Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解 FIPS 模式下 Junos OS 的角色和服务

在非 FIPS 模式下运行的瞻博网络 Junos 操作系统 (Junos OS) 可为用户提供广泛的功能,并且身份验证基于身份。相比之下,FIPS 140-2 标准定义了两个用户角色: 加密主管FIPS 用户。这些角色是根据 Junos OS 用户功能定义的。

在 FIPS 模式下为 Junos OS 定义的所有其他用户类型(只读、管理用户等)必须属于以下两类之一:加密主管或 FIPS 用户。因此,Junos 中的用户身份验证是基于身份的,基于角色的授权。

加密官执行所有与 FIPS 模式相关的配置任务,并在 FIPS 模式下为 Junos OS 发出所有语句和命令。加密官和 FIPS 用户配置必须遵循 FIPS 模式下的 Junos OS 准则。

加密官的角色和职责

加密官负责在交换机上启用、配置、监控和维护处于 FIPS 模式的 Junos OS。加密官员在交换机上安全地安装 Junos OS,启用 FIPS 模式,为其他用户和软件模块建立密钥和密码,并在网络连接之前初始化交换机。

最佳实践:

我们建议加密官员通过确保密码安全,以安全的方式管理系统。

将加密官员与其他 FIPS 用户区分开来的权限包括机密安全维护和控制。为了符合 FIPS,请将加密官员分配给包含所有这些权限的登录类。具有 Junos OS 维护权限的用户可以读取包含关键安全参数 (CSP) 的文件。

注意:

FIPS 模式下的 Junos OS 不支持 FIPS 140-2 维护角色,该角色不同于 Junos OS 维护权限。

在 FIPS 模式下与 Junos OS 相关的任务中,加密官应:

  • 设置初始根密码。密码长度应至少为 10 个字符。

  • 从 Junos OS 升级期间,重置 FIPS 批准的算法的用户密码。

  • 检查日志和审核文件中是否有感兴趣的事件。

  • 通过清零交换机来擦除用户生成的文件、密钥和数据。

FIPS 用户角色和职责

所有 FIPS 用户(包括加密官员)都可以查看配置。只有指定为加密官员的用户才能修改配置。

将加密官员与其他 FIPS 用户区分开来的权限是机密安全维护和控制。为了符合 FIPS,请将 FIPS 用户分配到不包含这些权限的类

FIPS 用户可以查看状态输出,但不能重新启动交换机或将交换机归零。

对所有 FIPS 用户的期望

所有 FIPS 用户(包括加密官)必须始终遵守安全准则。

所有 FIPS 用户必须:

  • 对所有密码保密。

  • 将交换机和文档存放在安全区域。

  • 在安全区域部署交换机。

  • 定期检查审核文件。

  • 符合所有其他 FIPS 140-2 安全规则。

  • 请遵循以下准则:

    • 用户是受信任的。

    • 用户遵守所有安全准则。

    • 用户不会故意牺牲安全性。

    • 用户始终负责任地行事。