安全存储系统大致可以分为四类：安全网络文件系统、加密文件系统、可生存存储系统和基于存储的入侵检测。它们分别从四个不同的层次提供存储系统的机密性、完整性和可用性。

　　安全网络文件系统

　　基于认证和访问控制的网络文件系统是最早考虑到安全因素的，包括NFS、AFS、NASD、SFS-RO等。在这类系统中，通过存储服务器的认证和访问控制提供数据的安全性。大多数这类系统也对网络中传输的数据加密。但是它们不提供端到端的数据安全，也就是说它们不保证存储在存储服务器上的数据的机密性和完整性。而是假设文件服务器和系统管理员是可信的。

　　NASD是卡内基.梅隆大学并行数据实验室提出的新型磁盘系统，通过增加磁盘处理能力构成智能磁盘，使得磁盘能判别用户和加解密数据；主机和认证服务器通信获得权限密钥，再和存储服务器通信获得加密密钥，最后直接和磁盘通信。

　　SFS-RO旨在提高大规模客户端访问网络存储系统上只读数据的性能，同时提供一定的安全机制保证只读数据访问的安全。SFS-RO是在SFS的基础上发展起来的，它通过增加只读数据的副本，不仅提高了分布式环境下对只读数据的可用性，而且通过一整套安全机制实现了只读数据的安全访问。

　　加密文件系统

　　加密文件系统目标是提供端到端的安全，在客户端执行加密操作防止数据被文件服务器和其他未授权用户窃取或篡改。这些系统将密码操作（加密/解密、签名/验证）嵌入文件系统中。文件服务器被赋予最小的信任，由于它们不参与加密/解密过程，它们永远无法获知可读的文本。这类系统面对的主要问题是密钥管理。包括密钥的粒度、密钥的存储、共享策略。可以说灵活高效的密钥管理策略是提高存储安全系统效率的重要因素。另外，这类系统还要有效解决权限撤销（Revocation）时文件的重加密带来的额外开销。

　　Goh于2003年提出了可应用于网络存储系统中的中间件层安全系统SiRiUS，它不需要修改存储系统中的任何部分，通过截获、转换访问数据系统调用实现安全功能，使用多对对应不同权限者的公开密钥实现传输认证和授权。SiRiUS是在现有的不可信的网络文件系统（如NFS,CIFS等）上提供文件读写的加密访问。加州大学圣克鲁斯分校的SNAD是一个基于分布式文件的存储系统，磁盘具有一定的计算能力，能够进行一些基本的存储管理和用户认证的功能。客户端加密所有的数据后，将加密数据存储在盘上。密钥管理是一种锁盒子（lockbox）方法，而lockbox存储在一个可信的服务器上。如果共享用户要读数据，则用户需从lockbox服务器上得到密钥，然后再从磁盘上读出加密数据，然后再用密钥解密。

　　存储系统中的数据加密技术的实现分成三类：基于主机、基于网络（数据传输）以及基于磁带机。这有点类似实现虚拟存储的划分方式。

　　基于主机层的数据加密技术，通常是一些软件厂商在服务器端就对数据进行加密处理，如VERITAS NetBackup的加密软件。通过内部网络传送到服务器时，资料已是加密状态，然后再通过存储网络传送到磁带做备份。但这会加重服务器的工作负荷，影响系统整体性能，同时还会增加数据管理与调用的复杂性。所以，基本上只适用于需要进行点对点加密的小型企业。

　　基于网络层的数据加密技术，事实上就是在设备I/O的端口外接一个硬件加密装置。在数据传输的过程中，对所有经过的数据都一视同仁地做了加密。NetApp刚刚收购的Decru公司以及NeoScale都是采用这种方式。这种加密虽说比较完整，但由于不对加密数据进行区别，无疑增加了加密装置的负担。

　　基于磁带机方式的数据加密技术，通过在磁带机上对数据进行加密，使数据得到更安全的保护，且不需要额外的管理和备份策略的改变。这就是把以前的 WORM磁带扩展成磁带机对所有的磁带进行加密。

　　三种加密方式都有各自的优势与缺陷所在，但由于在长期归档、固定内容和法规遵从这些需求上，有的用户更倾向于使用磁带技术，所以在加密要求下，通过磁带机/库这种方式有更强的优势。而且，相对前面两种方式，使用磁带加密的方式在市场上出现的最早，而在法规推出之后，基本上所有的磁带厂商都有各自的支持加密的产品。

　　可生存存储系统

　　可生存存储的概念是由卡内基·梅隆大学的PASIS项目组提出的，它所基于的设计理念是：传统的构建安全系统的方法是采用防御机制抵御外来入侵以达到安全目标，而在由成千上万结点组成的分布式系统中，结点失效或被攻击应被视为普通事件而非异常。因此安全存储系统的设计目标不应是避免结点失效，而是如何在部分节点失陷的情况下使系统仍能提供安全的、可信赖的服务，保证数据的机密性和完整性，并能对入侵造成的损失进行还原或修复