NIST

美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）直属美国商务部，从事物理、生物和工程方面的基础和应用研究，以及测量技术和测试方法方面的研究，提供标准、标准参考数据及有关服务，在国际上享有很高的声誉。

NIST成立于1901年，原名美国国家标准局（NBS），1988年8月，经美国总统批准改为美国国家标准与技术研究院（NIST）。NIST下设4个研究所：国家计量研究所、国家工程研究所、材料科学和工程研究所、计算机科学技术研究所。所下设中心，中心下分组，组下设实验室。其中，计算机科学技术研究所负责发展联邦信息处理标准，参与发展商用ADP标准，开展关于自动数据处理、计算机及有关系统的研究工作。在制定联邦自动数据处理政策方面向白宫管理和预算办公室以及国会总审计局提供科学和技术咨询。在计算机科学和技术方面向政府其它机构提供咨询和技术帮助。为完成各项具体任务，保持计算机科学和技术的能力，该所设有程序科学与技术和计算机两个中心。
1990年NIST进行重大改组，改设电子电工、制造工程、化学科学技术、物理、建筑防火、计算机与应用数学、材料科学工程、计算机系统八个研究所。在科罗拉多州有一个分部，从事电磁、时频、无线电、光纤计量和材料实验研究。
1979年5月8日，其前身美国标准局（NBS）与中国原国家计量总局签订合作协议。1984年6月12日与原国家计量局签延长计量与标准合作协议书，1995年1月16日与国家技术监督局签订量和标准合作协议书。根据上述协议，双方进行过多种形式的合作与交流。如互派代表团考察访问、专家讲学、合作研究、派进修生、交换资料等。

什么是联邦信息处理标准 (FIPS)

联邦信息处理标准 (FIPS) 对于联邦机构和承包商确保敏感信息（例如机密数据、个人身份信息和财务数据）的安全至关重要。

本文将介绍一些最常见的 FIPS 安全标准、它们的重要性以及联邦机构和承包商如何使用它们。我们还将讨论 FIPS 安全标准的最新更新，例如 FIPS 140-3 和 FIPS 186-5，以及它们如何影响联邦信息安全。

什么是联邦信息处理标准？
联邦信息处理标准 由美国国家标准与技术研究所 (NIST) 创建、维护和修订，以保护存储在联邦 IT 系统中的数据的机密性、完整性和可用性（CIA 三要素）。

FIPS 安全标准将涵盖许多主题，包括加密、身份和访问管理、风险管理和信息安全管理。

它们通常提供对可接受技术、实践和分类的更详细理解，以支持 NIST 特别出版物中更广泛的法规和要求。

FIPS 标准是联邦政府系统中强制使用的。它们通常被州和地方政府以及与政府合作的私营部门组织用作指导方针。许多政府合同和拨款以及一些行业认证都要求遵守 FIPS 标准。

一些常见的 FIPS 标准有哪些？
FIPS 标准

有数十份 FIPS 文档涵盖从影响级别分类到加密标准和其他最佳实践的主题。

影响网络安全的一些更为广泛的 FIPS 文件包括：

FIPS 140-3
FIPS 140-3 是加密模块规范的最新版本，用于保护美国政府及其承包商的敏感信息。

FIPS 140-3 取代了之前的标准（FIPS 140-2) 并包括对加密模块的更新要求。FIPS 140-3 中的一些关键变化包括：

算法要求： FIPS 140-3 引入了几种新的加密算法，并扩展了加密和散列算法的密钥长度要求。
测试和验证： FIPS 140-3 包括操作前自检 (POST) 要求，以解决混合软件和硬件加密模块。
安全政策：FIPS 140-3 要求所有加密模块都具有正式的安全策略，该策略指定模块的安全功能、特性和服务。此外，第 4 级要求包括新的多因素身份验证 (MFA) 期望。
安全要求： FIPS 140-3 包含加密模块必须满足的其他安全要求。例如，模块必须具有检测和防止未经授权的访问、篡改或操纵的机制。
实施指南： FIPS 140-3 提供了有关实施标准要求的更详细指南。该指南包括如何实施特定加密功能和执行某些测试类型的示例。

