美國退伍軍人事務部(VA)已于周四提交了一份文件,披露了其正在尋找一款軟件,以便掃描暗網(wǎng)上泄露的相關(guān)信息。感興趣的承包商將給出描述其技術(shù)能力的提案,但篇幅不得超過20頁。美國政府對七個方面的軟件特別感興趣:“該軟件應能夠搜索暗網(wǎng)上泄露、在VA掌控之外的數(shù)據(jù)”。普通Web掃描軟件能夠在任何服務器上發(fā)起搜索而沒有特殊要求,而掃描暗網(wǎng)的軟件則需要能夠在I2P等協(xié)議下工作。
此外,暗網(wǎng)數(shù)據(jù)轉(zhuǎn)儲門戶和論壇會經(jīng)常變更網(wǎng)址,因而軟件必須能夠自行發(fā)現(xiàn)新的鏈接或動態(tài)網(wǎng)址掃描:
該軟件應能采集VA數(shù)據(jù)、創(chuàng)建一個單向加密散列或模式匹配,確保供應商與任何方面沒有其它關(guān)聯(lián),除此實例外不得探查或使用數(shù)據(jù)。
顯然,VA不希望給第三方承包商以這類數(shù)據(jù)的訪問權(quán),而是僅僅用哈希值來鑒別泄露的文件:
該軟件理應能夠借助VA的加密數(shù)據(jù)哈希值或模式來匹配暗網(wǎng)搜索結(jié)果,然而向VA匯報發(fā)現(xiàn)了什么。
VA希望有一個好用的“儀表板”,可允許任何雇員使用該軟件,而無需任何查看數(shù)據(jù)日志的技術(shù)知識:
該軟件應能夠通過其它任意來源,區(qū)分暗網(wǎng)上的VA源數(shù)據(jù);
該軟件必須能夠分辨一名被其它來源泄露的前軍人的個人資料,比如OPM:
該軟件應能與VA網(wǎng)絡(luò)和現(xiàn)有軟件平臺整合;
VA并未尋求一臺可以運行軟件的特殊服務器,額外需求會帶來額外的開支,美國政府希望將這部分節(jié)省下來:
該軟件應當符合所有VA信息技術(shù)安全策略,其已在VA Handbook 6500中特別說明,尤其是(a.)該軟件不得將任何個人身份信息(PII)或受保護的健康信息(PHI)置于泄露的風險中;(b.)軟件在處理此類信息時,數(shù)據(jù)需以FIPS 140-2兼容的方法加密;(c.)該軟件不得將VA網(wǎng)絡(luò)暴露在任何類型的惡意軟件或網(wǎng)絡(luò)攻擊面前。
該軟件需有自己的安全措施來應對外部網(wǎng)絡(luò)攻擊,且不被利用來訪問現(xiàn)有的VA系統(tǒng),政府方面并不是要在一夜之間將所有東西都放在一起:
包含了商業(yè)委托協(xié)議。(合同中包含了各種強制性的法律術(shù)語)
京公網(wǎng)安備 11010502049343號