由美國國家標準與技術研究所(NIST)和加拿大通信安全組織合作開發的聯邦信息處理標準(FIPS) 140-2加密標準,正在得到越來越多的安全敏感企業的接受。FIPS 140-2還是金融機構草案標準ANSI X9.66的基礎。
FIPS 140-2建立于一項第三方驗證的安全標準基礎之上,現在由聯邦政府賦予了確保企業數據安全的效力,通過該項標準認證,可以幫助企業符合多種聯邦法規提出的IT信息安全性要求。
FIPS 140-2標準涉及敏感但非保密的信息。它根據數據的敏感度(例如,行政管理、百萬美元交易、生命保護數據)以及應用環境的多樣性(例如,警衛保衛的設施、辦公室、完全沒有保護的環境),規定了4級加密和安全性。每一安全級別都比前一級別提供更高的安全性。這4個安全級別共同提供了適應不同數據敏感度和不同環境的高性價比的解決方案。
第1級是最低的FIPS 140-2安全級別。采用第1級安全性的產品的例子包括PC加密和運行在PC上、支持單一用戶的軟件。在第二級上,密碼模塊必須運行在得到確認的操作系統和硬件上,并提供篡改記錄和基于角色的認證。第3級和第4級安全性提出更多的保護要求(如基于身份的認證)、防止入侵者獲得關鍵安全參數的額外物理安全機制,以及確保密碼模塊在設備的運行環境中完整性的監測技術。
獲得FIPS 140-2認證的產品需要經過由得到NIST批準的機構進行詳盡的審查和測試,包括直接審查源代碼,以確保產品的密碼算法、加載方法、操作系統、文件資料、操作軟件和硬件的可信性。
有關某一產品的信息在NIST網站上的特定產品的安全保險單中公布,并附有確認證書。安全保險單包括認證的版本信息、啟動FIPS模式的說明、有關角色和認證的產品特有的詳細信息、得到批準和未得到批準的密碼功能、關鍵安全參數以及其它相關信息。
FIPS 140-2的證書對于產品質量至關重要。NIST說,它在所測試過的168種產品中,48%以上的產品中發現和處理過安全漏洞。
目前,150多家廠商提供多種獲得FIPS 140-2認證的商用硬件和軟件產品。FIPS 140-2證書為很多設備提供了獨立的安全標準,是一個改進安全性的極好的起點。
