信息安全技術(shù) IP存儲(chǔ)網(wǎng)絡(luò)安全技術(shù)要求-編制說(shuō)明

任務(wù)來(lái)源根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2010年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)IP存儲(chǔ)網(wǎng)絡(luò)安全技術(shù)要求》由北京郵電大學(xué)負(fù)責(zé)主辦。編制原則本標(biāo)準(zhǔn)屬于信息系統(tǒng)災(zāi)難備份與網(wǎng)絡(luò)存儲(chǔ)方面的標(biāo)準(zhǔn)，以自主編寫(xiě)的方式完成。IP存儲(chǔ)網(wǎng)絡(luò)技術(shù)是一種封裝串行SCSI(SmallComputerSystemInterface)實(shí)現(xiàn)在IP網(wǎng)絡(luò)中傳輸?shù)拇鎯?chǔ)區(qū)域網(wǎng)絡(luò)技術(shù)。相比于以往的FibreChannel(FC，光纖通道)存儲(chǔ)網(wǎng)絡(luò)技術(shù)，IP存儲(chǔ)網(wǎng)絡(luò)技術(shù)具有低成本、被廣泛采用、良好的標(biāo)準(zhǔn)化情況、高擴(kuò)展性、易管理、良好的廣域網(wǎng)連接以及靈活的安全性和QoS保證等諸多優(yōu)點(diǎn)，特別是吉比特以太網(wǎng)技術(shù)的使用和萬(wàn)兆以太網(wǎng)技術(shù)的出現(xiàn)也消除了IP存儲(chǔ)網(wǎng)絡(luò)技術(shù)在性能上的瓶頸，因此IP網(wǎng)絡(luò)存儲(chǔ)技術(shù)必將成為未來(lái)構(gòu)筑存儲(chǔ)區(qū)域網(wǎng)絡(luò)的主流技術(shù)。由于IP存儲(chǔ)網(wǎng)絡(luò)是基于TCP/IP傳輸數(shù)據(jù)，包括各種各樣的敏感數(shù)據(jù)，TCP/IP本身不具有安全性，容易受到來(lái)自第三方的攻擊和惡意破壞，普通IP網(wǎng)絡(luò)上攻擊手段都可以適用于IP存儲(chǔ)環(huán)境上，從而影響數(shù)據(jù)存儲(chǔ)的安全性和一致性。攻擊者能夠通過(guò)截取數(shù)據(jù)包，替換數(shù)據(jù)包中的數(shù)據(jù)和控制信息以及偽裝數(shù)據(jù)包等手段進(jìn)入IP存儲(chǔ)網(wǎng)絡(luò)，獲取敏感數(shù)據(jù)甚至身份鑒別信息。攻擊者還可以利用重啟TCP連接，中斷安全協(xié)商過(guò)程以減弱認(rèn)證強(qiáng)度或者盜取用戶(hù)口令等方法對(duì)存儲(chǔ)設(shè)備發(fā)起攻擊。因此，IP存儲(chǔ)網(wǎng)絡(luò)的安全性成為這項(xiàng)新技術(shù)被廣泛應(yīng)用的關(guān)鍵因素。然而，在災(zāi)備存儲(chǔ)領(lǐng)域仍然沒(méi)有相應(yīng)的安全標(biāo)準(zhǔn)，也缺乏相應(yīng)的安全測(cè)試標(biāo)準(zhǔn)。雖然目前各家的產(chǎn)品、系統(tǒng)都有數(shù)據(jù)數(shù)據(jù)加密的功能，但是對(duì)于達(dá)到的安全級(jí)別以及需要的安全強(qiáng)度沒(méi)有一個(gè)統(tǒng)一個(gè)規(guī)范，不利于對(duì)災(zāi)備存儲(chǔ)系統(tǒng)的選擇和使用。因此，本標(biāo)準(zhǔn)針對(duì)這種現(xiàn)狀，提出了采用IPSecc為IP存儲(chǔ)協(xié)議（包括iSCSI、iFCP、FCIP）以及因特網(wǎng)存儲(chǔ)名稱(chēng)服務(wù)（iSNS）提供安全機(jī)制的技術(shù)要求。