1L535.220
CCS L70
YD
中 华 人 民 共 和 国 通 信 行 业 标 准
YD/T 4325—2023
电信网和互联网安全防护要求及检测方法存储设备
Security protection requirements and testing methods for telecom network and Internet——Storage device
2023-07-28发布 2023-11-01实施
中华人民共和国工业和信息化部 发 布
YD/T4325—2023
目 次
前言………………………………………………………………………………………………………………………………………………………………………………II
1 范围…………………………………………………………………………………………………………………………………………………… 1
2 规范性引用文件………………………………………………………………………………………………………………… 1
3 术语与定义………………………………………………………………………………………………………………………………… 1
4 缩略语…………………………………………………………………………………………………………………………………………… 2
5 概述……………………………………………………………………………………………………………………………………………… 3
6 第一级安全防护要求………………………………………………………………………………………………………………………… 4
6.1 安全防护能力要求……………………………………………………………………………………………………………………………………… 4
6.2 安全保障过程要求………………………………………………………………………………………………………………………… 8
7 第二级安全防护要求…………………………………………………………………………………………………………………………………………………………… 9
7.1 安全防护能力要求…………………………………………………………………………………………………………………………………………………………………… .9
7.2 安全保障过程要求…………………………………………………………………………………………………………………………………………………………………14
8 第三级安全防护要求……………………………………………………………………………………………………………………………………………………………………………16
8.1 安全防护能力要求……………………………………………………………………………………………………………………………………………………………………16
8.2 安全保障过程要求………………………………………………………………………………………………………………………………………………………………22
9 第四级安全防护要求………………………………………………………………………………………………………………………………………………………………………25
10 第五级安全防护要求…………………………………………………………………………………………………………………………………………………………………25
11 存储设备安全防护测试方法……………………………………………………………………………………………………………………………………………………25
11.1 概述……………………………………………………………………………………………………………………………………………………………………………………………25
11.2 安全防护能力要求检测方法………………………………………………………………………………………………………………………………………25
11.3 安全过程保障要求检测方法…………………………………………………………………………………………………………………………………………62
附录A（规范性）存储设备类型与要求对照表………………………………………………………………………………………………………………………70
参考文献…………………………………………………………………………………………………………………………………………………………………………………………………………78
I
YD/T 4325—2023
前言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国通信标准化协会提出并归口。
