信息安全技術(shù) IP存儲網(wǎng)絡(luò)安全技術(shù)要求-編制說明

任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會2010年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃，國家標(biāo)準(zhǔn)《信息安全技術(shù)IP存儲網(wǎng)絡(luò)安全技術(shù)要求》由北京郵電大學(xué)負(fù)責(zé)主辦。編制原則本標(biāo)準(zhǔn)屬于信息系統(tǒng)災(zāi)難備份與網(wǎng)絡(luò)存儲方面的標(biāo)準(zhǔn)，以自主編寫的方式完成。IP存儲網(wǎng)絡(luò)技術(shù)是一種封裝串行SCSI(SmallComputerSystemInterface)實(shí)現(xiàn)在IP網(wǎng)絡(luò)中傳輸?shù)拇鎯^(qū)域網(wǎng)絡(luò)技術(shù)。相比于以往的FibreChannel(FC，光纖通道)存儲網(wǎng)絡(luò)技術(shù)，IP存儲網(wǎng)絡(luò)技術(shù)具有低成本、被廣泛采用、良好的標(biāo)準(zhǔn)化情況、高擴(kuò)展性、易管理、良好的廣域網(wǎng)連接以及靈活的安全性和QoS保證等諸多優(yōu)點(diǎn)，特別是吉比特以太網(wǎng)技術(shù)的使用和萬兆以太網(wǎng)技術(shù)的出現(xiàn)也消除了IP存儲網(wǎng)絡(luò)技術(shù)在性能上的瓶頸，因此IP網(wǎng)絡(luò)存儲技術(shù)必將成為未來構(gòu)筑存儲區(qū)域網(wǎng)絡(luò)的主流技術(shù)。由于IP存儲網(wǎng)絡(luò)是基于TCP/IP傳輸數(shù)據(jù)，包括各種各樣的敏感數(shù)據(jù)，TCP/IP本身不具有安全性，容易受到來自第三方的攻擊和惡意破壞，普通IP網(wǎng)絡(luò)上攻擊手段都可以適用于IP存儲環(huán)境上，從而影響數(shù)據(jù)存儲的安全性和一致性。攻擊者能夠通過截取數(shù)據(jù)包，替換數(shù)據(jù)包中的數(shù)據(jù)和控制信息以及偽裝數(shù)據(jù)包等手段進(jìn)入IP存儲網(wǎng)絡(luò)，獲取敏感數(shù)據(jù)甚至身份鑒別信息。攻擊者還可以利用重啟TCP連接，中斷安全協(xié)商過程以減弱認(rèn)證強(qiáng)度或者盜取用戶口令等方法對存儲設(shè)備發(fā)起攻擊。因此，IP存儲網(wǎng)絡(luò)的安全性成為這項(xiàng)新技術(shù)被廣泛應(yīng)用的關(guān)鍵因素。然而，在災(zāi)備存儲領(lǐng)域仍然沒有相應(yīng)的安全標(biāo)準(zhǔn)，也缺乏相應(yīng)的安全測試標(biāo)準(zhǔn)。雖然目前各家的產(chǎn)品、系統(tǒng)都有數(shù)據(jù)數(shù)據(jù)加密的功能，但是對于達(dá)到的安全級別以及需要的安全強(qiáng)度沒有一個統(tǒng)一個規(guī)范，不利于對災(zāi)備存儲系統(tǒng)的選擇和使用。因此，本標(biāo)準(zhǔn)針對這種現(xiàn)狀，提出了采用IPSecc為IP存儲協(xié)議（包括iSCSI、iFCP、FCIP）以及因特網(wǎng)存儲名稱服務(wù)（iSNS）提供安全機(jī)制的技術(shù)要求。主要工作過程標(biāo)準(zhǔn)制定的主要工作過程如下：2009年3月2日在中國通信標(biāo)準(zhǔn)化協(xié)會作為通信行業(yè)標(biāo)準(zhǔn)立項(xiàng)；2009年4月份申請國標(biāo)立項(xiàng)，申請書的名稱為《網(wǎng)絡(luò)存儲設(shè)備安全技術(shù)規(guī)范》；根據(jù)項(xiàng)目計(jì)劃的要求，北京郵電大學(xué)、工業(yè)和信息化部電信研究院、華為技術(shù)有限公司成立了標(biāo)準(zhǔn)起草小組。標(biāo)準(zhǔn)起草小組深入研究了國際、國內(nèi)網(wǎng)絡(luò)存儲設(shè)備安全技術(shù)的現(xiàn)狀，對存儲行業(yè)進(jìn)行了廣泛的、有針對性的調(diào)研，與存儲設(shè)備生產(chǎn)企業(yè)、科研機(jī)構(gòu)以及相關(guān)的高校進(jìn)行溝通，聽取了各方面的意見和建議。因?yàn)槟壳熬W(wǎng)絡(luò)存儲設(shè)備的包括DAS、NAS、SAN、IP-SAN等，各類網(wǎng)絡(luò)存儲設(shè)備具有不同的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用場景，對安全的威脅和需求也不同，標(biāo)準(zhǔn)起草小組和各方專家都認(rèn)為原項(xiàng)目名稱“網(wǎng)絡(luò)存儲設(shè)備安全技術(shù)要求”較為寬泛，應(yīng)將標(biāo)準(zhǔn)名稱細(xì)化，為此選擇了研究制定目前最為熱點(diǎn)、應(yīng)用廣泛的IP存儲網(wǎng)絡(luò)（包括iSCSI、iFCP、FCIP以及因特網(wǎng)存儲名稱服務(wù)）中的安全技術(shù)規(guī)范。