信息安全技術(shù) IP存儲網(wǎng)絡(luò)安全技術(shù)要求-編制說明

任務(wù)來源根據(jù)國家標準化管理委員會2010年下達的國家標準制修訂計劃，國家標準《信息安全技術(shù)IP存儲網(wǎng)絡(luò)安全技術(shù)要求》由北京郵電大學(xué)負責(zé)主辦。編制原則本標準屬于信息系統(tǒng)災(zāi)難備份與網(wǎng)絡(luò)存儲方面的標準，以自主編寫的方式完成。IP存儲網(wǎng)絡(luò)技術(shù)是一種封裝串行SCSI(SmallComputerSystemInterface)實現(xiàn)在IP網(wǎng)絡(luò)中傳輸?shù)拇鎯^(qū)域網(wǎng)絡(luò)技術(shù)。相比于以往的FibreChannel(FC，光纖通道)存儲網(wǎng)絡(luò)技術(shù)，IP存儲網(wǎng)絡(luò)技術(shù)具有低成本、被廣泛采用、良好的標準化情況、高擴展性、易管理、良好的廣域網(wǎng)連接以及靈活的安全性和QoS保證等諸多優(yōu)點，特別是吉比特以太網(wǎng)技術(shù)的使用和萬兆以太網(wǎng)技術(shù)的出現(xiàn)也消除了IP存儲網(wǎng)絡(luò)技術(shù)在性能上的瓶頸，因此IP網(wǎng)絡(luò)存儲技術(shù)必將成為未來構(gòu)筑存儲區(qū)域網(wǎng)絡(luò)的主流技術(shù)。由于IP存儲網(wǎng)絡(luò)是基于TCP/IP傳輸數(shù)據(jù)，包括各種各樣的敏感數(shù)據(jù)，TCP/IP本身不具有安全性，容易受到來自第三方的攻擊和惡意破壞，普通IP網(wǎng)絡(luò)上攻擊手段都可以適用于IP存儲環(huán)境上，從而影響數(shù)據(jù)存儲的安全性和一致性。攻擊者能夠通過截取數(shù)據(jù)包，替換數(shù)據(jù)包中的數(shù)據(jù)和控制信息以及偽裝數(shù)據(jù)包等手段進入IP存儲網(wǎng)絡(luò)，獲取敏感數(shù)據(jù)甚至身份鑒別信息。攻擊者還可以利用重啟TCP連接，中斷安全協(xié)商過程以減弱認證強度或者盜取用戶口令等方法對存儲設(shè)備發(fā)起攻擊。因此，IP存儲網(wǎng)絡(luò)的安全性成為這項新技術(shù)被廣泛應(yīng)用的關(guān)鍵因素。然而，在災(zāi)備存儲領(lǐng)域仍然沒有相應(yīng)的安全標準，也缺乏相應(yīng)的安全測試標準。雖然目前各家的產(chǎn)品、系統(tǒng)都有數(shù)據(jù)數(shù)據(jù)加密的功能，但是對于達到的安全級別以及需要的安全強度沒有一個統(tǒng)一個規(guī)范，不利于對災(zāi)備存儲系統(tǒng)的選擇和使用。因此，本標準針對這種現(xiàn)狀，提出了采用IPSecc為IP存儲協(xié)議（包括iSCSI、iFCP、FCIP）以及因特網(wǎng)存儲名稱服務(wù)（iSNS）提供安全機制的技術(shù)要求。主要工作過程標準制定的主要工作過程如下：2009年3月2日在中國通信標準化協(xié)會作為通信行業(yè)標準立項；2009年4月份申請國標立項，申請書的名稱為《網(wǎng)絡(luò)存儲設(shè)備安全技術(shù)規(guī)范》；根據(jù)項目計劃的要求，北京郵電大學(xué)、工業(yè)和信息化部電信研究院、華為技術(shù)有限公司成立了標準起草小組。標準起草小組深入研究了國際、國內(nèi)網(wǎng)絡(luò)存儲設(shè)備安全技術(shù)的現(xiàn)狀，對存儲行業(yè)進行了廣泛的、有針對性的調(diào)研，與存儲設(shè)備生產(chǎn)企業(yè)、科研機構(gòu)以及相關(guān)的高校進行溝通，聽取了各方面的意見和建議。