信息安全技术网络存储安全技术要求(GB-T 37939-2019).docx

ICS35.040L 80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 网络存储安全技术要求Information security technology - Security techniques requirement for network storage点击此处添加与国际标准一致性程度的标识（本稿完成日期：2017年12月29日）XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言III1范围12规范性引用文件13术语和定义14缩略语25概述25.1网络存储描述25.2网络存储安全框架36安全功能要求46.1第一级安全功能要求46.1.1概述46.1.2访问安全46.1.3系统安全46.1.4数据安全46.1.5管理安全56.2第二级安全功能要求76.2.1概述86.2.2访问安全86.2.3系统安全86.2.4数据安全96.2.5管理安全106.3第三级安全功能要求136.3.1概述136.3.2访问安全136.3.3系统安全136.3.4数据安全146.3.5管理安全167安全保障要求197.1总则197.2第一级安全保障要求197.2.1开发197.2.2指导性文档207.2.3生命周期支持207.2.4测试217.2.5脆弱性评定217.3第二级安全保障要求217.3.1开发217.3.2指导性文档227.3.3生命周期支持227.3.4测试237.3.5脆弱性评定247.4第三级安全保障要求247.4.1开发247.4.2指导性文档257.4.3生命周期支持257.4.4测试267.4.5脆弱性评定27附录A（资料性附录）安全要求对比28参考文献30前言本标准按照GB/T1.1-2009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。请注意本文件的其他内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国电子技术标准化研究院、华为技术有限公司、公安部第三研究所、华中科技大学、上海交通大学、联想（北京）信息技术有限公司、北京匡恩网络科技有限责任公司、中国信息安全测评中心、杭州海康威视数字技术股份有限公司、浪潮电子信息产业股份有限公司等。本标准主要起草人：葛小宇、王伟、陈妍、顾健、陆臻、王海婧、谭之鹏、吴晨涛、安高峰、李汝鑫、刘俊、钱晓东、许东阳、庞博、王峥、付卓、文中领、赵江。30信息安全技术 网络存储安全技术要求1 范围本标准规定了网络存储的安全技术要求，包括安全功能要求、安全保障要求。本标准适用于网络存储的设计和实现，网络存储的安全测试和管理可参照使用。2 规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分：安全保障组件GB/T 25069-2010 信息安全技术 术语3 术语和定义GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。3.1网络存储 network storage通过网络基于不同协议连接到服务器的专用存储设备。示例： 网络存储通常包括DAS存储设备、NAS存储设备、SAN存储设备和对象存储设备。3.2直接附加存储 direct attached storage将存储设备直接连接到服务器上的存储架构。3.3存储区域网络 storage area network通过网络方式连接存储设备和应用服务器并提供数据块访问的存储构架。3.4网络附加存储 network attached storage将存储设备直接联网并使用网络文件共享协议提供文件级数据访问的存储架构。3.5对象存储 object based storage基于对象存储协议的网络存储架构。