了解 FIPS 操作模式下 Junos OS 的角色和服务
在非 FIPS 操作模式下运行的瞻博网络 Junos 操作系统 (Junos OS) 可为用户提供广泛的功能,并且身份验证基于身份。相比之下,FIPS 140-2 标准定义了两个用户角色: 加密官员 和 FIPS 用户。这些角色是根据 Junos OS 用户功能定义的。
除了 FIPS 角色之外,这两种用户类型都可以在单个用户配置允许的情况下在设备上执行正常配置任务。
加密官员和 FIPS 用户在 FIPS 操作模式下执行所有与 FIPS 相关的配置任务,并为 Junos OS 发出所有语句和命令。加密官和 FIPS 用户配置必须遵循 FIPS 操作模式下的 Junos OS 准则。
密码官的角色和职责
加密官是负责在设备上以 FIPS 操作模式启用、配置、监控和维护 Junos OS 的人员。密码官在设备上安全地安装 Junos OS,启用 FIPS 操作模式,为其他用户和软件模块建立密钥和密码,并在网络连接之前初始化设备。密码官可以通过控制台或SSH连接配置和监控模块。
我们建议密码官通过确保密码安全并检查审计文件,以安全的方式管理系统。
将加密官与其他 FIPS 用户区分开来的权限包括机密、安全、维护和控制。为了符合 FIPS,请将加密官分配给包含所有这些权限的登录类。具有 Junos OS 维护权限的用户可以读取包含关键安全参数 (CSP) 的文件。
FIPS 操作模式下的 Junos OS 不支持 FIPS 140-2 维护角色,该角色不同于 Junos OS 维护权限。
在 FIPS 操作模式下与 Junos OS 相关的任务中,加密官应:
设置初始根密码。
从 Junos OS 升级期间,重置 FIPS 批准的算法的用户密码。
设置手动 IPsec SA,以便使用双路由引擎进行配置。
检查日志和审核文件中是否有感兴趣的事件。
擦除(清零)设备上的用户生成的文件和数据。
FIPS 用户角色和职责
所有 FIPS 用户(包括加密官)都可以查看配置。只有指定为加密官员的用户才能修改配置。
将加密官员与其他 FIPS 用户区分开来的权限包括机密、安全、维护和控制。为了符合 FIPS,请将 FIPS 用户分配到不包含这些权限的类。
FIPS 用户在设备上配置网络功能,并执行不特定于 FIPS 操作模式的其他任务。不是加密官员的 FIPS 用户可以执行重新启动并查看状态输出。
对所有 FIPS 用户的期望
所有 FIPS 用户(包括加密官)必须始终遵守安全准则。
所有 FIPS 用户必须:
对所有密码保密。
将设备和文档存放在安全区域。
在安全区域部署设备。
定期检查审核文件。
符合所有其他 FIPS 140-2 安全规则。
请遵循以下准则:
用户是受信任的。
用户遵守所有安全准则。
用户不会故意牺牲安全性。
用户始终负责任地行事。