希捷自加密硬盘(SED)和FIPS 140-2认证相关问题解答

为什么需要加密？

 

硬盘会不断报废（质保退货、维修和租约到期、或重新用于其他存储任务或出售）、丢失或失窃。当未受保护的数据脱离了所有者的控制并遭到篡改，公司将会面临失去营收、市场份额和客户信任的风险。他们可能因违反数据隐私法规而受到民事处罚。这对任何组织都是灾难性的，尤其是中小型企业(SMB)。

 

希捷估计，每天有50,000台硬盘离开数据中心，其中包含着以TB计的数据。IBM预计，百分之九十的质保退货的硬盘中都包含可读数据。根据业内专业机构的研究，例如Ponemon

Institute，每次数据外泄造成的平均损失正在逐年上升，2008年平均为660万美元，或每条泄露的记录为202美元。PonemonInstitute进一步估计，81%的笔记本电脑包含敏

感数据，而在使用周期内的所有笔记本电脑中，多达10%的电脑会丢失或被盗。另据估计，仅在美国机场，每周就有12,000台笔记本电脑丢失或被盗。当笔记本中含有敏感但未加密的数据丢失时，企业将平均损失将近50,000美元。在极端案例中，损失可能接近一百万美元。

 

希捷获得了哪个等级的FIPS140-2认证？

 

希捷自加密硬盘(SED)存储设备通过了FIPS140-22级认证。

 

FIPS 140-2 有哪些不同的等级？

 

FIPS 140-2 定义了 4 个安全等级。FIPS 140-2 验证将指定产品要遵守的安全等级。

• 等级 1，通常用于仅软件加密产品，安全要求非常有限。所有组件必须达到制造等级，不能存在任何极其严重的不安全因素。

• 等级 2 要求基于角色的认证。（不要求个人用户认证。）它还要求具有通过使用物理锁定或防篡改签章识别物理篡改的能力。

• 等级 3 添加了物理篡改预防措施，防止拆卸或修改，让非法侵入的难度更大。如果检测到篡改，设备必须能够擦除关键安全参数。等级 3 还包括强大的加密保护和密钥管理、身份验证、接口间的物理或逻辑分隔（通过该接口来输入和移走关键安全参数）。

• 等级 4 包含高级篡改保护，专为在未受物理保护的环境中运行的产品而设计。

 

为什么希捷获得了 FIPS 140-2 2 级认证？

 

各种组织越来越需要对静态数据进行加密，以防丢失或失窃。FIPS 140-2 2 级认证被视为安全和质量的标志，能够向所有购买者证明，希捷 FIPS 自加密硬盘达到美国联邦政府对安全性产品的要求。

 

我如何分辨我的希捷存储设备是否符合 FIPS-2？

 

每个符合 FIPS 140-2 的设备利用物理安全机制来检测设备篡改问题。 要分辨您的存储设备是否符合 FIPS-2，请查找位于

外部的防篡改签章。

 

我如何设置希捷 FIPS 自加密硬盘以确保符合 FIPS-2？

 

要设置 FIPS 140-2 合规设备，请访问位于 http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm 的 NIST 模块验证列表网站以查看您设备的安全策略。 在 

Security Policy（安全策略）文档的 Secure Initialization（安全初始化）章节下，列出了关于初始化您的设备的详细步骤。

 

哪些类型的产品与 FIPS 140-2 有关？

 

FIPS 140-2 适用于任何可能存储或传送敏感数据的产品。这包含硬件产品，例如链接加密器、硬盘、闪存盘或其他可移除的存储介质。同时还包括传输或保存期间对数据进行加密的软

件产品。

 

我真的需要这么多安全性吗？操作系统密码难道还不够吗？

 

通过将硬盘移出并将其安装到其他计算机上，可以轻松绕过操作系统的安全性，例如密码。如果不同时采取诸如希捷自加密硬盘的措施，即使是 BIOS ATA 硬盘密码都可能被破解。对硬

盘或存储介质上的数据进行加密，是保护数据的可靠方法。

 

哪些组织或企业需要符合 FIPS 140-2 要求？

 

在美国，NIST 要求所有联邦机构使用 FIPS 140-2 2 级验证产品，以确保计算机或电信系统（包含语音系统）内敏感但非保密 (SBU) 数据的安全。在加拿大，通信安全部 (CSE) 要求联

邦机构使用经过 FIPS 140-2 2 级认证的加密模块，以确保计算机或电信系统（包含语音系统）内受保护信息（A 或 B）数据的安全。如要希望加密产品能够列入加拿大政府的 ITS 预获资格产品名录，FIPS 140 认证是一项必需的前提条件。在英国，英国通讯电子安全组织推荐使用通过 FIPS 140 认证的加密模块。

 

在世界范围内，与需要 FIPS 140-2 加密合规性的美国、加拿大或英联邦政府组织签订合同的民营公司，也被要求遵守该认证要求。另外，全世界范围内的商业公司 - 尤其是金融、医

疗、教育和基础设施（国家安全）行业的各级公司 - 越来越需要具备 FIPS 140-2 合规性。这些公司希望遵循数据保护的最高标准。他们认识到了通过 FIPS-140 认证的艰难，发现它是

较好的安全标准，并且选择依赖此标准来满足其自身的加密需要。

 

获得 FIPS 140-2 认证需要哪些条件？

 

要通过 FIPS 140-2 验证，产品必须遵守规定的设计和实施要求，并由 NIST 授权的 13 个独立实验室中的一家进行测试和批准。

 

目前采用哪个 FIPS 140 标准？

 

编号为 140 的 FIPS 出版物是一系列安全标准的集合，其中规定了对加密模块的具体要求。FIPS 140-1 颁布于 1994 年，但已经被 FIPS 140-2 取代，FIPS 140-2 颁布于 2001 年，为现行标准。FIPS 140-3 是该标准的新版本，从 2005 年起开始制定。在 2009 年 12 月发布了一份草案，但是该草案尚未发布来进行产品验证。