了解 FIPS 模式下 Junos OS 的角色和服务
在非 FIPS 模式下运行的瞻博网络 Junos 操作系统 (Junos OS) 可为用户提供广泛的功能,并且身份验证基于身份。相比之下,FIPS 140-2 标准定义了两个用户角色: 加密主管 和 FIPS 用户。这些角色是根据 Junos OS 用户功能定义的。
在 FIPS 模式下为 Junos OS 定义的所有其他用户类型(只读、管理用户等)必须属于以下两类之一:加密主管或 FIPS 用户。因此,Junos 中的用户身份验证是基于身份的,基于角色的授权。
加密官执行所有与 FIPS 模式相关的配置任务,并在 FIPS 模式下为 Junos OS 发出所有语句和命令。加密官和 FIPS 用户配置必须遵循 FIPS 模式下的 Junos OS 准则。
加密官的角色和职责
加密官负责在交换机上启用、配置、监控和维护处于 FIPS 模式的 Junos OS。加密官员在交换机上安全地安装 Junos OS,启用 FIPS 模式,为其他用户和软件模块建立密钥和密码,并在网络连接之前初始化交换机。
我们建议加密官员通过确保密码安全,以安全的方式管理系统。
将加密官员与其他 FIPS 用户区分开来的权限包括机密、安全、维护和控制。为了符合 FIPS,请将加密官员分配给包含所有这些权限的登录类。具有 Junos OS 维护权限的用户可以读取包含关键安全参数 (CSP) 的文件。
FIPS 模式下的 Junos OS 不支持 FIPS 140-2 维护角色,该角色不同于 Junos OS 维护权限。
在 FIPS 模式下与 Junos OS 相关的任务中,加密官应:
设置初始根密码。密码长度应至少为 10 个字符。
从 Junos OS 升级期间,重置 FIPS 批准的算法的用户密码。
检查日志和审核文件中是否有感兴趣的事件。
通过清零交换机来擦除用户生成的文件、密钥和数据。
FIPS 用户角色和职责
所有 FIPS 用户(包括加密官员)都可以查看配置。只有指定为加密官员的用户才能修改配置。
将加密官员与其他 FIPS 用户区分开来的权限是机密、安全、维护和控制。为了符合 FIPS,请将 FIPS 用户分配到不包含这些权限的类。
FIPS 用户可以查看状态输出,但不能重新启动交换机或将交换机归零。
对所有 FIPS 用户的期望
所有 FIPS 用户(包括加密官)必须始终遵守安全准则。
所有 FIPS 用户必须:
对所有密码保密。
将交换机和文档存放在安全区域。
在安全区域部署交换机。
定期检查审核文件。
符合所有其他 FIPS 140-2 安全规则。
请遵循以下准则:
用户是受信任的。
用户遵守所有安全准则。
用户不会故意牺牲安全性。
用户始终负责任地行事。