书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ３７９３９ — ２０１９ 信息安全技术 　 网络存储安全技术要求 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊狉犲狇狌犻狉犲犿犲狀狋犳狅狉狀犲狋狑狅狉犽狊狋狅狉犪犵犲 ２０１９  ０８  ３０ 发布 ２０２０  ０３  ０１ 实施 国家市场监督管理总局 中国国家标准化管理委员会 发布目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 产品描述 ２ ………………………………………………………………………………………………… 　 ５．１ 　 网络存储描述 ２ ……………………………………………………………………………………… 　 ５．２ 　 网络存储安全框架 ３ ………………………………………………………………………………… 　 ５．３ 　 级别划分描述 ３ ……………………………………………………………………………………… ６ 　 安全功能要求 ４ …………………………………………………………………………………………… 　 ６．１ 　 第一级安全功能要求 ４ ……………………………………………………………………………… 　 ６．２ 　 第二级安全功能要求 ７ ……………………………………………………………………………… 　 ６．３ 　 第三级安全功能要求 １３ ……………………………………………………………………………… ７ 　 安全保障要求 １９ …………………………………………………………………………………………… 　 ７．１ 　 第一级安全保障要求 １９ ……………………………………………………………………………… 　 ７．２ 　 第二级安全保障要求 ２１ ……………………………………………………………………………… 　 ７．３ 　 第三级安全保障要求 ２４ ……………………………………………………………………………… 附录 Ａ （ 资料性附录 ） 　 安全要求对比 ２８ …………………………………………………………………… 参考文献 ３０ …………………………………………………………………………………………………… 犌犅 ／ 犜 ３７９３９ — ２０１９ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 中国电子技术标准化研究院 、 华为技术有限公司 、 公安部第三研究所 、 华中科技大学 、 上海交通大学 、 联想 （ 北京 ） 信息技术有限公司 、 北京匡恩网络科技有限责任公司 、 中国信息安全测评中心 、 杭州海康威视数字技术股份有限公司 、 浪潮电子信息产业股份有限公司 。 本标准主要起草人 ： 葛小宇 、 王伟 、 陈妍 、 刘贤刚 、 顾健 、 陆臻 、 王海婧 、 谭支鹏 、 吴晨涛 、 安高峰 、 李汝鑫 、 刘俊 、 钱晓东 、 许东阳 、 庞博 、 王峥 、 付卓 、 文中领 、 赵江 。 Ⅰ 犌犅 ／ 犜 ３７９３９ — ２０１９ 信息安全技术 　 网络存储安全技术要求 １ 　 范围 本标准规定了网络存储的安全技术要求 ， 包括安全功能要求 、 安全保障要求 。 本标准适用于网络存储的设计和实现 ， 网络存储的安全测试和管理可参照使用 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ１８３３６．３ — ２０１５ 　 信息技术 　 安全技术 　 信息技术安全评估准则 　 第 ３ 部分 ： 安全保障组件 ＧＢ ／ Ｔ２５０６９ — ２０１０ 　 信息安全技术 　 术语 ３ 　 术语和定义 ＧＢ ／ Ｔ１８３３６．３ — ２０１５ 和 ＧＢ ／ Ｔ２５０６９ — ２０１０ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 网络存储 　 狀犲狋狑狅狉犽狊狋狅狉犪犵犲 通过网络基于不同协议连接到服务器的专用存储设备 。 示例 ： 网络存储通常包括 ＤＡＳ 存储设备 、 ＮＡＳ 存储设备 、 ＳＡＮ 存储设备和对象存储设备 。 ３ ． ２ 直接附加存储 　 犱犻狉犲犮狋犪狋狋犪犮犺犲犱狊狋狅狉犪犵犲 将存储设备直接连接到服务器上的存储架构 。 ３ ． ３ 存储区域网络 　 狊狋狅狉犪犵犲犪狉犲犪狀犲狋狑狅狉犽 通过网络方式连接存储设备和应用服务器并提供数据块访问的存储构架 。 ３ ． ４ 网络附加存储 　 狀犲狋狑狅狉犽犪狋狋犪犮犺犲犱狊狋狅狉犪犵犲 将存储设备直接联网并使用网络文件共享协议提供文件级数据访问的存储架构 。 ３ ． ５ 对象存储 　 狅犫犼犲犮狋犫犪狊犲犱狊狋狅狉犪犵犲 基于对象的方式提供数据访问的存储架构 。 注 ： 一个对象通常包括数据 、 描述该对象的元数据和该对象的唯一标识符 。 ３ ． ６ 独立磁盘冗余阵列 　 狉犲犱狌狀犱犪狀狋犪狉狉犪狔狅犳犻狀犱犲狆犲狀犱犲狀狋犱犻狊犽狊 将一个个单独的磁盘以不同的组合方式形成一个逻辑硬盘 。 ３ ． ７ 镜像 　 犿犻狉狉狅狉犻狀犵 实时地将一个逻辑磁盘卷上的数据复制到若干个逻辑磁盘卷上 。 １ 犌犅 ／ 犜 ３７９３９ — ２０１９ ３ ． ８ 快照 　 狊狀犪狆狊犺狅狋 对指定数据集合的一个完全可用拷贝 ， 该拷贝包含源数据在拷贝时间点的静态映像 。 注 ： 快照可以是数据再现的一个副本或者复制 。 ４ 　 缩略语 下列缩略语适用于本文件 。 ＣＰＵ ： 中央处理器 （ ＣｅｎｔｒａｌＰｒｏｃｅｓｓｉｎｇＵｎｉｔ ） ＤＡＳ ： 直接附加存储 （ ＤｉｒｅｃｔａｔｔａｃｈｅｄＳｔｏｒａｇｅ ） ＮＡＳ ： 网络附加存储 （ ＮｅｔｗｏｒｋＡｔｔａｃｈｅｄＳｔｏｒａｇｅ ） ＲＡＩＤ ： 独立磁盘冗余阵列 （ ＲｅｄｕｎｄａｎｔＡｒｒａｙｏｆＩｎｄｅｐｅｎｄｅｎｔＤｉｓｋｓ ） ＳＡＮ ： 存储区域网络 （ ＳｔｏｒａｇｅＡｒｅａＮｅｔｗｏｒｋ ） ＷＥＢ ： 万维网 （ ＷｏｒｌｄＷｉｄｅＷｅｂ ） ＷＯＲＭ ： 一次写多次读 （ ＷｒｉｔｅＯｎｃｅＲｅａｄＭａｎｙ ） ５ 　 产品描述 ５ ． １ 　 网络存储描述 在信息系统中 ， 存储设备初期只安装在服务器内 ， 之后逐渐形成了多磁盘阵列组成的可以通过网络基于不同协议连接到服务器的专用存储设备 ， 称为网络存储 。 网络存储一般有三种典型的架构 ， 见图 １ ， 常见的为 ＮＡＳ 存储设备 、 ＳＡＮ 存储设备 。 图 １ 　 网络存储三种典型架构 　　 网络存储的三种典型架构分别是 ： ａ ） 　 直接附加存储 （ ＤＡＳ ）： 将存储设备直接连接到服务器上使用 ， 数据分散管理 。 ｂ ） 　 网络附加存储 （ ＮＡＳ ）： 将存储设备连接到以太网上 ， 支持网络文件共享协议 ， 提供数据和文件服务 。 ｃ ） 　 存储区域网络 （ ＳＡＮ ）： 是一种通过网络方式连接存储设备和应用服务器的存储架构 ， 提供在服务器和存储设备之间的数据传输 ， 服务器 、 存储设备可以独立扩展 。 图 １ 中网络存储的通用简要逻辑结构见图 ２ 。 ２ 犌犅 ／ 犜 ３７９３９ — ２０１９ 图 ２ 　 网络存储逻辑结构图 　　 网络存储硬件层由硬盘 、 ＣＰＵ 、 内存 、 固件等构成 ， 为设备运行提供基本支持 。 硬件层支持系统层的运行 ， 系统层通常包含操作系统 、 驱动 、 数据库等 。 存储软件运行在操作系统上 ， 提供备份 、 快照等存储功能 。 ５ ． ２ 　 网络存储安全框架 网络存储应具备的安全功能 ， 所组成的安全框架见图 ３ 。 图 ３ 　 网络存储安全框架 　　 网络存储安全框架分为访问安全 、 系统安全 、 数据安全以及管理安全 ， 简要介绍如下 ： ａ ） 　 访问安全包括 ： 访问鉴别 、 访问控制 。 ｂ ） 　 系统安全包括 ： 设备可靠运行支持 、 设备工作状态监控 、 系统完整性保护 、 软件及软件运行安全 、 安全加固 、 Ｗｅｂ 安全 、 安全启动 。 ｃ ） 　 数据安全包括 ： 数据完整性 、 数据保密性 、 数据可用性 。 ｄ ） 　 管理安全包括 ： 身份管理 、 身份鉴别 、 会话管理 、 密码算法 、 安全审计 、 数字证书管理 、 密钥管理 。 ５ ． ３ 　 级别划分描述 网络存储安全功能要求分为 ３ 个级别 ， 分别是第一级 、 第二级和第三级 ，“ 宋体加粗 ” 字表示较低等级中没有出现或增强的要求 ， 安全功能要求在不同级别间的增强或新增内容的定性表示参见附录 Ａ 的表 Ａ．１ ； 安全保障要求分为 ３ 个级别 ， 分别是第一级 ， 第二级和第三级 ，“ 宋体加粗