本文件起草单位：中国信息通信研究院、华为技术有限公司、浪潮电子信息产业股份有限公司、杭州宏杉科技股份有限公司、中国科学院软件研究所。
本文件主要起草人：孟楠、李佳曦、张宇、戴方芳、苏楠、刘奇龙、王丹丹、王伟、葛小宇。
Ⅱ
YD/T 4325—2023
电信网和互联网安全防护要求及检测方法 存储设备
1 范围
本文件规定了电信网和互联网中所使用的存储设备应具备的安全能力要求，以及存储设备供应商在设计开发存储设备时应满足的过程要求，以保障电信网和互联网业务安全可靠的运行。
本文件适用于安全防护体系中电信网和互联网系统中所使用的存储设备。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T5271.1 信息技术词汇 第1部分：基本术语
GB/T 37939 信息安全技术 网络存储安全技术要求
3 术语与定义
GB/T5271.1和GB/T37939界定的以及下列术语和定义适用于本文件。
3.1
存储设备 storage device
用于存储信息的专用设备，通过不同存储访问协议与其他信息设备进行信息交互。
3.2
阵列存储设备 disk array storage device
采用独立控制器加硬盘扩展框的专用硬件平台设计，关键部件冗余热拔插，更加强化硬盘驱动器的稳定和效能，并采用嵌入式软件，与硬件紧耦合设计，通过深度调度硬件底层和源码，使存储系统性能、可靠性及功能均达到最优，为用户提供毫秒(ms)级以及更低的时延，高至千万级IOPS的高性能以及多达5~7个9的高可靠性，同时在专用硬件下提供更专业的存储功能和特性。阵列存储设备可基于架构、性能、可靠性及应用场景分为高端、中端和入门级三类产品。
1
YD/T 4325—2023
3.3
分布式存储设备 distributed storage device
基于通用服务器平台，利用分布式软件系统，通过网络以集群的方式提供存储服务。通过分布式集群技术，使存储系统可大规模地横向扩展且性能同容量线性增长，并通过数据分布式冗余方式提高数据的可靠性。分布式存储主要按存储类型分为块存储、文件存储、对象存储。
3.4
控制器 controller
由处理器、Cache、接口芯片等硬件及其上功能、管理软件模块组成，实现系统的操作转发、路由与聚集、故障恢复和性能优化等阵列的控制部件。
3.5
存储引擎 storage engine
主要负责处理存储业务，包含控制器、存储系统软件、电源等部件在内的存储物理设备单元，一个存储引擎可包含2个或2个以上控制器。
4 缩略语
下列缩略语适用于本文件。
CHAP 挑战握手协议 Challenge Handshake Authentication Protocol
CIFS 通用因特网文件系统 Common Internet File System
CVE 公共漏洞和暴露 Common Vulnerabilities与Exposures
DoS 拒绝服务攻击 Deny of Service
LDAP 轻型目录访问协议 Lightweight Directory Access Protocol
LUN 逻辑单元号 Logic Unit Number
I/O 输入输出 Input Output
IOPS 每秒读写操作次数 Input Output operation per Second
iSCSI 因特网小型计算机系统接口 Internet Small Computer System Interface
NAS 网络附属存储 Network Attached Storage
NFS 网络文件系统 Network File System
NIS 网络信息服务 Network Information Service
PKI 公共密钥基础设施 Public Key Infrastructure
QoS 服务质量 Quality of Service
RAID 磁盘阵列 Redundant Arrays of Independent Disks
SAN 存储区域网络 Storage Area Network
URL 统一资源定位符 Uniform Resource Locator
VLAN 虚拟局域网 Virtual Local Area Network
2
YD/T 4325—2023
WORM 一写多读 Write Once Read Many
5 概述
