由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)和加拿大通信安全組織合作開(kāi)發(fā)的聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS) 140-2加密標(biāo)準(zhǔn),正在得到越來(lái)越多的安全敏感企業(yè)的接受。FIPS 140-2還是金融機(jī)構(gòu)草案標(biāo)準(zhǔn)ANSI X9.66的基礎(chǔ)。
FIPS 140-2建立于一項(xiàng)第三方驗(yàn)證的安全標(biāo)準(zhǔn)基礎(chǔ)之上,現(xiàn)在由聯(lián)邦政府賦予了確保企業(yè)數(shù)據(jù)安全的效力,通過(guò)該項(xiàng)標(biāo)準(zhǔn)認(rèn)證,可以幫助企業(yè)符合多種聯(lián)邦法規(guī)提出的IT信息安全性要求。
FIPS 140-2標(biāo)準(zhǔn)涉及敏感但非保密的信息。它根據(jù)數(shù)據(jù)的敏感度(例如,行政管理、百萬(wàn)美元交易、生命保護(hù)數(shù)據(jù))以及應(yīng)用環(huán)境的多樣性(例如,警衛(wèi)保衛(wèi)的設(shè)施、辦公室、完全沒(méi)有保護(hù)的環(huán)境),規(guī)定了4級(jí)加密和安全性。每一安全級(jí)別都比前一級(jí)別提供更高的安全性。這4個(gè)安全級(jí)別共同提供了適應(yīng)不同數(shù)據(jù)敏感度和不同環(huán)境的高性價(jià)比的解決方案。
第1級(jí)是最低的FIPS 140-2安全級(jí)別。采用第1級(jí)安全性的產(chǎn)品的例子包括PC加密和運(yùn)行在PC上、支持單一用戶的軟件。在第二級(jí)上,密碼模塊必須運(yùn)行在得到確認(rèn)的操作系統(tǒng)和硬件上,并提供篡改記錄和基于角色的認(rèn)證。第3級(jí)和第4級(jí)安全性提出更多的保護(hù)要求(如基于身份的認(rèn)證)、防止入侵者獲得關(guān)鍵安全參數(shù)的額外物理安全機(jī)制,以及確保密碼模塊在設(shè)備的運(yùn)行環(huán)境中完整性的監(jiān)測(cè)技術(shù)。
獲得FIPS 140-2認(rèn)證的產(chǎn)品需要經(jīng)過(guò)由得到NIST批準(zhǔn)的機(jī)構(gòu)進(jìn)行詳盡的審查和測(cè)試,包括直接審查源代碼,以確保產(chǎn)品的密碼算法、加載方法、操作系統(tǒng)、文件資料、操作軟件和硬件的可信性。
有關(guān)某一產(chǎn)品的信息在NIST網(wǎng)站上的特定產(chǎn)品的安全保險(xiǎn)單中公布,并附有確認(rèn)證書(shū)。安全保險(xiǎn)單包括認(rèn)證的版本信息、啟動(dòng)FIPS模式的說(shuō)明、有關(guān)角色和認(rèn)證的產(chǎn)品特有的詳細(xì)信息、得到批準(zhǔn)和未得到批準(zhǔn)的密碼功能、關(guān)鍵安全參數(shù)以及其它相關(guān)信息。
FIPS 140-2的證書(shū)對(duì)于產(chǎn)品質(zhì)量至關(guān)重要。NIST說(shuō),它在所測(cè)試過(guò)的168種產(chǎn)品中,48%以上的產(chǎn)品中發(fā)現(xiàn)和處理過(guò)安全漏洞。
目前,150多家廠商提供多種獲得FIPS 140-2認(rèn)證的商用硬件和軟件產(chǎn)品。FIPS 140-2證書(shū)為很多設(shè)備提供了獨(dú)立的安全標(biāo)準(zhǔn),是一個(gè)改進(jìn)安全性的極好的起點(diǎn)。
