2 安全安装

本节概述了安全安装和配置的规划和实现过程，介绍了系统的几种建议部署拓扑并说明了如何确保磁带库安全。

了解您的环境

要更好地了解安全需求，必须回答以下问题：

可以保护生产环境中的许多资源。确定必须提供的安全级别时，请考虑需要保护的资源。

必须避免磁带机被 Internet 上的任何人访问。但是，是否应避免磁带机被企业内联网中的员工访问？

在某些情况下，安全架构中出现的故障很容易被检测到，并且这种故障仅仅被视为操作不便。其他情况下，故障可能对使用磁带机的公司或个人客户造成巨大损害。了解每个资源的安全后果有助于对其进行正确的保护。

默认情况下，磁带机使用下表中列出的端口。应将防火墙配置为允许使用这些端口进行通信并阻止那些未使用的端口。磁带机支持 IPv6 和 IPv4。

表 2-1 所用网络端口

端口	T10000C
22 tcp－SSH VOP	X
22 tcp－SFTP	X
161 udp－SNMPV1 磁带机代理请求－入站有状态	X
162 udp－SNMPV1 磁带机陷阱和通知－对于陷阱，出站无状态；对于通知，出站有状态	X
23 tcp－TELNET
21 tcp－FTP
9842 tcp－EPT
3331 OKM－质询和根 CA 服务	X
3332 OKM－注册。Cyber strength（加密强度）为 AES256	X
3334 OKM－加密密钥交换。Cyber strength（加密强度）为 AES256	X
3335 OKM－群集搜索。Cyber strength（加密强度）为 AES256	X

对于 T10000C，将对我们的客户禁用端口 21 和 23。如果客户需要访问不安全的 TELNET 和/或不安全的 FTP，则可以使用 VOP 配置选项。

VOP 应仅安装在与磁带机相同的受保护网络基础结构内的系统中。应在安装了 VOP 的系统上强制执行客户访问控制，以确保对磁带机的访问受到限制。请参见表 2-1 了解 VOP 使用的端口。

有关通过 Web 启动 VOP 安装的说明，请参阅以下 VOP 用户指南。

本节讲述了安装后必须进行的安全配置更改。

客户的管理员帐户密码应由客户在站点中进行更改且归客户所有。密码安全性必须满足 Oracle 标准。在磁带机的整个生命期内可使用无数个密码。如果忘记管理员密码，可对其进行重置。第一个密码是随磁带机提供的默认密码。

必须对管理员密码应用基本密码管理规则（例如密码长度和复杂度）。

密码管理规则要求至少满足以下规则之一。