电信网和互联网行业的数据中心内存在大量的存储产品，其上承载着海量的高价值数据，若出现安全问题，会导致网络运行异常或中断，对数据所有方造成巨大的经济与名誉损失，甚至还可能对国家与社会安全产生影响。因此，在电信网和互联网行业中使用的存储设备需具备足够的安全防护能力，以应对日益升级的网络安全攻击威胁。
本文件将用于规范电信网和互联网领域中存储设备的安全防护要求并制定对应的检测要求，用于判断和验证存储产品是否可信赖。具体地，本文件将安全防护要求分为安全防护能力要求与安全保障过程要求两个维度进行定义；安全防护能力要求主要用于定义存储产品应具备的安全防护产品能力与特性，包括安全性、可靠与可用性、韧性、隐私保护与无害性；安全保障过程要求用于定义存储产品在设计、开发、测试、发布及维护等全生命周期各阶段中应满足的各种保障要求，包括一致性、可追溯、可重复、透明性和工程安全性等。标准总体架构如图1所示。
安全防护能力要求存储设备
1 范围
2引用
3术语、定义和缩略语
4概述
安全防护能力要求
安全保障过程要求
安全性
可靠性
可用性
韧性
隐私性
无害性
一致性
可追溯
可重复
透明性
工程安全性
10测试方法
图1 标准总体架构
存储设备从存储类型上主要分为阵列存储和分布式存储。其中，阵列存储从市场定位、应用场景和性能可靠性指标的区别又可归类为高端、中端及入门级存储；分布式存储可基于存储服务类别分为分布式块存储、分布式文件存储和分布式对象存储。不同类型的存储设备在架构、系统组成以及应用场景等方面存在差异。相应地，不同类别的存储设备所应具备的安全防护能力也存在差异。因此，本标准将面向不同类型存储设备制定差异化的安全防护要求。其中，安全防护能力要求分为差异化与通用型要求两类，差异化要求面向具体存储设备类型，只需该类型存储设备满足；通用型要求需要所有类型存储设备满足。过程保障要求为通用型要求，不区分存储设备类型。
3
YD/T 4325—2023
本文件依据可抵御攻击强度、数据存储可信赖程度以及研发过程保障程度将安全防护要求分为五个级别进行规定，五级为最高级。满足越高等级的存储设备具备更好的攻击抵御能力和其上存储的数据保障能力。可根据具体的使用场景需求为存储设备指定不同的安全防护要求等级。在本文件中，加黑部分表示较高等级中增加或增强的要求。
6 第一级安全防护要求
6.1 安全防护能力要求
6.1.1 安全性
6.1.1.1设备安全
6.1.1.1.1 安全加固
存储设备应支持安全加固功能，包含以下要求。
a） 关闭不需要的系统服务、默认共享和端口。
b） 支持关闭不安全访问协议，并缺省关闭。
6.1.1.1.2 Web安全
存储设备应提供Web安全功能，包含以下要求。
a） 对于每一个需要授权访问的请求应核实用户的会话标识是否合法、用户是否被授权执行此操作。
b） 在Web应用中，用户名和口令认证通过后，应更换会话标识，并使用cookie维持会话。
6.1.1.1.3 系统完整性保护
存储设备应提供系统完整性保护功能，应支持使用数字摘要值对存储设备的软件安装包、补丁和固件进行完整性保护，生成数字摘要使用的算法应采用业界公认安全的算法，例如SHA256等。
6.1.1.1.4 软件及软件运行安全
存储设备应提供软件及软件运行安全，若存储设备自带有操作系统、数据库、Web应用，应保证系统软件及软件运行环境不存在高风险级别的漏洞或针对高风险级别的漏洞具备相应的防护措施，例如经通用漏洞评分系统评估出的高风险漏洞。
6.1.1.2 业务安全
6.1.1.2.1 网络隔离
存储设备应提供必要的网络隔离，应支持业务网络与管理网络之间的隔离。
6.1.1.2.2 访问安全
存储设备应提供必要的访问安全功能。
a） 访问鉴别，应对访问存储设备的应用进行鉴别，包含以下要求。
4
YD/T 4325—2023
1） 对应用提供唯一标识，并将标识和与其相关的所有可审计事件相关联。
2） 不存在可绕过鉴别机制的访问方式。
3）利用iSCSI协议时，应支持CHAP双向认证。
4） 利用NFS协议时，应支持认证。
5） 利用CIFS协议时，应支持认证。
b） 访问控制，应实现策略控制下的访问控制功能，包括以下要求。
1） 对资源进行访问的内容、操作权限应不超出预定义的范围，满足最小特权原则。
2）若提供SAN资源，则存储设备应提供SAN资源访问控制机制，例如通过映射建立主机和LUN之间的访问关系。
3）若提供NAS资源，则存储设备应提供NAS资源访问控制机制，对文件及目录实现读写删除等访问控制。
6.1.1.2.3 数据安全
存储设备应提供必要的数据安全保护功能。
a） 数据保密性，存储设备应对数据的保密性进行保护，应对业务应用关键数据采用非明文存储。
1） 口令等敏感信息不得明文存储在本地，需加密保护。
