保护受控未分类信息 Rev 3

移动设备是一种计算设备，具有小型外形，可以由单个人携带；设计为无需物理连接即可操作；具备本地的、不可拆卸或可拆卸的数据存储；并且包含一个独立的电源。移动设备的功能可能包括允许设备捕获信息的板载传感器、语音通信能力和/或用于将本地数据与远程位置同步的内置功能。示例包括智能手机、智能手表和平板电脑。移动设备通常与单个个体相关联。移动设备的处理、存储和传输能力可能与笔记本或台式系统相当，或者是其子集，这取决于设备的性质和预期用途。一些组织可能会将笔记本电脑视为移动设备。移动设备的保护和控制是基于行为或政策的，并且要求用户在受控区域之外采取实际行动来保护和控制此类设备。受控区域是指组织提供物理或程序控制以满足保护受控非公开信息（CUI）要求的空间。由于各种移动设备具有不同的特性和功能，组织对这些设备的不同类别或类型可能会有不同的限制。移动设备的使用限制、配置要求和连接要求包括配置管理、设备识别和认证、实施强制性防护软件、扫描设备中的恶意代码、更新病毒防护软件、扫描关键软件更新和补丁、进行操作系统和可能的其他软件完整性检查，以及禁用不必要的硬件。在移动设备上，安全容器提供基于软件的数据隔离，旨在将企业应用和信息与个人应用和数据分开。容器可能会呈现多个用户界面，其中最常见的是一个移动应用，作为访问一套企业生产力应用的门户，例如电子邮件、联系人和日历。组织可以使用全设备加密或基于容器的加密来保护移动设备上受控非公开信息（CUI）的机密性。

访问控制策略用于控制组织系统中主动实体或主体（即代表用户操作的用户或系统进程）与被动实体或对象（即设备、文件、记录、域）之间的访问。系统访问类型包括远程访问以及通过外部网络（如互联网）进行通信的系统访问。访问执行机制也可以在应用程序和服务层面使用，以提供对受控非公开信息（CUI）的更高保护。这承认系统可以托管许多应用程序和服务以支持任务和业务功能。访问控制策略在03.15.01中定义。

该要求侧重于系统和应用程序的账户管理。除账户类型（例如，特权访问、非特权访问）确定的访问授权外，访问授权的定义和执行在03.01.02中进行说明。系统账户类型包括个人、群组、临时、系统、访客、匿名、紧急、开发者和服务账户。需要在系统账户上拥有管理权限的用户会受到负责批准此类账户和特权访问的人员的额外审查。由于风险增加，组织可能禁止的账户类型包括组账户、紧急账户、访客账户、匿名账户和临时账户。组织可以选择按账户、账户类型或两者的组合来定义访问权限或其他属性。授权访问所需的其他属性包括对时间、星期几和来源地点的限制。在定义其他系统账户属性时，组织会考虑系统要求（例如系统升级、计划维护) 以及任务和业务需求（例如，时区差异、为满足出差需求而进行的远程访问）。构成重大安全风险的用户包括那些有可靠证据表明其有意利用授权访问系统造成损害的人，或者通过他们敌手可能造成损害的人。在为高风险个体停用系统账户时，任务和业务负责人、系统管理员、人力资源经理以及法律人员之间的紧密协调至关重要。组织人员或角色的通知时间可能有所不同。非活动注销是基于行为或策略的，需要用户在预期的非活动时间超过规定期限时进行实际操作以注销。03.01.10 规定了非活动注销的自动执行。

设备锁是为了防止在用户离开系统的直接视线范围时访问系统而采取的临时措施，但由于用户的离开是暂时的，他们不想注销。设备锁可以在操作系统层面或应用程序层面实现。用户发起的设备锁是基于行为或策略的，需要用户采取实际操作来启动设备锁。设备锁不能替代系统的登出操作（例如，当组织要求用户在工作日结束时登出时）。可公开查看的图像可以包括静态或动态图像，例如屏幕保护程序使用的图案、纯色、摄影图像、时钟、电池电量指示器或空白屏幕，但前提是不能显示受控非机密信息。

信息流控制规范了受控未分类信息（CUI）在系统内部和系统之间的传输位置（与谁被允许访问信息不同），并且不考虑对该信息的后续访问。流量控制限制包括防止敏感受控信息（CUI）以明文形式传输到互联网，阻止声称来自组织内部的外部通信流量，限制非来自内部网页代理服务器的互联网请求，以及根据数据结构和内容限制组织间敏感受控信息的传输。在组织之间传输 CUI 可能需要一份协议，明确规定信息流的执行方式（参见 03.12.05）。在代表不同安全域且具有不同安全策略的系统之间传输 CUI 会增加违反一个或多个域安全策略的风险。在这种情况下，信息所有者或管理者会在互连系统之间的指定政策执行点提供指导。当需要执行特定安全策略时，组织会考虑强制采用特定的架构解决方案。执行措施包括禁止在互连系统之间传输受控非公开信息（CUI）（即，仅允许访问信息)、使用硬件机制来强制单向信息流，并实施可信的再评级机制来重新分配安全属性和安全标签。组织通常使用信息流控制策略和执行机制来控制受控未分类信息（CUI）在指定来源和目标之间的流动（例如，系统内以及互联系统之间的网络、个人和设备。流量控制基于信息或信息路径的特性。执行发生在边界保护设备中（例如加密隧道、路由器、网关和防火墙）使用规则集或建立配置设置来限制系统服务，提供基于报头信息的数据包过滤功能，或提供基于消息内容的消息过滤功能（例如，实施关键字搜索或使用文档特征）。组织还会考虑过滤和检查机制（即硬件、固件和软件组件）的可信性，这些机制对于信息流的执行至关重要。

组织在特定职责和用户及系统进程的授权访问中采用最小特权原则。最小特权原则适用于系统的开发、实施和运行。组织考虑创建额外的流程、角色和系统账户以实现最小特权。安全功能包括建立系统账户并分配权限、安装软件、配置访问授权、配置需审计的事件设置、建立漏洞扫描参数、建立入侵检测参数以及管理审计信息。与安全相关的信息包括威胁和漏洞信息、路由器或防火墙的过滤规则、安全服务的配置参数、安全架构、加密密钥管理信息、访问控制列表以及审计信息。

特权账户是指被授予提升权限以访问通常对非特权账户受限制的资源（包括安全功能或与安全相关的信息）的账户。这些账户通常被描述为系统管理员或超级用户账户。例如，通常需要特权账户才能执行特权功能，例如执行可能修改系统行为的命令。将特权账户限制给特定人员或角色可以确保只有授权用户能够访问和操作安全功能或与安全相关的信息。在不需要访问特权功能时，要求使用非特权账户可以限制对安全功能或安全相关信息的未授权访问和操作。

特权功能包括建立系统账户、执行系统完整性检查、进行补丁操作、修改系统配置设置或管理加密密钥管理活动。非特权用户没有执行特权功能的授权。绕过入侵检测和防御机制或恶意代码防护机制是需要对非特权用户进行保护的特权功能的例子。此要求表示通过在03.01.01中定义授权特权以及在03.01.02中执行特权而实现的条件。特权功能的滥用——无论是由授权用户有意或无意地滥用，还是由已经入侵系统账户的未授权外部实体滥用——都是一个严重且持续存在的担忧，可能对组织造成重大不利影响。记录特权功能的使用是一种检测此类滥用并减轻高级持续性威胁和内部威胁风险的方法。

