鉴于信息技术利用高移动计算设备和可移动存储媒体的趋势,保护静态数据(DAR)已经变得越来越重要。国防部不仅担心个人可识别信息(PII)的损失,而且担心移动设备上包含的所有非机密数据。存储在笔记本电脑、拇指驱动器和掌上电脑等设备上的个人身份信息或敏感的政府信息,有些并未列入保密行列。一旦这些设备受到威胁,可能会带来严重的问题。早在2007年7月3日,国防部发布了主题为“移动计算设备和可移动存储介质上静态敏感非机密数据”加密军事部门秘书备忘录,不仅要求对PII记录进行加密,而且还要求对移动计算设备和可移动存储媒体上包含的所有非公开发布的非机密信息进行加密。当下,研究该备忘录不仅使我们关注动态个人可识别信息保护问题,而且关注移动计算设备和可移动存储介质上静态敏感非机密数据保护问题,并加深对“重要数据”加密保护问题的进一步理解。
一、明确静态敏感非机密数据定义
1、静态数据:指计算机存储器中的所有数据(如硬盘、光盘、软盘、拇指驱动器、掌上电脑、手机、其他可移动存储介质等)。正在传播于网络上的数据(传输中的数据)或暂时停留在计算机内存中要读取或更新的数据(正在使用的数据)不属于静态数据的范畴。
2、笔记本电脑:也称为笔记本电脑,是一种小型移动个人电脑,重量轻,携带舒适。笔记本电脑可以用电池供电,通常有一个薄的液晶显示屏(LCD)。有些型号可以与插接站(手提电脑的连接装置)对接进行配合,作为桌面系统运行的指令。
3、个人数字助理(PDAs):也称为掌上电脑。手持计算机和袖珍计算机,是提供计算和数据存储能力的任何小型手持设备。掌上电脑的例子包括但不限于黑莓、Treos、掌上电脑和智能手机。
4、可移动存储介质:指墨盒式存储媒体设备和便于移动、便携数据的磁盘式存储媒体设备。可移动存储介质的例子包括但不限于软盘、光盘。u盘、外置硬盘和其他包含非易失性存储器的闪存卡/驱动器。
5、可信平台模块(TPM):可信平台模块是一个存储密钥、密码和数字证书的微型控制器。它通常固定在电脑的主板上。它可以潜在地用于任何需要这些功能的计算设备。这种硬件芯片的特性,确保了存储的信息更加安全,不会受到外部软件攻击和物理盗窃。可信平台模块标准由可信计算集团联盟制定。
6、敏感非机密信息:未分类但禁止公开披露的信息。
二、提出美国国防部总体规范政策
1、在国防部的内部信息中,所有未曾公开发布并存储在个人笔记本电脑和个人数字助理等移动计算设备或拇指驱动器和光盘等可移动存储介质上的未分类静态数据,都应被视为敏感数据,并使用加密技术进行加密。所使用的加密技术至少应符合美国国家标准,以及符合技术研究所(NIST)联邦信息处理标准140-2 (FIPS 140-2)。另外还要建立一种机制确保主加密系统在出现故障的情况下,能够恢复加密数据或者实现监管其他功能。已经批准公开发布的国防部信息就不需要再加密了。
2、对于高级官员(例如,海军军官和高级管理人员)和其他经常出差的个人使用的移动计算设备上的国防部信息进行加密应该优先满足参考(c)的要求。特别是在美国大陆以外的地区,在这些地区,设备更有可能丢失、被盗或者被利用,而且一旦丢失的后果会更严重。
3、除了参考(a)至(c)中规定的所有计算设备的管理和访问控制之外,还要求加密移动计算设备和可移动存储介质上的静态敏感非机密数据。
4、考虑到新兴的加密产品性能各异,以及对设备认证的要求各异,国防部各部门应确保为国防部企业而采购的所有计算机产品(如服务器、台式机、笔记本电脑和平板电脑)满足受信任的平台模块(TPM)1.2版或更高版本(如果技术达到更到版本)。如果购买了没有受信任的平台模块的产品,必须向负责审批的机构提供书面理由。
5、美国国防部各部门应通过美国国防部企业软件项目(ESI)购买静态数据加密产品。美国国防部企业软件项目建立了国防部全部范围内的企业软件购买协议和一揽子购买协议,大大降低了购买常用软件的成本。
