2 安全安裝

本節概述安全安裝與組態的規劃及實作程序、描述數種建議的系統部署拓樸，以及說明如何保護磁帶櫃。

瞭解環境

為了更進一步瞭解安全需求，請考量下列問題：

在生產環境中可保護許多資源。決定您必須提供的安全等級時，請考慮需要保護的資源。

磁帶機必須受到保護，避免網際網路上任何人的存取。但是，企業內部網路中的員工是否可存取磁帶機？

在某些情況下，可以輕易偵測到安全方案中的失誤，只會造成輕微困擾。在其他情況下，失誤可能造成使用磁帶機的公司或個人客戶重大損失。瞭解每種資源的安全相關問題，有助於適當地保護資源。

磁帶機預設會使用下表列示的連接埠。防火牆應設定為允許使用這些連接埠，同時封鎖任何未使用的連接埠。磁帶機支援 IPv6 與 IPv4。

表格 2-1 使用的網路連接埠

連接埠	T10000D
22 tcp - SSH VOP	X
22 tcp - SFTP	X
161 udp - SNMPV1 磁帶機代理程式要求 - 內送狀態性	X
162 udp - SNMPV1 磁帶機攔截與告知通知 - 外送非狀態性攔截、外送狀態性告知	X
23 tcp - TELNET
21 tcp - FTP
9842 tcp - EPT
3331 OKM - 查問與根 CA 服務	X
3332 OKM – 註冊。加密強度為 AES256	X
3334 OKM – 加密金鑰交換。加密強度為 AES256	X
3335 OKM – 叢集尋找。加密強度為 AES256	X

對於 T10000D 的客戶，將會停用連接埠 21 與 23。如果客戶需要存取不安全的 TELNET 或不安全的 FTP (或二者)，可使用 VOP 組態選項。

安裝 VOP 的系統應和磁帶機一樣，位於受保護的網路基礎架構內。安裝 VOP 的系統應強制實施客戶存取控制，以確保限制對磁帶機的存取。請參閱表格 2-1，瞭解 VOP 所使用的連接埠。

請參閱下列 VOP 使用者指南，取得從 Web 啟動的 VOP 安裝指示。

本節說明安裝後必須變更的安全組態。

客戶管理帳號密碼應由客戶在現場變更，並由客戶持有。密碼安全性要符合 Oracle 標準。磁帶機的生命週期中可使用不限數目的密碼。若忘記管理員密碼，可加以重設。第一個密碼為磁帶機出廠所附的預設密碼。

必須對管理員密碼套用基本密碼管理規則 (例如密碼長度與複雜程度)。

密碼管理規則至少需要下列規則其中之一。