN using SAN3NAS網絡附加存儲設備（NAS）是一種專業(yè)的網絡文件存儲及文件備份設備，或稱為網絡直聯存儲設備、網絡磁盤陣列。一個NAS里面包括核心處理器，文件服務管理工具，一個或者多個的硬盤驅動器用于數據的存儲。NAS 可以應用在任何的網絡環(huán)境當中。主服務器和客戶端可以非常方便地在NAS上存取任意格式的文件，包括SMB格式（Windows）NFS格式(Unix，Linux)

33、和CIFS格式等等。NAS 系統可以根據服務器或者客戶端計算機發(fā)出的指令完成對內在文件的管理。另外的特性包括：獨立于操作平臺，不同類的文件共享，交叉協議用戶安全性/許可性，瀏覽器界面的操作/管理，和不會中斷網絡的增加和移除服務器。NAS是在RAID的基礎上增加了存儲操作系統，而SAN是獨立出一個數據存儲網絡，網絡內部的數據傳輸率很快，但操作系統仍停留在服務器端，用戶不是在直接訪問SAN的網絡，因此這就造成SAN在異構環(huán)境下不能實現文件共享。NAS與SAN的數據存儲可通過下面的圖來表示：SAN存儲NAS存儲以上兩圖說明：SAN是只能獨享的數據存儲池，NAS是共享與獨享兼顧的數據存儲池。因此，NA

34、S與SAN的關系也可以表述為：NAS是Network-attached，而SAN是Channel-attached。其中SAN實施費用比較高，但速度上很快，并且有一部分廠商實現在異種文件系統的共享，但一般來說，技術上有一定的故障。同SAN相比，NAS 技術是相對成熟的。盡管有一些SAN文件共享解決方案存在，它們一般是針對特定的要求，多個服務器要求高速的的接入通過私有的輕量級的協議來實現共享數據。NAS是網絡技術在存儲領域的延伸和發(fā)展，數據以文件的形式按照網絡協議在客戶機與存儲設備之間流動，它可以利用NFS實現異構平臺的客戶機對數據的共享，集成在存儲設備內的專用文件服務器提高了文件傳輸的I/O速

35、度。一旦用戶把互連性和多平臺性放在首位的時候，對NAS的考慮會多一些。但是，當數據存儲發(fā)展到一定規(guī)模，NAS的缺陷就顯現出來，如數據服務和數據管理形成了網絡的雙重負擔；磁盤陣列必須配置專用文件服務器，后期擴容成本高；一般文件服務器沒有高可用配置，有單點故障；通過網絡協議的訪問方式，對存儲系統的數據安全構成威脅等。顯然，NAS技術不能滿足可靠度為99。999%的數據存儲系統的要求。SAN主要針對海量/面向數據塊的數據傳輸，NAS提供文件訪問級數據訪問功能，另外，在一個系統中SAN和NAS可以并存推薦廠商：EMC VeritasIBMHPProcom神州數碼應用安全安全的實施，一半在于基礎的安全，

36、另一半在于應用和管理的安全，其中，應用安全在整個USDP的產品中都考慮到比較周全，使產品無論從邏輯上還是從功能上都能達到一個很安全的層次，首先，在功能上，我們采用了完全跨平臺的XML來作為底層編層語言，用多層結構來保證其可用性，可擴展性和高度的可集成性，從而從容不迫24*7提供很高的保證。在管理上，日志管理是一個很方便的監(jiān)督作用，他能動態(tài)地監(jiān)視用戶的每一個動作，從而可以從根本上指導用戶的操作，例如在培訓方面，通過對日志的分析，可以看到一個用戶對系統應用的掌握程度，如果在某一個環(huán)節(jié)出錯，培訓管理員或系統管理員可以通知是怎么出錯，還有，日志還有動態(tài)歸檔功能，當一個環(huán)節(jié)是由于操作不當或其它原因，歸檔

37、后用戶可以EMAIL到我們的技術支持來查看日志來得出原因。USDP產品可以從根本上看到用戶在系統中的每一個操作，并且只能管理員才能看到這些操作記錄，通過配置這些操作可以動態(tài)地以EMAIL，FAX或短消息發(fā)給特定的人。在邏輯上我以主要以下三個管理機制用戶安全所用用戶登錄必須通過一個入口登錄到系統，沒有驗證的用戶是看不到系統的任何數據，因為，我們的每一個頁面都有身份驗證，并且，用戶登錄時，會動態(tài)地記下其登錄時間，用戶名以及IP等。另外，用戶管理是和權限控制聯系在一起的，在系統初始化后，有一個超級用戶，這個用戶可以添加其它用戶，例如倉管員，對于他的功能就只能調拔該倉的產品，可對其它財務數據來說，他是看不到的，這樣可以達到業(yè)務的一個比較好的保密性，在多用戶下，可以用角色來分配權限給用戶，這樣更加方便了系統的可操作性。數據安全在權限管理中，產品的管理上采用了地域的劃分法，倉庫和部門劃分等方法，力求把權限細分到最小化，而在操作上達到簡單化。在權限管理中，對權限的賦予和收回都采用了嚴格的措施，使用戶看處到他應該得到到的數據，而其它數據的存在根本不知道，這在菜單上表現來說，如果用戶沒一個一級權限，那么這個主菜單就不存在，該