2 安全安装

本节概述了安全安装和配置的规划和实现过程,介绍了系统的几种建议部署拓扑并说明了如何确保磁带库安全。

了解您的环境

要更好地了解安全需求,必须回答以下问题。

需要保护哪些资源?

可以保护生产环境中的许多资源。确定必须提供的安全级别时,请考虑需要保护的资源。

要避免资源被哪些用户访问?

必须避免磁带机被 Internet 上的任何人访问。但是,是否应避免磁带机被企业 Intranet 中的员工访问?

如果对战略性资源的保护失败,将会产生什么后果?

在某些情况下,安全架构中出现的故障很容易被检测到,并且这种故障仅仅被视为操作不便。其他情况下,故障可能对使用磁带机的公司或个人客户造成巨大损害。了解每个资源的安全后果有助于对其进行正确的保护。

确保磁带机安全

默认情况下,磁带机使用下表中列出的端口。应将防火墙配置为允许使用这些端口进行通信并阻止那些未使用的端口。磁带机支持 IPv6 和 IPv4。

表 2-1 所用网络端口

端口
 T10000A T10000B T10000C

22 tcp-SSH VOP

      

22 tcp-SFTP

      

161 udp-SNMPV1 磁带机代理请求-入站有状态

X

X

X

162 udp-SNMPV1 磁带机陷阱和通知-对于陷阱,出站无状态;对于通知,出站有状态

X

X

X

23 tcp-TELNET

X

X

X

21 tcp-FTP

X

X

X

9842 tcp-EPT

X

X

X

3331 OKM-质询和根 CA 服务

X

X

X

3332 OKM-注册。Cyber strength(加密强度)为 AES256

X

X

X

3334 OKM-加密密钥交换。Cyber strength(加密强度)为 AES256

X

X

X

3335 OKM-群集搜索。Cyber strength(加密强度)为 AES256

X

X

X

安装 Virtual Operator Panel (VOP) 应用程序

VOP 应仅安装在与磁带机相同的受保护网络基础结构内的系统中。应在安装了 VOP 的系统上强制执行客户访问控制,以确保对磁带机的访问受到限制。有关 VOP 使用的端口,请参见表 2–1。

有关通过 Web 启动 VOP 安装的说明,请参阅以下 VOP 用户指南。

http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#vop

安装后配置

本节讲述了安装后必须进行的安全配置更改。

为用户指定 (admin) 密码。

客户的管理员帐户密码应由客户在站点中进行更改且归客户所有。密码安全性必须满足 Oracle 标准。在磁带机的整个生命期内可使用无数个密码。如果忘记管理员密码,可对其进行重置。第一个密码是随磁带机提供的默认密码。

加强密码管理

必须对管理员密码应用基本密码管理规则(例如密码长度和复杂度)。

密码管理规则要求至少满足以下规则之一。

  • 长度必须为 8 到 16 个字符

  • 小写字母 (a-z)

  • 大小字母 (A-Z)

  • 十进制数字 (0-9)

  • 标点符号 (.?;:"{}[]()!@#$%&, ...)