美國(guó)國(guó)家安全局 （NSA） 的機(jī)密商業(yè)解決方案 （CSfC） 計(jì)劃使集成商能夠利用兩個(gè)不同的 CSfC 批準(zhǔn)的商用現(xiàn)貨 （COTS） 組件來(lái)保護(hù)靜態(tài)或傳輸中的機(jī)密數(shù)據(jù)。在引入 CSfC 之前，具有分類數(shù)據(jù)要求的程序必須開發(fā)或使用現(xiàn)有的 Type-1 解決方案。

滿足機(jī)密數(shù)據(jù)要求的 1 類解決方案引入了各種受控加密項(xiàng)目要求（例如，特定于部隊(duì)的處理、跟蹤、報(bào)告和保護(hù)要求）;它們還需要分類設(shè)施/員工進(jìn)行實(shí)施和集成。Type-1也有自己的認(rèn)證流程，這增加了進(jìn)度和成本壓力，如果你以前從未完成過它，絕對(duì)是一個(gè)需要克服的一大障礙。雖然在許多情況下，傳統(tǒng)的 Type-1 解決方案可能是唯一可行的方法，但在某些情況下，分類商業(yè)解決方案 （CSfC） 計(jì)劃提供了一種替代方案，使集成商能夠利用商業(yè)成本、性能和其他優(yōu)勢(shì)。

CSfC 產(chǎn)品列表中的大多數(shù)已批準(zhǔn)組件都專注于保護(hù)傳輸中的數(shù)據(jù)。這些組件通常專注于使用相互嵌套的多個(gè)VPN［虛擬專用網(wǎng)絡(luò)］。

通過威脅枚舉暗示（但不是必需的）這兩個(gè)組件由不同的供應(yīng)商提供。但是，這兩個(gè)組件都由單個(gè)供應(yīng)商提供，通常具有單獨(dú)的開發(fā)/集成團(tuán)隊(duì)和加密組件，這是有既定的先例。

用于保護(hù)靜態(tài)數(shù)據(jù)的組件較少，并且大多數(shù)注冊(cè)的組件都是特定于應(yīng)用程序或平臺(tái)的。它們通常不打算用作通用解決方案。

通往 CSfC 的道路

對(duì)于要添加到 CSfC 組件列表的組件，有必要進(jìn)行類似于 Type-1 解決方案的認(rèn)證工作。通常，認(rèn)證需要符合一個(gè)或多個(gè)國(guó)家信息保障伙伴關(guān)系 （NIAP） 保護(hù)配置文件，符合 NSA CSfC 功能包 （CP），并向 NSA 注冊(cè)組件（圖 1）。要實(shí)現(xiàn)對(duì)保護(hù)配置文件的合規(guī)性，需要使用經(jīng)認(rèn)可的實(shí)驗(yàn)室來(lái)執(zhí)行 NIAP/通用標(biāo)準(zhǔn)測(cè)試。

［圖1 |組件認(rèn)證 – 文件加密。

實(shí)驗(yàn)室的選擇將部分決定認(rèn)證和認(rèn)可過程需要多長(zhǎng)時(shí)間。此外，NSA CSfC CP 用于限制和/或加強(qiáng)保護(hù)配置文件要求（通常這些與算法選擇的特定要求有關(guān)，主要符合 NSA Suite B 和 NIST 指南）。例如，NSA CSfC CP 指定密鑰大小的最小值以及用于加密和身份驗(yàn)證的特定算法/模式。CP 提供最低閾值和客觀閾值。

作為認(rèn)證過程的一部分，組件中使用的加密算法/實(shí)現(xiàn)必須作為聯(lián)邦信息處理標(biāo)準(zhǔn) （FIPS） 140/ACVP 模塊或國(guó)家信息保障伙伴關(guān)系 （NIAP） 測(cè)試的一部分進(jìn)行驗(yàn)證。通常，將其作為 FIPS 模塊的一部分執(zhí)行更具成本效益。FIPS 和 NIAP 都要求在加密模塊初始化/開機(jī)期間和使用前完成各種自檢和已知答案測(cè)試，這可以指導(dǎo)加密驗(yàn)證的發(fā)生位置。

將組件添加到批準(zhǔn)的產(chǎn)品列表后，受信任的集成商即可將其用作 CSfC 解決方案的一部分。受信任的集成商還必須在 NSA 注冊(cè)和認(rèn)證;集成商的認(rèn)證過程就像組件本身一樣。應(yīng)該注意的是，產(chǎn)品通常不能添加到批準(zhǔn)的產(chǎn)品列表中，至少在它已進(jìn)入NIAP的正式測(cè)試之前。