因為目前網(wǎng)絡(luò)存儲設(shè)備的包括DAS、NAS、SAN、IP-SAN等，各類網(wǎng)絡(luò)存儲設(shè)備具有不同的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用場景，對安全的威脅和需求也不同，標準起草小組和各方專家都認為原項目名稱“網(wǎng)絡(luò)存儲設(shè)備安全技術(shù)要求”較為寬泛，應(yīng)將標準名稱細化，為此選擇了研究制定目前最為熱點、應(yīng)用廣泛的IP存儲網(wǎng)絡(luò)（包括iSCSI、iFCP、FCIP以及因特網(wǎng)存儲名稱服務(wù)）中的安全技術(shù)規(guī)范。2009年9月22日召開的中國通信標準化協(xié)會WG3第19次會議，標準起草小組提出了標準名稱變更申請，與會專家對變更申請及標準討論稿進行了認真討論，同意將名稱變更為《IP存儲網(wǎng)絡(luò)安全技術(shù)要求》。2009年12月9日召開的中國通信標準化協(xié)會TC8第八次全會及WG3第20次會議，標準征求意見第一稿在廣泛征求有關(guān)單位意見后修改完善形成標準征求意見第二稿。2010年3月份，該標準被全國信息安全標準化技術(shù)委員會批準立項，標準起草小組對任務(wù)書進行了細化調(diào)整，主要研究“IP存儲網(wǎng)絡(luò)的安全技術(shù)規(guī)范”。2010年3月25日召開的中國通信標準化協(xié)會WG3第21次會議，吸收了對標準征求意見第二稿反饋意見，對標準進一步完善，提出了通信行業(yè)標準送審稿。2010年6月11日召開的中國通信標準化協(xié)會TC8第九次全會及WG3第22次會議，提出了通信行業(yè)標準報批稿。2011年12月工業(yè)和信息化部將該標準作為通信行業(yè)標準發(fā)布，編號為YD/T2391-2011。2013年4月18日召開的中國通信標準化協(xié)會TC8WG3第33次會議，吸收了專家的反饋意見，對標準進一步完善，提出了國家標準草稿。2013年8月1日召開的中國通信標準化協(xié)會TC8WG3第35次會議，與會專家對標準做了進一步審查，提出了國家標準征求意見稿。秘書處組織對標準格式進行了集中修改，馮惠老師對標準提出了修改意見，并據(jù)此進行了修改，提出了國家標準征求意見稿。標準征求意見的落實情況如下：發(fā)送《標準草案稿》的單位包括工作組專家（評審）、全體工作組成員（投票）；回函的單位數(shù)為全體工作組成員，有建議或意見的單位數(shù)共計2個；沒有回函的單位數(shù)為0個。標準的主要內(nèi)容及確定內(nèi)容的依據(jù)本標準提出了利用IPSec為IP存儲協(xié)議（包括iSCSI、iFCP、FCIP）以及因特網(wǎng)存儲名稱服務(wù)（iSNS）提供安全機制的技術(shù)要求。本標準主要框架如下：范圍規(guī)范性引用文件術(shù)語和定義IP存儲網(wǎng)絡(luò)安全iSCSI安全FCIP安全iFCP安全iSNS安全與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標準的關(guān)系本標準參考以下標準：IETFRFC3720因特網(wǎng)小型計算機系統(tǒng)接口（iSCSI）IETFRFC3723基于IP的安全塊存儲協(xié)議IETFRFC3821基于IP的光纖信道協(xié)議（FCIP）IETFRFC4171因特網(wǎng)存儲名稱服務(wù)（iSNS）IETFRFC4172因特網(wǎng)光纖信道協(xié)議（iFCP）IETFRFC4301因特網(wǎng)協(xié)議的安全體系（IPSec）IETFRFC4306因特網(wǎng)密鑰交換協(xié)議（IKE）有關(guān)問題的說明本標準規(guī)定了利用IPSec為IP存儲協(xié)議（包括iSCSI、iFCP、FCIP）以及因特網(wǎng)存儲名稱服務(wù)（iSNS）提供安全機制的技術(shù)要求。本標準發(fā)布后，對IP存儲網(wǎng)絡(luò)有關(guān)設(shè)備的研制、生產(chǎn)、測試具有指導(dǎo)意