國(guó)家安全局/中央安全局 （NSA/CSS） 創(chuàng)建了機(jī)密商業(yè)解決方案 （CSfC） 計(jì)劃，以便在分層解決方案中使用商業(yè)數(shù)據(jù)保護(hù)來(lái)保護(hù)機(jī)密國(guó)家安全系統(tǒng) （NSS） 數(shù)據(jù)。借助 CSfC，系統(tǒng)設(shè)計(jì)人員現(xiàn)在可以在幾個(gè)月內(nèi)部署具有加密數(shù)據(jù)保護(hù)的商用現(xiàn)貨 （COTS） 解決方案，而成本僅為其中的一小部分，而獲得更敏感的 Type 1 產(chǎn)品認(rèn)證通常需要數(shù)年和數(shù)百萬(wàn)美元。類型 1 產(chǎn)品經(jīng) NSA 認(rèn)證，以加密方式保護(hù)美國(guó)政府機(jī)密信息，使用經(jīng)批準(zhǔn)的 NSA 算法。這些產(chǎn)品通常由NSA通過(guò)嚴(yán)格且通常非常漫長(zhǎng)的過(guò)程進(jìn)行設(shè)計(jì)和認(rèn)證。

國(guó)家安全局/中央安全局 （NSA/CSS） 創(chuàng)建了機(jī)密商業(yè)解決方案 （CSfC） 計(jì)劃，以便在分層解決方案中使用商業(yè)數(shù)據(jù)保護(hù)來(lái)保護(hù)機(jī)密國(guó)家安全系統(tǒng) （NSS） 數(shù)據(jù)。借助 CSfC，系統(tǒng)設(shè)計(jì)人員現(xiàn)在可以在幾個(gè)月內(nèi)部署具有加密數(shù)據(jù)保護(hù)的商用現(xiàn)貨 （COTS） 解決方案，而成本僅為其中的一小部分，而獲得更敏感的 Type 1 產(chǎn)品認(rèn)證通常需要數(shù)年和數(shù)百萬(wàn)美元。類型 1 產(chǎn)品經(jīng) NSA 認(rèn)證，以加密方式保護(hù)美國(guó)政府機(jī)密信息，使用經(jīng)批準(zhǔn)的 NSA 算法。這些產(chǎn)品通常由NSA通過(guò)嚴(yán)格且通常非常漫長(zhǎng)的過(guò)程進(jìn)行設(shè)計(jì)和認(rèn)證。

作為替代方案，CSfC 定義了一種使用兩層商業(yè)加密技術(shù)保護(hù)關(guān)鍵數(shù)據(jù)的方法。在許多情況下，考慮類型 1 方法的系統(tǒng)集成商可能會(huì)驚喜地發(fā)現(xiàn)，他們的應(yīng)用程序可以使用速度更快、成本更低的兩層 COTS 方法。

系統(tǒng)設(shè)計(jì)人員：CSfC 入門

任何 COTS 產(chǎn)品供應(yīng)商都可以開發(fā)用于 CSfC 解決方案的產(chǎn)品。為了獲得 NSA 批準(zhǔn)并將其列入 CSfC 組件列表，基于 COTS 的加密組件必須經(jīng)過(guò)國(guó)家信息保障伙伴關(guān)系 （NIAP） 的通用標(biāo)準(zhǔn) （CC） 評(píng)估。一旦CC流程正式開始，COTS供應(yīng)商必須與NSA建立協(xié)議備忘錄（MOA）。

什么是 NIAP？

NIAP由NSA和美國(guó)國(guó)家科學(xué)技術(shù)研究所（NIST）創(chuàng)建，旨在評(píng)估提議包含在CSfC解決方案中的商業(yè)解決方案。NIAP 通過(guò)在認(rèn)證實(shí)驗(yàn)室中根據(jù)嚴(yán)格的安全配置文件測(cè)試產(chǎn)品，確保商業(yè)產(chǎn)品符合 NSA 安全標(biāo)準(zhǔn)。它監(jiān)督美國(guó)對(duì)用于國(guó)家安全系統(tǒng)的商業(yè)IT產(chǎn)品的共同標(biāo)準(zhǔn)驗(yàn)證的實(shí)施。