根据适用的法律、行政命令、指令、政策、法规、标准和指南，公众无权获取非公开信息，包括受控未公开信息 (CUI)。

远程访问是指通过外部网络（如互联网）与系统（或代表用户操作的进程）进行通信的访问。监控和控制远程访问方法可以帮助组织检测攻击并确保遵守远程访问政策。通过受管访问控制点路由远程访问可以增强对这些连接的明确控制，并减少系统遭受未经授权访问的可能性，防止机密受控信息（CUI）的非法泄露。对系统的远程访问是一个可能被对手利用的重要潜在漏洞。通过远程访问限制特权命令的执行和对安全相关信息的访问，可以减少组织的暴露和对对手威胁的易感性。特权命令是由人工发起并在系统上执行的命令，涉及对系统的控制、监控或管理，包括安全功能和安全相关信息。与安全相关的信息是指可能影响安全功能的运行或安全服务的提供，从而可能导致无法执行系统安全策略或无法保持代码和数据隔离的信息。特权命令使个人能够执行敏感的、安全关键的或与安全相关的系统功能。

职务分离旨在防止授权权限的滥用，并在没有勾结的情况下降低恶意行为的风险。职务分离包括将任务职能和支持职能分配给不同的个人或角色，以及由不同的个人或角色执行系统支持职能（例如）。质量保证、配置管理、网络安全、系统管理、评估和编程），并确保负责访问控制功能的人员不同时管理审计功能。由于职责分离违规可能跨越系统和应用领域，组织在制定职责分离政策时会考虑其系统及系统组件的整体情况。此要求由03.01.02执行。

此要求涉及用户发起的逻辑会话的终止，与03.13.09中与通信会话相关的网络连接终止（即断开网络连接）形成对比。每当用户（或代表用户操作的进程）访问系统时，就会启动逻辑会话。逻辑会话可以被终止（从而终止用户访问），而无需终止网络会话。会话终止会结束与用户的逻辑会话相关的所有系统进程，但不会结束由用户（即会话所有者）创建的、在会话终止后继续运行的进程。需要自动终止会话的条件或触发事件可以包括组织规定的用户不活动时间、系统使用的时间限制，以及针对某些类型事件的特定响应。

系统使用通知可以通过消息或警告横幅来实现。消息或警告横幅会在个人登录处理、存储或传输受控未分类信息（CUI）的系统之前显示。系统使用通知用于通过具有人工用户的登录界面进行访问，而在人机界面不存在时则不需要。组织会考虑在初始网络登录后，是否需要二次使用通知来访问应用程序或其他系统资源。海报或其他印刷材料可以代替自动系统消息。此要求与03.15.03相关。

由于存在服务拒绝的可能性，自动系统锁定在大多数情况下是临时的，并会在组织设定的预定时间段后自动解除（即使用延迟算法）。组织可能会根据各组件的能力，为不同的系统组件采用不同的延迟算法。对系统登录未成功尝试的响应可以在系统和应用程序级别实现。组织定义的可采取的措施包括提示用户在输入用户名和密码之外回答一个安全问题、启用具有有限用户功能的锁定模式（而不是完全锁定）、仅允许用户从指定的互联网协议（IP）地址登录、要求进行 CAPTCHA 以防止自动化攻击，或应用用户配置文件，例如位置、时间、IP 地址、设备或媒体访问控制（MAC）地址。

外部系统是指被组织使用但不属于组织的一部分的系统。这些系统包括个人拥有的系统、系统组件或设备；商业或公共设施中私有的计算和通信设备；非联邦组织拥有或控制的系统；以及由承包商管理的系统。组织可以选择禁止使用任何类型的外部系统或特定类型的外部系统（例如，禁止使用非组织拥有的外部系统）。条款和条件与与拥有、运营或维护外部系统的实体建立的信任关系一致，并包括共享责任的描述。被授权的个人包括组织人员、承包商或其他具有组织系统访问权限的个人，组织对其有权施加关于系统访问的特定行为规则。组织对被授权个人施加的限制可能因组织之间的信任关系而有所不同。组织需要确认外部系统满足必要的安全要求，以免危及、破坏或损害系统。此要求与03.16.03相关。

无线网络功能代表了潜在的重要漏洞，可能被对手利用。建立无线访问系统的使用限制、配置要求和连接要求，为访问授权决策提供标准。这些限制和要求可以降低通过无线技术进行未经授权的系统访问的风险。无线网络使用提供凭证保护和相互认证的身份验证协议。组织对个人和设备进行身份验证，以保护系统的无线访问。特别关注具有潜在无线访问权限的各种设备，包括小型移动设备（例如智能手机、平板电脑、智能手表）。嵌入系统组件的无线网络功能可能成为敌手利用的潜在漏洞。对用户和设备进行强身份验证、采用强加密，以及禁用非关键任务或业务功能所需的无线功能，可以减少无线技术相关威胁的易受攻击性。

支持审计功能所需的审计记录内容可能包括时间戳、源和目标地址、用户或进程标识符、事件描述、文件名以及被调用的访问控制或流量控制规则。事件结果可以包括事件成功或失败的指示以及特定事件的结果（例如，事件发生后系统的安全状态）。组织在审计记录中考虑的详细信息可能包括特权命令的完整文本记录或组账户用户的个人身份信息。

审计记录可以在不同的抽象级别生成，包括在信息通过网络传输时的分组级别。选择合适的抽象级别是审计日志功能的关键方面，并且有助于识别问题的根本原因。在审计记录中添加生成信息的能力取决于系统配置审计记录内容的功能。组织可以考虑在审计记录中包含额外信息，包括调用的访问控制或流程控制规则以及组账户用户的个人身份信息。组织还可以考虑将额外的审计记录信息限制为仅限于审计要求明确需要的信息。

审计记录在 03.03.03 中生成。审计记录生成后进行审计记录缩减和报告生成。审计记录缩减是一个处理收集到的审计信息并将其整理成对分析人员更有意义的摘要格式的过程。审计记录的减少和报告生成能力并不总是来自执行审计活动的同一系统或组织实体。审计记录减少能力可以包括例如使用先进数据筛选的现代数据挖掘技术，以识别审计记录中的异常行为。系统提供的报表生成功能可以帮助生成可定制的报表。如果记录中的时间戳粒度不足，审计记录的时间排序可能会成为一个重要问题。

审计记录的审查、分析和报告涉及组织执行的信息安全日志记录，并且可以包括由以下行为产生的日志：账户使用监控、远程访问、无线连接、配置设置、维护工具和非本地维护的使用、系统组件清单、移动设备连接、设备交付与移除、物理访问、温度与湿度、系统接口通信以及移动代码的使用。调查结果可以报告给组织机构，例如事件响应团队、服务台以及安全或隐私办公室。如果组织被禁止审查和分析审计记录或无法进行此类活动，则审查或分析可以由获得此类权限的其他组织进行。审核记录的审查、分析和报告的范围、频率和/或深度可以根据收到的新信息进行调整，以满足组织需求。将审核记录的审查、分析和报告过程进行关联，有助于确保审核记录整体上形成更完整的事件视图。

事件是系统中任何可观察到的现象，包括非法或未经授权的系统活动。组织会确定需要进行日志记录的事件类型。这包括与系统的安全性及其运行环境相关的事件，以满足特定的、持续的审计需求。事件类型可以包括密码更改、特权功能的执行、失败的登录或与系统相关的访问、管理员权限的使用，或第三方凭证使用。在确定需要记录的事件类型时，组织会考虑每项安全需求所适合的系统监控和审计措施。在定义事件类型时，组织会考虑记录与相关事件相关的必要日志，例如分布式的、基于事务的流程中的步骤（例如跨多个组织分布的流程）以及在面向服务或基于云的架构中发生的操作。监控和审计需求可以与其他系统需求进行平衡。例如，组织可能会确定系统必须具备记录每次文件访问（成功或失败）的能力，但仅在特定情况下启用该功能，以避免对系统性能造成潜在负担。组织记录的事件类型可能会随时间而变化。审查和更新已记录的事件类型是必要的，以确保当前的事件类型集保持相关性。