2） 不在URL、日志、错误消息、调试信息中暴露口令、密钥、会话标识符等敏感信息。
3） 对敏感数据的访问要有认证、授权或加密机制，对于认证凭据的安全存储，在不需要还原明文的场景下，应使用不可逆算法加密。
4） 所采用的密码算法应遵循国家密码管理部门的相关规定。
b） 剩余信息保护，存储设备应提供剩余信息保护功能，应支持硬盘数据安全擦除，数据擦除后，不可恢复，例如，可采用的安全擦除方式有固件的安全擦除命令、多次覆盖写入及密钥销毁等方式。
6.1.1.3 管理安全
6.1.1.3.1 身份管理
存储设备应提供必要的身份管理功能。
a） 身份标识管理，存储设备应提供对用户的标识功能，应为每个用户提供唯一的身份标识。
b） 账号安全管理，存储设备应提供账号安全管理功能，包含以下要求。
1） 系统中的账号应具有唯一性。
2） 系统应没有任何未公开账号，所有账号应可被系统管理，并在资料中提供所有账号及管理操作说明。
c） 账号权限管理，存储设备应提供账号权限管理功能，包含以下要求。
1）应采用基于角色的账号权限管理模型。
2） 系统中的账号不能修改自身权限。
5
YD/T 4325—2023
6.1.1.3.2 身份鉴别
存储设备应提供必要的身份鉴别能力。
a） 鉴别要求，存储设备应在必要的场景提供身份鉴别功能，包含以下要求。
1） 网络管理接口应提供接入鉴别机制，所有可对系统进行管理的人机接口以及跨信任网络的机机接口应有安全的接入鉴别机制并缺省启用，标准协议没有鉴别机制的除外。
2） 设备外部可见的可对系统进行调试或管理的物理接口应有接入鉴别机制。
3） 在用户对存储设备进行操作之前，应先对提出该操作请求的用户进行鉴别。
b） 鉴别管理，存储设备提供的身份鉴别功能应满足以下要求。
1） 对用户的最终鉴别处理、鉴权处理过程应在存储设备服务端进行，并遵循先鉴权后执行的原则。
2） 对于人机接口或跨信任网络的机机接口的登录身份鉴别应支持口令防暴力破解机制，当重复输入错误口令次数超过阈值时采取合适保护措施。
3） 用户鉴别信息应非明文存储，且认证数据应不被未授权查阅和修改。
c） 口令安全管理，存储设备应提供基于口令鉴别方式的口令安全保护机制，包含以下要求。
1） 对于管理面，系统应提供检测口令复杂度的功能，若设置的口令不符合复杂度要求，不准许设置成功并给出合理的提示，对于系统自动生成的口令，应使用安全随机数生成或首次登录强制修改默认口令。
2） 口令复杂度应满足以下要求。
口令长度至少6个字符。
口令包含至少两种字符的组合。
● 口令不可与账号相同。
3） 不应存在用户无法修改的口令，对于出厂时缺省设置的账号/口令或用于传输的加密密钥，应提供修改机制，提醒用户修改及定期更新，并提示风险。
4） 密码口令文件应设置访问权限，非授权用户不可读取或复制加密的内容。
6.1.1.3.3 会话管理
存储设备应提供会话管理功能，应提供会话超时机制，在超时过后清除该会话信息。
6.1.1.3.4 安全审计
存储设备应提供安全审计功能。
a） 审计数据产生，存储设备应提供以下审计数据产生功能。
1）应为下述可审计事件产生审计记录。
审计功能的开启和关闭。
针对数据的备份、恢复、删除、迁移等操作。
用户关键活动和操作行为，包括登录和注销、增加/删除用户和用户属性的变更、用户的锁定与解锁、角色权限变更、系统安全配置的变更、系统配置参数的修改等。
其他与系统安全有关的事件或专门定义的可审计事件。
6
YD/T4325—2023
2） 对于每一个事件，其审计记录应包括用户、被访问资源的名称、访问发起端地址或标识、事件的日期和时间、事件类型、事件是否成功，及其他与审计相关的信息。
b） 审计数据管理，存储设备应提供对审计数据的管理功能，包含以下要求。
1） 审计数据应只被具有相应权限的用户访问和读取。
2） 审计数据应以可被处理的形式提供。
c） 审计数据存储，存储设备应保证审计数据的存储安全，包含以下要求。
1） 应确保审计记录的保存时间符合法律法规要求。
2） 应确保审计记录不可修改。
6.1.1.3.5 密钥管理
存储设备应支持密钥管理功能。
a） 应对密钥进行分层管理。
b） 手动输入的值，应不可直接作为密钥使用。
c） 用于敏感数据加密的密钥，应不可写在源代码中。
d） 密钥及相关信息在本地存储时应提供完整性保护和机密性保护。
6.1.2 可靠与可用性
6.1.2.1 数据可用性
6.1.2.1.1 备份与恢复
存储设备应提供对数据进行备份和恢复的功能。
a） 应支持对数据进行手动备份。
b） 应支持对数据进行全备份。
c） 应支持对数据进行异步备份。
