《信息安全技术 IP存储网络安全技术要求》编制说明.pdfVIP

一、 任务来源 根据国家标准化管理委员会2010 年下达的国家标准制修订计划，国家标准 《信息安全 技术IP存储网络安全技术要求》由北京邮电大学负责主办。 二、 编制原则 本标准属于信息系统灾难备份与网络存储方面的标准，以自主编写的方式完成。 IP存储网络技术是一种封装串行SCSI(SmallComputerSystem Interface)实现在IP 网 络中传输的存储区域网络技术。相比于以往的Fibre Channel(FC，光纤通道)存储网络技术， IP存储网络技术具有低成本、被广泛采用、良好的标准化情况、高扩展性、易管理、良好 的广域网连接以及灵活的安全性和QoS 保证等诸多优点，特别是吉比特以太网技术的使用 和万兆以太网技术的出现也消除了IP存储网络技术在性能上的瓶颈，因此IP 网络存储技术 必将成为未来构筑存储区域网络的主流技术。 由于IP存储网络是基于TCP/IP传输数据，包括各种各样的敏感数据，TCP/IP本身不 具有安全性，容易受到来自第三方的攻击和恶意破坏，普通IP 网络上攻击手段都可以适用 于IP存储环境上，从而影响数据存储的安全性和一致性。攻击者能够通过截取数据包，替 换数据包中的数据和控制信息以及伪装数据包等手段进入IP存储网络，获取敏感数据甚至 身份鉴别信息。攻击者还可以利用重启TCP连接，中断安全协商过程以减弱认证强度或者 盗取用户口令等方法对存储设备发起攻击。因此，IP存储网络的安全性成为这项新技术被 广泛应用的关键因素。 然而，在灾备存储领域仍然没有相应的安全标准，也缺乏相应的安全测试标准。虽然目 前各家的产品、系统都有数据数据加密的功能，但是对于达到的安全级别以及需要的安全强 度没有一个统一个规范，不利于对灾备存储系统的选择和使用。因此，本标准针对这种现状， 提出了采用IPSecc 为IP存储协议 （包括iSCSI、iFCP、FCIP）以及因特网存储名称服务 （iSNS）提供安全机制的技术要求。 三、 主要工作过程 (一) 标准制定的主要工作过程如下： 1) 2009 年3 月2 日在中国通信标准化协会作为通信行业标准立项； 2) 2009 年4 月份申请国标立项，申请书的名称为 《网络存储设备安全技术规范》； 3) 根据项目计划的要求，北京邮电大学、工业和信息化部电信研究院、华为技术有限 公司成立了标准起草小组。标准起草小组深入研究了国际、国内网络存储设备安全技术的现 状，对存储行业进行了广泛的、有针对性的调研，与存储设备生产企业、科研机构以及相关 的高校进行沟通，听取了各方面的意见和建议。因为目前网络存储设备的包括DAS、NAS、 SAN、IP-SAN等，各类网络存储设备具有不同的网络结构和应用场景，对安全的威胁和需 求也不同，标准起草小组和各方专家都认为原项目名称“网络存储设备安全技术要求”较为 宽泛，应将标准名称细化，为此选择了研究制定目前最为热点、应用广泛的IP存储网络（包 括iSCSI、iFCP、FCIP 以及因特网存储名称服务）中的安全技术规范。 4) 2009 年9 月22 日召开的中国通信标准化协会WG3 第19 次会议，标准起草小组 提出了标准名称变更申请，与会专家对变更申请及标准讨论稿进行了认真讨论，同意将名称 变更为 《IP存储网络安全技术要求》。 5) 2009年12 月9 日召开的中国通信标准化协会TC8第八次全会及WG3第20次会 议，标准征求意见第一稿在广泛征求有关单位意见后修改完善形成标准征求意见第二稿。 6) 2010 年3 月份，该标准被全国信息安全标准化技术委员会批准立项，标准起草小 组对任务书进行了细化调整，主要研究 “IP存储网络的安全技术规范”。 7) 2010 年3 月25 日召开的中国通信标准化协会WG3 第21次会议，吸收了对标准 征求意见第二稿反馈意见，对标准进一步完善，提出了通信行业标准送审稿。 8) 2010年6 月11 日召开的中国通信标准化协会TC8第九次全会及WG3第22 次会 议，提出了通信行业标准报批稿。 9) 2011年 12 月工业和信息化部将该标准作为通信行业标准发布，编号为 YD/T 2391-2011 。 10) 2013 年4 月18 日召开的中国通信标准化协会TC8WG3第33 次会议，吸收了专 家的反馈意见，对标准进一步完善，提出了国家标准草稿。 11) 2013 年8 月1 日召开的中国通信标准化协会TC8 WG3 第35 次会议，与会专家 对标准做了进一步审查，提出了