在交换机上实现存储安全

　　另一种被广泛采用的技术是LUN掩码。一个LUN就是对目标设备(如磁带和磁盘阵列)内逻辑单元的SCSI识别标志。在光纤通道领域，LUN是基于系统的WWN实现的。

　　LUN掩码技术是将LUN分配给主机服务器，这些服务器只能看到分配给它们的LUN。如果有许多服务器试图访问特定的设备，那么网络管理者可以设定特定的 LUN或LUN组可以访问，从而可以拒绝其它服务器的访问，起到保护数据安全的目的。不仅在主机上，而且在HBA、存储控制器、磁盘阵列、交换机上也可以实现各种形式的LUN屏蔽技术。

　　如果能够将分区制和LUN技术与其它的安全机制共同运用到网络及其设备上的话，对网络安全数据安全将是非常有效的。

　　业界对存储安全的做法

　　尽管目前对于在哪一级设备应用存储安全控制是最优的还没有一个明确的结论，例如，IPSec能够在ASIC、VPN设备、家电和软件上实现，但目前已有很多商家在他们的数据存储产品中实现了加密和安全认证功能。

　　IPSec对于其它基于IP协议的安全问题，比如互联网小型计算机接口(iSCSI)、IP上的光纤通道(FCIP)和互联网上的光线通道(IFCP)等，也能起到一定的的作用。

　　通常使用的安全认证、授权访问和加密机制包括轻量级的路径访问协议LightweightDirectoryAccessProtocol (LDAP)、远程认证拨入用户服务(RADIUS), 增强的终端访问控制器访问控制系统(TACACS+)、Kerberos、 Triple DES、高级加密标准(AES)、安全套接层 (SSL)和安全Shell(SSH)。

　　尽管SAN和NAS的安全机制有诸多相似之处，其实它们之间也是有区别的。很多NAS系统不仅支持SSH、SSL、Kerberos、RADIUS和 LDAP安全机制，同时也支持访问控制列表(ACL)以及多级许可。这里面有一个很重要的因素是文件锁定，有很多产品商家和系统通过不同的方式来实现这一技术。例如，微软采用的为硬锁定，而基于Unix的系统采用的是相对较为松弛的建议级锁定。由此可以看到，如果在Windows-Unix混合环境下，将会带来一定的问题。

　　呼唤存储安全标准化

　　SAN安全的实现基础在交换机这一层。因此，存储交换机的标准对网络产品制造商的技术提供方式的影响是至关重要的。

　　存储安全标准化进程目前还处于萌芽阶段。ANSI成立了T11光纤通信安全协议(FC-SP)工作组来设计存储网络基础设施安全标准的框架。目前已经提交了多个协议草案，包括FCSec协议，它实现了IPSec和光纤通讯的一体化;同时提交的还有针对光纤通讯的挑战握手认证协议(CHAP)的一个版本;交换联结认证协议(SLAP)使用了数字认证使得多个交换机能够互相认证;光纤通信认证协议(FCAP)是SLAP的一个扩展协议。IEEE的存储安全工作组正在准备制定一个有关将加密算法和方法标准化的议案。