保护受控未分类信息 Rev 3

移动设备是一种计算设备，具有小型外形，可以由单个人携带；设计为无需物理连接即可操作；具备本地的、不可拆卸或可拆卸的数据存储；并且包含一个独立的电源。移动设备的功能可能包括允许设备捕获信息的板载传感器、语音通信能力和/或用于将本地数据与远程位置同步的内置功能。示例包括智能手机、智能手表和平板电脑。移动设备通常与单个个体相关联。移动设备的处理、存储和传输能力可能与笔记本或台式系统相当，或者是其子集，这取决于设备的性质和预期用途。一些组织可能会将笔记本电脑视为移动设备。移动设备的保护和控制是基于行为或政策的，并且要求用户在受控区域之外采取实际行动来保护和控制此类设备。受控区域是指组织提供物理或程序控制以满足保护受控非公开信息（CUI）要求的空间。由于各种移动设备具有不同的特性和功能，组织对这些设备的不同类别或类型可能会有不同的限制。移动设备的使用限制、配置要求和连接要求包括配置管理、设备识别和认证、实施强制性防护软件、扫描设备中的恶意代码、更新病毒防护软件、扫描关键软件更新和补丁、进行操作系统和可能的其他软件完整性检查，以及禁用不必要的硬件。在移动设备上，安全容器提供基于软件的数据隔离，旨在将企业应用和信息与个人应用和数据分开。容器可能会呈现多个用户界面，其中最常见的是一个移动应用，作为访问一套企业生产力应用的门户，例如电子邮件、联系人和日历。组织可以使用全设备加密或基于容器的加密来保护移动设备上受控非公开信息（CUI）的机密性。

访问控制策略用于控制组织系统中主动实体或主体（即代表用户操作的用户或系统进程）与被动实体或对象（即设备、文件、记录、域）之间的访问。系统访问类型包括远程访问以及通过外部网络（如互联网）进行通信的系统访问。访问执行机制也可以在应用程序和服务层面使用，以提供对受控非公开信息（CUI）的更高保护。这承认系统可以托管许多应用程序和服务以支持任务和业务功能。访问控制策略在03.15.01中定义。

该要求侧重于系统和应用程序的账户管理。除账户类型（例如，特权访问、非特权访问）确定的访问授权外，访问授权的定义和执行在03.01.02中进行说明。系统账户类型包括个人、群组、临时、系统、访客、匿名、紧急、开发者和服务账户。需要在系统账户上拥有管理权限的用户会受到负责批准此类账户和特权访问的人员的额外审查。由于风险增加，组织可能禁止的账户类型包括组账户、紧急账户、访客账户、匿名账户和临时账户。组织可以选择按账户、账户类型或两者的组合来定义访问权限或其他属性。授权访问所需的其他属性包括对时间、星期几和来源地点的限制。在定义其他系统账户属性时，组织会考虑系统要求（例如系统升级、计划维护) 以及任务和业务需求（例如，时区差异、为满足出差需求而进行的远程访问）。构成重大安全风险的用户包括那些有可靠证据表明其有意利用授权访问系统造成损害的人，或者通过他们敌手可能造成损害的人。在为高风险个体停用系统账户时，任务和业务负责人、系统管理员、人力资源经理以及法律人员之间的紧密协调至关重要。组织人员或角色的通知时间可能有所不同。非活动注销是基于行为或策略的，需要用户在预期的非活动时间超过规定期限时进行实际操作以注销。03.01.10 规定了非活动注销的自动执行。

设备锁是为了防止在用户离开系统的直接视线范围时访问系统而采取的临时措施，但由于用户的离开是暂时的，他们不想注销。设备锁可以在操作系统层面或应用程序层面实现。用户发起的设备锁是基于行为或策略的，需要用户采取实际操作来启动设备锁。设备锁不能替代系统的登出操作（例如，当组织要求用户在工作日结束时登出时）。可公开查看的图像可以包括静态或动态图像，例如屏幕保护程序使用的图案、纯色、摄影图像、时钟、电池电量指示器或空白屏幕，但前提是不能显示受控非机密信息。