3.6独立磁盘冗余阵列 redundant array of independent disks将一个个单独的磁盘以不同的组合方式形成一个逻辑硬盘。3.7镜像 mirroring实时地将一个逻辑磁盘卷上的数据复制到若干个逻辑磁盘卷上。3.8快照 snapshot对指定数据集合的一个完全可用拷贝，该拷贝包含源数据在拷贝时间点的静态映像。快照可以是数据再现的一个副本或者复制。4 缩略语CPU 中央处理器 central processing unit DAS 直接附加存储 direct-attached storageNAS 网络附加存储 network attached storage SAN 存储区域网络 storage area network RAID 独立磁盘冗余阵列 redundant array of independent disksWEB 万维网 world wide web WORM 一次写多次读 write once read many5 概述5.1 网络存储描述在信息系统中，存储设备初期只安装在服务器内，之后逐渐形成了多磁盘阵列组成的可以通过网络基于不同协议连接到服务器的专用存储设备，称为网络存储。网络存储一般有三种典型的架构，如图1,常见的为NAS/SAN存储设备。图1 网络存储三种典型架构a) 直接附加存储Direct Attached Storage(DAS)：将存储设备直接连接到服务器上使用，数据分散管理。b) 网络附加存储Network Attached Storage(NAS)：将存储设备连接到以太网上，支持网络文件共享协议，提供数据和文件服务。c) 存储区域网络Storage Area Network (SAN)：是一种通过网络方式连接存储设备和应用服务器的存储架构，提供在服务器和存储设备之间的数据传输，服务器、存储设备可以独立扩展。图1中网络存储的通用简要逻辑结构如下图2。图2 网络存储逻辑结构图网络存储硬件层由硬盘、CPU、内存、固件等构成，为设备运行提供基本支持。硬件层支持系统层的运行，系统层通常包含操作系统、驱动、数据库等。存储软件运行在操作系统上，提供备份、快照等存储功能。5.2 网络存储安全框架本标准针对网络存储可能面临的安全威胁，给出可以减缓安全威胁的安全功能，所有安全功能组成的安全框架如下图3：图3 网络存储安全框架网络存储安全框架分为访问安全、系统安全、数据安全以及管理安全，简要介绍如下：a) 访问安全包括：访问鉴别、访问控制。b) 系统安全包括：设备可靠运行支持、设备工作状态监控、系统完整性保护、软件及软件运行安全、安全加固、Web安全、安全启动。c) 数据安全包括：数据完整性、数据保密性、数据可用性。d) 管理安全包括：身份管理、身份鉴别、会话管理、密码算法、安全审计、数字证书管理、密钥管理。6 安全功能要求6.1 总则本章节规定了网络存储应满足的安全功能要求。黑体字表示较低等级中没有出现或增强的要求。安全功能要求在不同级别间的增强或新增内容的定性表示详见附录A中表A.1。6.2 第一级安全功能要求6.2.1 概述第一级安全功能要求主要提出了网络存储需具备的基本安全功能，包含访问安全、系统安全、数据安全和管理安全四个方面。6.2.2 访问安全6.2.2.1 访问鉴别应对访问网络存储业务的应用进行鉴别，包含以下要求：a) 对应用提供唯一标识，并将标识和与其相关的所有可审计事件相关联；b) 鉴别信息非明文存储，且鉴别数据不被未授权查阅和篡改；c) 不存在可绕过鉴别机制的访问方式。6.2.2.2 访问控制应按访问控制安全策略进行设计，实现策略控制下的访问控制功能，包含以下要求：a) 访问控制的策略范围应包括与资源访问相关的主体、客体及它们之间的操作；b) 对资源进行访问的内容、操作权限不超出预定义的范围，满足最小特权原则；c) 支持业务面和管理面无法互相访问；d) 支持对资源访问控制的策略配置。6.2.3 系统安全6.2.3.1 设备可靠运行支持应支持管理模块冗余、电源模块冗余、控制模块冗余，并提供容错和故障恢复能力，以保证网络存储自身可靠运行。