合规

可访问性

Veritas 在数字产品中优先考虑无障碍访问功能，确保遵守 Web 内容无障碍指南（万维网联盟制定）。虽然实现普遍无障碍可能很困难，但 Veritas 会定期对自己的平台进行评估。Veritas 积极践行承诺，及时发现并解决出现的任何问题，为所有人提供极具包容性的用户体验。

AWS GovCloud

AWS GovCloud (US) 专门面向政府客户及其合作伙伴，打造安全的云解决方案环境。它遵守多项严格的标准和监管框架，包括：

• FedRAMP 高基线
• 美国司法部的刑事司法信息系统 (CJIS) 安全政策
• 美国《国际武器贸易条例》(ITAR)
• 美国《出口管理条例》(EAR)
• 美国国防部 (DoD) 云计算安全要求指南 (SRG)，适用于影响等级 2、4 和 5
• FIPS 140-2
• IRS-1075

这确保用户可以在专为满足政府机构独特需求而量身定制的云基础架构中，实现应用程序运行的合规性、安全性和灵活性。

Azure Government

Microsoft Azure Government 在开发时严格遵循美国政府机构的合规性标准。它已获得部分关键框架的批准和授权，例如：

• 美国联邦风险和授权管理计划 (FedRAMP)
• 美国国防部 (DoD) 云安全要求指南 (SRG)，适用于影响等级 2、4 和 5

在某些美国政府区域（亚利桑那州、德克萨斯州和弗吉尼亚州），Azure Government 已获得：

• 美国联合授权委员会 (JAB) 颁发的 FedRAMP 高基准临时授权运营许可 (P-ATO)
• 美国国防信息系统局 (DISA) 颁发的国防部 IL2、IL4 和 IL5 临时授权 (PA) 以及 IL5 临时授权

CMMC

网络安全成熟度模型认证 (CMMC) 是美国国防部研发的一个框架，用以评估并增强国防工业基地 (DIB) 的承包商和分包商的网络安全防御体系。该认证框架要求承包商达到特定的网络安全标准，同时贯彻特定做法，才有资格竞标不同安全等级的国防部合约，例如从基本网络安全到高级安全不等。

通用标准

《信息技术安全评估通用标准》及其对应的《信息技术安全评估通用方法》是国际通用标准认可协议 (CCRA) 的基础要素。这可确保：

• 产品经过独立的授权实验室评估，以验证特定的安全功能
• 认证流程有文件可依，并详细描述不同技术类型的标准和方法
• 评估产品安全属性的证书基于评估结果，并有多种证书授权方案
• 所有 CCRA 签署方都认可这些证书

网络安全和基础架构安全局 (CISA)

• 第 14028 号行政命令
  第 14028 号行政命令于 2021 年 5 月 12 日生效，旨在加强国家网络安全防御体系。这项行政命令要求各机构提高网络安全性，维护软件供应链完整性。第 14028 号行政命令要求所有软件供应商向美国政府提供软件物料清单 (SBOM)，列出创建产品所用的全部组件。第 14028 号行政命令还要求各机构对其产品实施多重身份验证、存储中和传输中数据加密 (FIPS 140-2) 和零信任架构。

• IPv6/USGv6
  美国政府 (USGv6) 是美国政府制定的一套技术要求和建议，用于指导联邦机构采用和部署最新版本的互联网协议 (IPv6)。USGv6 配置文件概述了联邦机构应遵循的具体标准和配置，确保满足互操作性、安全性要求，并符合 IPv6 相关规定和政策。

DISA STIG

美国国防信息系统局 (DISA) 的安全技术实施指南 (STIG) 作为配置基准，旨在优化硬件和软件的安全性。其主要目标是保护美国国防部的 IT 基础架构。

FedRAMP

• 管理内部硬件中的数据通常很复杂、耗时且成本高昂；但对于云中数据，若管理不当会带来安全风险
• 美国联邦风险和授权管理计划 (FedRAMP) 旨在为“云产品和服务的安全评估、授权及持续监控提供标准化指导方针”
• Bluesource 与 Veritas 严格遵照 FedRAMP 指导方针，共同打造了一款安全云解决方案，它可在 Microsoft Azure 中创建一个安全环境，支持联邦机构访问以 SaaS 解决方案形式提供的 Enterprise Vault、eDiscovery Platform 和 Merge1
• 借助本解决方案，政府机构可立即符合“云智能”要求，提高其 FITARA 分数，节省巨额成本，还无需额外雇用员工
• 客户将拥有类似本地部署所用的 Veritas 软件许可证；Bluesource 将按照 FedRAMP 的严格要求对其进行全面托管和管理，并收取一定的硬件费用和管理费用
• 如需获取报价或了解更多信息，可发送电子邮件至 sales@bluesource.net 联系 Bluesource

FIPS 140-2

美国联邦信息处理标准 (FIPS) 140-2 概述了加密模块的安全期望，涵盖了一系列应用场景和环境，并规定了四个循序渐进的定性阶段，关键领域包括设计规范、端口、接口、角色、物理安全、操作环境、加密密钥管理、电磁注意事项、自检、设计保证和攻击缓解。

IRAP

信息安全注册评估师计划 (IRAP) 是澳大利亚网络安全中心 (ACSC) 发起的一项倡议，旨在为服务政府的澳大利亚政府机构和企业巩固安防防御体系。

国家标准技术研究院 (NIST)

国家标准技术研究院 (NIST) 是美国商务部下属的非监管联邦机构，负责推动美国的创新和工业竞争力。该研究院制定了一系列网络安全框架和标准，例如 NIST 网络安全框架 (CSF)，指导企业管理并改进网络安全风险管理流程。部分知名出版物/风险管理框架包括：NIST SP 800-53、NIST SP 800-37 RMF、情报社区指令 (ICD) 503、NIST 800-171 和 NIST 800-218。

Sheltered Harbor

Sheltered Harbor 是美国的一项非营利性行业倡议，旨在提高金融行业的韧性和安全性，有效化解网络威胁和运营风险。此倡议的初衷在于帮助金融机构应对日益频繁和狡猾的定向网络攻击。金融机构若以 Sheltered Harbor 标准为最佳实践，则能更好地保护客户资产，维护金融体系的稳定性和安全性，增强客户信心。

SOC 2

SOC 2 评估出具独立的第三方审查文件，重点指出企业应如何维护基本的合规控制和目标。这些评估依据 AICPA 审计准则委员会制定的信任服务标准，侧重企业信息系统的安全性、可用性、完整性、机密性和隐私等方面。

TLS 1.3

传输层安全 (TLS) 1.3 加密协议是一种互联网通信安全数据保护机制。TLS 使用加密、身份验证和密钥交换机制在客户端和服务器之间建立安全连接。

WORM 合规性

美国金融业监管局相关政策规定，数据必须安全地保留、加密并存储在一次写入多次读取 (WORM) 介质上，不得被篡改。这类数据必须可检索，企业要能够为数据的使用和删除提供全面的审计跟踪。