对美国来说,网络安全的关键在于复原力。这就是为什么白宫在 2023 年 7 月发布了最新的网络安全战略 "通往复原力之路"。该战略旨在加强关键基础设施、全球网络空间和美国情报部门应对网络攻击的能力。
在人工智能和量子计算等新技术带来机遇和威胁之际,FIPS 140-2 在加强网络安全方面发挥着重要作用。
虽然这一网络安全标准由美国和加拿大政府采用,但任何人都可以采用。本文介绍了该标准的目的、重要用例,并推荐了可满足您需求的 FIPS 验证产品。
FIPS 140-2 概览
FIPS 是 "联邦信息处理标准 "的缩写,140-2 是现行版本。美国国家标准与技术研究院(NIST)制定该标准的目的是帮助保护敏感的政府信息不受黑客攻击。FIPS 140-2涵盖了所有实现认可安全功能的加密硬件、软件和固件。
换句话说,要符合标准,加密模块必须集成标准中列出的功能。因此,如果您的密码模块不符合验证要求,您就不能向政府出售您的解决方案。如果您想知道这些要求是什么样子的,这里有一个简单的概述。
FIPS 140-2 有 4 个递增的安全级别,您可以在我们的FIPS 140-2 技术简介中了解到。
FIPS 密码标准的使用案例
确保处理通信和数据的加密模块(硬件和软件)符合 FIPS 140-2 标准,有助于政府机构和政府承包商遵守保护数据、业务和资产免受网络威胁的标准框架。除了必要的政府应用,其他用例还包括关键基础设施、制造、运输等。在下面的章节中,我们将深入探讨政府及其他领域的一些使用案例。
需要 FIPS 140-2 验证的应用领域
- 政府机构和承包商:美国政府是最大的数字数据消费者和生产者之一。数据安全至关重要。因此,所有处理受控非机密信息(CUI)的实体都必须进行 FIPS 140-2 验证,其中包括联邦调查局、国防部、美国边境巡逻队等数百个政府机构,以及所有国防承包商和与政府签订合同的其他服务机构。
- 执法:执法机构使用刑事司法信息系统 (CJIS),这意味着他们要访问高度敏感的信息。因此,警察部队必须使用经过 FIPS 140-2 验证的设备。此外,他们还使用自动车牌读取器(ALPR) 等设备,作为传输和共享数据的车载技术库的一部分。遵守 FIPS 140-2 标准可确保车牌数据存储和传输过程中 ALPR 数据的安全。
- 金融服务:金融业是全球监管最严格的行业之一。联邦政府下属的金融机构,包括美国国税局和联邦储备局,都必须使用经过 FIPS 140-2 验证的设备来保护金融数据免受网络威胁。其他金融服务和机构也越来越多地采用该标准作为网络安全的基准。
- 医疗机构:与金融机构类似,受政府管辖的机构必须使用经过 FIPS 140-2 验证的设备。此外,必须符合 HIPAA 标准的机构也必须遵守该标准,大多数医疗机构必须遵守该标准,以保护患者数据。风险很高。例如,Quest Diagnostics 成为网络盗窃的受害者,1200 多万份敏感的患者记录在攻击者入侵供应商付款网页时被盗。遵守 FIPS 140-2 可以帮助医疗设备制造商和医疗软件提供商确保其加密方法能够保护患者的敏感数据和患者生命所依赖的医疗设备的安全。
符合 FIPS 140-2 标准的其他应用
FIPS 140-2 合规性的好处不容低估,因为面对日益复杂的黑客攻击,当今的每个组织都必须加强网络安全。FIPS 140-2 大大降低了处理从消费者数据到金融交易等一切事务的组织的攻击概率
- 制造:Plasma Ruggedized Solutions生产保形涂料、灌封和封装服务,专为获得 FIPS 认证而设计。换句话说,它的产品为敏感电子元件提供涂层,以防止访问存储在经过处理的印刷电路板组件上的数据。事实上,它甚至还提供特殊措施,确保产品在检测到未经授权的进入、修改或逆向工程等进一步篡改时会自毁。
- 能源和公用事业公司:能源基础设施,包括天然气、水和电力设施,是我们一切工作的核心。它们对我们的经济和生活方式至关重要。它们还与数千个端点高度连接,其中包括发电、能源供应商甚至智能电表。这就是为什么需要确保它们免受日益复杂的网络攻击的原因。除了负面新闻和声誉损失,黑客还可能造成经济损失并窃取宝贵的知识产权。例如,最近在能源领域发生的网络攻击使风力发电厂的远程控制失效,并导致敏感客户信息的数据泄露。预防网络威胁意味着为所有端点和数据提供最高级别的保护。希望建立抵御网络攻击能力的公用事业公司可以在所有加密模块上获得 FIPS 140-2 验证。
- 云数据中心:谷歌云、IBM、AWS、戴尔和微软等云服务提供商都使用经 FIPS 140-2 验证的加密技术。这意味着传输和存储的数据都使用 FIPS 验证加密。
- 无人驾驶车辆:无人驾驶车辆包括无人驾驶飞机(如无人机)、水下无人驾驶车辆甚至自动驾驶汽车。由于计算机系统控制着几乎所有无人驾驶车辆的运行,因此确保传输数据和信息的安全仍然是重中之重。无人机和机器人公司大疆创新(DJI)为其部分无人机申请 FIPS 140-2 验证。据大疆称,所有采用大疆核心加密引擎的无人机都能确保客户 "享受可信、权威和全球公认的安全标准"。大疆创新的许多客户代表联邦政府或从事政府合同工作,因此大疆创新为其产品申请 FIPS 验证是合情合理的。
- 自动驾驶汽车:随着自动驾驶技术的改进,软件驱动的人工智能汽车对未来的交通将变得更加重要。这些车辆的安全运行在很大程度上依赖于数据和通信,因此网络安全仍然是一个巨大的风险。美国交通部 2022 年的最终报告《机动车辆安全网络安全最佳实践》引用了 FIPS 140-2 作为确保 "加密技术对于预期应用而言应是最新和非过时的 "的方法。
与值得信赖的解决方案提供商合作
尽管在联邦政府内部工作或作为联邦政府的供应商意味着要遵守 FIPS 140-2 的要求,但任何需要强大的网络安全保护水平的组织都可以采用该标准。这正是 Digi 可以提供帮助的地方。自 1985 年以来,Digi 一直是无线通信领域的先驱。如今,Digi 提供从基于传感器的解决方案和先进的远程监控平台到全方位的专业设计、实施和认证团队等各种服务。在网络安全方面,我们可以为您提供帮助。
Digi 解决方案在基于 Digi Accelerated Linux 操作系统(DAL OS)的全套设备上支持 FIPS 140-2。请参阅我们的FIPS 140-2 技术页面上的完整列表。
加密易于实施。Digi Remote ManagerDigi 基于云的解决方案可监控和管理设备,并通过简单的流程保持设备的最新状态。只需升级固件并打开 FIPS 即可。就是这样。不要被昂贵而复杂的解决方案所束缚。Digi 的方法意味着您的系统可以轻松获得定期更新,而且无需额外费用。
下一步工作