6.2.3.2 设备工作状态监控应支持自动检测设备的工作状态，至少可检测硬件故障、网络中断、网络连接错误、软件容量预警、业务异常预警等内容，并采取告警措施。6.2.3.3 软件及软件运行安全若自带有操作系统、数据库、Web应用，应保证系统软件及软件运行环境不存在高风险级别的漏洞，例如经通用漏洞评分系统评估出的高风险漏洞。6.2.4 数据安全6.2.4.1 数据完整性6.2.4.1.1 存储数据的完整性应支持检测存储的数据是否存在完整性错误，并提供必要的恢复措施。6.2.4.2 数据保密性6.2.4.2.1 数据保密性应对数据的保密性进行保护，包含以下要求：a) 对业务应用关键数据采用非明文存储：· 口令等敏感信息不得明文存储在本地，需加密保护；· 不在URL、日志、错误消息、调试信息中暴露口令、密钥、会话标识符等敏感信息。6.2.4.3 数据可用性6.2.4.3.1 备份与恢复应提供对数据进行备份和恢复的功能，包含以下要求：a) 对数据进行手动备份；b) 对数据进行全备份；c) 对数据进行异步备份；d) 对数据进行本地备份；e) 卷镜像的方式提供数据的备份与恢复功能；f) 快照的方式提供数据的备份与恢复功能。6.2.4.3.2 防病毒应支持防病毒软件扫描，防止文件被病毒感染。6.2.4.3.3 数据冗余应支持通过配置RAID保障存储数据的可靠性。6.2.5 管理安全6.2.5.1 身份管理6.2.5.1.1 身份标识管理应提供对用户的标识功能，为每个用户提供唯一的身份标识。6.2.5.1.2 账号安全管理应提供账号管理功能，包含以下要求：a) 系统中的账号具有唯一性；b) 不可预留任何的未公开账号，所有账号都可被系统管理，并在资料中提供所有账号及管理操作说明。6.2.5.1.3 账号权限管理应提供账号权限管理功能，包含以下要求：a) 采用基于角色的账号权限管理模型；b) 对于账号的授权应基于最小特权原则；c) 系统中的账号不能修改自身权限。6.2.5.2 身份鉴别6.2.5.2.1 鉴别机制管理应提供身份鉴别功能，使用的鉴别机制包含以下要求：a) 在用户对网络存储进行操作之前，先对提出该操作请求的用户进行鉴别；b) 对用户的最终鉴别处理、鉴权处理过程应在服务端进行，并遵循先鉴权后执行的原则。6.2.5.2.2 口令安全管理应提供基于口令的鉴别方式，口令安全包含以下要求：a) 对于管理面，系统提供检测口令复杂度的功能，若设置的口令不符合复杂度要求，不准许设置成功并给出合理的提示，对于系统自动生成的口令，使用安全随机数生成；b) 口令复杂度满足以下要求：· 口令长度至少6个字符；· 口令包含至少两种字符的组合；· 口令不可与账号相同。c) 产品出厂使用的第三方和开源软件不得使用缺省口令；d) 不应存在用户无法修改的口令。对于出厂时缺省设置的账号/口令或用于传输的加密密钥，应提供修改机制，提醒用户修改及定期更新，并提示风险；e) 提供的口令输入框不支持口令拷贝；f) 操作界面中的口令不应明文显示；g) 密码口令文件应设置访问权限，管理用户不可读取或拷贝加密的内容；h) 用户修改自己口令时应验证旧口令。6.2.5.2.3 登录身份鉴别应提供登录身份鉴别功能，包含以下要求：a) 管理接口应提供接入鉴别机制，所有可对系统进行管理的人机接口以及跨信任网络的机机接口应有安全的接入鉴别机制并缺省启用，标准协议没有鉴别机制的除外；b) 设备外部可见的可对系统进行调试或管理的物理接口应有接入鉴别机制；c) 对于人机接口或跨信任网络的机机接口的登录身份鉴别应支持口令防暴力破解机制，当重复输入错误口令次数超过阈值时采取合适保护措施。6.2.5.3 会话管理应提供会话管理功能，可设置会话超时机制，并在超时过后清除该会话信息。6.2.5.4 密码算法本标准中凡涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的，须遵循国家密码管理部门的相关规定。