我正在制作一个需要符合 FIPS 140-2 1 级标准(未经认证)的应用程序。
我想知道我们为应用服务器/加密模块选择的主机是否有任何特殊要求。
标准云托管可以吗?在标准设施内托管可以吗?如果服务器被关在标准设施内怎么办?
有专门的云托管吗?有专门的主机托管吗?
我们可以在自己的大楼里接待客人吗?
如果有人能给我提供指导,我将不胜感激。
答案1
字面上地直接来自FIPS 140-2:
安全级别1提供最低级别的安全性。为加密模块指定了基本安全要求(例如,应使用至少一种认可的算法或认可的安全功能)。除了生产级组件的基本要求外,安全级别 1 加密模块不需要任何特定的物理安全机制. 安全级别 1 加密模块的一个例子是个人计算机 (PC) 加密板。
安全级别 1 允许加密模块的软件和固件组件使用未评估的操作系统在通用计算系统上执行. 当其他控制措施(如物理安全、网络安全和管理程序)有限或不存在时,此类实施可能适用于某些低级安全应用程序。加密软件的实施可能比相应的基于硬件的机制更具成本效益,使组织能够从备选加密解决方案中进行选择,以满足较低级别的安全要求。
(强调添加)