加密標準成為企業安全控制第一步

隨著對洩露帳戶、網頁仿冒和欺詐擔心的迅速增加，越來越多的企業意識到這些風險，開始採取行動改進安全控制。 由美國國家標準與技術研究所（NIST）和加拿大通信安全性群組織合作開發的聯邦資訊處理標準(FIPS) 140-2加密標準，正在得到越來越多的安全敏感企業的接受。 FIPS 140-2還是金融機構草案標準ANSI X9.66的基礎。 FIPS 140-2建立于一項協力廠商驗證的安全標準基礎之上，現在由聯邦政府賦予了確保企業資料安全的效力，通過該項標準認證，可以説明企業符合多種聯邦法規提出的IT資訊安全性要求。 FIPS 140-2標準涉及敏感但非保密的資訊。 它根據資料的敏感度（例如，行政管理、百萬美元交易、生命保護資料）以及應用環境的多樣性（例如，警衛保衛的設施、辦公室、完全沒有保護的環境），規定了4級加密和安全性。 每一安全級別都比前一級別提供更高的安全性。 這4個安全級別共同提供了適應不同資料敏感度和不同環境的高性價比的解決方案。 第1級是最低的FIPS 140-2安全級別。 採用第1級安全性的產品的例子包括PC加密和運行在PC上、支援單一使用者的軟體。 在第二級上，密碼模組必須運行在得到確認的作業系統和硬體上，並提供篡改記錄和基於角色的認證。 第3級和第4級安全性提出更多的保護要求（如基於身份的認證）、防止入侵者獲得關鍵安全參數的額外物理安全機制，以及確保密碼模組在設備的運行環境中完整性的監測技術。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' alt=fff src="/files/uploadimg/20060124/1759530.jpg " border=0> 符合標準的加密產品通常允許有選擇地開啟安全的FIPS模式。 很多FIPS要求的變化對於使用者是不可見的，而另一些變化則將是非常顯而易見的。 例如，當主控台伺服器上啟動FIPS時，很多不太安全的特性、協定和密碼將被關閉，並設置安全性更高的選項。 典型的變化包括關閉像telnet、rlogin或目錄訪問協定等使用明文口令的應用；要求口令字長度超過6個字元；對作業系統訪問設置嚴格的限制。 獲得FIPS 140-2認證的產品需要經過由得到NIST批准的機構進行詳盡的審查和測試，包括直接審查原始程式碼，以確保產品的密碼演算法、載入方法、作業系統、檔資料、操作軟體和硬體的可信性。 有關某一產品的資訊在NIST網站上的特定產品的安全保險單中公佈，並附有確認證書。 安全保險單包括認證的版本資訊、啟動FIPS模式的說明、有關角色和認證的產品特有的詳細資訊、得到批准和未得到批准的密碼功能、關鍵安全參數以及其它相關資訊。 FIPS 140-2的證書對於產品品質至關重要。 NIST說，它在所測試過的168種產品中，48%以上的產品中發現和處理過安全性漏洞。 目前，150多家廠商提供多種獲得FIPS 140-2認證的商用硬體和軟體產品。 FIPS 140-2證書為很多設備提供了獨立的安全標準，是一個改進安全性的極好的起點。 （責任編輯：zhaohb） 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：加密標準成為企業安全控制第一步 返回網路安全首頁