审计信息包括成功审计系统活动所需的信息，例如审计记录、审计日志设置、审计报告和个人身份信息。审计日志工具是用于进行审计和日志活动的程序和设备。审计信息的保护重点是技术保护，并限制只有授权人员才能访问和执行审计记录工具。审计信息的物理保护通过介质和物理保护要求来实现。具有系统特权访问权限的个人或角色，如果他们也是系统审计的对象，可能会通过干扰审计活动或修改审计记录来影响审计信息的可靠性。要求将特权访问进一步区分为与审计相关的特权和其他特权，可以限制具有审计相关特权的用户或角色的数量。

审计日志记录过程的失败包括软件和硬件错误、审计日志捕获机制的故障以及审计日志存储容量的达到或超限。应对措施包括覆盖最旧的审计记录、关闭系统以及停止生成审计记录。组织可以根据故障类型、故障位置、故障严重性或这些因素的组合，为审计日志处理失败定义额外的操作。当审计日志处理失败与存储相关时，将对应于审计日志存储库执行响应（即审计日志存储的不同系统组件）、审计日志所在的系统、组织的总审计日志存储容量（即所有审计日志存储库的总和），或者三者兼有。组织可以决定在提醒指定角色或人员后不采取额外的行动。

系统生成的时间戳包括日期和时间。时间通常以协调世界时（UTC）表示——这是格林威治标准时间（GMT）的现代延续——或者以带有UTC偏移的本地时间表示。时间测量的粒度指的是系统时钟与参考时钟之间的同步程度（例如，时钟在数百或数十毫秒内同步）。组织可以为系统组件定义不同的时间粒度。时间服务可能对其他安全功能（例如访问控制以及身份识别和认证）至关重要，这取决于用于支持这些功能的机制的性质。

组织向系统用户（包括管理人员、高级管理人员、系统管理员和承包商）提供基础和高级的安全素养培训，并采取措施测试用户的知识水平。组织根据具体的组织需求、人员获准访问的系统以及工作环境（例如）来确定素养培训的内容。远程办公)。内容包括理解安全需求以及用户为维护安全和应对事件所需采取的行动。内容还涉及操作安全的必要性以及受控未分类信息（CUI）的处理。安全意识技术包括张贴海报、提供印有安全提示的物品、发送组织官员的电子邮件通知或公告、显示登录屏幕消息，以及通过播客、视频和网络研讨会开展宣传活动。安全素养培训的进行频率应符合适用的法律、指令、法规和政策。定期更新读写能力培训内容可确保内容保持相关性。可能促使更新读写能力培训内容的事件包括评估或审计结果、安全事件或违例行为，或适用法律、总统行政令、指令、法规、政策、标准和指南的变更。内部威胁的潜在指标和可能前兆包括以下行为：长期且过度的不满工作；尝试获取与工作职责无关的信息；无法解释的财务资源接触；对同事的性骚扰或欺凌行为；工作场所暴力；以及对组织的政策、程序、规章、指令或惯例的其他严重违规行为。组织可以考虑根据角色定制内部威胁意识培训主题（例如，针对管理人员的培训可能侧重于团队成员行为的具体变化，而针对员工的培训可能侧重于更一般性的观察）。社会工程学是一种试图欺骗个人泄露信息或采取某种行动的方法，这些信息或行动可能被用来入侵、破坏或以其他方式对系统产生不利影响。社会工程学包括网络钓鱼、虚构借口、冒充、诱饵、互惠手段、话题劫持、社交媒体利用和尾随进入等手段。社会挖掘是一种试图收集有关组织的信息的行为，这些信息可能被用来支持未来的攻击。安全素养培训包括如何通过适当的组织渠道，根据既定政策和程序，传达员工和管理层对潜在内部威胁迹象以及潜在或实际的社会工程和数据挖掘事件的关注。

组织根据个人的职责、角色和责任以及人员获准访问的系统的安全要求来确定安全培训的内容和频率。此外，组织为系统开发人员、企业架构师、安全架构师、软件开发人员、系统集成商、采购/采购官员、系统和网络管理员、从事配置管理和审计活动的人员、执行独立验证和确认的人员、安全评估人员，以及有权限访问系统级软件的人员提供专门针对其分配职责的安全相关技术培训。全面的基于角色的培训涵盖管理、运营和技术角色及其职责，包括物理、人员和技术控制。此类培训可以包括为已定义的安全角色制定的政策、程序、工具和相关资料。组织还提供开展与运营和供应链安全相关职责所需的培训，这些职责是在组织信息安全计划的背景下进行的。

对系统的硬件、软件或固件组件的更改，或与系统相关的操作程序的更改，可能会对系统的安全产生重大影响。因此，组织只允许合格且获得授权的人员访问系统以进行更改。访问限制包括物理和逻辑访问控制、软件库、工作流自动化、媒体库、抽象层（即更改通过外部接口实现，而不是直接在系统中进行）以及更改窗口（即更改仅在指定时间进行）。

如果拥有必要的权限，用户可以在组织系统中安装软件。为了保持对已安装软件的控制，组织会明确允许和禁止的安装软件行为。允许的软件安装包括对现有软件进行更新和安全补丁，以及从组织批准的“应用商店”下载新应用程序。“用于管理用户安装软件的政策由组织制定或由某些外部实体提供。政策执行方法可以包括程序化方法和自动化方法。授权的软件程序可以限制为特定版本或来自特定来源。”为了促进全面的授权软件流程，并增强对绕过应用级授权软件攻击的防护能力，软件程序可以被分解并在不同的细节层级上进行监控。这些层级包括应用程序、应用程序编程接口、应用程序模块、脚本、系统进程、系统服务、内核函数、注册表、驱动程序和动态链接库。

系统及其组件的基线配置包括连接性、操作性和通信方面的内容。基线配置是针对系统或系统内配置项的已记录、正式审查并达成一致的规格。基线配置作为未来构建、发布或系统更改的基础，包括有关系统组件、操作程序、网络拓扑以及组件在系统架构中位置的信息。维护基线配置需要随着系统的变化创建新的基线。系统的基线配置反映了当前的企业架构。

配置变更控制是指对系统的变更进行跟踪、审查、批准或拒绝，以及记录。具体来说，它包括系统变更的系统化提议、理由说明、实施、测试、审查和处理，包括系统升级和修改。配置变更控制包括对系统组件基线配置的变更（例如）。、操作系统、应用程序、防火墙、路由器、移动设备）以及系统的配置项、配置设置的更改、未计划和未经授权的更改，以及用于修复漏洞的更改。该要求与03.04.04相关。

配置设置是一组可以在系统的硬件、软件或固件组件中更改的参数，这些参数会影响系统的安全状态或功能。安全相关的配置设置可以针对系统（例如服务器、工作站）、输入和输出设备（例如扫描仪、复印机、打印机）、网络组件（例如...）进行定义。防火墙、路由器、网关、语音和数据交换机、无线访问点、网络设备、传感器、操作系统、中间件和应用程序。安全参数是指那些影响系统安全状态的参数，包括满足其他安全需求所需的参数。安全参数包括注册表设置；账户、文件和目录权限设置（即，权限）；以及功能、端口、协议和远程连接的设置。组织会建立全组织范围的配置设置，然后为系统推导出具体的配置设置。已建立的设置将成为系统配置基线的一部分。常见的安全配置（也称为安全配置清单、锁定和加固指南、安全参考指南以及安全技术实施指南）提供了公认的、标准化的和既定的基准，规定了特定信息技术平台/产品的安全配置设置以及用于配置这些系统组件以满足操作要求的指示。常见的安全配置可以由各种组织制定，包括信息技术产品开发商、制造商、供应商、联盟、学术界、行业、联邦机构以及其他公共和私营部门的组织。