主要工作過(guò)程標(biāo)準(zhǔn)制定的主要工作過(guò)程如下：2009年3月2日在中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)作為通信行業(yè)標(biāo)準(zhǔn)立項(xiàng)；2009年4月份申請(qǐng)國(guó)標(biāo)立項(xiàng)，申請(qǐng)書(shū)的名稱(chēng)為《網(wǎng)絡(luò)存儲(chǔ)設(shè)備安全技術(shù)規(guī)范》；根據(jù)項(xiàng)目計(jì)劃的要求，北京郵電大學(xué)、工業(yè)和信息化部電信研究院、華為技術(shù)有限公司成立了標(biāo)準(zhǔn)起草小組。標(biāo)準(zhǔn)起草小組深入研究了國(guó)際、國(guó)內(nèi)網(wǎng)絡(luò)存儲(chǔ)設(shè)備安全技術(shù)的現(xiàn)狀，對(duì)存儲(chǔ)行業(yè)進(jìn)行了廣泛的、有針對(duì)性的調(diào)研，與存儲(chǔ)設(shè)備生產(chǎn)企業(yè)、科研機(jī)構(gòu)以及相關(guān)的高校進(jìn)行溝通，聽(tīng)取了各方面的意見(jiàn)和建議。因?yàn)槟壳熬W(wǎng)絡(luò)存儲(chǔ)設(shè)備的包括DAS、NAS、SAN、IP-SAN等，各類(lèi)網(wǎng)絡(luò)存儲(chǔ)設(shè)備具有不同的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用場(chǎng)景，對(duì)安全的威脅和需求也不同，標(biāo)準(zhǔn)起草小組和各方專(zhuān)家都認(rèn)為原項(xiàng)目名稱(chēng)“網(wǎng)絡(luò)存儲(chǔ)設(shè)備安全技術(shù)要求”較為寬泛，應(yīng)將標(biāo)準(zhǔn)名稱(chēng)細(xì)化，為此選擇了研究制定目前最為熱點(diǎn)、應(yīng)用廣泛的IP存儲(chǔ)網(wǎng)絡(luò)（包括iSCSI、iFCP、FCIP以及因特網(wǎng)存儲(chǔ)名稱(chēng)服務(wù)）中的安全技術(shù)規(guī)范。2009年9月22日召開(kāi)的中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)WG3第19次會(huì)議，標(biāo)準(zhǔn)起草小組提出了標(biāo)準(zhǔn)名稱(chēng)變更申請(qǐng)，與會(huì)專(zhuān)家對(duì)變更申請(qǐng)及標(biāo)準(zhǔn)討論稿進(jìn)行了認(rèn)真討論，同意將名稱(chēng)變更為《IP存儲(chǔ)網(wǎng)絡(luò)安全技術(shù)要求》。2009年12月9日召開(kāi)的中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)TC8第八次全會(huì)及WG3第20次會(huì)議，標(biāo)準(zhǔn)征求意見(jiàn)第一稿在廣泛征求有關(guān)單位意見(jiàn)后修改完善形成標(biāo)準(zhǔn)征求意見(jiàn)第二稿。2010年3月份，該標(biāo)準(zhǔn)被全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)批準(zhǔn)立項(xiàng)，標(biāo)準(zhǔn)起草小組對(duì)任務(wù)書(shū)進(jìn)行了細(xì)化調(diào)整，主要研究“IP存儲(chǔ)網(wǎng)絡(luò)的安全技術(shù)規(guī)范”。2010年3月25日召開(kāi)的中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)WG3第21次會(huì)議，吸收了對(duì)標(biāo)準(zhǔn)征求意見(jiàn)第二稿反饋意見(jiàn)，對(duì)標(biāo)準(zhǔn)進(jìn)一步完善，提出了通信行業(yè)標(biāo)準(zhǔn)送審稿。