信息流控制规范了受控未分类信息（CUI）在系统内部和系统之间的传输位置（与谁被允许访问信息不同），并且不考虑对该信息的后续访问。流量控制限制包括防止敏感受控信息（CUI）以明文形式传输到互联网，阻止声称来自组织内部的外部通信流量，限制非来自内部网页代理服务器的互联网请求，以及根据数据结构和内容限制组织间敏感受控信息的传输。在组织之间传输 CUI 可能需要一份协议，明确规定信息流的执行方式（参见 03.12.05）。在代表不同安全域且具有不同安全策略的系统之间传输 CUI 会增加违反一个或多个域安全策略的风险。在这种情况下，信息所有者或管理者会在互连系统之间的指定政策执行点提供指导。当需要执行特定安全策略时，组织会考虑强制采用特定的架构解决方案。执行措施包括禁止在互连系统之间传输受控非公开信息（CUI）（即，仅允许访问信息)、使用硬件机制来强制单向信息流，并实施可信的再评级机制来重新分配安全属性和安全标签。组织通常使用信息流控制策略和执行机制来控制受控未分类信息（CUI）在指定来源和目标之间的流动（例如，系统内以及互联系统之间的网络、个人和设备。流量控制基于信息或信息路径的特性。执行发生在边界保护设备中（例如加密隧道、路由器、网关和防火墙）使用规则集或建立配置设置来限制系统服务，提供基于报头信息的数据包过滤功能，或提供基于消息内容的消息过滤功能（例如，实施关键字搜索或使用文档特征）。组织还会考虑过滤和检查机制（即硬件、固件和软件组件）的可信性，这些机制对于信息流的执行至关重要。

组织在特定职责和用户及系统进程的授权访问中采用最小特权原则。最小特权原则适用于系统的开发、实施和运行。组织考虑创建额外的流程、角色和系统账户以实现最小特权。安全功能包括建立系统账户并分配权限、安装软件、配置访问授权、配置需审计的事件设置、建立漏洞扫描参数、建立入侵检测参数以及管理审计信息。与安全相关的信息包括威胁和漏洞信息、路由器或防火墙的过滤规则、安全服务的配置参数、安全架构、加密密钥管理信息、访问控制列表以及审计信息。

特权账户是指被授予提升权限以访问通常对非特权账户受限制的资源（包括安全功能或与安全相关的信息）的账户。这些账户通常被描述为系统管理员或超级用户账户。例如，通常需要特权账户才能执行特权功能，例如执行可能修改系统行为的命令。将特权账户限制给特定人员或角色可以确保只有授权用户能够访问和操作安全功能或与安全相关的信息。在不需要访问特权功能时，要求使用非特权账户可以限制对安全功能或安全相关信息的未授权访问和操作。

特权功能包括建立系统账户、执行系统完整性检查、进行补丁操作、修改系统配置设置或管理加密密钥管理活动。非特权用户没有执行特权功能的授权。绕过入侵检测和防御机制或恶意代码防护机制是需要对非特权用户进行保护的特权功能的例子。此要求表示通过在03.01.01中定义授权特权以及在03.01.02中执行特权而实现的条件。特权功能的滥用——无论是由授权用户有意或无意地滥用，还是由已经入侵系统账户的未授权外部实体滥用——都是一个严重且持续存在的担忧，可能对组织造成重大不利影响。记录特权功能的使用是一种检测此类滥用并减轻高级持续性威胁和内部威胁风险的方法。

根据适用的法律、行政命令、指令、政策、法规、标准和指南，公众无权获取非公开信息，包括受控未公开信息 (CUI)。

远程访问是指通过外部网络（如互联网）与系统（或代表用户操作的进程）进行通信的访问。监控和控制远程访问方法可以帮助组织检测攻击并确保遵守远程访问政策。通过受管访问控制点路由远程访问可以增强对这些连接的明确控制，并减少系统遭受未经授权访问的可能性，防止机密受控信息（CUI）的非法泄露。对系统的远程访问是一个可能被对手利用的重要潜在漏洞。通过远程访问限制特权命令的执行和对安全相关信息的访问，可以减少组织的暴露和对对手威胁的易感性。特权命令是由人工发起并在系统上执行的命令，涉及对系统的控制、监控或管理，包括安全功能和安全相关信息。与安全相关的信息是指可能影响安全功能的运行或安全服务的提供，从而可能导致无法执行系统安全策略或无法保持代码和数据隔离的信息。特权命令使个人能够执行敏感的、安全关键的或与安全相关的系统功能。

