國家安全局/中央安全局 （NSA/CSS） 創(chuàng)建了機(jī)密商業(yè)解決方案 （CSfC） 計劃，以便在分層解決方案中使用商業(yè)數(shù)據(jù)保護(hù)來保護(hù)機(jī)密國家安全系統(tǒng) （NSS） 數(shù)據(jù)。借助 CSfC，系統(tǒng)設(shè)計人員現(xiàn)在可以在幾個月內(nèi)部署具有加密數(shù)據(jù)保護(hù)的商用現(xiàn)貨 （COTS） 解決方案，而成本僅為其中的一小部分，而獲得更敏感的 Type 1 產(chǎn)品認(rèn)證通常需要數(shù)年和數(shù)百萬美元。類型 1 產(chǎn)品經(jīng) NSA 認(rèn)證，以加密方式保護(hù)美國政府機(jī)密信息，使用經(jīng)批準(zhǔn)的 NSA 算法。這些產(chǎn)品通常由NSA通過嚴(yán)格且通常非常漫長的過程進(jìn)行設(shè)計和認(rèn)證。

國家安全局/中央安全局 （NSA/CSS） 創(chuàng)建了機(jī)密商業(yè)解決方案 （CSfC） 計劃，以便在分層解決方案中使用商業(yè)數(shù)據(jù)保護(hù)來保護(hù)機(jī)密國家安全系統(tǒng) （NSS） 數(shù)據(jù)。借助 CSfC，系統(tǒng)設(shè)計人員現(xiàn)在可以在幾個月內(nèi)部署具有加密數(shù)據(jù)保護(hù)的商用現(xiàn)貨 （COTS） 解決方案，而成本僅為其中的一小部分，而獲得更敏感的 Type 1 產(chǎn)品認(rèn)證通常需要數(shù)年和數(shù)百萬美元。類型 1 產(chǎn)品經(jīng) NSA 認(rèn)證，以加密方式保護(hù)美國政府機(jī)密信息，使用經(jīng)批準(zhǔn)的 NSA 算法。這些產(chǎn)品通常由NSA通過嚴(yán)格且通常非常漫長的過程進(jìn)行設(shè)計和認(rèn)證。

作為替代方案，CSfC 定義了一種使用兩層商業(yè)加密技術(shù)保護(hù)關(guān)鍵數(shù)據(jù)的方法。在許多情況下，考慮類型 1 方法的系統(tǒng)集成商可能會驚喜地發(fā)現(xiàn)，他們的應(yīng)用程序可以使用速度更快、成本更低的兩層 COTS 方法。

系統(tǒng)設(shè)計人員：CSfC 入門

任何 COTS 產(chǎn)品供應(yīng)商都可以開發(fā)用于 CSfC 解決方案的產(chǎn)品。為了獲得 NSA 批準(zhǔn)并將其列入 CSfC 組件列表，基于 COTS 的加密組件必須經(jīng)過國家信息保障伙伴關(guān)系 （NIAP） 的通用標(biāo)準(zhǔn) （CC） 評估。一旦CC流程正式開始，COTS供應(yīng)商必須與NSA建立協(xié)議備忘錄（MOA）。

什么是 NIAP？

NIAP由NSA和美國國家科學(xué)技術(shù)研究所（NIST）創(chuàng)建，旨在評估提議包含在CSfC解決方案中的商業(yè)解決方案。NIAP 通過在認(rèn)證實驗室中根據(jù)嚴(yán)格的安全配置文件測試產(chǎn)品，確保商業(yè)產(chǎn)品符合 NSA 安全標(biāo)準(zhǔn)。它監(jiān)督美國對用于國家安全系統(tǒng)的商業(yè)IT產(chǎn)品的共同標(biāo)準(zhǔn)驗證的實施。

什么是通用準(zhǔn)則？

通用準(zhǔn)則 （ISO-15408） 是美國和全球 27 個國家/地區(qū)政府要求的一套技術(shù)要求苛刻的國際安全認(rèn)證指南。通用準(zhǔn)則認(rèn)證可確保技術(shù)產(chǎn)品的規(guī)范、實施和評估過程以嚴(yán)格、標(biāo)準(zhǔn)和可重復(fù)的方式進(jìn)行。NIAP與NIST合作，批準(zhǔn)通用標(biāo)準(zhǔn)測試實驗室在美國各地的私營部門運營中進(jìn)行安全評估。實驗室成功完成通用準(zhǔn)則評估后，NIAP將驗證測試結(jié)果并發(fā)布通用準(zhǔn)則認(rèn)證。NSA CSfC審查和批準(zhǔn)是下一步。然后，可以將批準(zhǔn)的產(chǎn)品添加到NSA的CSfC組件列表中，并由集成商在分層CSfC解決方案中提出。從 CSfC 組件列表中選擇預(yù)先批準(zhǔn)的器件，使系統(tǒng)架構(gòu)師能夠快速設(shè)計 COTS 加密解決方案并開始系統(tǒng)開發(fā)，從而節(jié)省大量開發(fā)成本和時間，同時大大降低項目風(fēng)險。

什么是 CSfC 組件列表？

此列表使系統(tǒng)集成商能夠識別正在評估的產(chǎn)品或已是可用于數(shù)據(jù)保護(hù)解決方案的認(rèn)證產(chǎn)品。系統(tǒng)集成商必須向 NSA 申請，從組件列表和應(yīng)用詳細(xì)信息中識別擬議的產(chǎn)品。這種方法使系統(tǒng)集成商能夠開始評估其數(shù)據(jù)安全架構(gòu)，并大大降低項目風(fēng)險和進(jìn)度。NSA 發(fā)布了功能包 （CP），為不同的應(yīng)用程序（如靜態(tài)數(shù)據(jù)）提供解決方案指導(dǎo)。

用于 CSfC 靜態(tài)數(shù)據(jù)保護(hù)的 COTS 解決方案

例如，Curtiss-Wright Defense Solutions最近開始了其數(shù)據(jù)傳輸系統(tǒng)（DTS1）網(wǎng)絡(luò)連接存儲（NAS）存儲設(shè)備的通用標(biāo)準(zhǔn)認(rèn)證流程。小型數(shù)據(jù)記錄儀使用兩層商用CNSA（以前稱為Suite B）加密算法。它還使用 NSA 的靜態(tài)數(shù)據(jù)功能包作為設(shè)計模板，并基于硬件和軟件全磁盤加密 （HS） 解決方案方法。

得益于CSfC，使用軟件和硬件加密層的COTS產(chǎn)品將能夠簡化和加快系統(tǒng)設(shè)計人員使用NSA批準(zhǔn)的具有成本效益的Type 1加密替代方案來保護(hù)絕密數(shù)據(jù)的能力。這一進(jìn)展將使更多關(guān)鍵數(shù)據(jù)更快地得到保護(hù)。

審核編輯：郭婷