三、适用一揽子采购协议集中采购设备和软件
一揽子采购协议(BPA)是由美国政府出面向公布的静态数据(DAR)加密获奖名单中的公司合作并采购其设备和软件,以保护政府使用的笔记本电脑、其他移动计算设备和可移动存储介质设备上的敏感、非机密数据。
该项目对联邦、州和地方各级政府至关重要。通过联合采购设备和软件不仅节约了购买成本、增强了静态数据信息安全,还要求供应商满足严格的技术和信息保证要求。同时也体现了美国政府对美国公民负责,保护公民的隐私和敏感信息,进而改善政府内部的服务。
此外国防部全球安全管理局的团队解决了一个主要的数据加密问题,即允许各个州和地方政府共享解决问题的方案,同时在各个层面节省大量纳税人的财产。该项目作为一个里程碑,有助于取得公众的信任,并且还会在政府范围内持续提高的信息技术系统的安全性。
四、设立跨部门静态探索队(DARTT)服务静态数据安全要求
在行政管理和预算局(OMS)发布备忘录两个月后,美国国防部静态数据探索队以解决技术开发的需要(试图闯入电脑系统以检测其安全性)。截止到新闻的发布,美国国防部静态数据探索队已经发展成为了一个20,0 00名成员、18个联邦机构和北约组成的跨部门团队。
"这个非常成功的跨部门团队重新定义了静态数据要求并且实现了该静态数据要求,这使得政府能够建立这些至关重要的一揽子采购协议(BPA)",国防部副首席信息官,大卫·温纳格伦说“真正具有历史意义的是,来自各级政府的机构聚集在一起,解决一个问题,并开发一个收购解决方案,以在令人难以置信的短时间内满足所有联邦和地方政府的静态数据(OAR)安全要求。”
美国国防部静态数据探索队(DARTT)在2006年10月向美国国防部军事部门首席信息官提交建议之前,进行了广泛的威胁分析、风险分析和市场调查。2006年11月,美国国防部静态数据探索队与美国国防部联合展开了采购计划。美国联邦总务管理局(GSA)一揽子采购方案和联邦机构于2006年12月加入DARTT,北约于2007年1月加入。州和地方政府于2007年3月加入。
参考文献:
(a)美国国防部(DoD)I8500.2,“信息保证(IA)实施”,2003年2月6日
(b)美国国防部(DoD)D8100.2,“美国国防部(DoD)全球信息网格(GIG)中商业无线设备、服务和技术的使用”,2004年4月14日,由美国国防部长办公室(ASD NII)/美国国防部首席信息官(DoD CIO)备忘录补充,同一主题,2006年6月2日
(c)美国国防部(DoD)政策备忘录,“美国国防部保护个人身份信息指南(PH)”,2006年8月18日
(d)美国国防部(DoD)政策备忘录,“保护便携式计算设备上的国防部静态敏感数据”,2006年4月18日
参考文献(a)至(c)要求在某些情况下对不同类别的国防部静态敏感数据进行加密。参考资料(d)提供了关于如何保护国防部内使用的便携式计算设备上的敏感非机密信息的建议,并希望这些建议能满足未来政策的要求。该备忘录确立了国防部保护移动计算设备和可移动存储介质上敏感非机密信息的附加政策。它适用于所有国防部组件及其支持的处理敏感国防部信息的商业接触器。
本期作者:赵丽莉,秦现招
关于“寰球密码法律政策发展动态简报”
为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!
主 编:马民虎
副主编:黄道丽 朱莉欣
责任编辑:原浩赵丽莉马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯
联系电话:0512—69562805,13771998064(同微信)
投稿邮箱:xieyonghong2015@xjtu.edu.cn
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
