启用联邦信息处理标准 (FIPS) 模式

如果您在强制要求使用 FIPS 启用产品的环境中操作本应用程序,或者如果您想得到使用 FIPS 认证加密模块带来的安全性,那么您应该启用 FIPS 模式。本应用程序支持使用联邦信息处理标准模式 (FIPS) 140-2 加密,采纳 FIPS 指导准则的政府机构和公司要求使用此加密法。

什么是 FIPS

FIPS 出版物是用于计算机安全产品中最佳实践的一组标准。FIPS 认证适用于使用密码使用法产品的任何部分。一个 FIPS 认证产品系已被实验室检查,符合 FIPS 140-2密码模块安全要求标准,并支持至少一种 FIPS 认证算法。

数个国家的政府机构和一些私企被要求使用 FIPS 认证产品。

什么是 FIPS 模式

FIPS 模式是只使用 FIPS 批准算法的配置。当应用程序被配置为以 FIPS 模式操作时,它便会执行 FIPS 认证的密码库以加密安全控制台和扫描引擎的通讯、安全控制台和浏览器及 API 界面用户的通讯。

FIPS 模式使用考量

需着重注意的一点是,由于加密密钥生成的问题,以 FIPS 模式或非 FIPS 模式运行的决定是不可撤销的。本应用程序必须在安装后、首次启动前立即被配置以 FIPS 模式运行,否则便以默认的非 FIPS 模式运行。一旦本应用程序以所选配置启动,那么您将需要重新安装程序才能在两种模式之间切换。

激活 FIPS 模式

InsightVM 安装后系默认以非 FIPS 模式的配置运行。本应用程序必须在首次启动前被配置以 FIPS 模式运行。参看1ページの在 Linux 中激活 FIPS 模式

当 FIPS 模式启用后,本应用程序和非 FIPS 启用应用程序如网页浏览器或 API 客户端间的通讯无法保证正常运行。

在 Linux 中激活 FIPS 模式

您必须在安装后、首次启动本应用程序前使用以下步骤。

若要启用 FIPS 模式

  1. 安装 rng-utils。

加密算法要求系统拥有大型的熵池才能生成随机数。为确保熵池保持填满状态,rngd 后台程序必须与本应用程序同时运行。rngd 后台程序是 rng-utils Linux 程序包的一部分。

  1. 使用系统程序包管理器可下载和安装 rng-utils 程序包。

ヒント: 将 rngd 命令添加进系统启动文件中,以便它在每次服务器重启时运行。

  1. 运行命令 rngd -b -r /dev/urandom
  2. 创建一个激活 FIPS 模式的属性文件。
  3. 使用文本编辑器创建一个新文件。
  4. 在此文件中输入下行内容

fipsMode=1

  1. 用以下名称将文件保存在 [install_directory]/nsc 目录

CustomEnvironment.properties

  1. 启动安全控制台。

在 Windows 中激活 FIPS 模式

您必须在安装后、首次启动本应用程序前使用以下步骤。

若要启用 FIPS 模式

  1. 创建一个激活 FIPS 模式的属性文件。
  2. 使用文本编辑器创建一个新文件。
  3. 在此文件中输入下行内容

fipsMode=1

注意: 您可以使用 CustomEnvironment.properties 文件禁用启动时的数据库一致性检查。只可在技术支持部门的指导下做此操作。

  1. 用以下名称将文件保存在 [install_directory]\nsc 目录

CustomEnvironment.properties

  1. 启动安全控制台。

验证 FIPS 模式已启用

检查安全控制台日志文件中的以下消息可确保 FIPS 模式已成功启用

FIPS 140-2 mode is enabled.Initializing crypto provider

Executing FIPS self tests...