6.2.5.5 安全审计6.2.5.5.1 审计数据产生应支持对于以下事件进行安全审计，并生成审计数据：a) 为下述可审计事件产生审计记录：· 审计功能的开启和关闭；· 针对数据的备份、恢复、删除、迁移等操作；· 以下的用户活动和关键操作行为：¨ 登录和注销；¨ 增加、删除用户和用户属性（账号、口令等）的变更；¨ 用户的锁定与解锁、禁用与恢复；¨ 角色权限变更；¨ 系统安全配置（如安全日志内容等配置）的变更；¨ 重要资源的变更，如某个重要文件的删除、修改等；¨ 对系统配置参数的修改；¨ 对系统进行启动、关闭、重启、暂停、恢复、倒换等操作；¨ 存储业务的加载、卸载；¨ 对软件的升级操作，包括远程升级和本地升级；¨ 对重要业务数据（特别是逻辑卷、文件系统、对象等）的创建、删除、修改等。· 其他与系统安全有关的事件或专门定义的可审计事件。b) 对于每一个事件，其审计记录应包括：用户、被访问资源的名称、访问发起端地址或标识、事件的日期和时间、事件类型、事件是否成功，及其他与审计相关的信息。6.2.5.5.2 审计数据管理应提供对审计数据的管理功能，包含以下要求：a) 只有具有相应权限的用户才可读取对应的审计数据；b) 以可被处理的形式提供审计数据。6.2.5.5.3 审计数据存储应保证审计数据的存储安全，包含以下要求：a) 应确保审计记录的留存时间符合法律法规要求；b) 应检测或防止对审计记录的未授权修改。6.2.5.6 数字证书管理应提供数字证书管理功能，包含以下要求：a) 使用通用格式的证书，且使用安全的证书签名算法；b) 设置合理的证书有效期；c) 支持验证证书的有效性。6.2.5.7 密钥管理应支持密钥管理功能，包含以下要求：a) 对密钥进行分层管理；b) 手动输入的值，不可直接作为密钥使用；c) 用于敏感数据加密的密钥，不可写在源代码中。6.3 第二级安全功能要求6.3.1 概述第二级安全功能要求依然从访问安全、系统安全、数据安全和管理安全四个方向提出，与第一级安全功能要求相比，增强了系统安全中硬件检测与修复、系统完整性保护、安全加固和Web安全等方面的要求，增强了数据安全中传输数据完整性、处理数据完整性、数据保密性和备份与恢复等方面的要求，增强了管理安全中账号安全管理、鉴别机制、审计内容和数字证书等方面的要求。6.3.2 访问安全6.3.2.1 访问鉴别应对访问网络存储业务的应用进行鉴别，包含以下要求：a) 对应用提供唯一标识，并将标识和与其相关的所有可审计事件相关联；b) 鉴别信息非明文存储，且鉴别数据不被未授权查阅和篡改；c) 不存在可绕过鉴别机制的访问方式。6.3.2.2 访问控制应按访问控制安全策略进行设计，实现策略控制下的访问控制功能，包含以下要求：a) 访问控制的策略范围应包括与资源访问相关的主体、客体及它们之间的操作；b) 对资源进行访问的内容、操作权限不超出预定义的范围，满足最小特权原则；c) 支持业务和管理面无法互相访问；d) 支持对资源访问控制的策略配置。6.3.3 系统安全6.3.3.1 设备可靠运行支持应保证自身可靠运行，包含以下要求：a) 支持管理模块冗余、电源模块冗余、控制模块冗余，并提供容错和故障恢复能力；b) 支持对内存的检测与纠错；c) 支持对硬盘检测和修复。6.3.3.2 设备工作状态监控应支持自动检测设备的工作状态，至少可检测硬件故障、网络中断、网络连接错误、软件容量预警、业务异常预警等内容，并采取告警措施。6.3.3.3 系统完整性保护应提供系统完整性保护功能，包含以下要求：a) 对软件安装包进行完整性保护并确保完整性校验流程安全可靠；b) 支持在固件升级和安装过程中对固件进行合法性校验。6.3.3.4 软件及软件运行安全若自带有操作系统、数据库、Web应用，应保证系统软件及软件运行环境不存在高风险级别的漏洞，例如经通用漏洞评分系统评估出的高风险漏洞。6.3.3.5 安全加固应支持安全加固功能，包含以下要求：a) 对操作系统、数据库和文件系统采用业界通用的加固规范进行安全加固；b) 关闭不需要的系统服务、默认共享和端口；c) 支持关闭不安全访问协议，并缺省关闭。