国际标准 ISO/IEC 27040 第一版 2015-01-15 信息技术－安全技术－存储安全 信息技术-安全技术-库存安全 参考号ISO/IEC 27040:2015(E) Iso IEC @IS0/IEC 2015 IS0/IEC 27040:2015(E) 受版权保护的文件 @ IS0/IEC 2015 保留所有权利。除非另有规定，未经事先书面许可，不得以任何形式或通过任何电子或机械手段复制或利用本出版物的任何 部分，包括影印，或在互联网或内部网上发布。可以通过以下地址向国际标准化组织或请求者所在国家的国际标准化组织的 成员机构申请许可。 ISO版权局 Case postale 56 - CH-1211 Geneva 20 电话。+41227490111 传真：+41227490947 电子邮件 [email protected]网站 www.iso.org 发表于瑞士 i IS0/IEC 27040:2015(E) 内容 前言简介 1 范围 2 规范性参考资料 3 术语和定义 4 符号和缩略语 5 概述和概念 5.1 一般 5.2 存储概念 5.3 存储安全介绍 5.4 存储安全风险 5.4.1 背景介绍 5.4.2 数据泄露 5.4.3 数据损坏或破坏 5.4.4 暂时或永久失去访问/使用权 5.4.5 未能满足法定、监管或法律要求 6 支持控制 6.1 一般 6.2 直接连接的存储（DAS） 6.3 存储联网 6.3.1 背景介绍 6.3.2 存储区域网络（SAN） 6.3.3 网络连接存储（NAS） 6.4 存储管理 6.4.1 背景介绍 6.4.2 认证和授权 6.4.3 确保管理界面的安全 6.4.4 安全审计、会计和监控 6.4.5 系统加固 6.5 基于块的存储 6.5.1 光纤通道（FC）存储 6.5.2 IP存储 6.6 基于文件的存储 6.6.1 基于NFS的NAS 6.6.2 基于SMB/CIFS的NAS 6.6.3 基于NFS的并行NAS 6.7 基于对象的存储 6.7.1 云计算存储 6.7.2 基于对象的存储设备（OSD) 6.7.3 内容可寻址存储（CAS） 6.8 存储安全服务 6.8.1 数据净化 6.8.2 数据保密性 6.8.3 数据缩减 ili IS0/IEC 27040:2015(E) 7 存储安全的设计和实施指南 7.1 一般 7.2 存储安全设计原则 7.2.1 深度防御 7.2.2 安全领域 7.2.3 设计复原力 7.2.4 安全初始化 7.3 数据的可靠性、可用性和复原力 7.3.1 可靠性 7.3.2 可利用性 7.3.3 备份和复制 7.3.4 灾难恢复和业务连续性 7.3.5 复原力 7.4 数据保留 7.4.1 长期保留 7.4.2 短期到中期的保留 7.5 数据的保密性和完整性 7.6 虚拟化 7.6.1 存储虚拟化 7.6.2 虚拟化系统的存储 7.7 设计和实施方面的考虑 7.7.1 加密和钥匙管理问题 7.7.2 调整存储和政策 7.7.3 遵守规定 7.7.4 安全的多租户 7.7.5 安全的自主数据移动 附件A（规范性）媒体消毒 附件B（信息性）选择适当的存储安全控制附件C（信息性）重要的安全概念 书目 iv IS0/IEC 27040:2015(E) 前言 ISO（国际标准化组织）和IEC（国际电工委员会）构成了全世界标准化的专门体系。作为ISO或IEC成 员的国家机构通过各自组织建立的技术委员会参与国际标准的制定，以处理特定的技术活动领域。 ISO和IEC技术委员会在共同感兴趣的领域进行合作。其他国际组织，政府和非政府组织，与ISO和IEC 联络，也参与了工作。在信息技术领域，ISO和IEC建立了一个联合技术委员会，即ISO/IECJTC1。 