d） 应支持对数据进行本地备份。
e） 应支持通过快照提供数据备份与恢复功能。
6.1.2.1.2 冗余与高可用
存储设备应提供数据冗余与数据高可用功能。
a） 针对阵列存储设备，应支持通过配置RAID保障存储数据的可靠性。
b） 针对分布式存储设备，应支持通过副本或纠删码冗余条带方式实现数据的冗余存储。
6.1.2.2 模块可靠性
存储设备的内部模块应提供模块级可靠性能力，针对阵列存储设备，应支持存储设备电源模块冗余、控制模块冗余，并提供容错和故障恢复能力。
6.1.3 隐私性
存储设备若涉及任何形式的用户个人隐私数据环节，应保障用户个人数据的隐私性，需满足以下要求。
7
YD/T 4325—2023
a） 产品资料包中应提供个人数据的隐私处理声明，如果有更新需及时告知用户。
b） 个人数据收集范围、使用目的应不得超出隐私处理声明，且遵循最小化原则。
6.1.4 无害性
存储设备应进行无害设计，产品形态不会对使用人员造成人身伤害威胁。
a） 硬件产品不危害人、环境和其他系统，整机设计应遵循国际电气工程师协会标准。
b）应通过CCC与CQC认证。
6.2 安全保障过程要求
6.2.1 一致性
6.2.1.1 设计
存储设备在研发设计时应满足以下一致性要求。
a） 应在产品设计时进行威胁分析建模，识别存储设备主要应用场景存在的安全风险与对应的消减措施。
b） 应保证存储设备的所有初始安全防护需求均能找到对应的安全防护能力设计。
6.2.1.2 测试
存储设备在研发测试时应满足以下一致性要求。
a） 应将产品交付的所有需求覆盖测试，无需求测试遗漏。
b） 测试报告应与用例有明确的关联关系，确保测试结论与数据完整。
c） 应将产品交付的安全性、可靠与可用性、韧性、隐私性和无害性等需求纳入测试范围，按照产品承诺目标完成测试，确保产品能够提供相应的可信特性。
6.2.1.3 构建
应保证源码和二进制的一致性，支持重复编译且编译结果一致，差异可消除。
6.2.2 可追溯
应将测试活动过程包含在产品开发流程中，各项测试活动交付件可追溯。
6.2.3 透明性
应明确产品开发过程中使用的工具情况，包括名称、版本信息，来源（开源、自研、第三方工具等），类型（需求、设计、开发、测试、交付、配置管理、测量分析等）等。
6.2.4 工程安全性
6.2.4.1 开发环境安全
存储设备的开发环境应满足以下安全要求。
a） 应保障开发环境和工具安全，防止开发工具被植入恶意软件。
b）应保障从开发到通过供应链交付给用户的产品是完整的，没有被恶意篡改或仿冒。
8
YD/T 4325—2023
6.2.4.2 漏洞管理
应确保存储产品在发布前所有已知漏洞都已被修复。
7 第二级安全防护要求
7.1 安全防护能力要求
7.1.1 安全性
7.1.1.1 设备安全
7.1.1.1.1 安全加固
存储设备应支持安全加固功能。
a） 关闭不需要的系统服务、默认共享和端口。
b） 支持关闭不安全访问协议，并缺省关闭。
c） 对操作系统、数据库和文件系统采用业界通用的加固规范进行安全加固。
7.1.1.1.2 Web安全
存储设备应提供Web安全功能。
a） 对于每一个需要授权访问的请求应核实用户的会话标识是否合法、用户是否被授权执行此操作。
b） 在Web应用中，用户名和口令认证通过后，应更换会话标识，并使用cookie维持会话。
c） 支持在服务器端对所有来自不可信数据源的数据进行内容校验，拒绝任何没有通过校验的数据。
d） 若输出到客户端的数据来自不可信的数据源，则对该数据进行相应的编码或转义。
e） 通过Web上传应在服务器端采用白名单方式对上传到Web内容目录下的文件类型进行严格的限制。
f） 通过Web对文件进行上传和下载操作时，应在服务器端进行文件目录访问限制，防止非法跨目录访问数据，造成数据被泄露。
7.1.1.1.3 系统完整性保护
存储设备应提供系统完整性保护功能，应支持使用数字签名对存储设备的软件安装包、补丁和固件进行完整性保护，防止被篡改。
7.1.1.1.4 软件及软件运行安全
存储设备应提供软件及软件运行安全，若存储设备自带有操作系统、数据库、Web应用，应保证系统软件及软件运行环境不存在高风险级别的漏洞或针对高风险级别的漏洞具备相应的防护措施，例如经通用漏洞评分系统评估出的高风险漏洞。
7.1.1.1.5 安全启动
存储设备应提供安全启动能力，存储设备应支持安全启动，在系统启动过程中对固件和软件进行完
9
YD/T4325—2023
整性保护。
7.1.1.2 业务安全
7.1.1.2.1 网络隔离
