使FIPS模式

如果您在强制使用启用FIPS的产品的环境中操作应用程序,或者如果您希望使用FIPS认证的加密模块的安全性,则应启用FIPS模式。该应用程序支持使用联邦信息处理标准(FIPS)140-2加密,这是采用FIPS准则的政府机构和公司所要求的。

什么是FIPS?

FIPS出版物是计算机安全产品最佳实践的一套标准。FIPS认证适用于采用加密技术的产品的任何部分。FIPS认证产品经实验室审查,证明符合FIPS 140-2(加密模块安全要求标准),并支持至少一种FIPS认证算法。

一些国家的政府机构和一些私营公司被要求使用fips认证的产品。

什么是FIPS模式?

FIPS模式是仅使用FIPS批准的算法的配置。当应用程序配置为在FIPS模式下运行时,它将实现FIPS认证的加密库,以加密安全控制台和扫描引擎之间的通信,以及安全控制台和用户之间的浏览器和API接口通信。

FIPS模式注意事项

需要注意的是,出于加密密钥生成的考虑,在FIPS模式或非FIPS模式下运行的决定是不可撤销的。必须将应用程序配置为在安装后和首次启动前立即在FIPS模式下运行,否则将其保留为在默认的非FIPS模式下运行。一旦应用程序以所选配置启动,您将需要重新安装它以在模式之间切换。

激活FIPS模式

安装InsightVM后,默认情况下会将其配置为在非FIPS模式下运行。首次启动前,必须将应用程序配置为在FIPS模式下运行。看见Linux下激活FIPS模式

当启用FIPS模式时,应用程序与未启用FIPS的应用程序(如Web浏览器或API客户机)之间的通信不能保证正常运行。

Linux下激活FIPS模式

在安装之后和首次启动应用程序之前,必须遵循这些步骤。

要启用FIPS模式,请执行以下操作:

  1. 安装rng-utils。加密算法要求系统有一个大的熵池,以产生随机数。为了确保熵池始终是满的,rngd守护进程必须在应用程序运行时运行。rngd守护进程是rng-utils Linux包的一部分。
  2. 使用系统的包管理器下载并安装rng utils包。

将rngd命令添加到系统启动文件中,以便在每次重新启动服务器时运行该命令。

  1. 运行命令rngd-b-r/dev/urandom
  2. 创建用于激活FIPS模式的属性文件。
  3. 使用文本编辑器创建一个新文件。
  4. 在此文件中输入以下行:fipsMode=1
  5. 将文件保存在[install_directory]/nsc目录下,文件名称如下
  6. 启动安全控制台。

在Windows中激活FIPS模式

在安装之后和首次启动应用程序之前,必须遵循这些步骤。

要启用FIPS模式,请执行以下操作:

  1. 创建用于激活FIPS模式的属性文件。
  2. 使用文本编辑器创建一个新文件。
  3. 在此文件中输入以下行:fipsMode=1

可以使用CustomEnvironment.properties文件在启动时禁用数据库一致性检查。只有在技术支持人员的指导下才能执行此操作。

  1. 将文件保存在[install_directory]\nsc目录下,文件名如下
  2. 启动安全控制台。

验证FIPS模式是否开启

要确保已成功启用FIPS模式,请检查安全控制台日志文件中的以下消息:

         

          

           
          

         

          

           

            1

           FIPS 140-2模式已启用。初始化加密提供程序
          

          

           

            2

           正在执行FIPS自检。。。