/ 中存储网

希捷自加密硬盘(SED)和FIPS 140-2认证相关问题解答

2014-05-19 23:58:43 来源:中存储网
为什么需要加密?
 
硬盘会不断报废(质保退货、维修和租约到期、或重新用于其他存储任务或出售)、丢失或失窃。当未受保护的数据脱离了所有者的控制并遭到篡改,公司将会面临失去营收、市场份额和客户信任的风险。他们可能因违反数据隐私法规而受到民事处罚。这对任何组织都是灾难性的,尤其是中小型企业(SMB)。
 
希捷估计,每天有50,000台硬盘离开数据中心,其中包含着以TB计的数据。IBM预计,百分之九十的质保退货的硬盘中都包含可读数据。根据业内专业机构的研究,例如Ponemon
Institute,每次数据外泄造成的平均损失正在逐年上升,2008年平均为660万美元,或每条泄露的记录为202美元。PonemonInstitute进一步估计,81%的笔记本电脑包含敏
感数据,而在使用周期内的所有笔记本电脑中,多达10%的电脑会丢失或被盗。另据估计,仅在美国机场,每周就有12,000台笔记本电脑丢失或被盗。当笔记本中含有敏感但未加密的数据丢失时,企业将平均损失将近50,000美元。在极端案例中,损失可能接近一百万美元。
 
希捷获得了哪个等级的FIPS140-2认证?
 
希捷自加密硬盘(SED)存储设备通过了FIPS140-22级认证。
 
FIPS 140-2 有哪些不同的等级?
 
FIPS 140-2 定义了 4 个安全等级。FIPS 140-2 验证将指定产品要遵守的安全等级。
• 等级 1,通常用于仅软件加密产品,安全要求非常有限。所有组件必须达到制造等级,不能存在任何极其严重的不安全因素。
• 等级 2 要求基于角色的认证。(不要求个人用户认证。)它还要求具有通过使用物理锁定或防篡改签章识别物理篡改的能力。
• 等级 3 添加了物理篡改预防措施,防止拆卸或修改,让非法侵入的难度更大。如果检测到篡改,设备必须能够擦除关键安全参数。等级 3 还包括强大的加密保护和密钥管理、身份验证、接口间的物理或逻辑分隔(通过该接口来输入和移走关键安全参数)。
• 等级 4 包含高级篡改保护,专为在未受物理保护的环境中运行的产品而设计。
 
为什么希捷获得了 FIPS 140-2 2 级认证?
 
各种组织越来越需要对静态数据进行加密,以防丢失或失窃。FIPS 140-2 2 级认证被视为安全和质量的标志,能够向所有购买者证明,希捷 FIPS 自加密硬盘达到美国联邦政府对安全性产品的要求。
 
我如何分辨我的希捷存储设备是否符合 FIPS-2?
 
每个符合 FIPS 140-2 的设备利用物理安全机制来检测设备篡改问题。 要分辨您的存储设备是否符合 FIPS-2,请查找位于
外部的防篡改签章。
 
我如何设置希捷 FIPS 自加密硬盘以确保符合 FIPS-2?
 
要设置 FIPS 140-2 合规设备,请访问位于 http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm 的 NIST 模块验证列表网站以查看您设备的安全策略。 在 
Security Policy(安全策略)文档的 Secure Initialization(安全初始化)章节下,列出了关于初始化您的设备的详细步骤。
 
哪些类型的产品与 FIPS 140-2 有关?
 
FIPS 140-2 适用于任何可能存储或传送敏感数据的产品。这包含硬件产品,例如链接加密器、硬盘、闪存盘或其他可移除的存储介质。同时还包括传输或保存期间对数据进行加密的软
件产品。
 
我真的需要这么多安全性吗?操作系统密码难道还不够吗?
 
通过将硬盘移出并将其安装到其他计算机上,可以轻松绕过操作系统的安全性,例如密码。如果不同时采取诸如希捷自加密硬盘的措施,即使是 BIOS ATA 硬盘密码都可能被破解。对硬
盘或存储介质上的数据进行加密,是保护数据的可靠方法。
 
哪些组织或企业需要符合 FIPS 140-2 要求?
 
在美国,NIST 要求所有联邦机构使用 FIPS 140-2 2 级验证产品,以确保计算机或电信系统(包含语音系统)内敏感但非保密 (SBU) 数据的安全。在加拿大,通信安全部 (CSE) 要求联
邦机构使用经过 FIPS 140-2 2 级认证的加密模块,以确保计算机或电信系统(包含语音系统)内受保护信息(A 或 B)数据的安全。如要希望加密产品能够列入加拿大政府的 ITS 预获资格产品名录,FIPS 140 认证是一项必需的前提条件。在英国,英国通讯电子安全组织推荐使用通过 FIPS 140 认证的加密模块。
 
在世界范围内,与需要 FIPS 140-2 加密合规性的美国、加拿大或英联邦政府组织签订合同的民营公司,也被要求遵守该认证要求。另外,全世界范围内的商业公司 - 尤其是金融、医
疗、教育和基础设施(国家安全)行业的各级公司 - 越来越需要具备 FIPS 140-2 合规性。这些公司希望遵循数据保护的最高标准。他们认识到了通过 FIPS-140 认证的艰难,发现它是
较好的安全标准,并且选择依赖此标准来满足其自身的加密需要。
 
获得 FIPS 140-2 认证需要哪些条件?
 
要通过 FIPS 140-2 验证,产品必须遵守规定的设计和实施要求,并由 NIST 授权的 13 个独立实验室中的一家进行测试和批准。
 
目前采用哪个 FIPS 140 标准?
 
编号为 140 的 FIPS 出版物是一系列安全标准的集合,其中规定了对加密模块的具体要求。FIPS 140-1 颁布于 1994 年,但已经被 FIPS 140-2 取代,FIPS 140-2 颁布于 2001 年,为现行标准。FIPS 140-3 是该标准的新版本,从 2005 年起开始制定。在 2009 年 12 月发布了一份草案,但是该草案尚未发布来进行产品验证。