一般企业网络都具有一定的安全防范策略和设备，如防火墙、入侵监测系统(IDSs)、代理服务器等，尽管它们也可以在一定程度上起到为存储安全建立一层“防护线”的作用，但是，存储安全的的核心技术应该从存储网络的安全性、交换机光纤、设备、阵列、主机总线适配器(HBA)等方面来实现。

　　FC、IP网络的安全性

　　不论是光纤通道还是IP网络，主要的潜在威胁来自非授权访问，特别是管理接口。例如，一旦获得和存储区域网络(SAN)相连接服务器管理员的权限，欺诈进入就可以得逞。这样入侵者可以访问任何一个和SAN连接的系统。因此，无论使用的是哪一种存储网络，应该认识到应用充分的权限控制、授权访问、签名认证的策略对防止出现安全漏洞是至关重要的。

　　测错攻击在IP网络中也比在光纤通道的SAN中易于实现。针对这类攻击，一般是采用更为复杂的加密算法。

　　尽管DoS似乎很少发生，但是这并不意味着不可能。然而如果要在光纤通道SAN上实现DoS攻击，则不是一般的黑客软件所能实现的，因为它往往需要更为专业的安全知识。

　　实现SAN数据安全方法

　　保证SAN数据安全的两个基本安全机制是分区制zoning和逻辑单元值(LogicalUnitNumber)掩码。

　　分区制是一种分区方法。通过该方法，一定的存储资源只对于那些通过授权的用户和部门是可见的。一个分区可以由多个服务器、存储设备、子系统、交换机、HBA和其它计算机组成。只有处于同一个分区的成员才可以互相通讯。

　　分区制往往在交换级来实现。根据实现方式，可以分为两种模式，一为硬分区，一为软分区。硬分区是指根据交换端口来制定分区策略。所有试图通过未授权端口进行的通讯均是被禁止的。由于硬分区是在系统电路里来实现，并在系统路由表中执行，因此，较之软分区，具有更好的安全性。

　　在光纤通道网络中，软分区是基于广域命名机制的(WWN)的。WWN是分配给网络中光纤设备的唯一识别码。由于软分区是通过软件来保证在不同的分区中不会出现相同的WWNs，因此，软分区技术比硬分区具有更好的灵活性，特别是在网络配置经常变化的应用中具有很好的可管理性。

　　有些交换机具有端口绑定功能，从而可以限制网络设备只能和通过预定义的交换端口进行通讯。利用这种技术，可以实现对存储池的访问限制，从而保护SAN免受非授权用户的访问。

　　另一种被广泛采用的技术是LUN掩码。一个LUN就是对目标设备(如磁带和磁盘阵列)内逻辑单元的SCSI识别标志。在光纤通道领域，LUN是基于系统的WWN实现的。

　　LUN掩码技术是将LUN分配给主机服务器，这些服务器只能看到分配给它们的LUN。如果有许多服务器试图访问特定的设备，那么网络管理者可以设定特定的LUN或LUN组可以访问，从而可以拒绝其它服务器的访问，起到保护数据安全的目的。不仅在主机上，而且在HBA、存储控制器、磁盘阵列、交换机上也可以实现各种形式的LUN屏蔽技术。