(NAS)加密存储网关使用手册

(NAS)加密存储网关Version:0.0.5编制:审核:日期:2023-04-05

软件用户手册（软件使用说明书）1引言.................................................................................................................................................31.1目的......................................................................................................................................31.2背景......................................................................................................................................31.3需求......................................................................................................................................32.软件概述.......................................................................................................................................42.1目标......................................................................................................................................42.2功能......................................................................................................................................43.运行环境.......................................................................................................................................43.1硬件系统..............................................................................................................................53.2管理系统..............................................................................................................................53.3架构说明..............................................................................................................................54.使用说明.......................................................................................................................................54.1网关部署..............................................................................................................................54.2远程管理..............................................................................................................................65.使用流程说明.............................................................................................................................125.1管理配置............................................................................................................................125.2用户使用............................................................................................................................136.注意事项.....................................................................................................................................13

1引言1.1产品介绍NAS加密存储网关的功能是对NAS存储服务器提供的代理功能。形象地说，它是信息的中转站，是客户机终端和NAS存储服务器之间的中间代理机构，负责转发合法的信息，对转发的数据进行控制和登记。NAS加密存储网关作为连接NAS存储服务器的桥梁，它可用于多个目的，最基本的功能是连接，最重要的还包括安全性、缓存、文件加密、审计、访问控制管理等功能。1.2目的本文档是NAS加密存储网关系统段针对管理人员所进行的使用手册，在本文档中我们通过对存储网关系统的部署，管理进行了详细而具体的描述，通过该文档读者可以了解该系统的所有功能，部署环境以及用户的使用方式。1.3背景NAS加密存储网关系统，专为数据高度敏感用户提供文件加解密及审计功能，由管理中心、存储网关组成。管理中心提供对存储网关管理的功能，所有的策略信息、日志信息及密钥信息由管理中心统一配置。存储网关负责真正核心业务数据的处理，具备对NAS存储协议解析，封装，和对文件加解密功能，审计功能，支持的协议包括：SMB、CIFS、NFS。1.4需求随着信息时代得到来，人们对于数据安全和个人隐私越加重视。海量数据的存储为人工智能和大数据分析提供了基础，不断发展的存储技术为我们生活带来了极大便利，但安全问题也在时时困扰着我们，病毒、黑客的猖獗，各种威胁之声不断传出。数据安全问题成为了各界关注的重点问题，很多机密文件一旦被黑客窃取或泄露，损失是不可想象的，重则可能威胁到国家的安全。数据安全在一定程度上依赖于数据的安全存储。党的十九大报告中，习近平总书记明确提出了建设网络强国、数字中国的战略目标，提出推动互联网、大数据、人工智能和实体经济深度融合，促进传统产业优化升级。在这种形势下，各类信息系统正在快速发展建设，信息系统产生的敏感业务数据也越来越多，信息系统面对的来自内部和外部的的安全风险也大大增加。威胁存储安全的根源在于存储介质中的数据是以明文方式保存的，这使得入侵者可以轻易地非法获取和篡改数据，应对这种威胁的有效方法就是使用密码技术对存储在介质中的数

据进行加密保护。基于以上相关背景，我公司凭借扎实的技术积累，自主研制了安全存储网关产品，为数据安全存储提供密码保护和支撑，以标准存储协议为技术核心能兼容复杂多变的存储环境，兼容主流存储设备。2.软件概述2.1目标存储网关适用于各类数据的安全加密存储，主要目标包括以下几点：1.数据私密性保障文件采用明文的方式存储在硬盘上，存在安全隐患，需要加密存储。2.访问控制权限对NAS的访问权限没有统一的控制或根本没有访问控制，非常容易造成越权访问或非法访问，需要有完善的访问控制管理；3.访问审计对文件的访问没有留下记录，无法审计用户操作记录，需要提供文件访问日志记录。4.方便部署(无需改变原有存储架构)对已有存储系统的环境部署，无需改变原有的存储架构，可无缝接入现有环境；对没有存储系统的环境需先部署存储系统(NAS系统)。2.2功能1.对存储文件基于国密SM2，SM3，SM4，AES算法的高性能数据加解密。2.支持SMB，CIFS，NFS协议，支持多用户，多路径，透明加解密。3.详细的文件访问控制和审计功能。4.图形化管理界面。

3.运行环境3.1存储网关存储网关系统要求：Linuxserver64位x86架构服务器。硬件推荐CPU8核，内存16GB以上，千兆网卡。3.2管理端管理端运行在windows64位桌面终端操作系统，可连接网关服务器进行远程管理。3.3架构说明（存储网关为本产品）4.使用说明4.1存储网关部署1.解压到/opt/s2gateway/目录命令：-d/opt/s2gateway/2.拷贝e到/usr/lib/systemd/system/命令：e/usr/lib/systemd/system/

3.开启开机自启动命令：e4.启动服务，命令：e5.服务启动后，注意防火墙配置，10716为远程管理端口，可用管理工具远程连接,进行相关配置。6.卸载方法：停止服务命令：e，然后删除存储网关系统目录和服务文件：rm-r/opt/s2gatewayrm/usr/lib/systemd/system/e4.2远程管理1.管理员登录默认管理员账号：sysadmin密码：1qaz2wsx2.管理端主页，包含存储网关部署环境的基本信息和状态

3.缓存配置，针对文件在和服务器交换过程中对文件数据的缓存，提高文件访问效率4.密钥管理，主密钥用来包含每个文件产生的随机密钥，可针对不同的服务器配置不同的密钥，增强安全性，也可以配置相同的主密钥，文件在各个服务器可以互通。

5.用户策列管理CIFS(samba)服务，增对不同的用户可配置不同的密钥，加解密算法6.安全配置,防火墙功能(防止cc攻击,流量攻击等)

7.网关服务管理，可增加CIFS,NFS,TCP等网关服务NFS网关服务所有文件的密钥，使用该主密钥生成

8.服务状态，包含客户端连接到网关的状态和时间9.管理员管理10.相关操作日志，包含系统登录，增删改等操作。

11.网关重启，修改策列后需要重启服务，让策列生效。

12.技术支持5.使用流程说明5.1管理配置管理员进入系统，创建默认的密钥（系统最少配置1个密钥），添加网关服务CIFS，SMB，NFS，TCP，其中TCP只有数据转发功能，CIFS和NFS具有文件加密功能，需要配置密钥，配置完成后需要重启服务，让配置生效。TCP服务：提供数据流转发功能，不做任何额外的处理，相当于端口映射。CIFS(Samba)服务：提供对文件操作审计，加解密功能，加解密功能需要在用户策列添加对应的账号和密码，选择对应的算法和主密钥。NFS服务:提供文件加解密功能，NFS没有用户概念，所有文件使用相同的主密钥随机产生文件密钥进行加解密。

5.2用户使用网关部署启动成功后，用户可安装之前访问存储的方式直接连接到网关，网关进行转发。Linux下相关挂载命令:sudomount-tcifs-ouser=test,pass=123456,uid=1000,gid=1000//网关地址/data~/datasudomount-tnfs-overs=3网关地址:/data/~/64aWindows下可直接通过运行访问CIFS服务6.注意事项1.网关部署使用一段时间后，如果对密钥进行更换，会导致之前一段时间通过网关保存的文件无法解密，因为密钥变了。2.连接网关后新保存的文件才会加密，之前存储服务器里的文件不会变化。3.连接网关后保存的文件只有通过网关才能正常打开。4.增对已加密的文件通过原存储服务或存储服务器硬盘打开内容是加密的，保证文件的安全性。