1. 帶外管理應用程序：交換機有非光纖通道端口，例如以太網端口和串行端口，以滿足管理工作的需要。通過建立一個獨立于公司內部網的專用網絡來管理SAN，便可以限制對以太網端口的訪問。如果交換機是與企業內部網絡連接的，可以使用防火墻和VPN限制對以太網端口的訪問。通過控制物理訪問和對使用者授權以鑒別，可以限制對串行端口(RS 232)的訪問。物理訪問連接以太網端口后，交換機還可以根據訪問控制列表，限制訪問交換機的程序，交換機也可以限制通過3號攻擊點進行訪問的程序或個別用戶。
  
    2. 帶內管理應用程序：未經授權訪問也可通過帶內管理應用程序入侵交換機。帶內管理程序將訪問諸如命名服務器和光纖網絡配置服務器等光纖網絡服務。管理訪問控制列表（MACL）控制對光纖網絡的訪問。
  
    3. 用戶到應用程序：一旦用戶獲得一個管理程序的物理訪問權，他們需要登錄到這個應用程序上。管理應用程序是根據用戶的工作性質來給予不同級別的訪問授權。管理應用程序需要支持訪問控制列表和每個用戶的角色。
  
    4. 設備到設備：當兩個Nx_端口在光纖網絡登錄之后，一個Nx_端口可以端口登錄到另一個Nx_端口，分區及邏輯單元屏蔽可以在這個環節限制設備的訪問。每一個交換機上的活動區域設置會在光纖網絡上執行分區限制。存儲設備將維持有關邏輯單元屏蔽的信息。
  
    5. 設備對光纖網絡：當一個設備（Nx_端口）連接到光纖網絡（Fx_端口），設備將發送一個F端口登錄指令，這一指令包括了各種端口全球名字的參數。交換機可以批準端口在光纖網絡登錄或拒絕F端口登錄并中止連接。交換機需要維持一個準許連接WWN的訪問控制列表。真正的數據威脅發生在設備登錄至光纖網絡和進入攻擊點4或5之后。
  
    6. 交換機對交換機：當兩臺交換機連接時，交換鏈接參數（ELP）和內部鏈接服務（ILS）將發送類似交換機WWN的相關信息。一臺交換機可以批準其他交換機組成一個更大的光纖網絡，如果另一臺交換機不被允許加入的話，則可以隔離鏈接。每個交換機都需維持一個授權交換機的訪問控制列表。
  
    7. 存儲數據：存儲的數據易于受到內部攻擊、來自光纖網絡的未經授權訪問的攻擊和基于主機的攻擊。例如存儲協議全都是明文，因此存儲、備份及主機管理員能在沒有訪問限制及登錄的情況下訪問未經處理的原始存儲數據。存儲加密碼設備為存儲數據提供一層保護，在有些情況下提供附加的應用層身份鑒別和訪問控制。
  
    應對欺騙與數據盜竊
  
    通過訪問控制列表控制訪問只可以防止意外事故，但它不能防御那些假偽身份的攻擊者。不幸的是，大多數網絡盜賊能很容易地取得假冒身份。為了阻止詐騙者（盜用他人身份者）滲透網絡，那些獲得授權的個體也必須經過身份鑒定。
  
    抗擊欺騙的方法就是讓竊取者提供一些只有被授權的用戶才知曉的特殊信息。對于用戶來說，需要知道和提供的只是一個密碼。對于設備而言，Nx_端口或交換機的WWN是與這個機密信息相連的。管理話路也可以進行身份鑒別，確保入侵者不能管理光纖網絡或設備。
  
    對于每一點的身份鑒別，以下是四種可能的方法：用戶身份鑒別、以太網CHAP實體身份鑒別、CT訊息鑒別以及光纖通道DH-CHAP實體身份鑒別。
  
    當實體及用戶的身份被鑒別后，傳輸就可以在授權設備之間安全地流動，但在連接中流動的數據仍然會受到數據盜竊的威脅。
  
    防止數據盜竊的方法是加密(encryption)?！胺庋b安全凈載”（ESP）可以對光纖傳輸數據進行加密，以確保安全性。以太網傳輸能通過SSL或者類似的協議來加密。這些加密技術可以使用不同的加密程度使得被竊數據沒有可乘之機。目前，已經有一些廠商提供在SAN中進行加密的方案。由于光纖通道SAN尤其關注高性能，因此加密方案應該盡量不影響SAN的性能，所以多數方案都是基于硬件的加密。
  
    防范意識有待提高
  
    在國外，有些大型存儲用戶對安全問題已經足夠重視，特殊用戶甚至投入了與SAN硬件成本相當的資金來解決安全問題。與之相比，國內的用戶則落后很多，雷濤說，目前幾乎還沒有看到國內用戶在安全方面提出任何要求。但是，隨著SAN的發展與演進，尤其是IP存儲的廣泛應用，用戶會遇到更多安全挑戰，這些都要求用戶在安全方法意識方面亟待提高。