存储设备应提供必要的网络隔离，存储设备应支持业务网络与管理网络之间的隔离。
7.1.1.2.2 访问安全
存储设备应提供必要的访问安全功能。
a） 访问鉴别，应对访问存储设备的应用进行鉴别，包含以下要求。
1） 对应用提供唯一标识，并将标识和与其相关的所有可审计事件相关联。
2） 不存在可绕过鉴别机制的访问方式。
3）利用iSCSI协议时，应支持CHAP双向认证。
4） 利用NFS协议时，应支持认证。
5） 利用CIFS协议时，应支持认证。
b） 访问控制，存储设备应实现策略控制下的访问控制功能，包括以下要求。
1） 对资源进行访问的内容、操作权限应不超出预定义的范围，满足最小特权原则。
2） 若提供SAN资源，则存储设备应提供SAN资源访问控制机制，例如通过映射建立主机和LUN之间的访问关系。
3） 若提供NAS资源，则存储设备应提供NAS资源访问控制机制，对文件及目录实现读写删除等访问控制。
7.1.1.2.3 数据安全
存储设备应提供必要的数据安全保护功能。
a） 数据完整性，应对存储设备中的数据进行完整性保护，应提供数据完整性校验功能，用于检测和恢复由于电气特性等造成的原始数据错误，以保障数据的可用性。
b） 数据保密性，存储设备应对数据的保密性进行保护，包含以下要求。
1） 应对业务应用关键数据采用非明文存储。
口令等敏感信息不得明文存储在本地，需加密保护。
不在URL、日志、错误消息、调试信息中暴露口令、密钥、会话标识符等敏感信息。
对敏感数据的访问要有认证、授权或加密机制，对于认证凭据的安全存储，在不需要还原明文的场景下，应使用不可逆算法加密
所采用的密码算法应遵循国家密码管理部门的相关规定。
2） 存储设备应支持对其上数据进行加密。
c） 剩余信息保护，存储设备应提供剩余信息保护功能，包含以下要求。
1） 应支持硬盘数据安全擦除，数据擦除后，不可恢复，例如，可采用的安全擦除方式有：固件的安全擦除命令、多次覆盖写入及密钥销毁等方式。
2） 应支持硬盘在脱离存储设备后，通过加密等机制保障数据不被恶意获取。
10
YD/T 4325—2023
7.1.1.3 管理安全
7.1.1.3.1 身份管理
存储设备应提供必要的身份管理功能。
a） 身份标识管理，存储设备应提供对用户的标识功能，包含以下要求。
1） 应为每个用户提供唯一的身份标识。
2） 应对每一个用户身份标识进行管理、维护，确保其不被非授权地访问、修改或删除。
3） 应将用户身份标识和该用户的所有可审计事件相关联。
b） 账号安全管理，存储设备应提供账号安全管理功能，包含以下要求。
1） 系统中的账号应具有唯一性。
2） 系统应没有任何未公开账号，所有账号应可被系统管理，并在资料中提供所有账号及管理操作说明。
3） 若存储产品自带数据库，且有多个默认账号，应禁用或删除不使用的账号，若无法删除或禁用，应在产品资料中提示用户修改默认账号的口令、定期更新口令。
4） 应用系统人机账号、机机账号应分离，用于程序间通信的机机账号应不能作为系统维护的人机账号。
c） 账号权限管理，存储设备应提供账号权限管理功能，包含以下要求。
1） 应采用基于角色的账号权限管理模型。
2） 系统中的账号不能修改自身权限。
7.1.1.3.2 身份鉴别
存储设备应提供必要的身份鉴别能力。
a） 鉴别要求，存储设备应在必要的场景提供身份鉴别功能，包含以下要求。
1） 网络管理接口应提供接入鉴别机制，所有可对系统进行管理的人机接口以及跨信任网络的机机接口应有安全的接入鉴别机制并缺省启用，标准协议没有鉴别机制的除外。
2） 设备外部可见的可对系统进行调试或管理的物理接口应有接入鉴别机制。
3） 在用户对存储设备进行操作之前，应先对提出该操作请求的用户进行鉴别。
4） 用户静默时间过长被断开后，重新连接时应重新进行鉴别。
b） 鉴别管理，存储设备提供的身份鉴别功能应满足以下要求。
1） 对用户的最终鉴别处理、鉴权处理过程应在存储设备服务端进行，并遵循先鉴权后执行的原则。
2） 对于人机接口或跨信任网络的机机接口的登录身份鉴别应支持口令防暴力破解机制，当重复输入错误口令次数超过阈值时采取合适保护措施。
3） 用户鉴别信息应非明文存储，且认证数据应不被未授权查阅和修改。
4） 应提供符合多因素认证要求的两种及以上鉴别机制及相应鉴别规则，例如账号口令鉴别、邮箱认证双重鉴别机制等。
c） 口令安全管理，存储设备应提供基于口令鉴别方式的口令安全保护机制，包含以下要求。
1） 对于管理面，系统应提供检测口令复杂度的功能，若设置的口令不符合复杂度要求，不准
11
YD/T4325—2023
