加密标准成为企业安全控制第一步_动网_社区论坛·开发者网络源动力

随着对泄露账户、网页仿冒和欺诈担心的迅速增加，越来越多的企业意识到这些风险，开始采取行动改进安全控制。

由美国国家标准与技术研究所（NIST）和加拿大通信安全组织合作开发的联邦信息处理标准(FIPS) 140-2加密标准，正在得到越来越多的安全敏感企业的接受。FIPS 140-2还是金融机构草案标准ANSI X9.66的基础。

FIPS 140-2建立于一项第三方验证的安全标准基础之上，现在由联邦政府赋予了确保企业数据安全的效力，通过该项标准认证，可以帮助企业符合多种联邦法规提出的IT信息安全性要求。

FIPS 140-2标准涉及敏感但非保密的信息。它根据数据的敏感度（例如，行政管理、百万美元交易、生命保护数据）以及应用环境的多样性（例如，警卫保卫的设施、办公室、完全没有保护的环境），规定了4级加密和安全性。每一安全级别都比前一级别提供更高的安全性。这4个安全级别共同提供了适应不同数据敏感度和不同环境的高性价比的解决方案。

第1级是最低的FIPS 140-2安全级别。采用第1级安全性的产品的例子包括PC加密和运行在PC上、支持单一用户的软件。在第二级上，密码模块必须运行在得到确认的操作系统和硬件上，并提供篡改记录和基于角色的认证。第3级和第4级安全性提出更多的保护要求（如基于身份的认证）、防止入侵者获得关键安全参数的额外物理安全机制，以及确保密码模块在设备的运行环境中完整性的监测技术。

fff

符合标准的加密产品通常允许有选择地开启安全的FIPS模式。很多FIPS要求的变化对于用户是不可见的，而另一些变化则将是非常显而易见的。例如，当控制台服务器上启动FIPS时，很多不太安全的特性、协议和密码将被关闭，并设置安全性更高的选项。典型的变化包括关闭像telnet、rlogin或目录访问协议等使用明文口令的应用；要求口令字长度超过6个字符；对操作系统访问设置严格的限制。

获得FIPS 140-2认证的产品需要经过由得到NIST批准的机构进行详尽的审查和测试，包括直接审查源代码，以确保产品的密码算法、加载方法、操作系统、文件资料、操作软件和硬件的可信性。

有关某一产品的信息在NIST网站上的特定产品的安全保险单中公布，并附有确认证书。安全保险单包括认证的版本信息、启动FIPS模式的说明、有关角色和认证的产品特有的详细信息、得到批准和未得到批准的密码功能、关键安全参数以及其它相关信息。

FIPS 140-2的证书对于产品质量至关重要。NIST说，它在所测试过的168种产品中，48%以上的产品中发现和处理过安全漏洞。

目前，150多家厂商提供多种获得FIPS 140-2认证的商用硬件和软件产品。FIPS 140-2证书为很多设备提供了独立的安全标准，是一个改进安全性的极好的起点。（　　