6.3.3.6 Web安全应提供Web安全功能，包含以下要求：a) 对于每一个需要授权访问的请求都核实用户的会话标识是否合法、用户是否被授权执行此操作；b) 支持在服务器端对所有来自不可信数据源的数据进行内容校验，拒绝任何没有通过校验的数据；c) 若输出到客户端的数据来自不可信的数据源，则对该数据进行相应的编码或转义；d) 通过Web上传文件时，在服务器端采用白名单方式对上传到Web内容目录下的文件类型进行严格的限制；e) 在Web 应用中，用户名和口令认证通过后，应更换会话标识，并使用cookie维持会话。6.3.4 数据安全6.3.4.1 数据完整性6.3.4.1.1 存储数据的完整性应支持检测存储的数据是否存在完整性错误，并提供必要的恢复措施。6.3.4.1.2 传输数据的完整性应对在网络存储内部不同组件、部件之间传输的数据提供完整性保护，支持检测传输中的数据是否被篡改。6.3.4.1.3 处理数据的完整性应支持对处理中的数据进行完整性保护的功能。6.3.4.2 数据保密性6.3.4.2.1 数据保密性应对数据的保密性进行保护，包含以下要求：a) 应对业务应用关键数据采用非明文存储：· 口令等敏感信息不得明文存储在本地，需加密保护；· 不在URL、日志、错误消息、调试信息中暴露口令、密钥、会话标识符等敏感信息；· 在非信任网络之间传输数据时，应支持采用安全传输通道或者加密后传输；· 对敏感数据的访问要有认证、授权或加密机制，对于认证凭据的安全存储，在不需要还原明文的场景下，应使用不可逆算法加密。6.3.4.3 数据可用性6.3.4.3.1 备份与恢复应提供对数据进行备份和恢复的功能，包含以下要求：a) 对数据进行手动备份；b) 对数据进行自动备份；c) 对数据进行全备份；d) 对数据进行增量备份；e) 对数据进行异步备份；f) 对数据进行同步备份；g) 对数据进行本地备份；h) 对数据进行异地备份；i) 卷镜像的方式提供数据的备份与恢复功能；j) 快照的方式提供数据的备份与恢复功能；k) 通过远程复制的方式提供数据的备份与恢复功能。6.3.4.3.2 防病毒应支持防病毒软件扫描，防止文件被病毒感染。6.3.4.3.3 数据冗余应支持通过配置RAID保障存储数据的可靠性。6.3.5 管理安全6.3.5.1 身份管理6.3.5.1.1 身份标识管理应提供对用户的标识功能，包含以下要求:a) 为每个用户提供唯一的身份标识；b) 对每个用户身份标识进行管理、维护，确保其不被非授权地访问、修改或删除。6.3.5.1.2 账号安全管理应提供账号管理功能，包含以下要求：a) 系统中的账号具有唯一性；b) 不可预留任何的未公开账号，所有账号都可被系统管理，并在资料中提供所有账号及管理操作说明；c) 若存储产品自带数据库，且有多个默认账号，应禁用或删除不使用的账号，若无法删除或禁用，应在产品资料中提示用户修改默认账号的口令、定期更新口令。6.3.5.1.3 账号权限管理应提供账号权限管理功能，包含以下要求：a) 采用基于角色的账号权限管理模型；b) 对于账号的授权应基于最小特权原则；c) 系统中的账号不能修改自身权限。6.3.5.2 身份鉴别6.3.5.2.1 鉴别机制管理应提供身份鉴别功能，使用的鉴别机制包含以下要求：a) 在用户对网络存储进行操作之前，先对提出该操作请求的用户进行鉴别；b) 对用户的最终鉴别处理、鉴权处理过程应在服务端进行，并遵循先鉴权后执行的原则；c) 当用户连续鉴别失败达到设定次数后，采取措施阻止用户的进一步请求；d) 用户操作超时被断开后，重新连接时需要重新进行鉴别；e) 支持用户鉴别信息非明文存储，且认证数据不被未授权查阅和修改。6.3.5.2.2 口令安全管理应提供基于口令的鉴别方式，口令安全包含以下要求：a) 对于管理面，系统提供检测口令复杂度的功能，若设置的口令不符合复杂度要求，不准许设置成功并给出合理的提示，对于系统自动生成的口令，应使用安全随机数生成；b) 口令复杂度应满足以下要求：· 口令长度至少6个字符；· 口令包含至少两种字符的组合；· 口令不可与账号相同。