精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

我們被告知我們公司的WebOMNI系統（運行Windows 2008 IIS 7.0的負載均衡Web服務器）需要符合FIPS 140-2標準，因為其中包含一些CJIS數據。我們已經在該服務器中啟用FIPS模式，并且該服務器使用Comodo RSA證書來加密流量。那么，我們如何確認哪些FIPS證書可覆蓋我們的配置？如今已確定是證書1008（bcrypt.dll）或者1010（RSAENH），如何對其進行判斷？

Michael Cobb：刑事司法信息服務（CJIS）是美國聯邦調查局最大的部門，其數據庫為美國各地的機構提供刑事司法信息資料庫，這些信息包括生物特征、身份歷史、財產和病例/事故歷史數據，這些信息需得到最好的保護。為此，CJIS安全政策建立了最低安全要求和控制來保護刑事司法信息，涵蓋無線網絡、遠程訪問、數據加密和身份驗證等領域。CJIS安全政策中的要求和控制嚴格響應NIST 800-53《為聯邦信息系統和組織而推薦的隱私與安全控制》的要求，這也是聯邦風險和授權管理計劃的基礎。

政府機構必須確保其系統和第三方系統（如用于傳輸、存儲或處理刑事司法信息的云服務）符合CJIS安全政策。該安全政策的第5.10.1.2章節對靜態或傳輸中的數據制定了嚴格且具體的聯邦信息處理標準（FIPS）140-2加密標準：“當使用加密時，所使用的加密模塊應符合FIPS 140-2標準。”

Windows操作系統有各種加密模塊，并封裝不同的加密算法，通過API調用可訪問。我認為你們公司的服務器在運行Windows Server 2008 R2，而Windows Server 2008的支持已經過期。

微軟的Cryptographic Primitives Library是基于軟件的加密服務提供程序（BCRYPT.dll），已經通過FIPS 140-2認證，其增強加密提供程序（RSAENH.dll）也是同樣，這些算法可通過Microsoft CryptoAPI訪問。用戶模式應用直接與BCRYPT連接，這是該使用的模塊。

在Windows中啟用FIPS模式會讓其及其子系統僅使用符合FIPS的加密算法進行加密、散列和簽名。例如，它不允許使用SSL 2.0以及3.0，因為它們不符合FIPS標準。然而，只是啟用FIPS模式并不能確保系統符合CJIS安全政策。該操作系統或者驗證加密模塊并沒有強制執行FIPS模式，這意味著沒有檢查FIPS模式相關注冊表設置，且不依賴于任何Windows子系統的應用仍將繼續正常運行，正如在FIPS模式禁用的系統一樣，可能會使用不合規的加密算法。因此，最好運行使用經過認證加密模塊的應用，同時，軟件開發人員必須確保其應用會檢查FIPS模式標志注冊表設置并強制使用適當的算法。