Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

了解 Junos OS 的角色和服务

安全管理员与定义的登录类“security-admin”相关联,该登录类具有必要的权限集,允许管理员执行管理 Junos OS 所需的所有任务。 管理用户(安全管理员)必须提供唯一的标识和身份验证数据,然后才能授予对系统的任何管理访问权限。

安全管理员的角色和职责如下:

  1. 安全管理员可以在本地和远程进行管理。
  2. 创建、修改、删除管理员帐户,包括配置身份验证失败参数。
  3. 重新启用管理员帐户。
  4. 负责配置和维护与建立与评估产品之间的安全连接相关的加密元素。

在非 FIPS 模式下运行的瞻博网络 Junos 操作系统 (Junos OS) 可为用户提供广泛的功能,并且身份验证基于身份。相比之下,FIPS 140-2 标准定义了两个用户角色:加密主管和 FIPS 用户。这些角色是根据 Junos OS 用户功能定义的。

在 FIPS 模式下为 Junos OS 定义的所有其他用户类型(如只读用户和管理用户)必须属于以下两类之一:加密主管或 FIPS 用户。因此,Junos 中的用户身份验证是基于身份的,基于角色的授权。

加密官执行所有与 FIPS 模式相关的配置任务,并在 FIPS 模式下为 Junos OS 发出所有语句和命令。加密官和 FIPS 用户配置必须遵循 FIPS 模式下的 Junos OS 准则。

加密官的角色和职责

加密官负责在设备上启用、配置、监控和维护处于 FIPS 模式的 Junos OS。加密官员在设备上安全地安装 Junos OS,启用 FIPS 模式,为其他用户和软件模块建立密钥和密码,并在网络连接之前初始化设备。

最佳实践:

我们建议加密官员通过确保密码安全并检查审计文件,以安全的方式管理系统。

将加密官员与其他 FIPS 用户区分开来的权限是 secret、 、 securitymaintenancecontrol。将加密官员分配给包含所有这些权限的登录类。

在 FIPS 模式下与 Junos OS 相关的任务中,加密官应:

  • 设置初始根密码。密码长度应至少为 10 个字符。

  • 使用 FIPS 批准的算法重置用户密码。

  • 检查日志和审核文件中是否有感兴趣的事件。

  • 通过清零设备来擦除用户生成的文件、密钥和数据。

FIPS 用户角色和职责

所有 FIPS 用户(包括加密官员)都可以查看配置。只有指定为加密官员的用户才能修改配置。

将加密官员与其他 FIPS 用户区分开来的权限是机密、安全、维护和控制。为了符合 FIPS,请将 FIPS 用户分配到不包含这些权限的类。

FIPS 用户可以查看状态输出,但无法重新启动或清零设备。

对所有 FIPS 用户的期望

所有 FIPS 用户(包括加密官)必须始终遵守安全准则。

所有 FIPS 用户必须:

  • 对所有密码保密。

  • 将设备和文档存放在安全区域。

  • 在安全区域部署设备。

  • 定期检查审核文件。

  • 符合所有其他 FIPS 140-2 安全规则。

  • 请遵循以下准则:

    • 用户是受信任的。

    • 用户遵守所有安全准则。

    • 用户不会故意牺牲安全性。

    • 用户始终负责任地行事。

相关文档