存儲安全不需求？數(shù)據(jù)路徑需要更安全？

看起來似乎有點瘋了，人們告訴我沒有存儲安全需求，需要的是網(wǎng)絡(luò)和操作系統(tǒng)安全，保護文件系統(tǒng)和數(shù)據(jù)路徑并不重要，他們的理由是存儲安全太難以管理了，當(dāng)然，我問他們究竟是怎么想的，他們并沒有給我直接的答復(fù)。我認(rèn)為人們關(guān)心的是磁盤驅(qū)動器密鑰管理的復(fù)雜性，但這僅僅是存儲安全的一個方面。磁盤加密一旦磁盤從系統(tǒng)移除，很容易造成破壞。磁盤加密并不能阻止任何人訪問你系統(tǒng)中的數(shù)據(jù)，就像磁盤驅(qū)動器寫入時加密，讀取時解密一樣，那些認(rèn)為只有網(wǎng)絡(luò)和操作系統(tǒng)需要安全保護的論點在我看來是有缺陷的，是站不住腳的。

如果黑客想進入你的系統(tǒng)，你必須采取多層次的安全，才能防止非法訪問和縮小損害范圍，如果你有寶貴的數(shù)據(jù)，當(dāng)黑客攻破系統(tǒng)后，他們獲得的成功將是巨大的。

如何增強存儲安全

我認(rèn)為存儲安全需要從文件系統(tǒng)開始，并從多個層次進行防御，包括一些大型系統(tǒng)，可能是光纖通道網(wǎng)絡(luò)，但我認(rèn)為存儲安全性必須從文件系統(tǒng)開始，目前的框架是借助用戶（UID）、組（GID）和訪問控制列表（ACLS）來實施安全保護的，不能滿足所有的安全需求。一旦有人獲得root訪問權(quán)，游戲就結(jié)束了，所有文件就像被脫光的人站在大街上一樣，當(dāng)然，用戶可以選擇加密數(shù)據(jù)，但沒有為每個文件加密設(shè)立一個標(biāo)準(zhǔn)，密鑰管理也是個問題，從MVS到Linux，再到Windows或其它系統(tǒng)，使用的文件系統(tǒng)可能也不一樣，管理也是一個問題，如可能需要訪問一個已解雇雇員的文件，或雇員在休了四個星期的假后忘記了加密密鑰。

我使用TrueCrypt加密磁盤分區(qū)，密鑰超過20個字符，但如果我不小心刪除了密鑰，如何才能獲得我電腦中的文件呢？老實說，如果沒人知道我的密鑰，難度是很大的，唯一的辦法就是破解硬盤，所花的時間和金錢不是每個人都能承受得起的。

在我看來，答案是SELinux（Security Enhanced Linux，安全增強的Linux）和MLS（multi-level security，多級安全），專有安全增強操作系統(tǒng)的歷史是骯臟的，從Cray Research機器上的UNICOS到Secure Solaris，Secure IRIX和一長串其它存儲安全廠商提供的MLS操作系統(tǒng)，沒有一個在商業(yè)上取得了成功，沒有一個得到了市場的廣泛認(rèn)可，只有極少數(shù)得到了商業(yè)世界的認(rèn)可，下面是我能想到的幾個原因：

1、操作系統(tǒng)和特定硬件在當(dāng)時的市場環(huán)境中不符合要求，因為性能需求超出了廠商的提供能力。

2、操作系統(tǒng)只支持有限的功能集，本地文件系統(tǒng)的性能不能滿足應(yīng)用程序和備份的需求，HSM應(yīng)用程序不能工作。

3、除了少數(shù)政府網(wǎng)站，人們不關(guān)心安全。

4、管理成本太高，每個操作系統(tǒng)都需要專門的培訓(xùn)。

這些都是一些原因，但我認(rèn)為可能最重要的原因是，MLS系統(tǒng)對過去的用戶來說，使用起來太難了，他們不能再以一貫的方式共享文件了，因為每個文件的安全級別都具體到了用戶，即使兩個用戶的級別相同，他們也可能無法像以前那樣共享文件了，因為管理員可以設(shè)置許多其它安全約束。以超級用戶（root）用戶登錄并不意味著你就可以看到所有文件（如果設(shè)置正確的話），對系統(tǒng)做的修改想不被記錄進日志也是不可能的。如果黑客獲得了系統(tǒng)的超級用戶權(quán)限，他可能獲得從普通文件到系統(tǒng)日志文件所有文件的訪問權(quán)，意味著黑客可以將自己的罪證消除。

存儲安全問題解決

我的建議是使用SELinux，它已經(jīng)成為所有系統(tǒng)的基礎(chǔ)，使用它的人也越來越多，現(xiàn)在它也能和NFS、CIFS、共享文件系統(tǒng)和NAS文件系統(tǒng)等一起工作，操作系統(tǒng)應(yīng)該支持這個層次，這將需要改變?nèi)藗儤I(yè)務(wù)往來的方式，廠商需做出一些改變，標(biāo)準(zhǔn)機構(gòu)將采取新的框架來訪問，管理員和用戶如何交換文件，系統(tǒng)如何管理都將發(fā)生變化，文件系統(tǒng)也需要做出一些改變以支持新的安全需求，對共享文件系統(tǒng)來說，變化將非常大，需要認(rèn)證。

網(wǎng)絡(luò)訪問NFS和CIFS文件系統(tǒng)會怎么樣呢？我預(yù)計它們將可能有額外的身份驗證，以支持這些新的安全框架和新標(biāo)準(zhǔn)，SELinux不是解決所有安全問題的萬能鑰匙，但它肯定是朝著正確的方向邁出了一大步，解決了當(dāng)前黑客猖獗環(huán)境中一些很難得到解決的問題。

如果有人攻入系統(tǒng)，SELinux有助于保護數(shù)據(jù)的存儲安全性，當(dāng)然，如果SELinux配置不當(dāng)，或使用非常簡單的，如abc123或更簡單的密碼，所有的努力都是白費，因為黑客通常都會以每個用戶的身份嘗試登錄，從最近的索尼，新聞媒體和世界各地政府網(wǎng)站發(fā)生的入侵事件來看，我們應(yīng)該調(diào)整方向，停止僅僅重視周邊安全，我們必須重視端到端安全，需要設(shè)置更強大的密碼，真正將SELinux利用起來，強密碼和強認(rèn)證必須解決員工忘記他們的身份認(rèn)證信息能夠登錄系統(tǒng)。

存儲安全的保護措施都是不簡單的，但一個不安全的面向外部的機器將引起入侵者可以訪問內(nèi)部無數(shù)的機器，我們必須在操作系統(tǒng)中實施更強大的身份驗證和數(shù)據(jù)訪問權(quán)限控制，我相信SELinux是這個方向一個很好的開端。