將 AWS 運用在刑事司法資訊解決方案

概觀

CJIS 安全政策概述「無論靜態還是傳輸中,適當控制以保護 CJI (刑事司法資訊) 的完整生命週期」,而不管基礎資訊技術模型。使用 AWS 上建置的解決方案,代理機構可管理和保護 AWS 雲端中的應用程式和資料。

AWS 提供了建置區塊,公共安全機构及其應用程式合作夥伴可以利用這些建置區塊來建置符合 CJIS 安全政策的高度可用、彈性且安全的應用程式。AWS 客戶保持對其資料的完全擁有權和控制權,這是透過存取簡單、功能强大的雲端原生工具實現的,這些工具允許客戶管理敏感客戶資料的完整生命週期。客戶對資料的存放位置以及用於保護傳輸中和靜態資料的方法實施專屬控制,並管理對在 AWS 上建置的資訊系統的存取權限。

適當的保護刑事司法資訊 (CJI) 與保持 CJIS 安全政策的合規,需要有一些安全控制措施,以確保只有經過授權的個人可存取 CJI。最低權限原則是 CJIS 安全政策其中一個最根本的基礎,以「需要知道、具備知情權」標準為根據。AWS 客戶可透過安全地加密其 CJI 並將對 CJI 的所有存取限制為只有可存取加密金鑰的個人,以執行最低權限。為客戶提供 AWS 服務和工具,讓他們的代理機構和可信合作夥伴保留自己刑事司法資料的完整控制權和擁有權,例如 AWS Key Management Service (KMS)AWS Nitro System

AWS KMS 使用經過 FIPS 140-2 驗證的硬體安全模組 (HSM),允許客戶建立、擁有和管理自己的客戶主金鑰進行所有加密。這些客戶主金鑰絕對不會讓經 AWS KMS FIPS 驗證的硬體安全模組處於未加密狀態,也不會透露給 AWS 人員。

AWS Nitro System 使用專門設計用於執行虛擬運算 Hypervisor 的專屬硬體和伺服器 (僅此而已),無需傳統伺服器上所有額外和不必要的連接埠、元件和功能。AWS Nitro System 的安全模型被鎖定並禁止管理存取,消除了人為錯誤和篡改的可能性。客戶也可以選擇 AWS Nitro Enclaves,它沒有持久性儲存,沒有互動式存取,也沒有外部聯網來建立隔離的運算環境,以進一步保護和安全地處理高度敏感的資料。

隨著 AWS Nitro System 和 AWS Key Management Service 的技術進步,它們使用經過 FIPS 140-2 驗證的對稱加密金鑰的硬體安全模組,已不需仰賴實體安全和背景調查等傳統方法讓個人具備「存取」未加密 CJI 的資格。雖然傳統方法有助於達成 CJIS 安全政策的最低合規要求,但與採用強式加密實務和部署「最低權限」原則的安全性無法相提並論,後者可限制只有需要知道、具備知情權和您明確授權的人員進行 CJI 存取。這可讓客戶和應用程式供應商建置解決方案,無需所有 AWS 員工具有對 CJI 和用於存放、處理和傳輸 CJI 的裝置的實體和邏輯存取權限。

常見問答集

CJIS 資源

 CJIS 安全政策  代表性 CJIS 網路圖  依服務列出的 AWS FIPS 端點  AWS Key Management Service (KMS)  AWS Nitro System  AWS Nitro System 的機密運算能力獲得獨立機關的肯定  公開報告 — AWS Nitro System API 和安全聲明 — NCC 集團  AWS Nitro Enclaves  AWS FedRAMP 頁面
有問題? 聯繫 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »