什么是联邦信息处理标准 (FIPS)？

联邦信息处理标准 (FIPS) 对于联邦机构和承包商确保敏感信息（例如机密数据、个人身份信息和财务数据）的安全至关重要。

本文将介绍一些最常见的 FIPS 安全标准、它们的重要性以及联邦机构和承包商如何使用它们。我们还将讨论 FIPS 安全标准的最新更新，例如 FIPS 140-3 和 FIPS 186-5，以及它们如何影响联邦信息安全。

什么是联邦信息处理标准？

联邦信息处理标准 由美国国家标准与技术研究所 (NIST) 创建、维护和修订，以保护存储在联邦 IT 系统中的数据的机密性、完整性和可用性（CIA 三要素）。

FIPS 安全标准将涵盖许多主题，包括加密、身份和访问管理、风险管理和信息安全管理。

它们通常提供对可接受技术、实践和分类的更详细理解，以支持 NIST 特别出版物中更广泛的法规和要求。

FIPS 标准是联邦政府系统中强制使用的。它们通常被州和地方政府以及与政府合作的私营部门组织用作指导方针。许多政府合同和拨款以及一些行业认证都要求遵守 FIPS 标准。

一些常见的 FIPS 标准有哪些？

有数十份 FIPS 文档涵盖从影响级别分类到加密标准和其他最佳实践的主题。

影响网络安全的一些更为广泛的 FIPS 文件包括：

FIPS 140-3

FIPS 140-3 是加密模块规范的最新版本，用于保护美国政府及其承包商的敏感信息。

FIPS 140-3 取代了之前的标准（FIPS 140-2) 并包括对加密模块的更新要求。FIPS 140-3 中的一些关键变化包括：

算法要求： FIPS 140-3 引入了几种新的加密算法，并扩展了加密和散列算法的密钥长度要求。

测试和验证： FIPS 140-3 包括操作前自检 (POST) 要求，以解决混合软件和硬件加密模块。

安全政策：FIPS 140-3 要求所有加密模块都具有正式的安全策略，该策略指定模块的安全功能、特性和服务。此外，第 4 级要求包括新的多因素身份验证 (MFA) 期望。

安全要求： FIPS 140-3 包含加密模块必须满足的其他安全要求。例如，模块必须具有检测和防止未经授权的访问、篡改或操纵的机制。

实施指南： FIPS 140-3 提供了有关实施标准要求的更详细指南。该指南包括如何实施特定加密功能和执行某些测试类型的示例。

FIPS 186-4

第 186 章 是一项联邦信息处理标准，规定了联邦机构用于验证电子文档和交易的数字签名算法。

FIPS 186-4 定义了三种数字签名算法：

数字签名算法（DSA）

椭圆曲线数字签名算法（ECDSA）

Rivest-Shamir-Adleman (RSA) 加密

FIPS 186 规定了每种算法的技术要求，包括密钥大小、生成密钥和签名的方法以及签名和验证过程中使用的安全参数。该标准还包括对密钥随机性和生成安全哈希值的要求。

FIPS 186 的最新修订版本（FIPS 186-5) 于 2023 年 186 月发布，将取代 4-186。此新修订版更新了其前身的一些要求。最值得注意的是，它删除了 DSA 作为合适解决方案的版本，但那些在 5 年 2024 月全面实施 FIPS XNUMX-XNUMX 之前使用它的组织除外。它还将 Edwards-Curve 数字签名算法 (EDDSA) 添加到可接受算法列表中。

第 199 章

第 199 章 是美国国家标准与技术研究院 (NIST) 制定的标准。它提供了根据信息和信息系统对组织运营、资产或个人的潜在影响对其进行分类的指南。

FIPS 199 旨在帮助组织确定其信息安全要求并确定其优先级。它通过定义三类潜在影响来实现这一点，每类影响都需要不同级别的安全控制：

影响低： 此类信息一旦遭到泄露，对组织运营、资产或利益相关者的影响将十分有限。

中等影响： 这些信息一旦遭到泄露，可能会对组织运营、资产或利益相关者造成严重影响。

重大影响：这些信息一旦遭到泄露，可能会对组织运营、资产或利益相关者造成严重或灾难性的影响。

组织可以使用 FIPS 199 根据信息系统的分类确定适当的安全控制。例如，影响较小的系统可能只需要基本的安全控制，如访问控制和备份程序。相反，影响较大的系统可能需要更严格的规则，如加密和入侵检测。

FIPS 199 通常与其他安全标准一起使用，例如联邦风险和授权管理计划 (FedRAMP) 和风险管理框架 (RMF)，以帮助确保联邦信息系统得到适当的保护。

第 200 章

第 200 章 借鉴 NIST 800-53 基线和 FIPS 199 来定义组织遵守联邦信息安全管理法案 (FISMA) 要求的最低要求。

第 201 章

本标准 制定联邦雇员和承包商使用个人身份验证 (PIV) 卡访问安全设施和信息系统的要求。它规定了此类卡的技术和操作要求，包括用于身份验证的生物识别和加密技术。

第 202 章

第 202 章 是一项联邦信息处理标准，它指定了安全散列算法 (SHA-3) 系列加密散列函数。 SHA-3 验证数字签名和证书等数据的真实性和完整性，旨在比早期版本的 SHA 提供更好的抵抗攻击的性能。

FIPS 202 被美国政府及其承包商用来保护敏感信息并确保数字数据的真实性和完整性。它还被其他需要强大加密安全性的组织和行业使用，例如金融和医疗保健行业。

使用 Continuum GRC 全面了解 FIPS 合规性

连续 GRC 是一个云平台，可以执行常规和必要的任务，例如定期进行漏洞扫描和报告 联邦RAMP 并使其成为公共部门业务中简单且及时的一部分。我们为市场上每一项主要法规和合规框架提供风险管理和合规支持，包括：

联邦RAMP

StateRAMP

NIST 800-53

美国联邦通讯委员会 NIST 800-171

中国移动通信集团

SOC 1、SOC 2

HIPAA

数据安全标准 4.0

国税局1075

加拿大福利管理委员会

ISO 27000 系列

ISO 9000 系列

还有更多。我们是全球唯一获得 FedRAMP 和 StateRAMP 授权的合规和风险管理解决方案。

Continuum GRC 是一种主动网络安全®，也是唯一一个 FedRAMP 和 StateRAMP 全球授权的网络安全审计平台。致电 1-888-896-6207 讨论贵组织的网络安全需求，并了解我们如何帮助您的组织保护其系统并确保合规性。

公司简介 *姓名 *(名字)(姓氏)联系信箱 *联系信箱确认电子邮件联系手机 *我们该如何帮助你？ *您想要托管服务还是准备服务？ *风险管理服务合规管理服务准备服务和技术写作有些什么没有列出？您对哪种类型的订阅感兴趣？ *MSP（管理多个客户的提供商）企业（管理你的公司）DIY（有限访问预配置模块）有些什么没有列出？您想成为集成合作伙伴吗？是没有你有什么问题？ *您偏好哪种托管方式？ *AWS 托管（商业）FedRAMP 授权 AWS GovCloud 托管（联邦和州政府）您对哪些审计、监管和风险订阅模块感兴趣？ *StateRAMP联邦RAMPSOC 1 和 SOC 2CMMC、NIST 800-171 和 800-172NIST 800-53，SCA-VPCI DSS QSA 和 SAQISO健康保险隐私及责任法 NIST 800-66工业标准IRS 1075 和 4812二甲基甲酰胺NVLAP NIAP 通用标准美国国家标准技术研究所脑脊液欧盟CSENSC5隐私、CCPA、CPRA、GDPR、PIPEDA、DPIAFTC 保障措施FDA 21 CFR 第 11 部分 GxP欧洲能源委员会 CIPCBFP。FFIEC、SEC、NFA 和 FINRACIS加拿大福利管理委员会MPA 内容安全最佳实践 (TPN)NIST RMF。800-30、800-37、第三方风险有些什么没有列出？您对哪些治理与政策订阅模块感兴趣？ *StateRAMP联邦RAMPSOC 1 和 SOC 2CMMC 或 NIST 800-171欧洲共同体、C5、ENSPCIISOHIPAA隐私、CCPA、CPRA、GDPR、PIPEDA、DPIA工业标准NIST 800-53欧洲能源委员会 CIPSEC、NFA 和 FINRA有些什么没有列出？

下载我们的公司宣传册。我同意接收额外的营销信息。提交