当前位置: 首页 > 新闻 > 业界动态
美国联邦信息处理标准(FIPS)的发展历程
时间:2014-08-20 09:09:30
文章发布:李阳
原创作者:未知
来源:中国电子技术标准化研究院

作为美国联邦政府非国家安全系统信息安全领域主导标准的FIPS标准序列产生于1968年。它的产生与1965年美国颁布的一个法律——布鲁克斯法案直接相关。1965年美国颁布的公共法89-306(布鲁克斯法案)启动了美国NBS在安全领域标准的标准制定活动。布鲁克斯法案是关于自动数据处理设备的法案,旨在“为联邦部门和机构提供自动数据处理设备的商业性的和有效的采购、租赁、维护、运行和使用”。该法案强调通过强制执行NBS制定的标准“改善联邦计算机系统的运行效率或安全和隐私”。允许各联邦机构使用比此类标准更严格的标准来保护机构计算机系统中的敏感信息。该法案责成商务部研究提出支持制定相应标准和协助联邦机构实施这些标准的纲要。

为履行布鲁克斯法案赋予的责任,美国商务部为自动数据处理设备领域建立了专门的标准序列,即,联邦信息处理标准(FIPS),FIPS标准被纳入美国联邦标准序列。FIPS的定位是“美国联邦计算机系统标准和指南方面的官方出版物,适用于各联邦机构”。

美国联邦信息处理标准(FIPS)的发展历程-艺源视网

1968年,商务部发布0号联邦信息处理标准FIPS 0-1968《FIPS标准名录概述》,宣布FIPS序列标准正式进入美国联邦标准名录。

1969年,NBS制定出第一个FIPS标准:FIPS 1-1969《信息交换用代码》,即众所周知的ASCII码。同年,NBS建立计算机科学和技术中心(ITL的前身),具体负责NBS的FIPS标准制定工作。

1965年的布鲁克斯法案提及了自动数据处理系统的安全和隐私问题,但还不突出。这恐怕与当时的威胁形势不严峻有关。因此,从1969年到1973年没有制定发布任何安全领域的FIPS标准。

随着技术、应用和威胁的迅速发展,安全问题很快突显出来。为应对安全问题,安全标准的制定活动随之展开。在安全风险评估的基础上, NBS于1973年提出计算机和通信安全大纲,作为指导美国联邦政府计算机和通信安全标准和指南制定的纲领性文件。随后,1974年制定发布第一个有关安全的FIPS标准:FIPS 31-1974《自动数据处理物理安全和风险管理指南》。此后安全领域的FIPS标准逐渐增多,这些标准制定活动中,数据加密顺理成章地成为所关注的中心主题。

从1988年到2001年,FIPS标准的主要对象范围从自动数据处理设备缩小到(或者说集中于)计算机系统中敏感信息安全。这个阶段共制定了12个安全领域的FIPS标准。这些FIPS标准主要是在第一阶段比较关注的数据加密的基础上进一步扩展。12个FIPS标准中,除了一个标准,FIPS 191-1994《局域网安全分析指南规范》外,其余11个都是数据加密领域的。

自2003年到现在,围绕联邦信息安全管理,特别是 “政府信息安全改革法”和FISMA,NIST制定了大量联邦信息处理标准(FIPS)和800系列特别出版物(SP800)。不过,其中的FIPS不多,截止目前,现行FIPS标准只有17个。

因为FIPS是联邦标准,作为美国联邦政府的一个部门,美国国防部,一直将FIPS标准作为军用标准组成部分纳入其标准序列,并且规定,凡有可用的FIPS标准,直接采用,不再制定。

大量信息安全标准化成果以特别出版物形式发布,即SP 800。如前所述,FIPS相对比较稳定,它们主要规定总体的或高层次的要求。此类要求不可能太多,变化也不会太快,因此,FIPS数量比较少。而特别出版物主要针对为满足执行FIPS所需的技术、管理和操作等各领域的标准化要求,因此其标准化成果的数量比较多;此外,SP 800出版物相对变化比较快,则是为了适应现实信息安全环境的多变和快变性。

NIST SP 800系列标准早是NIST发表的特别出版物(SP)系列,其前身称为“杂项出版物”(Miscellaneous Publications,简称MP)。1918年NBS开始发表其杂项出版物,代号是“NBS MP”。NBS对杂项出版物(MP)的定义是:杂项出版物包含的材料是那些因为其特性或篇幅(太大)不适于纳入其他法规系列出版物的材料。1968年,NBS杂项系列出版物更名为特别出版物(SP)。计算机和通信技术领域(后扩大为“信息技术领域”)的NBS SP是500系列。1988年国家标准局(NBS)更名为国家标准与技术研究院(NIST)。NIST将安全部分从500系列出版物中剥离出来,确定为800系列特别出版物,即NIST SP800系列。

1988年以后,伴随信息技术及其应用的迅速发展,招致安全问题的威胁的多样性和严重性已经日益显现,各种安全问题已经摆在标准化组织面前。鉴于FIPS标准往往要求严格执行,因此,美国联邦政府没有在不太成熟的情况下贸然发布FIPS标准。为适应信息技术应用的迅速扩展而产生的对信息安全的需求,NIST制定了大量特殊出版物。

第一份800系列特殊出版物NIST SP800-1《1980年代的计算机安全》发表于1990年。自此,NIST开始发表800系列特别出版物,这是专门设置的安全领域的NIST特别出版物。这个阶段的NIST特别出版物的内容很丰富。除了配合FIPS标准关注的加密领域外,这些特别出版物的内容遍及当时几乎所有支持热点信息技术应用的信息安全领域,产生了大量指南、技术和方法,以及用以支持信息安全意识培养和信息安全知识教育的知识手册。

目前,NIST的SP800系列特别出版物的数量已经相当大,至今还在不断发表新的出版物,对已经发表的SP800出版物也在继续补充和修改(改版),共发表SP800出版物130余项。这些SP800系列出版物成为构成美国联邦信息安全管理“标准体系”的主力军。

标签: 计算机系统 信息安全
*版权申明:本站部分文章由艺源科技收集整理,不代表我们的观点。如果这篇转载侵犯您的版权,请及时联系我们删除!
为您推荐
最新文章