负责安全的组织人员进行影响分析，包括审查系统安全计划、政策和程序以了解安全要求；审查系统设计文档和操作程序以了解系统变更可能如何影响系统的安全状态；与利益相关者一起审查系统变更对供应链合作伙伴的影响；并确定系统潜在变更如何产生新的风险以及减轻这些风险的能力。影响分析还包括风险评估，以了解变更的影响并确定是否需要额外的安全要求。系统的变更可能会影响之前实施的防护措施和对策。此要求与03.04.03相关。并非所有对系统的更改都受配置控制。

信息位置涉及了解处理和存储受控未分类信息（CUI）的具体系统组件，以及拥有访问CUI的用户，以便提供适当的保护机制，包括信息流控制、访问控制和信息管理。

系统可以提供多种功能和服务。某些默认提供的常规功能和服务可能并非支持组织的核心任务、功能或运营所必需。从单一系统组件提供多种服务可能比较方便。然而，这样做会增加风险，相比限制任何单一组件提供的服务。在可行的情况下，组织将每个组件的功能限制为单一功能。组织会审查系统或系统组件提供的功能和服务，以确定哪些功能和服务是可以淘汰的候选对象。组织会禁用未使用或不必要的物理和逻辑端口及协议，以防止设备的未授权连接、信息的传输和隧道传输。组织可以使用网络扫描工具、入侵检测和防御系统以及终端保护系统（例如）。防火墙和基于主机的入侵检测系统）以识别和防止使用被禁止的功能、端口、协议、系统连接和服务。蓝牙、文件传输协议（FTP）和点对点网络是组织考虑消除、限制或禁用的协议类型示例。

当已知某个系统或系统组件将处于高风险区域时，可能需要额外的安全要求来应对增加的威胁。组织可以在个人出行和返程时使用的系统或系统组件上实施保护措施。操作包括确定这些地点是否需要关注、定义组件所需的配置、确保在出行开始前组件已按照预期配置，以及在出行完成后采取额外措施。例如，进入高风险区域的系统可以配置为使用清理过的硬盘、限制应用程序以及更严格的配置设置。移动设备在旅行返回后采取的措施包括检查设备是否有物理篡改的迹象，以及清除和重新映像设备存储。

系统组件是组成系统的独立、可识别的资产（即硬件、软件和固件元素）。组织可以实施集中化的系统组件清单，其中包括来自所有系统的组件。在这种情况下，组织确保清单包括组件可追溯性所需的特定系统信息。有效管理系统组件所需的信息包括系统名称、软件所有者、软件版本号、软件许可证信息、硬件清单规格，以及——对于网络组件——所有已实现协议（例如 IPv4、IPv6）的计算机名称和网络地址。库存规格包括组件类型、物理位置、接收日期、制造商、成本、型号、序列号和供应商信息。

身份验证反馈不会提供允许未授权人员破坏身份验证机制的信息。例如，对于配备较大显示器的台式机或笔记本系统，威胁可能较大（通常称为“肩窥”）。对于显示屏较小的移动设备，这种威胁可能不那么严重，同时需要权衡由于小型键盘导致输入错误的可能性增加。因此，认证器反馈的隐藏方式会相应选择。隐藏反馈包括在用户在输入设备上输入密码时显示星号，或在完全隐藏之前仅显示反馈一段有限的时间。

认证器包括密码、加密设备、生物识别技术、证书、一次性密码设备和身份徽章。初始认证器内容是认证器的实际内容（例如，初始密码）。相比之下，认证器内容的要求包含特定特征。认证器管理受组织定义的设置和各种认证器特性限制的支持（例如，密码复杂性和组成规则、时间同步一次性令牌的验证时间窗口，以及生物识别认证验证阶段允许的拒绝次数）。保护单个认证器的要求可以通过03.15实现。03 对于个人持有的身份验证器，以及 03.01.01、03.01.02、03.01.05 和 03.13.08 对于存储在组织系统中的身份验证器。这包括以哈希或加密格式存储的密码，或包含可通过管理员权限访问的哈希或加密密码的文件。可以采取措施来保护认证器，包括保持对认证器的控制权、不与他人共享认证器，以及在认证器丢失、被盗或泄露时立即报告。开发人员可以提供带有出厂默认认证凭据的系统组件，以便进行初始安装和配置。默认的身份验证凭证通常是众所周知的，容易被发现，并且存在重大风险。身份验证器的管理包括在临时访问使用后不再需要时发放和撤销身份验证器。使用长密码或口令短语可能消除了定期更换身份验证器的必要性。

需要唯一设备到设备识别和认证的设备按类型、设备或类型与设备的组合进行定义。组织定义的设备类型包括不属于组织的设备。系统使用共享的已知信息（例如用于设备识别或组织认证解决方案（例如，电气与电子工程师协会 [IEEE] 802）的介质访问控制 [MAC]、传输控制协议/互联网协议 [TCP/IP] 地址1x 和可扩展认证协议 [EAP]、支持 EAP-传输层安全 [TLS] 认证的 RADIUS 服务器、Kerberos）用于识别和认证本地和广域网的设备。设备认证还可以包括用于交换证书的公钥基础设施 (PKI) 和证书吊销检查。

标识符是为用户、代表用户操作的进程以及设备提供的。禁止重复使用标识符可以防止将先前使用过的个人、组、角色、服务或设备标识符分配给不同的个人、组、角色、服务或设备。用于识别个人状态的特征包括承包商、外国 nationals 和非组织用户。通过这些特征来识别个人的身份，可以提供与组织人员交流的对象的信息。例如，员工知道电子邮件中的某个人是承包商，这就很有用。

此要求适用于用户账户。多因素认证需要使用两个或更多不同的因素来实现身份验证。身份验证因素定义如下：您知道的东西（例如，个人识别码）、您拥有的东西（例如，物理认证器，如加密私钥）或您自身的特征（例如，生物特征）。具有物理认证器的多因素认证解决方案包括提供基于时间或挑战-响应输出的硬件认证器和智能卡。除了在系统级别对用户进行认证外，组织还可以在应用程序级别使用认证机制，以提高信息安全性。

基于密码的身份验证适用于在单因素或多因素身份验证中使用的密码。较长的密码或口令短语比较短的密码更可取。强制的组成规则虽然提供了有限的安全性，但会降低可用性。然而，在某些情况下，组织可能会选择建立并强制执行某些密码生成规则（例如，最小字符长度）。例如，当密码被遗忘时，可以进行账户恢复。受到密码学保护的密码包括加盐的单向密码哈希。常用、泄露或可预期的密码列表包括从之前的数据泄露中获得的密码、字典单词以及重复或连续字符。该列表包括特定上下文的词语，例如服务名称、用户名及其衍生词。在系统登录后立即将临时密码更改为永久密码，可确保在最早的机会实施必要的认证机制强度，并减少认证信息泄露的风险。可以使用较长的密码和口令短语来增加密码的复杂性。

如果通过记录或重放先前的认证信息来成功认证是不可行的，那么认证过程就能抵御重放攻击。抗重放的技术包括使用随机数或质询的协议，例如时间同步或质询-应答一次性认证器。

系统用户包括被授权访问系统的个人（或代表个人操作的系统进程）。通常，个人标识符是与分配给这些个人的系统账户相关联的用户名。由于系统进程代表群组和角色执行操作，组织可能需要对群组账户中的个人进行唯一标识，或对个人活动进行追责。用户的唯一标识和身份认证适用于所有系统访问。组织使用密码、物理认证器、生物特征或它们的某种组合来验证用户身份。在某些情况下，组织可能会重新验证个人身份，包括当角色、认证工具或凭证发生变化时；执行特权功能时；经过固定时间段后；或定期进行时。

与事件相关的信息可以通过多种途径获取，包括审计监控、网络监控、物理访问监控、用户和管理员报告以及报告的供应链事件。有效的事件处理能力需要多个组织实体之间的协调，包括任务和业务负责人、系统负责人、人力资源办公室、物理和人员安全办公室、法律部门、运营人员以及采购办公室。