c) 产品出厂使用的第三方和开源软件不得使用缺省口令；d) 不应存在用户无法修改的口令。对于出厂时缺省设置的账号/口令或用于传输的加密密钥，产品应提供修改机制，应提醒用户修改及定期更新，并提示风险；e) 产品提供的口令输入框不支持口令拷贝；f) 操作界面中的口令不应明文显示；g) 密码口令文件应设置访问权限，管理用户不可读取或拷贝加密的内容；h) 用户修改自己口令时应验证旧口令。6.3.5.2.3 登录身份鉴别应提供登录身份鉴别功能，包含以下要求：a) 管理接口应提供接入鉴别机制，所有可对系统进行管理的人机接口以及跨信任网络的机机接口应有安全的接入鉴别机制并缺省启用，标准协议没有鉴别机制的除外；b) 设备外部可见的可对系统进行调试或管理的物理接口应有接入鉴别机制；c) 对于人机接口或跨信任网络的机机接口的登录身份鉴别应支持口令防暴力破解机制，当重复输入错误口令次数超过阈值时采取合适保护措施。6.3.5.3 会话管理应提供会话管理功能，包含以下要求：a) 设置会话超时机制，在超时过后清除该会话信息；b) 所有登录后才可访问的界面都应提供主动退出选项，当用户退出时，服务端应清除该用户的会话信息。6.3.5.4 密码算法本标准中凡涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的，须遵循国家密码管理部门的相关规定。6.3.5.5 安全审计6.3.5.5.1 审计数据产生应支持对于以下事件进行安全审计，并生成审计数据：a) 为下述可审计事件产生审计记录：· 审计功能的开启和关闭；· 针对数据的备份、恢复、删除、迁移等操作；· 以下的用户活动和关键操作行为：¨ 登录和注销；¨ 增加、删除用户和用户属性（账号、口令等）的变更；¨ 用户的锁定与解锁、禁用与恢复；¨ 角色权限变更；¨ 系统安全配置（如安全日志内容等配置）的变更；¨ 重要资源的变更，如某个重要文件的删除、修改等；¨ 对系统配置参数的修改；¨ 对系统进行启动、关闭、重启、暂停、恢复、倒换等操作；¨ 存储业务的加载、卸载；¨ 对软件的升级操作，包括远程升级和本地升级；¨ 对重要业务数据（特别是逻辑卷、文件系统、对象等）的创建、删除、修改等。· 其他与系统安全有关的事件或专门定义的可审计事件。b) 对于每一个事件，其审计记录应包括：用户、被访问资源的名称、访问发起端地址或标识、事件的日期和时间、事件类型、事件是否成功，及其他与审计相关的信息；c) 审计数据产生时的时间应由网络存储所在系统范围内唯一确定的时钟产生，以确保审计分析的正确性；d) 对于身份鉴别事件，审计记录应包含请求的来源；e) 网络会话事件还应包括：网络程序名称、协议类型、源地址、目的地址、源端口、目的端口、会话总字节数等字段。6.3.5.5.2 审计数据管理应提供对审计数据的管理功能，包含以下要求：a) 只有具有相应权限的用户才可读取对应的审计数据；b) 以可被处理的形式提供审计数据。6.3.5.5.3 审计数据存储应保证审计数据的存储安全，包含以下要求：a) 应确保审计记录的留存时间符合法律法规要求；b) 应检测或防止对审计记录的未授权修改；c) 审计数据被未授权修改时，对该操作进行审计；d) 审计存储已满、存储失败时，确保审计记录不丢失。6.3.5.6 数字证书管理应提供数字证书管理功能，包含以下要求：a) 使用通用格式的证书，且使用安全的证书签名算法；b) 设置合理的证书有效期；c) 支持验证证书的有效性；d) 证书的私钥应加密保存，私钥保护口令应满足复杂度要求并加密保存，同时控制私钥文件和证书文件的访问权限；e) 支持周期性检查设备上各种类型的证书是否过期或即将过期；f) 使用安全随机数生成密钥对。6.3.5.7 密钥管理应支持密钥管理功能，包含以下要求：a) 应对密钥进行分层管理；b) 手动输入的值，不可直接作为密钥使用；c) 用于敏感数据加密的密钥，不可写在源代码中；d) 密钥及相关信息在本地存储时需提供完整性保护和机密性保护。