用于制定本文件的程序和打算进一步维护本文件的程序在ISO/IEC指令第1部分中有描述。应特别注意 不同类型的文件所需的不同批准标准。本文件是根据ISO/IEC指令第2部分的编辑规则起草的（见 www.iso.org/directives)。 请注意，本文件中的某些内容可能是专利权的对象。ISO和IEC不负责识别任何或所有此类专利权。在 文件制定过程中发现的任何专利权的细节将在导言中和/或在ISO收到的专利声明清单上（见 www.iso.org/patents)。 本文件中使用的任何商品名称是为方便用户而提供的信息，不构成对其的认可。 关于ISO与合格评定有关的特定术语和表达方式的含义的解释，以及关于ISO在技术性贸易壁垒（TBT） 中遵守世贸组织原则的信息，请参见以下网址。前言补充信息 负责本文件的委员会是ISO/IECJTC1，信息技术，SC27，安全技术。 IS0/IEC 27040:2015(E) 前言 ISO（国际标准化组织）和IEC（国际电工委员会）构成了全世界标准化的专门体系。作为ISO或IEC成 员的国家机构通过各自组织建立的技术委员会参与国际标准的制定，以处理特定的技术活动领域。 ISO和IEC技术委员会在共同感兴趣的领域进行合作。其他国际组织，政府和非政府组织，与ISO和IEC 联络，也参与了工作。在信息技术领域，ISO和IEC建立了一个联合技术委员会，即ISO/IECJTC1。 用于制定本文件的程序和打算进一步维护本文件的程序在ISO/IEC指令第1部分中有描述。应特别注意 不同类型的文件所需的不同批准标准。本文件是根据ISO/IEC指令第2部分的编辑规则起草的（见 www.iso.org/directives)。 请注意，本文件中的某些内容可能是专利权的对象。ISO和IEC不负责识别任何或所有此类专利权。在 文件制定过程中发现的任何专利权的细节将在导言中和/或在ISO收到的专利声明清单上（见 www.iso.org/patents)。 本文件中使用的任何商品名称是为方便用户而提供的信息，不构成对其的认可。 关于ISO与合格评定有关的特定术语和表达方式的含义的解释，以及关于ISO在技术性贸易壁垒（TBT） 中遵守世贸组织原则的信息，请参见以下网址。前言补充信息 负责本文件的委员会是ISO/IECJTC1，信息技术，SC27，安全技术。 IS0/IEC 27040:2015(E) 前言 ISO（国际标准化组织）和IEC（国际电工委员会）构成了全世界标准化的专门体系。作为ISO或IEC成 员的国家机构通过各自组织建立的技术委员会参与国际标准的制定，以处理特定的技术活动领域。 ISO和IEC技术委员会在共同感兴趣的领域进行合作。其他国际组织，政府和非政府组织，与ISO和IEC 联络，也参与了工作。在信息技术领域，ISO和IEC建立了一个联合技术委员会，即ISO/IECJTC1。 用于制定本文件的程序和打算进一步维护本文件的程序在ISO/IEC指令第1部分中有描述。应特别注意 不同类型的文件所需的不同批准标准。本文件是根据ISO/IEC指令第2部分的编辑规则起草的（见 www.iso.org/directives)。 请注意，本文件中的某些内容可能是专利权的对象。ISO和IEC不负责识别任何或所有此类专利权。在 文件制定过程中发现的任何专利权的细节将在导言中和/或在ISO收到的专利声明清单上（见 www.iso.org/patents)。 本文件中使用的任何商品名称是为方便用户而提供的信息，不构成对其的认可。 关于ISO与合格评定有关的特定术语和表达方式的含义的解释，以及关于ISO在技术性贸易壁垒（TBT） 中遵守世贸组织原则的信息，请参见以下网址。前言补充信息 负责本文件的委员会是ISO/IECJTC1，信息技术，SC27，安全技术。