记录事故包括保存每起事故的记录、事故状态以及其他与取证和评估事故详情、趋势和处理相关的必要信息。事件信息可以从多种来源获取，包括网络监控、事件报告、事件响应团队、用户投诉、供应链合作伙伴、审计监控、物理访问监控以及用户和管理员报告。03.06.01 提供了适合监控的事件类型的信息。所报告的事件类型、报告内容和时效性以及报告主管机关，都反映了适用的法律、总统行政命令、指令、法规、政策、标准和指南。事件信息为风险评估、安全评估的有效性、采购的安全要求以及技术产品的选择标准提供依据。组织提供的事件响应支持资源包括帮助台、援助小组、用于创建和跟踪事件响应工单的自动化工单系统，以及在需要时提供的取证服务或消费者赔偿服务的访问权限。

组织制定和实施协调一致的事件响应方法非常重要。组织的使命和业务职能决定了事件响应能力的结构。作为事件响应能力的一部分，组织会考虑与外部组织（包括外部服务提供商和供应链中其他相关组织）进行协调和信息共享。

组织测试事件响应能力，以确定其有效性并识别潜在的弱点或不足。事件响应测试包括使用清单、演练或桌面演习以及模拟。事件响应测试可以包括评估事件响应对组织运营、组织资产和个人的影响。定性和定量数据可以帮助确定事件响应流程的有效性。

事件响应培训与组织人员的指定角色和职责相关，以确保此类培训包含适当的内容和细节。例如，普通用户可能只需要知道如何识别事件或应联系谁；系统管理员可能需要额外的培训以了解如何处理事件；事件响应人员可能会接受有关数据收集技术、取证、报告、系统恢复和系统修复的专项培训。事件响应培训包括用户在识别和报告来自外部和内部来源的可疑活动方面的培训。用户的事件响应培训可能作为03.02.02的一部分提供。可能导致事件响应培训内容更新的事件包括事件响应计划测试、对实际事件的响应、审计或评估结果，或适用法律、行政命令、政策、指令、法规、标准和指南的变更。

维护人员是指对系统进行硬件或软件维护的个人，而03.10.01则涉及那些维护职责使其进入系统物理防护范围内的个人的物理访问权限。监督人员的技术能力与系统维护有关，而拥有所需的访问权限则涉及系统及其附近的维护。未被先前确认为授权维护人员的个体（例如制造商、顾问、系统集成商和供应商等可能需要对系统的特权访问，例如在需要在几乎没有通知的情况下进行维护时。组织可以根据其风险评估决定向这些人员发放临时凭证。临时凭证可以用于一次性使用或在非常有限的时间段内使用。

批准、控制、监控和审查维护工具，以解决与用于系统诊断和维修操作的工具相关的安全问题。维护工具可以包括硬件和软件诊断及测试设备，以及数据包嗅探器。这些工具可能是预安装的，也可能随维护人员通过介质带入、基于云的，或从网站下载。诊断和测试程序可能成为将恶意代码传入系统的载体，无论是故意还是无意。媒体检查的示例包括检查诊断和测试程序及媒体的加密哈希或数字签名。如果组织检查包含诊断和测试程序的介质，并确定该介质还包含恶意代码，则按照事件处理政策和程序处理该事件。对系统维护工具进行定期审查可能导致撤销对过时、不受支持、不相关或不再使用的工具的批准。维护工具不涉及支持维护的硬件和软件组件，这些组件被视为系统的一部分。

非本地维护和诊断活动由通过外部或内部网络进行交流的人员执行。本地维护和诊断活动由实际在系统位置的人员进行，且不通过网络连接进行通信。用于建立非本地维护和诊断会话的身份验证技术反映了03.05.01中的要求。

系统媒体包括数字媒体和非数字媒体。可以通过对这些媒体进行物理控制来限制对受控未分类信息（CUI）的访问。这包括进行盘点、确保有程序允许个人借用和归还媒体到媒体库，以及维护存储媒体的责任。对于数字媒体，可以通过使用加密手段来限制对受控未分类信息（CUI）的访问。存储或静态数据的加密在 03.13.08 中有所涉及。

系统媒介包括数字媒介和非数字媒介。标记是指使用或应用人类可读的安全属性。标签是指在内部系统数据结构中使用安全属性。数字媒介包括软盘、磁带、外部或可移动的固态或磁性驱动器、闪存驱动器、光盘和数字多功能光盘。非数字媒体包括纸张和微缩胶片。CUI 的定义由美国国家档案与记录管理局（NARA）制定，并包括此类信息的标记、保护和传播要求。

媒体清理适用于需处置或再利用的数字和非数字媒体，无论这些媒体是否被视为可移动的。例子包括扫描仪、复印机、打印机、笔记本电脑、移动设备、工作站、网络组件中的数字媒体，以及非数字媒体。清理过程会从媒体中移除受控未分类信息（CUI），以确保信息无法被检索或重建。清理技术（例如，加密擦除、清除、清理和销毁）可以在媒体被重新使用或释放以供处置时，防止向未经授权的个人泄露受控未分类信息（CUI）。美国国家档案和记录管理局（NARA）的政策控制包含CUI的媒体的清理过程，并且在其他方法无法应用于媒体时可能要求销毁。

系统媒介包括数字媒介和非数字媒介。数字媒介包括软盘、闪存驱动器、磁带、外部或可移动的固态或磁性驱动器、光盘和数字多功能光盘。非数字媒介包括纸张和微缩胶片。对存储介质进行物理控制包括进行盘点、建立允许个人借出和归还图书馆介质的程序，以及对存储介质保持问责制。安全存储包括锁闭的抽屉、桌子或柜子，或受控的介质库。受控区域提供物理和程序控制，以满足保护信息和系统所建立的要求。清理技术（例如销毁、加密擦除、清除和清理）可防止受控未分类信息（CUI）被未经授权的人获取。清理过程将CUI从介质中移除，使信息无法被检索或重建。

系统介质包括数字介质和非数字介质。数字介质包括闪存驱动器、软盘、磁带、外部或可移动的固态或磁盘驱动器、光盘以及数字多功能光盘。非数字介质包括微缩胶片和纸张。受控区域是组织为满足保护受控非公开信息（CUI）和系统要求而提供物理或程序性措施的空间。在运输过程中对介质的保护可以包括加密和/或锁定容器。与介质运输相关的活动包括释放介质以便运输、确保介质进入适当的运输流程，以及实际的运输。被授权的运输和快递人员可能包括组织外部的个人。在运输过程中保持介质的可追溯性包括将运输活动限制在授权人员范围内，并在介质通过运输系统移动时跟踪或获取运输活动记录，以防止和发现丢失、破坏或篡改。此要求与03.13.08和03.13.11相关。

与要求03.08.01限制用户访问媒体不同，此要求限制或禁止使用某些类型的媒体，例如外部硬盘、闪存驱动器或智能显示器。组织可以使用技术和非技术措施（例如政策、程序和行为规则）来控制系统媒体的使用。例如，组织可以通过在工作站上使用物理护罩来禁止访问外部端口，或者禁用或移除插入、读取或写入设备的功能，从而控制便携式存储设备的使用。组织可能会将便携式存储设备的使用限制为仅限经批准的设备，包括组织提供的设备、其他经批准组织提供的设备，以及非个人拥有的设备。组织还可以根据设备类型控制便携式存储设备的使用——禁止使用可写的便携式设备——并通过禁用或删除向这些设备写入的功能来实施此限制。在外部系统中使用组织控制的系统媒体的限制包括对媒体使用方式和使用条件的限制。要求可识别的所有者（例如个人、组织或项目）对可移动系统介质负责，可以通过允许组织分配责任和问责来降低使用这些技术的风险，从而应对介质中已知的漏洞（例如恶意代码的插入）。