FIPS 186-4
第 186 章 是一项联邦信息处理标准，规定了联邦机构用于验证电子文档和交易的数字签名算法。

FIPS 186-4 定义了三种数字签名算法：

数字签名算法（DSA）
椭圆曲线数字签名算法（ECDSA）
Rivest-Shamir-Adleman (RSA) 加密
FIPS 186 规定了每种算法的技术要求，包括密钥大小、生成密钥和签名的方法以及签名和验证过程中使用的安全参数。该标准还包括对密钥随机性和生成安全哈希值的要求。

FIPS 186 的最新修订版本（FIPS 186-5) 于 2023 年 186 月发布，将取代 4-186。此新修订版更新了其前身的一些要求。最值得注意的是，它删除了 DSA 作为合适解决方案的版本，但那些在 5 年 2024 月全面实施 FIPS XNUMX-XNUMX 之前使用它的组织除外。它还将 Edwards-Curve 数字签名算法 (EDDSA) 添加到可接受算法列表中。

第 199 章
第 199 章 是美国国家标准与技术研究院 (NIST) 制定的标准。它提供了根据信息和信息系统对组织运营、资产或个人的潜在影响对其进行分类的指南。

FIPS 199 旨在帮助组织确定其信息安全要求并确定其优先级。它通过定义三类潜在影响来实现这一点，每类影响都需要不同级别的安全控制：

影响低： 此类信息一旦遭到泄露，对组织运营、资产或利益相关者的影响将十分有限。
中等影响： 这些信息一旦遭到泄露，可能会对组织运营、资产或利益相关者造成严重影响。
重大影响：这些信息一旦遭到泄露，可能会对组织运营、资产或利益相关者造成严重或灾难性的影响。
组织可以使用 FIPS 199 根据信息系统的分类确定适当的安全控制。例如，影响较小的系统可能只需要基本的安全控制，如访问控制和备份程序。相反，影响较大的系统可能需要更严格的规则，如加密和入侵检测。

FIPS 199 通常与其他安全标准一起使用，例如联邦风险和授权管理计划 (FedRAMP) 和风险管理框架 (RMF)，以帮助确保联邦信息系统得到适当的保护。

第 200 章
第 200 章 借鉴 NIST 800-53 基线和 FIPS 199 来定义组织遵守联邦信息安全管理法案 (FISMA) 要求的最低要求。

第 201 章
本标准 制定联邦雇员和承包商使用个人身份验证 (PIV) 卡访问安全设施和信息系统的要求。它规定了此类卡的技术和操作要求，包括用于身份验证的生物识别和加密技术。

第 202 章
第 202 章 是一项联邦信息处理标准，它指定了安全散列算法 (SHA-3) 系列加密散列函数。 SHA-3 验证数字签名和证书等数据的真实性和完整性，旨在比早期版本的 SHA 提供更好的抵抗攻击的性能。

FIPS 202 被美国政府及其承包商用来保护敏感信息并确保数字数据的真实性和完整性。它还被其他需要强大加密安全性的组织和行业使用，例如金融和医疗保健行业。

使用 Continuum GRC 全面了解 FIPS 合规性
连续 GRC 是一个云平台，可以执行常规和必要的任务，例如定期进行漏洞扫描和报告 联邦RAMP 并使其成为公共部门业务中简单且及时的一部分。我们为市场上每一项主要法规和合规框架提供风险管理和合规支持，包括：

联邦RAMP
StateRAMP
NIST 800-53
美国联邦通讯委员会 NIST 800-171
中国移动通信集团
SOC 1、SOC 2
HIPAA
数据安全标准 4.0
国税局1075
加拿大福利管理委员会
ISO 27000 系列
ISO 9000 系列