第 IV 部分 管制与合规性 #
- 27 通用准则
通用准则是指用于评估和衡量 IT 产品安全价值的最知名且使用最广泛的方法。该方法旨在保持独立性,以独立的实验室开展评估,然后由认证机构予以认证。安全功能要求 (SFR) 汇总在所谓的保护配置文件 (PP) 中。如果安全目标 (ST) 的定义与评估保障级别 (EAL) 相若,便可以比较不同产品的安全功能。(安全目标的定义通常会参考 PP — 如果存在满足产品用途的 PP。)
- 28 确保符合 FIPS 140-3 标准
如果您的组织要为美国联邦政府履行任何责任,那么,您的加密应用程序(例如 openSSL、GnuTLS 和 OpenJDK)可能需要符合联邦信息处理标准 (FIPS) 140-3。FIPS 140-3 是一个安全认证程序,用于验证私营公司生产的加密模块。如果合规性规则不要求您的组织以 FIPS 模式运行 SUSE Linux Enterprise,则最好不要以这种模式运行。本章提供有关启用 FIPS 模式的指导,以及包含详细信息的资源的链接。
- 29 支付卡行业数据安全标准 (PCI DSS)
为了保护客户和企业自身,处理信用卡付款的公司必须尽最大努力确保数据安全无虞。遵循支付卡行业数据安全标准有助于保护与付款流程相关的所有方面,以及实施安全相关的措施来确保数据和计算环境的安全。有关详细信息,请参见《Payment Card Industry Data Security Standard (PCI DSS) Guide》(https://documentation.suse.com/compliance/all/html/SLES-pci-dss/article-security-pcidss.html)。
- 30 使用 STIG 强化 SUSE Linux Enterprise
STIG 表示
Security Technical Implementation Guide
。另一方面, 国防信息系统局 (DISA) 组织是美国 国防部 (DoD)的上级机构,负责审批和发布Security Technical Implementation Guides (STIGs)
并每隔 90 天更新这些指南。