2009年9月22日召開的中國通信標(biāo)準(zhǔn)化協(xié)會WG3第19次會議，標(biāo)準(zhǔn)起草小組提出了標(biāo)準(zhǔn)名稱變更申請，與會專家對變更申請及標(biāo)準(zhǔn)討論稿進(jìn)行了認(rèn)真討論，同意將名稱變更為《IP存儲網(wǎng)絡(luò)安全技術(shù)要求》。2009年12月9日召開的中國通信標(biāo)準(zhǔn)化協(xié)會TC8第八次全會及WG3第20次會議，標(biāo)準(zhǔn)征求意見第一稿在廣泛征求有關(guān)單位意見后修改完善形成標(biāo)準(zhǔn)征求意見第二稿。2010年3月份，該標(biāo)準(zhǔn)被全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會批準(zhǔn)立項(xiàng)，標(biāo)準(zhǔn)起草小組對任務(wù)書進(jìn)行了細(xì)化調(diào)整，主要研究“IP存儲網(wǎng)絡(luò)的安全技術(shù)規(guī)范”。2010年3月25日召開的中國通信標(biāo)準(zhǔn)化協(xié)會WG3第21次會議，吸收了對標(biāo)準(zhǔn)征求意見第二稿反饋意見，對標(biāo)準(zhǔn)進(jìn)一步完善，提出了通信行業(yè)標(biāo)準(zhǔn)送審稿。2010年6月11日召開的中國通信標(biāo)準(zhǔn)化協(xié)會TC8第九次全會及WG3第22次會議，提出了通信行業(yè)標(biāo)準(zhǔn)報(bào)批稿。2011年12月工業(yè)和信息化部將該標(biāo)準(zhǔn)作為通信行業(yè)標(biāo)準(zhǔn)發(fā)布，編號為YD/T2391-2011。2013年4月18日召開的中國通信標(biāo)準(zhǔn)化協(xié)會TC8WG3第33次會議，吸收了專家的反饋意見，對標(biāo)準(zhǔn)進(jìn)一步完善，提出了國家標(biāo)準(zhǔn)草稿。2013年8月1日召開的中國通信標(biāo)準(zhǔn)化協(xié)會TC8WG3第35次會議，與會專家對標(biāo)準(zhǔn)做了進(jìn)一步審查，提出了國家標(biāo)準(zhǔn)征求意見稿。秘書處組織對標(biāo)準(zhǔn)格式進(jìn)行了集中修改，馮惠老師對標(biāo)準(zhǔn)提出了修改意見，并據(jù)此進(jìn)行了修改，提出了國家標(biāo)準(zhǔn)征求意見稿。標(biāo)準(zhǔn)征求意見的落實(shí)情況如下：發(fā)送《標(biāo)準(zhǔn)草案稿》的單位包括工作組專家（評審）、全體工作組成員（投票）；回函的單位數(shù)為全體工作組成員，有建議或意見的單位數(shù)共計(jì)2個；沒有回函的單位數(shù)為0個。標(biāo)準(zhǔn)的主要內(nèi)容及確定內(nèi)容的依據(jù)本標(biāo)準(zhǔn)提出了利用IPSec為IP存儲協(xié)議（包括iSCSI、iFCP、FCIP）以及因特網(wǎng)存儲名稱服務(wù)（iSNS）提供安全機(jī)制的技術(shù)要求。本標(biāo)準(zhǔn)主要框架如下：范圍規(guī)范性引用文件術(shù)語和定義IP存儲網(wǎng)絡(luò)安全iSCSI安全FCIP安全iFCP安全iSNS安全與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)參考以下標(biāo)準(zhǔn)：IETFRFC3720因特網(wǎng)小型計(jì)算機(jī)系統(tǒng)接口（iSCSI）IETFRFC3723基于IP的安全塊存儲協(xié)議IETFRFC3821基于IP的光纖信道協(xié)議（FCIP）IETFRFC4171因特網(wǎng)存儲名稱服務(wù)（iSNS）IETFRFC4172因特網(wǎng)光纖信道協(xié)議（iFCP）IETFRFC4301因特網(wǎng)協(xié)議的安全體系（IPSec）IETFRFC4306因特網(wǎng)密鑰交換協(xié)議（IKE）有關(guān)問題的說明本標(biāo)準(zhǔn)規(guī)定了利用IPSec為IP存儲協(xié)議（包括iSCSI、iFCP、FCIP）以及因特網(wǎng)存儲名稱服務(wù)（iSNS）提供安全機(jī)制的技術(shù)要求。本標(biāo)準(zhǔn)發(fā)布后，對IP存儲網(wǎng)絡(luò)有關(guān)設(shè)備的研制、生產(chǎn)、測試具有指導(dǎo)意