2010年6月11日召開(kāi)的中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)TC8第九次全會(huì)及WG3第22次會(huì)議，提出了通信行業(yè)標(biāo)準(zhǔn)報(bào)批稿。2011年12月工業(yè)和信息化部將該標(biāo)準(zhǔn)作為通信行業(yè)標(biāo)準(zhǔn)發(fā)布，編號(hào)為YD/T2391-2011。2013年4月18日召開(kāi)的中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)TC8WG3第33次會(huì)議，吸收了專(zhuān)家的反饋意見(jiàn)，對(duì)標(biāo)準(zhǔn)進(jìn)一步完善，提出了國(guó)家標(biāo)準(zhǔn)草稿。2013年8月1日召開(kāi)的中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)TC8WG3第35次會(huì)議，與會(huì)專(zhuān)家對(duì)標(biāo)準(zhǔn)做了進(jìn)一步審查，提出了國(guó)家標(biāo)準(zhǔn)征求意見(jiàn)稿。秘書(shū)處組織對(duì)標(biāo)準(zhǔn)格式進(jìn)行了集中修改，馮惠老師對(duì)標(biāo)準(zhǔn)提出了修改意見(jiàn)，并據(jù)此進(jìn)行了修改，提出了國(guó)家標(biāo)準(zhǔn)征求意見(jiàn)稿。標(biāo)準(zhǔn)征求意見(jiàn)的落實(shí)情況如下：發(fā)送《標(biāo)準(zhǔn)草案稿》的單位包括工作組專(zhuān)家（評(píng)審）、全體工作組成員（投票）；回函的單位數(shù)為全體工作組成員，有建議或意見(jiàn)的單位數(shù)共計(jì)2個(gè)；沒(méi)有回函的單位數(shù)為0個(gè)。標(biāo)準(zhǔn)的主要內(nèi)容及確定內(nèi)容的依據(jù)本標(biāo)準(zhǔn)提出了利用IPSec為IP存儲(chǔ)協(xié)議（包括iSCSI、iFCP、FCIP）以及因特網(wǎng)存儲(chǔ)名稱(chēng)服務(wù)（iSNS）提供安全機(jī)制的技術(shù)要求。本標(biāo)準(zhǔn)主要框架如下：范圍規(guī)范性引用文件術(shù)語(yǔ)和定義IP存儲(chǔ)網(wǎng)絡(luò)安全iSCSI安全FCIP安全iFCP安全iSNS安全與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定、國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)參考以下標(biāo)準(zhǔn)：IETFRFC3720因特網(wǎng)小型計(jì)算機(jī)系統(tǒng)接口（iSCSI）IETFRFC3723基于IP的安全塊存儲(chǔ)協(xié)議IETFRFC3821基于IP的光纖信道協(xié)議（FCIP）IETFRFC4171因特網(wǎng)存儲(chǔ)名稱(chēng)服務(wù)（iSNS）IETFRFC4172因特網(wǎng)光纖信道協(xié)議（iFCP）IETFRFC4301因特網(wǎng)協(xié)議的安全體系（IPSec）IETFRFC4306因特網(wǎng)密鑰交換協(xié)議（IKE）有關(guān)問(wèn)題的說(shuō)明本標(biāo)準(zhǔn)規(guī)定了利用IPSec為IP存儲(chǔ)協(xié)議（包括iSCSI、iFCP、FCIP）以及因特網(wǎng)存儲(chǔ)名稱(chēng)服務(wù)（iSNS）提供安全機(jī)制的技術(shù)要求。本標(biāo)準(zhǔn)發(fā)布后，對(duì)IP存儲(chǔ)網(wǎng)絡(luò)有關(guān)設(shè)備的研制、生產(chǎn)、測(cè)試具有指導(dǎo)意