CJIS安全政策:企业如何确保FIPS合规性?

日期: 2017-03-27 作者:Michael Cobb翻译:邹铮 来源:TechTarget中国 英文

我们被告知我们公司的WebOMNI系统(运行Windows 2008 IIS 7.0的负载均衡Web服务器)需要符合FIPS 140-2标准,因为其中包含一些CJIS数据。我们已经在该服务器中启用FIPS模式,并且该服务器使用Comodo RSA证书来加密流量。那么,我们如何确认哪些FIPS证书可覆盖我们的配置?如今已确定是证书1008(bcrypt.dll)或者1010(RSAENH),如何对其进行判断?

Michael Cobb:刑事司法信息服务(CJIS)是美国联邦调查局最大的部门,其数据库为美国各地的机构提供刑事司法信息资料库,这些信息包括生物特征、身份历史、财产和病例/事故历史数据,这些信息需得到最好的保护。为此,CJIS安全政策建立了最低安全要求和控制来保护刑事司法信息,涵盖无线网络、远程访问、数据加密和身份验证等领域。CJIS安全政策中的要求和控制严格响应NIST 800-53《为联邦信息系统和组织而推荐的隐私与安全控制》的要求,这也是联邦风险和授权管理计划的基础。

政府机构必须确保其系统和第三方系统(如用于传输、存储或处理刑事司法信息的云服务)符合CJIS安全政策。该安全政策的第5.10.1.2章节对静态或传输中的数据制定了严格且具体的联邦信息处理标准(FIPS)140-2加密标准:“当使用加密时,所使用的加密模块应符合FIPS 140-2标准。”

Windows操作系统有各种加密模块,并封装不同的加密算法,通过API调用可访问。我认为你们公司的服务器在运行Windows Server 2008 R2,而Windows Server 2008的支持已经过期。

微软的Cryptographic Primitives Library是基于软件的加密服务提供程序(BCRYPT.dll),已经通过FIPS 140-2认证,其增强加密提供程序(RSAENH.dll)也是同样,这些算法可通过Microsoft CryptoAPI访问。用户模式应用直接与BCRYPT连接,这是该使用的模块。

在Windows中启用FIPS模式会让其及其子系统仅使用符合FIPS的加密算法进行加密、散列和签名。例如,它不允许使用SSL 2.0以及3.0,因为它们不符合FIPS标准。然而,只是启用FIPS模式并不能确保系统符合CJIS安全政策。该操作系统或者验证加密模块并没有强制执行FIPS模式,这意味着没有检查FIPS模式相关注册表设置,且不依赖于任何Windows子系统的应用仍将继续正常运行,正如在FIPS模式禁用的系统一样,可能会使用不合规的加密算法。因此,最好运行使用经过认证加密模块的应用,同时,软件开发人员必须确保其应用会检查FIPS模式标志注册表设置并强制使用适当的算法。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 几个小技巧 强化你的加密

    加密并不像我们认为的那样强健。但我们仍有一些方法可以减少与加密有关的已知漏洞。本文介绍了强化加密安全性的几个技巧。