6.4 第三级安全功能要求6.4.1 概述第三级安全功能要求依然从访问安全、系统安全、数据安全和管理安全四个方向提出，与第二级安全功能要求相比，增强了系统安全中系统完整性保护、安全启动等方面的要求，增强了数据安全中数据完整性、数据保密性、剩余信息保护和业务高可用等方面的要求，增强了管理安全中会话管理、鉴别机制管理、数字证书和密钥管理等方面的要求。6.4.2 访问安全6.4.2.1 访问鉴别应对访问网络存储业务的应用进行鉴别，包含以下要求：a) 对应用提供唯一标识，并将标识和与其相关的所有可审计事件相关联；b) 鉴别信息非明文存储，且鉴别数据不被未授权查阅和篡改；c) 不存在可绕过鉴别机制的访问方式。6.4.2.2 访问控制应按访问控制安全策略进行设计，实现策略控制下的访问控制功能，包含以下要求：a) 访问控制的策略范围应包括与资源访问相关的主体、客体及它们之间的操作；b) 对资源进行访问的内容、操作权限不超出预定义的范围，满足最小特权原则；c) 支持业务面和管理面无法互相访问；d) 支持对资源访问控制的策略配置。6.4.3 系统安全6.4.3.1 设备可靠运行支持应保证自身可靠运行，包含以下要求：a) 支持管理模块冗余、电源模块冗余、控制模块冗余，并提供容错和故障恢复能力；b) 支持对内存的检测与纠错；c) 支持对硬盘检测和修复。6.4.3.2 设备工作状态监控应支持自动检测设备的工作状态，至少可检测硬件故障、网络中断、网络连接错误、软件容量预警、业务异常预警等内容，并采取告警措施。6.4.3.3 系统完整性保护应提供系统完整性保护功能，包含以下要求：a) 对软件安装包进行完整性保护并确保完整性校验流程安全可靠；b) 支持在固件升级和安装过程中对固件进行合法性校验；c) 对软件包进行数字签名。6.4.3.4 软件及软件运行安全若自带有操作系统、数据库、Web应用，应保证系统软件及软件运行环境不存在高风险级别的漏洞，例如经通用漏洞评分系统评估出的高风险漏洞。6.4.3.5 安全加固应支持安全加固功能，包含以下要求：a) 对操作系统、数据库和文件系统采用业界通用的加固规范进行安全加固；b) 关闭不需要的系统服务、默认共享和端口；c) 支持关闭不安全访问协议，并缺省关闭。6.4.3.6 Web安全应提供Web安全功能，包含以下要求：a) 对于每一个需要授权访问的请求都核实用户的会话标识是否合法、用户是否被授权执行此操作；b) 支持在服务器端对所有来自不可信数据源的数据进行内容校验，拒绝任何没有通过校验的数据；c) 若输出到客户端的数据来自不可信的数据源，则对该数据进行相应的编码或转义；d) 通过Web上传文件时，在服务器端采用白名单方式对上传到Web内容目录下的文件类型进行严格的限制；e) 在Web 应用中，用户名和口令认证通过后，应更换会话标识，并使用cookie维持会话。6.4.3.7 安全启动应支持在设备启动时对软件和固件进行完整性验证。6.4.4 数据安全6.4.4.1 数据完整性6.4.4.1.1 存储数据的完整性应对存储的数据进行完整性保护，包含以下要求：a) 支持检测存储的数据是否存在完整性错误，并提供必要的恢复措施；b) 提供WORM功能。6.4.4.1.2 传输数据的完整性应对在网络存储内部不同组件、部件之间传输的数据提供完整性保护，包含以下要求：a) 可检测出传输中的数据被篡改等；b) 检测到数据完整性错误时，采取必要的数据恢复措施。6.4.4.1.3 处理数据的完整性应支持对处理中的数据进行完整性保护的功能。6.4.4.2 数据保密性6.4.4.2.1 数据保密性应对数据的保密性进行保护，包含以下要求：a) 应对业务应用关键数据采用非明文存储：· 口令等敏感信息不得明文存储在本地，需加密保护；· 不在URL、日志、错误消息、调试信息中暴露口令、密钥、会话标识符等敏感信息；· 在非信任网络之间传输数据时，应支持采用安全传输通道或者加密后传输；· 对敏感数据的访问要有认证、授权或加密机制，对于认证凭据的安全存储，在不需要还原明文的场景下，应使用不可逆算法加密。