美国退伍军人事务部（VA）已于周四提交了一份文件，披露了其正在寻找一款软件，以便扫描暗网上泄露的相关信息。感兴趣的承包商将给出描述其技术能力的提案，但篇幅不得超过20页。美国政府对七个方面的软件特别感兴趣：“该软件应能够搜索暗网上泄露、在VA掌控之外的数据”。普通Web扫描软件能够在任何服务器上发起搜索而没有特殊要求，而扫描暗网的软件则需要能够在I2P等协议下工作。

此外，暗网数据转储门户和论坛会经常变更网址，因而软件必须能够自行发现新的链接或动态网址扫描：

该软件应能采集VA数据、创建一个单向加密散列或模式匹配，确保供应商与任何方面没有其它关联，除此实例外不得探查或使用数据。

显然，VA不希望给第三方承包商以这类数据的访问权，而是仅仅用哈希值来鉴别泄露的文件：

该软件理应能够借助VA的加密数据哈希值或模式来匹配暗网搜索结果，然而向VA汇报发现了什么。

VA希望有一个好用的“仪表板”，可允许任何雇员使用该软件，而无需任何查看数据日志的技术知识：

该软件应能够通过其它任意来源，区分暗网上的VA源数据；

该软件必须能够分辨一名被其它来源泄露的前军人的个人资料，比如OPM：

该软件应能与VA网络和现有软件平台整合；

VA并未寻求一台可以运行软件的特殊服务器，额外需求会带来额外的开支，美国政府希望将这部分节省下来：

该软件应当符合所有VA信息技术安全策略，其已在VA Handbook 6500中特别说明，尤其是（a.）该软件不得将任何个人身份信息（PII）或受保护的健康信息（PHI）置于泄露的风险中；（b.）软件在处理此类信息时，数据需以FIPS 140-2兼容的方法加密；（c.）该软件不得将VA网络暴露在任何类型的恶意软件或网络攻击面前。

该软件需有自己的安全措施来应对外部网络攻击，且不被利用来访问现有的VA系统，政府方面并不是要在一夜之间将所有东西都放在一起：

包含了商业委托协议。（合同中包含了各种强制性的法律术语）

[编译自：Soft Pedia]