加密机制的选择基于保护备份信息机密性的需要。硬件安全模块（HSM）设备用于保护和管理加密密钥，并提供加密处理。加密操作（例如加密、解密以及签名生成和验证通常在 HSM 设备上托管，许多实现为加密操作提供硬件加速机制。此要求与 03.13.11 相关。

人员安全筛查活动涉及在授权访问系统之前或提升系统访问权限时，对个人的行为、诚信、判断力、忠诚度、可靠性和稳定性（即个人的可信度）进行评估。筛查和重新筛查活动反映了适用于所分配职位所需访问级别的联邦法律、行政命令、指令、政策、法规和标准。

与安全相关的系统属性包括硬件身份验证令牌、系统管理技术手册、密钥、身份证和楼宇通行证。离职面谈确保被解雇的个人理解作为前雇员所承担的安全限制，并对组织财产的使用负责。离职面谈中的安全话题包括提醒个人可能对未来就业的限制以及保密协议。对于某些个人，离职面谈可能并不总是可行，包括主管无法出席、疾病或擅自离职的情况。对于因事被解雇的个人，及时执行解雇措施至关重要。组织可以考虑在通知被终止的个人之前禁用其账户。此要求适用于人员调动或转岗的情况，当人员调动是永久性的或持续时间长到需要保护时。在组织内部调动或重新分配到其他职位时可能需要的保护措施包括：收回旧的并发放新的身份证、钥匙和出入证；更改系统访问权限（即权限）；关闭旧的系统账户并建立新的账户；并提供访问官方记录的权限，这些记录是个人在以前的工作地点使用以前系统账户时可以访问的。

对系统配电和传输线路采取的安全措施可以防止意外损坏、中断和物理篡改。这些措施也可能是防止窃听或篡改未加密传输的必要手段。用于控制系统分配和传输线路物理访问的安全措施包括断开或锁定的备用插孔、上锁的布线间、用导管或电缆托架保护的电缆，以及窃听传感器。

备选工作地点包括员工的私人住宅或组织指定的其他设施。备选工作地点可以在应急操作期间提供随时可用的备用位置。组织可以根据在这些地点进行的工作相关活动，为特定的备选工作地点或类型地点定义不同的安全要求。评估需求的有效性并提供在备用工作地点报告事件的方式，有助于支持组织的应急计划活动。

一个设施可以包括一个或多个物理位置，这些位置包含处理、存储或传输受控未分类信息（CUI）的系统或系统组件。物理访问监控包括组织设施内公开可访问的区域。物理访问监控的示例包括警卫、视频监控设备（如摄像头）和传感器设备。审查物理访问日志可以帮助识别可疑活动、异常事件或潜在威胁。如果访问日志是自动化系统的一部分，审查可以通过审计日志控制来支持。事件响应能力包括对物理安全事件的调查以及对这些事件的响应。事件包括安全违规或可疑的物理访问活动，例如在正常工作时间之外的访问、反复访问通常不访问的区域、非正常时长的访问以及不按顺序的访问。

一个设施可以包括一个或多个物理地点，这些地点包含处理、存储或传输受控未分类信息（CUI）的系统或系统组件。物理访问授权适用于员工和访客。拥有永久物理访问授权凭证的个人不被视为访客。授权凭证包括身份证徽章、身份证卡和智能卡。组织根据适用的法律、行政命令、指令、法规、政策、标准和指南确定授权凭证的强度。对于被指定为公众可进入的设施内的某些区域，可能不需要物理访问授权。

此要求涉及包含处理、存储或传输受控未分类信息（CUI）系统或系统组件的物理地点。组织需确定所需的护卫类型，包括专业保安人员或行政人员。物理访问设备包括钥匙、锁、组合锁、生物识别读卡器以及刷卡器。物理访问控制系统遵守适用的法律、行政命令、指令、政策、法规、标准和指南。组织在使用的审计日志类型上具有灵活性。审计日志可以是程序性的、自动化的，或两者的组合。物理访问点可以包括外部访问点、需要补充访问控制的内部系统访问点，或两者兼有。物理访问控制适用于员工和访客。拥有长期物理访问权限的个人不被视为访客。控制对输出设备的物理访问包括将输出设备放置在带锁的房间或其他安全区域，这些区域配有键盘或刷卡访问控制，并且仅允许授权人员访问；将输出设备放置在可以被人员监控的位置；安装显示器或屏幕过滤器；以及使用耳机。输出设备的例子包括显示器、打印机、扫描仪、传真机、音频设备和复印机。

该要求涉及对受控未分类信息（CUI）的保护政策和程序。政策和程序有助于保障安全，应涵盖CUI安全要求的每个类别。政策可以作为组织安全政策的一部分，也可以通过单独的政策来体现，以应对每个类别的安全要求。程序描述了政策如何实施，并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全计划中，也可以记录在一个或多个单独的文档中。

行为规范代表了一种面向系统用户的访问协议类型。组织会根据各个用户的角色和职责考虑处理 CUI 的行为规范，并区分适用于特权用户的规则和适用于普通用户的规则。

系统安全计划提供了处理、存储和传输受控非公开信息（CUI）的系统的关键特征，以及系统和信息如何受到保护。系统安全计划包含足够的信息，以便实现设计和实施，使其明确符合计划的意图，并在按照预期实施计划时进行后续风险评估。系统安全计划可以是文件的集合，包括已经存在的文件。有效的系统安全计划会参考提供额外详细信息的政策、程序和文件（例如，设计规范）。这减少了与安全程序相关的文档要求，并将安全信息保存在与企业架构、系统开发生命周期、系统工程和采购相关的其他已建立的管理或运营领域中。

建立系统边界是评估敏感但未公开信息（CUI）未经授权披露风险的前提条件。风险评估考虑威胁、漏洞、可能性以及对组织运营和资产的负面影响，这些都是基于系统的运行和使用以及CUI的未经授权披露。风险评估还会考虑来自外部方的风险（例如承包商代表组织操作系统、服务提供商、访问系统的个人以及外包实体。风险评估可以在组织层面、任务或业务流程层面、系统层面进行，也可以在系统开发生命周期的任何阶段进行。风险评估包括与供应商或承包商相关的供应链风险，以及他们提供的系统、系统组件或系统服务的风险。

此要求涉及在生成行动计划和里程碑（POAM）条目之前，确定对风险的适当应对措施的必要性。可能可以立即缓解风险，从而不需要生成 POAM 条目。然而，如果风险应对措施是缓解已识别的风险且缓解无法立即完成，则需要生成 POAM 条目。

组织确定系统组件所需的漏洞扫描，并确保不会忽略潜在的漏洞来源（例如，联网打印机、扫描仪和复印机）。自定义软件的漏洞分析可能需要额外的方法，例如静态分析、动态分析或二进制分析。组织可以在源代码审查和工具中使用这些方法。例如，静态分析工具、基于网络的应用扫描器、二进制分析器。漏洞扫描包括扫描补丁级别；扫描用户或设备不应访问的功能、端口、协议和服务；以及扫描配置不当或运行不正确的流量控制机制。为了促进互操作性，组织考虑使用以通用漏洞与披露（CVE）命名规范表示漏洞的扫描工具。漏洞信息的来源还包括通用弱点枚举（CWE）列表、国家漏洞数据库（NVD）以及通用漏洞评分系统（CVSS）。

在系统级别的持续监控有助于持续了解系统安全状况，从而支持风险管理决策。术语“持续”和“不断”意味着组织以足够的频率评估和监控其系统，以支持基于风险的决策。不同类型的安全要求可能需要不同的监控频率。