b) 应支持通过加密产品对网络存储中存储的数据进行加密。6.4.4.2.2 剩余信息保护应提供剩余信息保护功能，包含以下要求：a) 支持对鉴别信息和敏感数据所在的存储空间进行完全清除；b) 支持硬盘数据安全擦除，数据擦除后，不可恢复，例如，可采用的安全擦除方式有：固件的安全擦除命令、多次覆盖写入及密钥销毁等方式；c) 支持硬盘在脱离存储设备后，通过鉴别或加密等机制保障数据不被恶意获取。6.4.4.3 数据可用性6.4.4.3.1 备份与恢复应提供对数据进行备份和恢复的功能，包含以下要求：a) 对数据进行手动备份；b) 对数据进行自动备份；c) 对数据进行全备份；d) 对数据进行增量备份；e) 对数据进行异步备份；f) 对数据进行同步备份；g) 对数据进行本地备份；h) 对数据进行异地备份；i) 卷镜像的方式提供数据的备份与恢复功能；j) 快照的方式提供数据的备份与恢复功能；k) 通过远程复制的方式提供数据的备份与恢复功能。6.4.4.3.2 防病毒应支持防病毒软件扫描，防止文件被病毒感染。6.4.4.3.3 数据冗余应支持通过配置RAID保障存储数据的可靠性。6.4.4.3.4 高可用应支持高可用功能，当一个数据中心的存储系统发生故障时，业务自动切换到另一个数据中心。6.4.5 管理安全6.4.5.1 身份管理6.4.5.1.1 身份标识管理应提供对用户的标识功能，包含以下要求:a) 为每个用户提供唯一的身份标识；b) 对每个用户身份标识进行管理、维护，确保其不被非授权地访问、修改或删除；c) 将用户身份标识和该用户的所有可审计事件相关联。6.4.5.1.2 账号安全管理应提供账号管理功能，包含以下要求：a) 系统中的账号具有唯一性；b) 不可预留任何的未公开账号，所有账号都可被系统管理，并在资料中提供所有账号及管理操作说明；c) 若存储产品自带数据库，且有多个默认账号，应禁用或删除不使用的账号，若无法删除或禁用，应在产品资料中提示用户修改默认账号的口令、定期更新口令；d) 应用系统人机账号、机机账号分离，用于程序间通信的机机账号不可作为系统维护的人机账号。6.4.5.1.3 账号权限管理应提供账号权限管理功能，包含以下要求：a) 采用基于角色的账号权限管理模型；b) 对于账号的授权应基于最小特权原则；c) 系统中的账号不能修改自身权限。6.4.5.2 身份鉴别6.4.5.2.1 鉴别机制管理应提供身份鉴别功能，使用的鉴别机制包含以下要求：a) 在用户对网络存储进行操作之前，先对提出该操作请求的用户进行鉴别；b) 对用户的最终鉴别处理、鉴权处理过程应在服务端进行，并遵循先鉴权后执行的原则；c) 当用户连续鉴别失败达到设定次数后，采取措施阻止用户的进一步请求；d) 用户操作超时被断开后，重新连接时需要重新进行鉴别；e) 支持用户鉴别信息非明文存储，且认证数据不被未授权查阅和修改；f) 提供多种鉴别机制及相应鉴别规则；g) 对于重要的操作，支持强制要求用户重新输入口令等鉴别信息，并在服务端完成鉴别；h) 应支持基于密码技术的身份鉴别机制。6.4.5.2.2 口令安全管理应提供基于口令的鉴别方式，口令安全包含以下要求：a) 对于管理面，系统提供检测口令复杂度的功能，若设置的口令不符合复杂度要求，不准许设置成功并给出合理的提示，对于系统自动生成的口令，使用安全随机数生成；b) 口令复杂度满足以下要求：· 口令长度至少6个字符；· 口令包含至少两种字符的组合；· 口令不可与账号相同。c) 产品出厂使用的第三方和开源软件不得使用缺省口令；d) 不应存在用户无法修改的口令。对于出厂时缺省设置的账号/口令或用于传输的加密密钥，应提供修改机制，提醒用户修改及定期更新，并提示风险；e) 提供的口令输入框不支持口令拷贝；f) 操作界面中的口令不应明文显示；g) 密码口令文件应设置访问权限，管理用户不可读取或拷贝加密的内容；h) 用户修改自己口令时应验证旧口令。6.4.5.2.3 登录身份鉴别应提供登录身份鉴别功能，包含以下要求：a) 管理接口提供接入鉴别机制，所有可对