是像使用符合 FIPS 140 的加密提供商一样简单,还是还有更多?如果它是 Web 应用程序与 Windows 应用程序有区别吗?如果它是分布式应用程序怎么办?对于 IIS、WCF、ASP.Net、Silverlight、AJAX 等是否有任何特殊考虑?
谢谢
问问题
1086 次
2 回答
3
FIPS 是美国政府在信息安全方面遵循的一系列标准。有政策、实践等。为了符合合规条件,您必须确保仅使用某些算法,您使用的硬件和软件必须被视为合规等。
是像使用符合 FIPS 140 的加密提供商一样简单,还是还有更多?
这取决于每个特定的场景,但是可以。例如,如果您使用的某些路由器符合 140-2 标准,那么您在它们后面的应用程序可以免除通过部分流程,因为您使用的硬件完成了认证要求的相同任务。例如,我们使用 F5 Big IP 来处理我们的很多 SSL 等,因为它们已经通过了认证过程。我们的其他系统也许可以做同样的事情,但这意味着我们不必经历漫长而痛苦的审批过程。
http://en.wikipedia.org/wiki/FIPS_140
我认为这些是谈论认证的链接:
于 2010-03-04T19:00:01.130 回答
0
这是加密安全系统的政府标准。它定义了系统必须遵守的实践、策略、测试以及在某些情况下被认为是合规的硬件。您可以在http://en.wikipedia.org/wiki/FIPS_140阅读更多相关信息。
http://csrc.nist.gov/publications/PubsFIPS.html是了解一般 FIPS 规范和要求的好资源。
于 2010-03-04T18:55:51.397 回答