在我最后阿宝圣在美国,我写了关于FIPS 140-2的文章,以及它对获得验证的产品意味着什么。这篇文章将讨论另一个主要的安全认证:通用标准。阿鲁巴移动控制器和接入点现在已经完成了两项不同的通用标准评估,并正在进行第三项评估。对我们的客户来说,这意味着您现在可以在一个完全认可的解决方案中使用最新的千兆Wi-Fi标准(802.11ac)。
虽然FIPS专注于加密,但常见的标准专注于IT产品的其余安全功能。评估主要涉及特定安全特征的存在,以及这些功能的正确性。示例包括加密(验证的FIPS验证的产品通常在该部分上获取自动“通过”),可信频道(IPSec,TLS,SSH),审核和记录,管理角色,访问控制等。这些都是一般类别的保护简介还增加了特定的任务要求:Wi-Fi要求在无线LAN保护配置文件中,VPN保护配置文件中的VPN要求以及防火墙保护配置文件中的防火墙要求。看看所有可用的保护型材,掌舵https://www.niap-ccevs.org/pp/.选择其中一个,比如无线局域网接入系统PP,并快速阅读。如果你的眼睛呆滞在像O.RESIDUAL_INFORMATION_CLEARING这样的术语上,不要害怕——我也一样。跳过这些部分,寻找安全性需求和基本原理部分。
但是等等——为什么我们不使用“EAL4”这样的术语呢?这难道不是标准评估的黄金标准吗?不,没有了。简而言之,EALs(评估保证等级)已经死了——至少在美国、澳大利亚、新西兰、加拿大和英国是这样。许多其他国家已经原则上同意取消EALs,但这是一个缓慢的过程。为什么改变?你可以在这里阅读官方解释:https://www.niap-ccevs.org/NIAP_Evolution/faqs/niap_evolution/.我的非正式解释是供应商正在编写含有许多无用的额外功能的安全目标,然后生产支持文件的责任,以备份与这些额外功能相关的索赔。结果是一组评估的产品,即最终客户具有非常困难的时刻彼此相比。NIAP还得出结论,不同的实验室以非常不同的方式进行评估,导致对要求不一致的解释。他们的回应是授权“严格遵守”对政府书面保护档案的评价。供应商必须建立符合PP中100%要求的产品,并且实验室有特定的活动集(“保证活动”),他们必须进行以核准满足这些要求。最终目标应该是清晰,一致和可重复的评估。
沿途发生的其他有趣的事情是分类(CSFC)的商业解决方案,您可以阅读https://www.nsa.gov/ia/programs/csfc_program/.CSFC的入学人数是对政府撰写的PP的常见标准评估。CSFC要求为商业产品中的安全功能设置高级条,旧的EAL方案没有必要的要求作为强制熵和所需的密码套件。任何已完成较旧的Eal风格的常用标准评估的供应商都必须在保护概况下重复评估,以满足CSFC的资格要求。
这就引出了我的最后一点。Aruba现在是第一个也是(在撰写本文时)唯一一个在CSfC批准的组件列表上的供应商(https://www.nsa.gov/ia/programs/csfc_program/component_list.shtml.)在WLAN类别中完成了所需的共同标准评估。您将在该列表中看到许多供应商和产品,但由于参与一个或多个原型/飞行员,所有这些都是在那里通过NSA直接检查产品。作为原型的一部分的供应商有一个时钟滴答 - 他们必须在特定的月份内完成所需的常见标准评估,或者将从列表中删除。随着Aruba现在在无线LAN接入系统PP下完成评估,我们在WLAN访问系统类别下列出的产品现在是“合法的”,不再有那个时钟滴点(时钟仍然在IPSec VPN网关中勾选我们类别 - 这是我们现在正在进行的第三种评估。)它已经采取了很多时间和精力来到这里,并且我们喜欢做常见的标准评估,我不得不说我很高兴结束了。当然,我们不希望(或期望)仍然是该列表中唯一的完全符合的供应商 - 待破坏CSFC的供应商分集目标。尽管如此,我觉得第一次说得很多关于我们对公共部门客户群的承诺。