信息交换适用于两个或多个系统之间的信息交换，包括组织内部和外部的系统。组织会考虑在系统与其他可能具有不同安全要求或策略的系统交换信息时，可能引入的新威胁或增加的风险。所选择的协议类型是基于多个因素，例如交换信息的组织之间的关系（例如，政府对政府、企业对企业、政府对企业、政府或企业、或政府或企业对个人）以及另一系统的用户对组织系统的访问级别。协议类型可以包括信息交换安全协议、互联安全协议、谅解备忘录或协议、服务水平协议或其他类型的协议。组织可以将协议信息纳入正式合同，尤其是联邦机构与非联邦组织之间建立的信息交换协议（例如、服务提供商、承包商、系统开发人员和系统集成商）。交换协议中包含的信息类型包括每个系统的接口特性、安全要求、控制措施和责任。

行动计划和里程碑（POAMs）是组织安全计划中的重要文件。组织使用POAMs来描述如何满足未达成的安全需求，以及如何实施计划中的缓解措施。组织可以将系统安全计划和POAMs记录为单独或合并的文档，格式可以任意。联邦机构可以将系统安全计划和整改计划（POAM）作为基于风险的决策输入，用于决定是否在由非联邦组织托管的系统上处理、存储或传输受控非公开信息（CUI）。

通过评估安全需求，组织可以确定所需的防护措施和应对手段是否得到正确实施、按预期运行并产生预期结果。安全评估能够识别系统中的薄弱环节，并提供做出基于风险决策所需的关键信息。安全评估报告记录评估结果，详细程度由组织根据需要确定，以便判断报告的准确性和完整性。安全评估结果会提供给适用于所进行评估类型的个人或角色。

对外部供应商的产品、系统和服务的依赖以及与这些供应商的关系性质，对组织构成了日益增加的风险。可能增加安全风险的威胁行为包括未经授权的生产、伪造品的插入或使用、篡改、供应链中的不良制造和开发行为、盗窃，以及恶意软件、固件和硬件的插入。供应链风险可能在系统、组件或服务中是普遍存在的或系统性的。管理供应链风险是一项复杂且多方面的工作，需要整个组织协调努力，以建立信任关系并与内部和外部利益相关者进行沟通。供应链风险管理（SCRM）活动包括识别和评估风险、确定适当的风险应对措施、制定记录应对措施的SCRM计划，以及根据计划监控绩效。系统级SCRM计划是针对具体实施的，并提供约束、政策执行、要求以及相关影响。它可以是独立存在的，也可以纳入系统安全计划中。供应链风险管理（SCRM）计划涉及SCRM要求的管理、实施和监控，以及系统在系统开发生命周期中的开发或维护，以支持任务和业务功能。由于供应链在不同组织及组织内部可能存在显著差异，供应链风险管理（SCRM）计划会根据具体的项目、组织和运营环境进行定制。

供应链要素包括用于系统及系统组件的研究、开发、设计、制造、采购、交付、集成、运营、维护和处置的组织、实体或工具。供应链流程包括硬件、软件、固件及系统开发流程；运输和搬运程序；物理安全计划；人员安全计划；配置管理工具、技术和措施以保持来源；或其他与系统及系统组件的开发、采购、维护和处置相关的计划、流程或程序。供应链元素和流程由组织、系统集成商或外部服务提供商提供。供应链元素或流程中的薄弱环节或不足可能成为潜在的漏洞，敌对方可能利用这些漏洞对组织造成伤害，并影响其执行核心任务或业务功能的能力。

对外部供应商的产品、系统和服务的依赖以及与这些供应商的关系性质，对组织构成了日益增加的风险。可能增加安全风险的威胁行为包括未经授权的生产、伪造品的插入或使用、篡改、供应链中的不良制造和开发行为、盗窃，以及恶意软件、固件和硬件的插入。供应链风险可能在系统、组件或服务中是普遍存在的或系统性的。管理供应链风险是一项复杂且多方面的工作，需要整个组织协调努力，以建立信任关系并与内部和外部利益相关者进行沟通。供应链风险管理（SCRM）活动包括识别和评估风险、确定适当的风险应对措施、制定记录应对措施的SCRM计划，以及根据计划监控绩效。系统级SCRM计划是针对具体实施的，并提供约束、政策执行、要求以及相关影响。它可以是独立存在的，也可以纳入系统安全计划中。供应链风险管理（SCRM）计划涉及SCRM要求的管理、实施和监控，以及系统在系统开发生命周期中的开发或维护，以支持任务和业务功能。由于供应链在不同组织及组织内部可能存在显著差异，供应链风险管理（SCRM）计划会根据具体的项目、组织和运营环境进行定制。

受管接口包括网关、路由器、防火墙、基于网络的恶意代码分析、虚拟化系统以及在安全架构中实现的加密隧道。物理上或逻辑上与内部网络分离的子网络被称为非军事区或 DMZ。在组织系统中限制或禁止接口包括限制外部网络流量仅访问受管接口内的指定网页服务器，禁止伪装成内部地址的外部流量，以及禁止伪装成外部地址的内部流量。

协作计算设备包括白板、麦克风和摄像头。当使用会议软件时，笔记本电脑、智能手机、带有摄像头和麦克风的显示器和平板电脑也被视为协作计算设备。使用指示包括通知用户（例如（当协作计算设备被激活时，会弹出一个菜单，显示正在录制或麦克风已开启）。专用的视频会议系统通常依赖其中一方呼叫或连接另一方来启动视频会议，因此不包括在内。防止设备使用的解决方案包括摄像头盖和禁用麦克风的按钮。

加密密钥可以通过手动程序或支持手动程序的自动化机制来建立和管理。组织根据适用的联邦法律、行政命令、政策、指令、法规和标准，采用适当的选项、级别和参数来满足密钥建立和管理的要求。此要求与03.13.11相关。

加密技术的实施应遵守适用的法律、行政命令、指令、法规、政策、标准和指导方针。建议使用经过FIPS验证的加密技术来保护受控非公开信息（CUI）。

通过共享系统资源防止未经授权或意外的信息传输，可以阻止先前用户或角色的操作（或代表先前用户或角色操作的进程的操作）产生的信息被当前用户或角色（或代表当前用户或角色操作的当前进程）在这些资源被释放回系统后获得访问共享系统资源时获取。共享系统资源中的信息也适用于信息的加密表示。在其他情况下，对共享系统资源中信息的控制被称为对象重用和残留信息保护。共享系统资源中的信息并未涉及信息残留，即指已被名义上删除的数据的残余表现，也未涉及秘密通道（包括存储和时间通道），这些通道通过操纵共享系统资源来违反信息流限制，或者系统中仅有单个用户或角色的组件。

移动代码包括从远程系统获取的软件程序或程序部分，通过网络传输，并在本地系统上执行，而无需接收方明确安装或执行。关于是否使用移动代码的决策是基于该代码在被恶意使用时可能对系统造成损害的潜力。移动代码技术包括 Java 小程序、JavaScript、HTML5、VBScript 和 WebGL。移动代码在服务器上安装，以及在个人工作站和设备（包括笔记本电脑、智能手机和智能设备）上下载和执行时，均需遵守使用限制和实施指南。移动代码政策和程序涉及采取的措施，以防止在系统中开发、获取和使用不可接受的移动代码，包括要求移动代码由受信任的来源进行数字签名。

此要求适用于系统边界以及系统内已识别的点的入站和出站网络通信流量。拒绝所有、仅允许例外的网络通信流量策略可确保仅允许必要的和经批准的连接。

此要求适用于内部和外部网络。终止与通信会话相关的网络连接包括在操作系统层面释放 TCP/IP 地址或端口对，或者在应用程序层面释放网络分配（如果多个应用程序会话使用单个网络连接）。组织可以设定不活动的时间段，并可根据网络访问类型或特定的网络访问来划分时间段。

