目前市面上主流的IP SAN存储系统都可支持基于IP地址的访问控制列表，不过，稍微厉害一点的黑客就能够轻松地破解这道安全防线。

　　另一个办法就是使用iSCSI客户机的起始端名字(initiator name)。与光纤系统的全球名字(WORLD WIDE NAME，简称WWN，全球统一的64位无符号的名称标识符)、以太网的MAC地址一样，起始端名字指的是为每台iSCSI主机总线适配器(HBA)或软件起始端(software initiator)分配到的全球唯一的名称标识。不过，它的缺点也与WWN、MAC地址一样，很容易被制服。这与光纤系统的逻辑单元屏蔽(LUN masking)技术一样，其首要任务只是为了隔离客户端(Targetor)的存储资源，而非构筑有效的安全防范屏障。

　　2、使用用户身份验证机制。

　　除了控制设备的合法性外，还可以通过AAA认证安全策略，对访问系统资源的用户进行认证。

　　各公司的 IP SAN系列交换机基本都支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、交换机端口任意组合绑定，有效的防止非法用户访问SAN网络。此外，IP SAN交换机还可通过支持DUD(Disconnect Unauthorised Device)认证(通过MAC地址学习数目限制和MAC地址与端口绑定实现)、支持用户分级管理和口令保护、端口隔离、MAC地址黑洞、支持防止DoS攻击等功能进一步提高SAN网络的安全级别。

　　此外，诸如问询-握手身份验证协议(Challenge-Handshake Authentication Protocol，CHAP)之类的身份验证协议，将会通过匹配用户名和登陆密码，来识别用户的身份。由于密码不以纯文本的形式在网络中传输，从而避免了掉包和被拦截的情况发生，所以，该协议赢得了许多网络管理员的信任。远程身份验证拨入用户服务(Remote Authentication Dial-In User Service，RADIUS)协议能够将密码从iSCSI目标设备上转移到中央授权服务器上，对终端进行认证、授权和统计。这2种协议在低端IP存储设备上也已经得到使用，例如EX1000。

　　即使如此，网络黑客仍然可以通过伪设置的办法，侵入正常客户端设备或管理终端设备，再通过这些客户端窃取数据。因此，我们建议通过EAD(端点准入防御)功能实现动态的用户合法验证，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

　　显然，FC SAN设备不具备如此强大的安全措施，也不能和基于IP的前端安全设备实现联动。

　　3、保护好存储设备管理界面。

　　通过分析近年来企业级光纤系统遭受攻击的案例，会得到一个重要的结论：保护好存储设备的管理界面是极其必要的。网络黑客或企业内部人员只要能使用存储设备管理程序，就能够重新分配存储器的赋值，更改、偷窃甚至摧毁数据文件。因此，用户应该将管理界面隔离在安全的局域网内，如利用防火墙和VPN、IPS、SecCenter、UDM等更高级别的安全和管理软件，并设置复杂的登录密码甚至采用生物识别技术来保护管理员帐户。

　　4、对通过网络传输的数据包进行加密。

　　IP security(IPsec)是一种用于加密和验证IP信息包的标准协议。IPSec提供了两种加密通讯手段：一是IPSec Tunnel：整个IP封装在IPSec报文，提供IPSec-gateway之间的通讯;二是IPSec Transport：对IP包内的数据进行加密，使用原来的源地址和目的地址。Transport模式只能加密每个信息包的数据部分(即：有效载荷)，对文件头不作任何处理;Tunnel模式会将信息包的数据部分和文件头一并进行加密，在不要求修改已配备好的设备和应用的前提下，让网络黑客无法看到实际的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道。因此，绝大多数用户均选择使用Tunnel模式。用户需要在接收端设置一台支持IPsec协议的解密设备，对封装的信息包进行解密。记住，如果接收端与发送端并非共用一个密钥的话，IPsec协议将无法发挥作用。为了确保网络的安全，存储供应货和咨询顾问们都建议用户使用IPsec协议来加密iSCSI系统中所有传输的数据。

　　IPsec虽然是一种强大的安全保护技术，却会严重地降低网络系统的性能。另外，IPsec 比较适合“点对点接入”。由于客户端使用不方便，对访问请求缺乏细粒度的权限管理，IPsec 技术在“远程接入”方面不太适合。

　　而SSL加密传输技术却是在广域网条件下一个更好的选择。在H3C等公司的磁盘阵列上已经内置了这个功能。用户可以利用这一技术手段，在广域网上实现安全的SAN存储，即WSAN

　　5、加密磁盘数据。

　　加密磁盘上存放的数据，也是非常必要的。加密任务可以在在客户端(如：加密的文件)、网络(如：PKI加密解决方案)，或者在存储子系统上完成。目前，多数用户都倾向于简便易用的客户端加密方案。大多数企业级操作系统(包括Windows和Linux在内)，都可以嵌入基于文件系统的加密技术，在数据被传送到网络之前实施加密，可以确保它在网上传输时和远端存储时都处于加密状态。当然，也可以考虑将加密过程放到网络中或是交由基于磁盘阵列的加密措施来处理。

　　目前，在杭州市政府统一灾备项目中已经使用了存储前对数据加密的技术。

　　6、及时备份

　　值得一提的是新一代的磁盘阵列都具有的多种数据备份、保护功能，这些功能往往可以通过设置管理策略实现自动的数据备份、保护工作。作为最后的补救措施，这些措施可以在存储设备前端的各种安全机制失效的情况下，保证您还有至少一份可靠的数据备份。

　　今天企业遇到的安全挑战是全方位的，安全保护已从传统的边界安全向全方位深度防御转移。为实现全方位深度防御，企业需要将多种安全措施嵌入到网络的各个层次，并集成到所有IT设备中。每个安全组件都能为异常流量检测、威胁反应和分析提供分立的事件日志和警报特性。显然，继续寄希望于FC 协议的二层访问控制机制来保证SAN存储的数据安全 ，已经是一种过时的鸵鸟政策。