FIPS（联邦信息处理标准）是NIST主张的一套要求，目的是集中和统一美国政府管理与敏感信息的安全和运输有关的风险的方法。FIPS在2002年作为更大的FISMA立法的一部分出现，并迅速成为所有商业部门普遍模仿的信息安全框架，并在硬件/软件产品的可取性方面产生了全球影响。

FIPS的要求是什么？

FIPS的合规性要求计算机系统必须满足所有编号的出版物中断言的基准质量。例如，FIPS140涵盖了对硬件和软件的必要测试。另一方面，FIPS198描述了对信息验证的要求。仅仅声称产品符合FIPS标准是不够的，它必须经过NIST的测试，这需要相当大的成本。为了避免这些成本，许多产品将依赖已经由NIST验证的软件组件。通常情况下，已经直接通过测试的东西被称为FIPS验证，而由已经过FIPS验证的组件构建的东西被称为FIPS兼容。任何程度的变化都会引发重新验证的需要，所以符合门槛的产品往往变化不大，根据你的观点，这可能是可取的或不可取的。

我应该以FIPS标准为目标吗？

需要注意的是，除非有特定要求使用或遵守 FIPS 合规性（或任何合规性框架），否则盲目模仿一个标准几乎总是一个失败的提议。FIPS是一个非常有用和有效的框架，用于管理政府规模的风险。该框架内置了美国政府可以接受和不可以接受的特定风险，并与减轻这些风险的成本进行了权衡。在另一个部门，或在另一个规模，这些决定并不能直接转化。

符合 FIPS 标准的产品会将实验室验证的成本转嫁给消费者。不要有这样的想法陷阱：仅仅因为某样东西符合特定的合规性框架，它就 "更安全 "了。此外，就其性质而言，FIPS的变化是缓慢的。密码学和计算机硬件的进步意味着很多时候在较小的范围内，在不削弱你的安全态势的情况下，加快步伐并享受现代性的好处是可以辩护的。

这方面的一个很好的例子是Window的 "FIPS模式"，一个影响SCHANNEL行为的组策略选项，不允许某些安全功能。除非被要求打开这个FIPS模式，否则最可能的结果是你的电脑会变慢，应用程序会损坏，而没有实际的好处!

FIPS涉及什么？

FIPS有具体的语言，涵盖以下被称为 "控制家族 "的关键系统领域的要求。

AC - 访问控制
如何授予和执行访问？

AT- 意识和培训
人们应该如何与系统互动？什么应该向他们表明有什么不妥？

AU- 审计和责任
哪些系统工件可以证明合规性被遵守？

CA- 评估、授权和监控
我们如何以一种持续的方式确保合规性？

CM--配置管理
我们如何抵御变化的风险？

CP- 应急计划
我们如何处理意外事件？

IA- 识别和认证
系统如何知道用户是他们所声称的人？

IR- 事件响应
当问题发生时，我们如何处理？

MA- 维护
我们如何确保系统的维护和喂养不会无意中违反我们的惯例和准则？

MP- 媒体保护
我们如何处理可移动媒体（磁带、光盘等）的生命周期？

PE--物理和环境的保护
我们如何确保对物理设备的保护？

PL - 规划
为确保尽职尽责，必须持续做什么？哪些内容必须被审查、重新审查，以及何时审查？

PM- 程序管理
这包括诸如系统清单、风险管理战略和关键基础设施生命周期计划等工件。

PS- 人员安全
我们的做法如何防止人为错误？我们的做法如何防止恶意的员工？

PT- 个人可识别信息的处理和透明度
我们的系统如何负责任地处理能唯一识别用户的信息？

RA- 风险评估
我们面临风险的主要方式是什么？我们如何能以持续的方式将风险降低到可接受的水平？

SA- 系统和服务采购
哪些是可以接受的引入新硬件和软件的方式？我们如何定义可信度？

SC- 系统和通信保护
哪些东西必须被提醒，何时提醒？我们的系统如何验证输入？

SI - 系统和信息完整性
我们如何确保数据的完整性？我们如何确保数据不会以灾难性的方式退化？(位翻转，等等）。我们应该/必须保留数据和备份多长时间？

SR - 供应链风险管理
什么检查、平衡和程序可以保护我们免受供应链中的不良行为者的影响？

什么是FedRAMP呢？

与FISMA不同，FedRAMP是一个合规性框架，是针对云服务提供商的特定认证。除非一个组织符合FIPS标准，否则不能授予FedRAMP认证。美国政府实体在与云服务提供商开展业务之前，需要FedRAMP证书。一旦获得FedRAMP认证，一个组织就有资格竞标美国政府合同，这可能是一个可靠和有利可图的收入来源。FedRAMP认证是一个繁琐的过程，需要制定一个 "系统安全计划"（SSP），描述云服务实施所需控制的方式

结论

最终，FIPS提供了一个有价值的框架，以确保在适当的时间段内进行适当的对话，以实现基于标准的大规模合规。