組件的認(rèn)證在需要維護(hù)之前有效期為兩年。組件進(jìn)入維護(hù)時(shí)段后，可以在必須從“原點(diǎn)”重新啟動(dòng)之前續(xù)訂認(rèn)證。此外，可以通過更新 NIAP 證書來(lái)進(jìn)行與安全無(wú)關(guān)的更改，例如添加其他處理器和某些硬件/操作系統(tǒng) （OS） 級(jí)別的更改，而無(wú)需進(jìn)行額外的正式評(píng)估。這些是所謂的“供應(yīng)商確認(rèn)”更改，并且需要與安全無(wú)關(guān)。如果需要與安全相關(guān)的更改，則必須使用增量認(rèn)證和更新過程。

集成 CSfC 組件

經(jīng)批準(zhǔn)的 CSfC 系統(tǒng)在一個(gè)經(jīng)批準(zhǔn)的配置中使用兩個(gè)不同的組件（圖 2）。

［圖2 |批準(zhǔn)的配置。

為了獲得批準(zhǔn)的 CSfC 解決方案，需要使用集成 CSfC 解決方案兩層的可信集成商。這種集成的一個(gè)更微妙的點(diǎn)是提供與兩個(gè)組件的交互和集成級(jí)別，特別是與為兩個(gè)層提供授權(quán)因素相關(guān)的組件。授權(quán)因素使系統(tǒng)的授權(quán)用戶能夠“解鎖”每個(gè)層的加密密鑰。每個(gè)層或組件都必須使用唯一的授權(quán)因素，這使得集成在大多數(shù)情況或環(huán)境中具有挑戰(zhàn)性。

根據(jù)靜態(tài)數(shù)據(jù)解決方案的使用方式，可能需要在預(yù)引導(dǎo)環(huán)境中進(jìn)行此級(jí)別的集成。授權(quán)和身份驗(yàn)證保護(hù)配置文件中的某些特定要求（特別是軟件全磁盤加密）隱式假定此方案。

這是怎么回事？

讓我們看一些常見問題：

開源解決方案可以認(rèn)證嗎？

保護(hù)配置文件或 NSA 功能包中的任何內(nèi)容均不禁止它。事實(shí)上，大多數(shù)靜態(tài)數(shù)據(jù)或傳輸中的數(shù)據(jù)解決方案都基于開源軟件，經(jīng)過修改以滿足保護(hù)配置文件和 CP。真正的障礙是認(rèn)證成本，并且需要解決非常具體的需求，這對(duì)于非專用解決方案來(lái)說可能是一個(gè)挑戰(zhàn)。

何時(shí)將組件添加到批準(zhǔn)的組件列表中？

組件在進(jìn)入正式測(cè)試并等待最終認(rèn)證文件授予后，有資格添加到批準(zhǔn)的組件列表中。

實(shí)現(xiàn) CSfC 的時(shí)間表是什么？

假設(shè)在組件級(jí)別沒有新的開發(fā)或定制，則根據(jù)實(shí)驗(yàn)室在特定保護(hù)配置文件和解決方案空間方面的經(jīng)驗(yàn)，將需要三到六個(gè)月的時(shí)間。預(yù)計(jì)各個(gè)組件的集成需要一到六個(gè)月的時(shí)間，這主要取決于供應(yīng)商和集成工作的復(fù)雜性。

您是否必須認(rèn)證專用解決方案？

不?？梢哉J(rèn)證滿足或超過保護(hù)配置文件要求的預(yù)先存在的非專用組件;但是，這確實(shí)會(huì)改變某些操作的執(zhí)行方式，并且可能需要與認(rèn)證實(shí)驗(yàn)室進(jìn)行一些來(lái)回討論，才能找到滿足保護(hù)配置文件要求的解決方案，同時(shí)又不會(huì)降低組件的整體安全性。保護(hù)配置文件假定特定的用例/場(chǎng)景，因此在沒有專門構(gòu)建的解決方案的情況下很難滿足所有要求（保護(hù)配置文件的文字）。

認(rèn)證更新

由風(fēng)河技術(shù)保護(hù)和網(wǎng)絡(luò)安全組織Star Lab開發(fā)的Wind River Titanium Security Suite for Linux的兩個(gè)組件目前正在接受NIAP認(rèn)證，用于通用靜態(tài)數(shù)據(jù)場(chǎng)景：FortiFS基于文件的靜態(tài)數(shù)據(jù)加密和FortiFDE（軟件）全磁盤加密（包括授權(quán)和身份驗(yàn)證）。

FortiFS 和 FortiFDE 不打算一起使用以提供 CSfC 保護(hù)層;但是，來(lái)自同一供應(yīng)商的類似解決方案一起使用有一些先例（Curtiss-Wright 開發(fā)和認(rèn)證的解決方案就是這種情況）。這些解決方案旨在為程序提供不同的基于 Linux 的選項(xiàng)，以滿足其靜態(tài) CSfC 數(shù)據(jù)要求

審核編輯：郭婷