设置成功并给出合理的提示，对于系统自动生成的口令，应使用安全随机数生成或首次登录强制修改默认口令。
2） 口令复杂度应满足以下要求。
口令长度至少6个字符。
口令包含大写字母、小写字母、数字、特殊符号中至少两种字符的组合。
● 口令不可与账号相同。
3） 不应存在用户无法修改的口令。对于出厂时缺省设置的账号/口令或用于传输的加密密钥，应提供修改机制，提醒用户修改及定期更新，并提示风险。
4） 密码口令文件应设置访问权限，非授权用户不可读取或复制加密的内容。
7.1.1.3.3 会话管理
存储设备应提供会话管理功能。
a） 应提供会话超时机制，在超时过后清除该会话信息。
b） 所有登录后才可访问的界面都应提供主动退出选项，当用户退出时，服务端应清除该用户的会话信息。
c） 会话管理应在服务器端进行。
d） 会话标识应使用安全随机数算法生成。
7.1.1.3.4 安全审计
存储设备应提供安全审计功能，包括以下要求。
a） 审计数据产生，存储设备应提供以下审计数据产生功能。
1）应为下述可审计事件产生审计记录。
审计功能的开启和关闭。
针对数据的备份、恢复、删除、迁移等操作。
用户关键活动和操作行为，包括登录和注销、增加/删除用户和用户属性的变更、用户的锁定与解锁、角色权限变更、系统安全配置的变更、系统配置参数的修改等。
其他与系统安全有关的事件或专门定义的可审计事件。
2） 对于每一个事件，其审计记录应包括：用户、被访问资源的名称、访问发起端地址或标识、事件的日期和时间、事件类型、事件是否成功，及其他与审计相关的信息。
b） 审计数据管理，存储设备应提供对审计数据的管理功能，包含以下要求。
1） 审计数据应只被具有相应权限的用户访问和读取。
2） 审计数据应以可被处理的形式提供。
3） 应支持条件化检索审计数据，例如，搜索、分类、排序等功能支持。
c） 审计数据存储，存储设备应保证审计数据的存储安全，包含以下要求。
1） 应确保审计记录的保存时间符合法律法规要求。
2） 应确保审计记录不可修改。
3） 审计存储已满、存储失败时，应确保审计记录不丢失。
12
YD/T4325—2023
7.1.1.3.5 数字证书管理
存储设备应提供数字证书管理功能。
a） 应提供管理系统对存储设备数字证书进行统一管理。
b） 宜支持管理证书吊销列表。
c） 应支持周期性检查设备上各种类型的证书是否过期或即将过期。
7.1.1.3.6 密钥管理
存储设备应支持密钥管理功能。
a） 应对密钥进行分层管理。
b） 手动输入的值，应不可直接作为密钥使用。
c） 用于敏感数据加密的密钥，应不可写在源代码中。
d） 密钥及相关信息在本地存储时应提供完整性保护和机密性保护。
e） 应支持密钥管理系统对存储设备进行必要的密钥管理增强。
7.1.2 可靠与可用性
7.1.2.1 数据可用性
7.1.2.1.1 备份与恢复
存储设备应提供对数据进行备份和恢复的功能。
a） 应支持对数据进行手动备份和自动备份。
b） 应支持对数据进行全备份和增量备份。
c） 应支持对数据进行同步备份和异步备份。
d） 应支持对数据进行本地备份和异地备份。
e） 应支持通过快照提供数据备份与恢复功能。
f） 应支持通过远程复制方式提供数据的备份与恢复功能。
7.1.2.1.2 冗余与高可用
存储设备应提供数据冗余与数据高可用功能。
a） 针对阵列存储设备，应支持通过配置RAID保障存储数据的可靠性。
b）针对分布式存储设备，应支持通过副本或纠删码冗余条带方式实现数据的冗余存储，冗余策略可配置。
c） 针对阵列存储设备，应支持通过双活机制保障其上存储数据高可用。
7.1.2.1.3 防病毒
存储设备应提供防病毒能力，针对分布式文件存储，应支持防病毒软件扫描，防止文件被病毒感染。
7.1.2.1.4 WORM
存储设备应提供WORM功能，针对分布式文件存储设备与分布式对象存储设备，应提供WORM
13
YD/T 4325—2023
功能，保证存储设备数据存储的完整性。
7.1.2.2 模块可靠性
存储设备的内部模块应提供以下模块级可靠性能力。
a） 针对阵列存储设备，应支持存储设备电源模块冗余、控制模块冗余，并提供容错和故障恢复能力。
b）应支持对存储设备内存的检测与纠错。
c） 应支持对存储设备硬盘的检测与修复。
d） 针对阵列存储设备，应支持控制器故障时，业务不中断。
7.1.2.3 系统可靠性
存储设备作为一个整体系统，应提供系统级可靠性能，针对分布式块存储设备与分布式文件存储设备，应支持存储单节点故障I/O归零时长小于20秒。
7.1.3 韧性
