针对 DS8870 系统的安全性最佳实践

要实现 DS8870 存储系统上的安全目标，请遵循推荐的实践和操作。

1. 查看您的用户帐户管理进程。
2. 查看您的服务帐户管理进程。
3. 使用 DS8000® 数据加密功能为静态数据提供数据安全性。
4. 通过指定相应的密码套件来确保与 DS8870 之间的任何网络连接（使用因特网协议安全性 (IPSec)）均满足当前推荐的安全强度（112 位）。
5. 确保启用了与 DS8870 之间的任何网络连接（使用安全套接字层 (SSL) 或传输层安全性 (TLS) 协议），以满足当前推荐的安全强度（112 位）。该安全强度包括以下要求：
   • 连接必须使用 TLS 1.2。
   • 客户机和服务器必须协商使用密码套件，该密码套件应该采用获得批准的算法和 112 位安全强度。
   • 客户机或服务器必须将 TLS 1.2 协议中的散列和签名算法限制为具备 112 位安全性的算法。
   • 使用的数字证书必须具备 112 位安全性。
     注： 在 2013 年 11 月及以后生产的 DS8870 存储系统上，将同时安装 112 位和 80 位安全强度密钥客户机证书，并且 80 位证书在缺省情况下处于活动状态。满足所有软件的必备条件之后激活 112 位证书（请参阅有关满足 NIST SP 800-131A 要求的信息）。 在 2013 年 11 月之前生产的 DS8870 上，将安装使用 80 位安全强度的密钥客户机证书。在这些存储系统上，您可以按照 NIST SP 800-131A 的旧使用准则继续使用具有 80 位安全强度的旧证书。
6. 启用了与 DS8870 之间的任何网络连接（使用 SSL/TLS 协议）以满足当前推荐的安全强度（112 位）之后，请配置 DS8870 网络连接以强制达到当前推荐的安全强度。
   注： NIST SP 800-131A 需要使用具有 112 位安全增强的密码算法，为从 2014 年开始的密码周期中创建的安全数据提供数据安全性和数据完整性。许可机器代码 (LMC) V7.2 和更高版本支持 DS8870 上的 NIST SP 800-131A。要遵循 NIST SP 800-131A，则务必使用相应的先决条件管理软件版本，并正确配置 DS8870 及其他网络相关实体。IBM® 远程服务连接当前无法满足 NIST SP 800-131A 的要求。
7. 在使用 LMC V7.2 或更高版本的 DS8870 存储系统上，DS8000 存储管理 GUI 只允许使用 HTTPS 实现浏览器连接。在使用 LMC V7.2 和更高版本的 DS8870 存储系统上，可通过 TCP 端口 8452 访问 DS8000 存储管理 GUI。对于采用 LMC V7.1.x 或更低版本的 DS8870 存储系统，请考虑仅通过 HTTPS 端口（TCP 端口 8452）连接，因为它比 HTTP 端口（TCP 端口 8451）更安全。