以下部分內容來網絡，部分自華為存儲官方教材

具體教材內容請移步華為存儲官網進行教材下載

網絡引用內容無法找到原創，如有侵權請通知

------------------------------------重要說明------------------------------------

WORM特性又叫HyperLock特性，是指文件被寫入完成後即可通過去掉文件的寫權限，使其進入只讀狀態。在該狀態下文件只能被讀取，無法被刪除、修改或重命名。通過配置WORM特性對存儲數據進行保護後，可以防止其被意外纂改，滿足企業或組織對重要業務數據安全存儲的需求。

具有WORM特性的文件系統（以下簡稱WORM文件系統）只能由管理員進行設置。根據管理員權限不同， WORM文件系統可分為法規遵從模式（ Regulatory ComplianceWORM，簡稱 WORM-C）和企業遵從模式（ Enterprise WORM，簡稱 WORM-E）

Write Once Read Many是一次寫入多次讀取技術，即文件被寫入完成後通過設置使其進入只讀狀態。在該狀態下保護期內文件只能被讀取，無法刪除、修改或重命名。通過采用WORM技術對存儲數據進行保護後，可以防止其因意外而修改，這就保證了企業或組織對一些重要的業務數據安全存儲的需求。

保護期內的文件，普通用戶和有WORM操作權限的系統管理員都不可修改、刪除或重命名。超過保護期的文件，用戶和系統管理員不可修改或重命名，但可以刪除。

①　WORM法規時鐘

為了防止通過篡改時鐘修改文件保護期，需要外部無法修改的WORM法規時鐘來保證內部時鐘，為文件的文件保護期設定提供了依據，WORM法規時鐘包括：

全局法規時鐘：在創建WORM類型的文件系統之前，系統管理員必須先初始化全局安全法規時鐘，初始化成功後不能再修改，該時鐘為所有WORM類型的文件系統提供時鐘源。

WORM文件系統法規時鐘：每個WORM文件系統內部維護一個法規時鐘，在創建WORM文件系統時系統自動使用全局安全法規時鐘初始化，文件的保護期以此時鐘為基準。

如果當前WORM文件系統法規時鐘大於全局安全法規時鐘，將WORM文件系統法規時鐘設置成全局安全法規時鐘的值。

如果當前WORM文件系統法規時鐘小於全局安全法規時鐘，當兩者相差不大於138秒時，將WORM文件系統法規時鐘設置成全局安全法規時鐘的值；當兩者相差大於138秒時，將WORM文件系統法規時鐘的值增加138秒。

②　文件的狀態

③　文件簽名

文件簽名主要用於校驗文件的完整性。 WORM文件系統中文件簽名是指文件在進入鎖定狀態時存儲系統自動計算的文件指紋。例如，當存儲WORM文件系統的硬盤出現故障，修復後為了確保WORM文件系統中的文件沒有被破壞，此時可以通過校驗文件簽名確認文件是否完整；

④　文件系統的WORM屬性

⑤　使文件進入保護狀態

處於鎖定狀態的文件受到保護，此時文件只能讀取，不能修改、刪除或者重命名。可以采用兩種方式使WORM文件系統中的文件進入鎖定狀態。

– 自動提交保護

ORM文件系統中的文件在結束修改超過“鎖定等待時長”後，將自動進入鎖定狀態。

– 手動提交保護

WORM文件系統中的文件，用戶手動去除文件寫權限或設置為只讀，將立即觸發文件進入鎖定狀態。

⑥　過期時間

每個文件都具有“訪問時間”（ atime）屬性，該屬性表示文件最後一次被訪問的時間。對於具有WORM屬性的文件來說， atime表示該文件的過期時間，超過該時間，文件將不再受到保護。當文件進入鎖定狀態後， atime不會隨文件被訪問而改變。 atime的計算分為以下兩種情況：

– 自動提交保護場景

無論用戶是否設置atime， atime為文件最後完成修改時的WORM文件系統法規時鐘加上鎖定等待時長再加上默認保護期。

– 手工提交保護場景

如果用戶未設置atime，則atime為當前WORM文件系統法規時鐘加上默認保護期。如果用戶設置atime，但atime小於當前WORM文件系統法規時鐘加上最小保護期，則atime為當前WORM文件系統法規時鐘加上最小保護期。

如果用戶設置atime，但atime大於當前WORM文件系統法規時鐘加上最大保護期，則atime為當前WORM文件系統法規時鐘加上最大保護期。

如果用戶設置atime，且atime大於等於當前WORM文件系統法規時鐘加上最小保護期，同時小於等於 當前WORM文件系統法規時鐘加上最大保護期，則atime為用戶設置的值。

⑦　原理實現

WORM技術使文件只能寫入一次數據，不能重復寫入且不允許被修改、刪除或重命名。 WORM特性是在普通文件系統的基礎上增加了WORM屬性，使WORM文件系統內的文件在保護期內只能被讀取。創建WORM文件系統後，通過NFS或者CIFS協議映射給應用服務器。

通過使用WORM特性，存在於WORM文件系統中的文件可以在初始狀態、鎖定狀態、追加狀態以及過期狀態之間進行轉換，從而防止重要數據在指定周期內被意外或惡意纂改。

1. 初始狀態 –> 鎖定狀態：文件可以通過兩種方式從初始狀態轉換至鎖定狀態。

– 在自動鎖定模式打開的情況下，文件結束修改後超過“鎖定等待時長”自動進入鎖定狀態。

– 手動將文件設置成鎖定狀態，在設置鎖定狀態前可以明確給出文件的保護期，也可以使用系統默認的保護期。

2. 鎖定狀態 –> 鎖定狀態：當文件處於鎖定狀態時，可以手動延長文件的保護期。 保護時間只能延長不能縮短。

3. 鎖定狀態 –> 過期狀態：在WORM文件系統的法規時鐘超過文件過期時間之後，文件就會由鎖定狀態轉換至過期狀態。

4. 過期狀態 –> 鎖定狀態：通過延長文件的保護期，可以實現文件從過期狀態轉換至鎖定狀態。

5. 鎖定狀態 –> 追加狀態：通過去掉文件的只讀權限，將處於鎖定狀態的文件設置成追加狀態。

6. 追加狀態 –> 鎖定狀態：通過設置文件為只讀狀態，將處於追加狀態的文件設置為鎖定狀態，以保證文件不再被修改。

7. 過期狀態 –> 追加狀態：可手動將處於過期狀態的文件設置成追加狀態。

32、【華為HCIE-Storage】--NAS特性 WORM（Write Once Read