什么是通用準(zhǔn)則？

通用準(zhǔn)則 （ISO-15408） 是美國(guó)和全球 27 個(gè)國(guó)家/地區(qū)政府要求的一套技術(shù)要求苛刻的國(guó)際安全認(rèn)證指南。通用準(zhǔn)則認(rèn)證可確保技術(shù)產(chǎn)品的規(guī)范、實(shí)施和評(píng)估過(guò)程以嚴(yán)格、標(biāo)準(zhǔn)和可重復(fù)的方式進(jìn)行。NIAP與NIST合作，批準(zhǔn)通用標(biāo)準(zhǔn)測(cè)試實(shí)驗(yàn)室在美國(guó)各地的私營(yíng)部門運(yùn)營(yíng)中進(jìn)行安全評(píng)估。實(shí)驗(yàn)室成功完成通用準(zhǔn)則評(píng)估后，NIAP將驗(yàn)證測(cè)試結(jié)果并發(fā)布通用準(zhǔn)則認(rèn)證。NSA CSfC審查和批準(zhǔn)是下一步。然后，可以將批準(zhǔn)的產(chǎn)品添加到NSA的CSfC組件列表中，并由集成商在分層CSfC解決方案中提出。從 CSfC 組件列表中選擇預(yù)先批準(zhǔn)的器件，使系統(tǒng)架構(gòu)師能夠快速設(shè)計(jì) COTS 加密解決方案并開始系統(tǒng)開發(fā)，從而節(jié)省大量開發(fā)成本和時(shí)間，同時(shí)大大降低項(xiàng)目風(fēng)險(xiǎn)。

什么是 CSfC 組件列表？

此列表使系統(tǒng)集成商能夠識(shí)別正在評(píng)估的產(chǎn)品或已是可用于數(shù)據(jù)保護(hù)解決方案的認(rèn)證產(chǎn)品。系統(tǒng)集成商必須向 NSA 申請(qǐng)，從組件列表和應(yīng)用詳細(xì)信息中識(shí)別擬議的產(chǎn)品。這種方法使系統(tǒng)集成商能夠開始評(píng)估其數(shù)據(jù)安全架構(gòu)，并大大降低項(xiàng)目風(fēng)險(xiǎn)和進(jìn)度。NSA 發(fā)布了功能包 （CP），為不同的應(yīng)用程序（如靜態(tài)數(shù)據(jù)）提供解決方案指導(dǎo)。

用于 CSfC 靜態(tài)數(shù)據(jù)保護(hù)的 COTS 解決方案

例如，Curtiss-Wright Defense Solutions最近開始了其數(shù)據(jù)傳輸系統(tǒng)（DTS1）網(wǎng)絡(luò)連接存儲(chǔ)（NAS）存儲(chǔ)設(shè)備的通用標(biāo)準(zhǔn)認(rèn)證流程。小型數(shù)據(jù)記錄儀使用兩層商用CNSA（以前稱為Suite B）加密算法。它還使用 NSA 的靜態(tài)數(shù)據(jù)功能包作為設(shè)計(jì)模板，并基于硬件和軟件全磁盤加密 （HS） 解決方案方法。

得益于CSfC，使用軟件和硬件加密層的COTS產(chǎn)品將能夠簡(jiǎn)化和加快系統(tǒng)設(shè)計(jì)人員使用NSA批準(zhǔn)的具有成本效益的Type 1加密替代方案來(lái)保護(hù)絕密數(shù)據(jù)的能力。這一進(jìn)展將使更多關(guān)鍵數(shù)據(jù)更快地得到保護(hù)。

審核編輯：郭婷