随着数据的重要性日益深入人心，数据的安全也越来越受到重视。数据的安全是多层次的，比如制度安全、技术安全、运算安全、存储安全、传输安全、产品和服务安全等，所以说安全不是简单的加密、解密，公钥、私钥，而是一个广义的概念。也就是说，如何保证数据能能够平平安安的传递和保存。本文将从数据在存储通路上的流动路径为出发点，讲述广义的数据安全。
网络环境下，数据的行踪
当今社会网络技术风靡全球，“地球村”的概念早已不再是新词汇。在网络环境下，数据是如何传输，它是如何流动，源头和目的地又是怎样，图-1展示了其基本架构。

通常，当个人电脑或工作站连接到网络，并发送请求到相关服务器主机，其数据就会在Internet的高速公路上传输，也就是在各种路由器、交换机之间不断传递，最终到达服务器主机。上世纪90年代开始兴起的网络热潮，带动了前端市场的发展；从而像Cisco、Juniper、华为等国际数据通信厂商的因时而出、迅猛发展，并广为人知。
而隐藏在服务器后端操作，如何将数据放入到存储介质的过程，却因为其技术门槛以及宣传力度等原因，都秘密地躲在了大众的眼球之后。本世纪初以来，随着各种应用对存储的巨大需求，存储开始指数级别增长，像EMC、HDS、NetApp、Veritas等存储大厂应运而出，笑傲IT江湖。
为了更加清晰地划分出数据行踪，可以将服务器主机作为分界线，与因特网连接部分可以称作“数据流动前端”，而与后面存储网络连接部分可以称作“数据流后端”。对于数据流动前端来说，其安全性问题，就是大家所熟知的网络安全，本文不以它作为论述的重点，而是集中在数据流动后端的分析上。
然而数据流动后端，并非简单地直接从服务器主机到达存储介质，就像网络TCP/IP分层协议那样，它也要通过不同的处理层、模块、传输设备等，而整个传输过程中所流经的每一层，都可能存在潜在的安全问题，这就是在存储通路上的传输安全问题。
数据在服务器(HOST)内流动
数据流后端的流动，最初就是在服务器内部移动。当前，大部分服务器上的操作系统主流就是Unix、Linux、Windows，但是不管具体采用那种OS，其数据的流向都可以抽象为图-2所示。

所有网络上发送过来的数据请求通过NIC以及TCP/IP协议被发送到对应的应用上去，此时数据就正式进入了服务器上；然后数据自应用层开始，一直被传递到操作系统内核。然而，由于现在各种应用发展日新月异，随着它们的膨胀其安全漏洞也随之上升，比如针对一些邮件服务器、数据库服务的病毒和攻击；对于应用程序的攻击，在PC平台上就更为显著了，比如QQ、MSN、WORD等应用的病毒，以及目前的各种流氓软件都是大家深恶而痛绝之地。
通过了应用程序之后，其下层就是文件系统了。通常，到了这里存储也就是开始神神秘秘了，因为OS都把存储的细节封装的很好，对于外界来说只需要找好文件进行读写就可以了，非常地透明。但是，这里却存在安全问题，常被提起的文件系统崩溃、误删除文件之类就出现在这个地方。因此，才出现了日志文件系统，以及基于文件系统的CDP技术。
走过文件系统，数据会被传递到卷管理层，卷和通常在Windows平台上看到的分区类似，只不过卷可能是有几个分区构成；卷基本上都是建立在由下层驱动软件汇报的raw设备上面，有些数据库也可以不通过文件系统和卷直接建立在这样的raw设备上。但是单一分区构成的卷，不能提供冗余功能，一旦破坏，那么在此卷上的数据都被损坏，因此卷级的数据安全性也非常重要。从而有VxVM(VeritasVolumeManager)、LVM(LogicalVolumeManagement)、EVMS(EnterpriseVolumeManagementSystem)、MD(Linux下的softwareRAID)以及Windows上的动态卷技术，同时还有基于卷的快照技术(snapshot)，它们都在卷级提供了数据安全能力。
走过这些，数据最后就要到达硬件设备HBA了，通过HBA就可以访问DAS以及SAN网络中的存储设备了。尽管很多HBA内建了Firmware，甚至里面就运行专门的操作系统，但是要让HBA在OS里面运行起来，一定要加载对应的驱动程序，它们是不可分割的。而这个HBA将会提供服务器访问存储网络的路径，而这个路径如果是独木桥，那么就会成为数据安全的一个潜在隐患。因此设计了多路径技术(Multipath)，它专门解决因为单点故障造成的数据安全问题。
从整个服务器内的数据流向可以看出，数据在存储路径上流动中的每一个模块都可能出现安全问题，因此在每个模块都需要实施对应的方案来解决数据安全问题。