了解 Junos OS 的角色和服务
安全管理员与定义的登录类“security-admin”相关联,该登录类具有必要的权限集,允许管理员执行管理 Junos OS 所需的所有任务。 管理用户(安全管理员)必须提供唯一的标识和身份验证数据,然后才能授予对系统的任何管理访问权限。
安全管理员的角色和职责如下:
- 安全管理员可以在本地和远程进行管理。
- 创建、修改、删除管理员帐户,包括配置身份验证失败参数。
- 重新启用管理员帐户。
- 负责配置和维护与建立与评估产品之间的安全连接相关的加密元素。
在非 FIPS 模式下运行的瞻博网络 Junos 操作系统 (Junos OS) 可为用户提供广泛的功能,并且身份验证基于身份。相比之下,FIPS 140-2 标准定义了两个用户角色:加密主管和 FIPS 用户。这些角色是根据 Junos OS 用户功能定义的。
在 FIPS 模式下为 Junos OS 定义的所有其他用户类型(如只读用户和管理用户)必须属于以下两类之一:加密主管或 FIPS 用户。因此,Junos 中的用户身份验证是基于身份的,基于角色的授权。
加密官执行所有与 FIPS 模式相关的配置任务,并在 FIPS 模式下为 Junos OS 发出所有语句和命令。加密官和 FIPS 用户配置必须遵循 FIPS 模式下的 Junos OS 准则。
加密官的角色和职责
加密官负责在设备上启用、配置、监控和维护处于 FIPS 模式的 Junos OS。加密官员在设备上安全地安装 Junos OS,启用 FIPS 模式,为其他用户和软件模块建立密钥和密码,并在网络连接之前初始化设备。
我们建议加密官员通过确保密码安全并检查审计文件,以安全的方式管理系统。
将加密官员与其他 FIPS 用户区分开来的权限是 secret
、 、 security
maintenance
和 control
。将加密官员分配给包含所有这些权限的登录类。
在 FIPS 模式下与 Junos OS 相关的任务中,加密官应:
-
设置初始根密码。密码长度应至少为 10 个字符。
-
使用 FIPS 批准的算法重置用户密码。
-
检查日志和审核文件中是否有感兴趣的事件。
-
通过清零设备来擦除用户生成的文件、密钥和数据。
FIPS 用户角色和职责
所有 FIPS 用户(包括加密官员)都可以查看配置。只有指定为加密官员的用户才能修改配置。
将加密官员与其他 FIPS 用户区分开来的权限是机密、安全、维护和控制。为了符合 FIPS,请将 FIPS 用户分配到不包含这些权限的类。
FIPS 用户可以查看状态输出,但无法重新启动或清零设备。
对所有 FIPS 用户的期望
所有 FIPS 用户(包括加密官)必须始终遵守安全准则。
所有 FIPS 用户必须:
-
对所有密码保密。
-
将设备和文档存放在安全区域。
-
在安全区域部署设备。
-
定期检查审核文件。
-
符合所有其他 FIPS 140-2 安全规则。
-
请遵循以下准则:
-
用户是受信任的。
-
用户遵守所有安全准则。
-
用户不会故意牺牲安全性。
-
用户始终负责任地行事。
-