存储设备应具备韧性属性，在受到网络攻击或设备异常时保障业务系统正常运行，应支持QoS功能与过载控制，基于带宽和IOPS控制保障等机制，优先保证在异常情况下核心业务的性能。
7.1.4 隐私性
存储设备若涉及任何形式的用户个人隐私数据环节，应保障用户个人数据的隐私性，需满足以下要求。
a） 产品资料包中应提供个人数据的隐私处理声明，如果有更新需及时告知用户。
b）个人数据收集范围、使用目的应不得超出隐私处理声明，且遵循最小化原则。
c） 应提供个人数据的增删改查功能，且基于最小化原则限制相应的访问权限。
d） 涉及个人隐私数据的传输，应采用安全的加密通道进行保护和传输。
e） 涉及个人敏感隐私数据的存储，应采取加密存储或脱敏后存储。
7.1.5 无害性
存储设备应进行无害设计，产品形态不会对使用人员造成人身伤害威胁。
a） 硬件产品不危害人、环境和其他系统，整机设计应遵循国际电气工程师协会标准。
b）应通过CCC与CQC认证。
7.2 安全保障过程要求
7.2.1 一致性
7.2.1.1 设计
存储设备在研发设计时应满足以下一致性要求。
a） 应在产品设计时进行威胁分析建模，识别存储设备主要应用场景存在的安全风险与对应的消减措施。
14
YD/T 4325—2023
b） 应保证存储设备的所有初始安全防护需求均能找到对应的安全防护能力设计。
7.2.1.2 编码
存储设备在研发编码时应满足以下一致性要求。
a） 应在组织内建立安全编码标准规范。
b） 应在组织内建立安全编码培训与安全编码能力考核机制。
c） 应在组织内建立安全编码审核机制。
d） 应保障合入配置库中的代码都是经过代码质量审核人员审核、校验通过的。
7.2.1.3 测试
存储设备在研发测试时应满足以下一致性要求。
a） 应将产品交付的所有需求覆盖测试，无需求测试遗漏。
b） 测试报告应与用例有明确的关联关系，确保测试结论与数据完整。
c） 应将产品交付的安全性可靠与可用性、韧性、隐私性和无害性等需求纳入测试范围，按照产品承诺目标完成测试，确保产品能够提供相应的可信特性。
d） 测试用例代码应符合内部安全编码标准规范，并应用安全编码审核机制保证代码质量。
7.2.1.4 构建
应保证源码和二进制的一致性，支持重复编译且编译结果一致，差异可消除。
7.2.2 可追溯
存储设备在研发过程中，应满足以下可追溯要求。
a） 应将测试活动过程包含在产品开发流程中，各项测试活动交付件可追溯。
b） 应保障产品的每一项功能实现均可关联到对应的原始需求。
c） 应保障项目配置库中的每一行代码，每一个配置变更都有记录，记录应详细说明变更的时间、变更的执行人员等。
7.2.3 可重复
存储设备在研发过程中，应满足以下可重复要求。
a） 应保证产品的构建环境可重复形成，每一次形成的构建环境一致无差异。
b） 应保证产品的编译过程可重复执行，每一次编译的过程一致无差异。
7.2.4 透明性
存储设备在研发过程中，应满足以下透明性要求。
a）应明确产品开发过程中使用的工具情况，包括名称、版本信息，来源（开源、自研、第三方工具等），类型（需求、设计、开发、测试、交付、配置管理、测量分析等）等。
b） 应维护产品软件全量信息，包括源代码库信息、构建工具、构建脚本、开源信息、软件包信息等。
15
YD/T4325—2023
7.2.5 工程安全性
7.2.5.1 开发环境安全
存储设备的开发环境应满足以下安全要求。
a） 应保障开发环境和工具安全，防止开发工具被植入恶意软件。
b） 应保障从开发到通过供应链交付给用户的产品是完整的，没有被恶意篡改或仿冒。
c） 应建立集中式的项目配置库，并统一选定配置库管理、代码质量审核人员。
7.2.5.2 开源与第三方软件管理
存储设备在研发过程中，应满足以下开源与第三方软件管理要求。
a） 应制定和遵循开源代码使用规范，合规安全地使用开源代码。
b） 应将开源代码独立存放，自研和开源代码隔离。
c） 应将开源相关活动融入产品开发流程。
7.2.5.3 漏洞管理
存储设备在研发过程中，应满足以下漏洞管理要求。
a） 应确保存储产品在发布前所有已知漏洞都已被修复。
b） 应在组织内建立漏洞严重等级评估组织，制定漏洞严重等级评估标准及对应的应急响应措施。
c） 应确保存储产品从研发到交付、使用在内的全生命周期阶段对产品漏洞进行集中管理，并按照软件及系统漏洞的级别，提供不同等级的安全应急响应。
d） 应确保组织漏洞库与权威公开的多个漏洞库如CVE等同步，不存在漏洞信息滞后的场景。
e） 应对漏洞修补情况进行测试验证，确保对漏洞修补有效。
8 第三级安全防护要求
8.1 安全防护能力要求
8.1.1 安全性