职务分离旨在防止授权权限的滥用，并在没有勾结的情况下降低恶意行为的风险。职务分离包括将任务职能和支持职能分配给不同的个人或角色，以及由不同的个人或角色执行系统支持职能（例如）。质量保证、配置管理、网络安全、系统管理、评估和编程），并确保负责访问控制功能的人员不同时管理审计功能。由于职责分离违规可能跨越系统和应用领域，组织在制定职责分离政策时会考虑其系统及系统组件的整体情况。此要求由03.01.02执行。

此要求涉及用户发起的逻辑会话的终止，与03.13.09中与通信会话相关的网络连接终止（即断开网络连接）形成对比。每当用户（或代表用户操作的进程）访问系统时，就会启动逻辑会话。逻辑会话可以被终止（从而终止用户访问），而无需终止网络会话。会话终止会结束与用户的逻辑会话相关的所有系统进程，但不会结束由用户（即会话所有者）创建的、在会话终止后继续运行的进程。需要自动终止会话的条件或触发事件可以包括组织规定的用户不活动时间、系统使用的时间限制，以及针对某些类型事件的特定响应。

系统使用通知可以通过消息或警告横幅来实现。消息或警告横幅会在个人登录处理、存储或传输受控未分类信息（CUI）的系统之前显示。系统使用通知用于通过具有人工用户的登录界面进行访问，而在人机界面不存在时则不需要。组织会考虑在初始网络登录后，是否需要二次使用通知来访问应用程序或其他系统资源。海报或其他印刷材料可以代替自动系统消息。此要求与03.15.03相关。

由于存在服务拒绝的可能性，自动系统锁定在大多数情况下是临时的，并会在组织设定的预定时间段后自动解除（即使用延迟算法）。组织可能会根据各组件的能力，为不同的系统组件采用不同的延迟算法。对系统登录未成功尝试的响应可以在系统和应用程序级别实现。组织定义的可采取的措施包括提示用户在输入用户名和密码之外回答一个安全问题、启用具有有限用户功能的锁定模式（而不是完全锁定）、仅允许用户从指定的互联网协议（IP）地址登录、要求进行 CAPTCHA 以防止自动化攻击，或应用用户配置文件，例如位置、时间、IP 地址、设备或媒体访问控制（MAC）地址。

外部系统是指被组织使用但不属于组织的一部分的系统。这些系统包括个人拥有的系统、系统组件或设备；商业或公共设施中私有的计算和通信设备；非联邦组织拥有或控制的系统；以及由承包商管理的系统。组织可以选择禁止使用任何类型的外部系统或特定类型的外部系统（例如，禁止使用非组织拥有的外部系统）。条款和条件与与拥有、运营或维护外部系统的实体建立的信任关系一致，并包括共享责任的描述。被授权的个人包括组织人员、承包商或其他具有组织系统访问权限的个人，组织对其有权施加关于系统访问的特定行为规则。组织对被授权个人施加的限制可能因组织之间的信任关系而有所不同。组织需要确认外部系统满足必要的安全要求，以免危及、破坏或损害系统。此要求与03.16.03相关。

无线网络功能代表了潜在的重要漏洞，可能被对手利用。建立无线访问系统的使用限制、配置要求和连接要求，为访问授权决策提供标准。这些限制和要求可以降低通过无线技术进行未经授权的系统访问的风险。无线网络使用提供凭证保护和相互认证的身份验证协议。组织对个人和设备进行身份验证，以保护系统的无线访问。特别关注具有潜在无线访问权限的各种设备，包括小型移动设备（例如智能手机、平板电脑、智能手表）。嵌入系统组件的无线网络功能可能成为敌手利用的潜在漏洞。对用户和设备进行强身份验证、采用强加密，以及禁用非关键任务或业务功能所需的无线功能，可以减少无线技术相关威胁的易受攻击性。