2 安全安裝

本節概述安全安裝與配置的規劃及實作程序、描述數種建議的系統建置拓樸,以及說明如何保護磁帶櫃。

瞭解環境

為了更進一步瞭解安全需求,請考量下列問題:

需要保護哪些資源?

在實際執行環境中可保護許多資源。決定您必須提供的安全等級時,請考慮需要保護的資源。

必須保護資源避免哪些人存取?

磁帶機必須受到保護,避免網際網路上任何人的存取。但是,企業內部網路中的員工是否可存取磁帶機?

萬一策略性資源的保護失敗會如何?

在某些情況下,可以輕易偵測到安全方案中的失誤,只會造成輕微困擾。在其他情況下,失誤可能造成使用磁帶機的公司或個人客戶重大損失。瞭解每種資源的安全相關問題,有助於適當地保護資源。

保護磁帶機

磁帶機預設會使用下表列示的連接埠。防火牆應設定為允許使用這些連接埠,同時封鎖任何未使用的連接埠。磁帶機支援 IPv6 與 IPv4。

表格 2-1 使用的網路連接埠

連接埠
 T10000A T10000B T10000C

22 tcp - SSH VOP

      

22 tcp - SFTP

      

161 udp - SNMPV1 磁帶機代理程式要求 - 內送狀態性

X

X

X

162 udp - SNMPV1 磁帶機攔截與告知通知 - 外送非狀態性攔截、外送狀態性告知

X

X

X

23 tcp - TELNET

X

X

X

21 tcp - FTP

X

X

X

9842 tcp - EPT

X

X

X

3331 OKM - 查問與根 CA 服務

X

X

X

3332 OKM – 註冊。加密強度為 AES256

X

X

X

3334 OKM – 加密金鑰交換。加密強度為 AES256

X

X

X

3335 OKM – 叢集尋找。加密強度為 AES256

X

X

X

安裝 Virtual Operator Panel (VOP)

安裝 VOP 的系統應和磁帶機一樣,位於受保護的網路基礎架構內。VOP 安裝的系統,應強制實施客戶存取控制,以確保限制對磁帶機的存取。有關 VOP 使用的連接埠,請參閱表格 2–1。

請參閱下列 VOP 使用者指南,取得從 Web 啟動的 VOP 安裝指示。

http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#vop

後續安裝配置

本節說明安裝後必須變更的安全配置。

指定使用者 (admin) 密碼

客戶管理帳號密碼應由客戶在現場變更,並由客戶持有。密碼安全性要符合 Oracle 標準。磁帶機的生命週期中可使用不限數目的密碼。若忘記管理員密碼,可加以重設。第一個密碼為磁帶機出廠所附的預設密碼。

強制密碼管理

必須對管理員密碼套用基本密碼管理規則 (例如密碼長度與複雜程度)。

密碼管理規則至少需要下列規則其中之一。

  • 長度必須介於 8 與 16 個字元之間

  • 小寫 (a-z)

  • 大寫 (A-Z)

  • 數字 (0-9)

  • 標點符號 (.?;:"{}[]()!@#$%&, ...)