了解清零以清除 FIPS 操作模式的系统数据
清零会完全擦除设备上的所有配置信息,包括用于 SSH、本地加密、本地身份验证和 IPsec 的所有明文密码、机密和私钥。要退出 FIPS 模式,您需要将设备归零。
加密模块提供了一种未经批准的操作模式,在该模式下,支持未经批准的加密算法。从未批准的操作模式移动到批准的操作模式时,加密官员必须将未批准的模式关键安全参数 (CSP) 归零。启用 FIPS 操作模式后,加密官通过从 CLI 输入 request system zeroize 操作命令来启动清零过程。此命令的使用仅限于加密官员。
小心执行系统清零。清零过程完成后,设备上不会留下任何数据。此命令将擦除设备上的所有 CSP 和配置。
归零可能很耗时。虽然所有配置都会在几秒钟内删除,但归零过程会覆盖所有介质,这可能需要相当长的时间,具体取决于介质的大小。
为什么要归零?
在设备处于 FIPS 操作模式时,在输入或重新输入所有 CSP 之前,设备不会被视为有效的 FIPS 加密模块。
对于 FIPS 140-2 合规性,我们建议您将设备清零以退出 FIPS 模式。
何时归零?
作为加密官员,在以下情况下执行清零:
FIPS 操作之前 — 要准备设备以作为 FIPS 加密模块运行,请执行清零以移除未经批准的模式关键安全参数 (CSP) 并在设备上启用 FIPS 模式。
非 FIPS 操作之前 — 要开始将设备重新用于非 FIPS 操作,请在设备上禁用 FIPS 操作模式或加载不包含 FIPS 操作模式的 Junos OS 软件包之前执行清零。
注意:瞻博网络不支持在 FIPS 操作模式下安装非 FIPS 软件,但在某些测试环境中可能需要这样做。请务必先将系统归零。
当防篡改密封受到干扰时 — 如果不安全端口上的密封被篡改,则认为系统已受到威胁。将新的防篡改封条应用到适当的位置后,将系统归零并设置新的密码和 CSP。