保护会话真实性是针对会话级别的通信保护，而不是数据包级别的保护。这种保护在通信会话的双方建立了对对方身份持续性和传输信息有效性的信任基础。真实性保护包括防止中间人攻击、会话劫持以及在会话中插入虚假信息。

此要求适用于内部和外部网络以及任何能够传输受控未分类信息（CUI）的系统组件，包括服务器、笔记本电脑、台式机、移动设备、打印机、复印机、扫描仪、传真机和无线电。未保护的通信路径容易被拦截和修改。加密可以在传输和存储过程中保护CUI免受未经授权的披露。在传输过程中保护 CUI 机密性的加密机制包括 TLS 和 IPsec。存储中的信息（即静态信息）是指 CUI 在未处理或未传输时的状态，并存放在内部或外部存储设备、存储区域网络设备和数据库中。保护存储中的受控未分类信息（CUI）并不关注存储设备的类型或访问该设备的频率，而是关注信息的状态。该要求与 03.13.11 相关。

组织识别受已公布的软件和固件漏洞影响的系统，包括由这些漏洞引起的潜在安全漏洞，并将此信息报告给具有信息安全职责的指定人员。与安全相关的更新包括补丁、服务包、热修复程序和防病毒签名。组织会解决在安全评估、持续监控、事件响应活动和系统错误处理过程中发现的缺陷。组织在修复系统缺陷时可以利用可用的资源（例如 CWE 或 CVE 数据库）。组织定义的用于更新安全相关软件和固件的时间周期可能会因多种因素而有所不同，包括更新的关键性（即与发现的漏洞相关的漏洞严重性）。某些类型的漏洞修复可能比其他类型需要更多的测试。

联邦机构会考虑非联邦组织的数据保留要求。在合同或协议结束后在非联邦系统上保留受控未分类信息（CUI）会增加这些系统的攻击面，并增加信息被泄露的风险。国家档案管理局（NARA）提供了联邦记录保留和时限的政策和指导。

恶意代码的插入是通过利用系统漏洞发生的。恶意代码可以通过多种方式插入系统，包括电子邮件、互联网和可移动存储设备。恶意代码包括病毒、蠕虫、木马和间谍软件。恶意代码可以以各种格式编码，包含在压缩文件或隐藏文件中，或使用诸如隐写术等技术隐藏在文件中。恶意代码可能存在于商业现成软件和定制软件中，并可能包括逻辑炸弹、后门以及其他可能影响组织任务和业务功能的攻击类型。对系统的定期扫描以及在下载、打开或执行来自外部来源的文件时的实时扫描，可以检测恶意代码。恶意代码防护机制还可以监控系统的异常或意外行为，并采取适当的措施。恶意代码防护机制包括基于特征码和非特征码的技术。非基于签名的检测机制包括使用启发式方法的人工智能技术，用于检测、分析和描述恶意代码的特征或行为，并对尚不存在签名的代码或现有签名可能无效的代码提供防护措施。恶意代码在尚未存在活动特征码或可能无效的情况下，包括多态恶意代码（即在复制时会改变其特征码的代码）。非特征码检测机制包括基于声誉的技术。全面的配置管理、防利用软件以及软件完整性控制也可能在防止未经授权的代码执行方面有效。如果检测方法或技术无法发现恶意代码，组织可以依靠安全编码实践、配置管理和控制、可信的采购流程以及监控做法，以帮助确保软件仅执行预期功能。组织可能会根据检测到的恶意代码决定采取不同的措施。例如，组织可以定义在扫描过程中检测到恶意代码、恶意下载或在尝试打开或执行文件时出现恶意活动时应采取的措施。

有许多公开可获取的系统安全警报和公告来源。国土安全部的网络安全与基础设施安全局（CISA）、国家安全局（NSA）和联邦调查局（FBI）都会生成安全警报和公告，以在联邦政府及非联邦组织中保持态势感知。软件供应商、订阅服务以及行业信息共享与分析中心（ISACs）也可能提供安全警报和咨询。由于许多安全指令的重要性，以及如果未能及时实施这些指令可能对组织运作和资产、个人、其他组织及国家造成的即时不利影响，遵守安全指令是至关重要的。

系统监控包括外部监控和内部监控。内部监控包括对系统内部发生的事件进行观察。外部监控包括对系统边界发生的事件进行观察。组织可以通过实时观察审计记录活动或观察系统的其他方面（如访问模式、访问特征和其他操作）来监控系统。监控目标可以指导事件的确定。系统监控能力是通过各种工具和技术实现的（例如）。审计记录监控软件、入侵检测系统、入侵防御系统、恶意代码防护软件、扫描工具、网络监控软件）。用于部署监控设备的战略位置包括选定的边界位置以及支持关键应用程序的服务器群附近，并在受管系统接口处使用此类设备。收集信息的监控粒度取决于组织的监控目标以及系统支持这些目标的能力。系统连接可以是网络的、远程的或本地的。网络连接是指与通过网络（例如局域网、互联网）通信的设备的任何连接。远程连接是指通过外部网络（例如互联网）与设备进行通信的任何连接。网络连接、远程连接和本地连接都可以是有线的或无线的。与入站和出站通信流量相关的不寻常或未授权的活动或情况包括：表明系统中存在恶意代码的内部流量，或在系统组件之间传播的恶意代码、未经授权的信息导出，或向外部系统发信号。恶意代码的证据可用于识别可能被入侵的系统。系统监控要求，包括对系统监控类型的需求，可能在其他要求中被引用。

外部系统服务由外部服务提供商提供。组织以多种方式与外部服务提供商建立关系，包括通过业务合作、合同、机构间协议、业务线安排、许可协议、合资企业和供应链交换等方式。使用外部系统服务所带来的风险管理责任仍由负责保护受控未分类信息（CUI）的组织承担。服务级别协议定义了性能期望，描述了可衡量的结果，并确定了在不合规情况下的补救、缓解措施和响应要求。来自外部服务提供商的关于特定功能、端口、协议以及用于提供此类服务的服务的信息，在需要了解限制某些功能和服务或阻止某些端口和协议所涉及的权衡时非常有用。此要求与 03.01.20 相关。

组织将系统安全工程原则应用于新开发的系统。对于遗留系统，组织在现有硬件、软件和固件组件的条件下，在可行范围内将系统安全工程原则应用于系统的修改。应用系统安全工程原则有助于开发可信、安全和有弹性的系统，并减少组织对中断、危险和威胁的易感性。示例包括开发分层防护；建立安全策略、架构和控制作为系统设计的基础；将安全需求纳入系统开发生命周期；划定物理和逻辑安全边界；确保开发人员接受如何构建可信安全软件的培训；以及进行威胁建模以识别用例、威胁主体、攻击向量和模式、设计模式以及减轻风险所需的补偿控制措施。应用安全工程原则的组织可以促进值得信赖的、安全的系统、系统组件和系统服务的开发；将风险降低到可接受水平；并做出明智的风险管理决策。

对系统组件的支持包括软件补丁、固件更新、更换零件和维护合同。举例来说，不受支持的组件是指供应商不再提供关键的软件补丁或产品更新，这可能导致对手有机会利用已安装组件中的弱点或缺陷。不更换不受支持的系统组件的例外情况包括：当无法获得更新技术，或当系统如此隔离以至于无法安装替代组件时，这些系统提供关键的任务或业务功能。替代支持来源旨在满足对系统组件持续支持的需求，这些组件原厂制造商、开发商或供应商已不再提供支持，但这些组件仍对组织的任务和业务功能至关重要。如果有必要，组织可以通过为关键软件组件开发定制补丁来建立内部支持，或者通过合同关系获取外部服务提供商的服务，这些服务提供商为不受支持的组件提供持续支持。这类合同关系可以包括开源软件增值供应商。通过禁止将不受支持的系统组件连接到公共或不受控制的网络，或实施其他形式的隔离，可以降低使用这些组件的风险。