保护受控未分类信息 Rev 3

组织识别受已公布的软件和固件漏洞影响的系统，包括由这些漏洞引起的潜在安全漏洞，并将此信息报告给具有信息安全职责的指定人员。与安全相关的更新包括补丁、服务包、热修复程序和防病毒签名。组织会解决在安全评估、持续监控、事件响应活动和系统错误处理过程中发现的缺陷。组织在修复系统缺陷时可以利用可用的资源（例如 CWE 或 CVE 数据库）。组织定义的用于更新安全相关软件和固件的时间周期可能会因多种因素而有所不同，包括更新的关键性（即与发现的漏洞相关的漏洞严重性）。某些类型的漏洞修复可能比其他类型需要更多的测试。

联邦机构会考虑非联邦组织的数据保留要求。在合同或协议结束后在非联邦系统上保留受控未分类信息（CUI）会增加这些系统的攻击面，并增加信息被泄露的风险。国家档案管理局（NARA）提供了联邦记录保留和时限的政策和指导。

恶意代码的插入是通过利用系统漏洞发生的。恶意代码可以通过多种方式插入系统，包括电子邮件、互联网和可移动存储设备。恶意代码包括病毒、蠕虫、木马和间谍软件。恶意代码可以以各种格式编码，包含在压缩文件或隐藏文件中，或使用诸如隐写术等技术隐藏在文件中。恶意代码可能存在于商业现成软件和定制软件中，并可能包括逻辑炸弹、后门以及其他可能影响组织任务和业务功能的攻击类型。对系统的定期扫描以及在下载、打开或执行来自外部来源的文件时的实时扫描，可以检测恶意代码。恶意代码防护机制还可以监控系统的异常或意外行为，并采取适当的措施。恶意代码防护机制包括基于特征码和非特征码的技术。非基于签名的检测机制包括使用启发式方法的人工智能技术，用于检测、分析和描述恶意代码的特征或行为，并对尚不存在签名的代码或现有签名可能无效的代码提供防护措施。恶意代码在尚未存在活动特征码或可能无效的情况下，包括多态恶意代码（即在复制时会改变其特征码的代码）。非特征码检测机制包括基于声誉的技术。全面的配置管理、防利用软件以及软件完整性控制也可能在防止未经授权的代码执行方面有效。如果检测方法或技术无法发现恶意代码，组织可以依靠安全编码实践、配置管理和控制、可信的采购流程以及监控做法，以帮助确保软件仅执行预期功能。组织可能会根据检测到的恶意代码决定采取不同的措施。例如，组织可以定义在扫描过程中检测到恶意代码、恶意下载或在尝试打开或执行文件时出现恶意活动时应采取的措施。

有许多公开可获取的系统安全警报和公告来源。国土安全部的网络安全与基础设施安全局（CISA）、国家安全局（NSA）和联邦调查局（FBI）都会生成安全警报和公告，以在联邦政府及非联邦组织中保持态势感知。软件供应商、订阅服务以及行业信息共享与分析中心（ISACs）也可能提供安全警报和咨询。由于许多安全指令的重要性，以及如果未能及时实施这些指令可能对组织运作和资产、个人、其他组织及国家造成的即时不利影响，遵守安全指令是至关重要的。

系统监控包括外部监控和内部监控。内部监控包括对系统内部发生的事件进行观察。外部监控包括对系统边界发生的事件进行观察。组织可以通过实时观察审计记录活动或观察系统的其他方面（如访问模式、访问特征和其他操作）来监控系统。监控目标可以指导事件的确定。系统监控能力是通过各种工具和技术实现的（例如）。审计记录监控软件、入侵检测系统、入侵防御系统、恶意代码防护软件、扫描工具、网络监控软件）。用于部署监控设备的战略位置包括选定的边界位置以及支持关键应用程序的服务器群附近，并在受管系统接口处使用此类设备。收集信息的监控粒度取决于组织的监控目标以及系统支持这些目标的能力。系统连接可以是网络的、远程的或本地的。网络连接是指与通过网络（例如局域网、互联网）通信的设备的任何连接。远程连接是指通过外部网络（例如互联网）与设备进行通信的任何连接。网络连接、远程连接和本地连接都可以是有线的或无线的。与入站和出站通信流量相关的不寻常或未授权的活动或情况包括：表明系统中存在恶意代码的内部流量，或在系统组件之间传播的恶意代码、未经授权的信息导出，或向外部系统发信号。恶意代码的证据可用于识别可能被入侵的系统。系统监控要求，包括对系统监控类型的需求，可能在其他要求中被引用。