NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
访问控制决策(也称为授权决策)发生在将授权信息应用于特定访问时。相比之下,访问执行发生在系统执行访问控制决策时。虽然通常由同一实体实施访问控制决策和访问执行,但这不是必须的,而且也不一定总是最优的实施选择。对于某些架构和分布式系统,不同的实体可能会做出访问控制决策并执行访问控制。
移动设备是一种计算设备,具有小型外形,因此可以由单个个体轻松携带;设计时无需物理连接即可操作;拥有本地、不可拆卸或可拆卸的数据存储;并且包含独立的电源。移动设备的功能还可能包括语音通信能力、允许设备捕捉信息的内置传感器,和/或用于将本地数据与远程位置同步的内置功能。示例包括智能手机和平板电脑。移动设备通常与单个个人相关联。移动设备的处理、存储和传输能力可能与笔记本或台式系统相当,也可能只是其一部分,这取决于设备的性质和预期用途。移动设备的保护和控制依赖于行为或政策,并且需要用户在设备处于受控区域之外时采取实际措施来保护和控制这些设备。受控区域是指组织为了符合保护信息和系统的要求而提供物理或程序控制的空间。由于移动设备种类繁多,具有不同的特性和功能,组织对这些设备的不同类别或类型可能会有不同的限制。移动设备的使用限制和具体实施指南包括配置管理、设备识别和认证、强制性保护软件的实施、扫描设备中的恶意代码、更新病毒防护软件、扫描关键软件更新和补丁、进行主要操作系统(以及可能的其他驻留软件)完整性检查,以及禁用不必要的硬件。使用限制和连接授权可能因组织系统而异。例如,组织可能会授权将移动设备连接到组织网络,并施加一系列使用限制,而系统所有者可能会拒绝授权移动设备连接特定应用程序,或者在允许移动设备连接系统之前施加额外的使用限制。对移动设备的充分安全保障超出了 AC-19 中规定的要求。许多移动设备的控制措施在初始控制基线中已体现,并作为使用定制流程开发安全计划和覆盖方案的起点。不同控制类别中的安全控制之间也可能存在一些重叠。AC-20 适用于未由组织控制的移动设备。
访问控制策略用于控制组织系统中主动实体或主体(即代表用户操作的用户或进程)与被动实体或对象(即设备、文件、记录、域)之间的访问。除了在系统层面强制执行授权访问,并认识到系统可以承载许多支持任务和业务功能的应用程序和服务外,访问执行机制还可以在应用程序和服务层面使用,以提供增强的信息安全和隐私保护。与在系统内实施的逻辑访问控制相反,物理访问控制由物理与环境保护(PE)系列中的控制措施来管理。
该系统提供了一个功能,使用户能够访问每个连接的安全域,而不提供任何机制允许用户在不同的安全域之间传输数据或信息。一个仅限访问的解决方案的例子是一个终端,它为用户提供访问具有不同安全级别的信息的能力,同时确保信息保持独立分开。
系统账户类型的示例包括个人账户、共享账户、组账户、系统账户、访客账户、匿名账户、紧急账户、开发者账户、临时账户和服务账户。识别授权的系统用户以及指定访问权限反映了安全计划中其他控制措施的要求。需要在系统账户上拥有管理权限的用户会受到负责批准此类账户和特权访问的组织人员的额外审查,包括系统所有者、任务或业务所有者、高级机构信息安全官员或机构高级隐私官员。由于风险增加,组织可能希望禁止的账户类型包括共享账户、群组账户、紧急账户、匿名账户、临时账户和访客账户。当访问涉及个人身份信息时,安全计划会与机构高级隐私官合作,确定群组和角色成员资格的具体条件;指定每个账户的授权用户、群组和角色成员以及访问权限;并根据组织政策创建、调整或删除系统账户。政策可以包括账户到期日期或触发账户停用的其他因素等信息。组织可以选择按账户、账户类型或两者结合来定义访问权限或其他属性。授权访问所需的其他属性示例包括对一天中的时间、星期几和来源地点的限制。在定义其他系统账户属性时,组织会考虑与系统相关的要求以及任务/业务需求。未能考虑这些因素可能会影响系统可用性。临时和紧急账户是用于短期使用的。当需要短期账户而不要求立即激活账户时,组织会在正常账户激活程序中建立临时账户。组织会在应对危机情况以及需要快速激活账户时建立紧急账户。因此,紧急账户激活可能会绕过正常的账户授权流程。紧急和临时账户不应与不常使用的账户混淆,包括用于特殊任务或网络资源不可用时的本地登录账户(也可能被称为最后手段账户)。此类账户仍然可用,并且不受自动禁用或删除日期的限制。禁用或停用帐户的条件包括共享/组帐户、紧急帐户或临时帐户不再需要,以及个人被调动或终止时。在成员离开组时更改共享/组认证器旨在确保前组成员不再保留对共享或组帐户的访问权限。某些类型的系统帐户可能需要专业培训。
非典型使用包括在一天中的某些时间或从与个人正常使用模式不一致的位置访问系统。监控非典型使用可能会揭示个体的异常行为或正在进行的攻击。账户监控可能会无意中带来隐私风险,因为为识别异常使用而收集的数据可能会揭示关于个人行为的先前未知的信息。组织在其隐私影响评估中评估并记录来自账户异常使用监控的隐私风险,并作出符合其隐私计划的决定。
组织可以指定在用户登录时提供的额外信息,包括上次登录的位置。用户位置定义为系统可以确定的信息,例如网络登录使用的互联网协议(IP)地址、本地登录通知或设备标识符。
为限制组织控制范围之外对无线通信的未经授权使用,可采取的措施包括降低无线传输的功率,以减少信号在组织物理范围之外被接收的可能性;采取诸如发射安全等措施以控制无线发射;以及使用定向天线或波束成形天线,以降低意外接收者拦截信号的可能性。在采取此类缓解措施之前,组织可以定期进行无线调查,以了解组织系统的无线频率分布情况,以及可能在该区域运行的其他系统的情况。
组织根据跨分类边界的信息流类型,在跨域策略和指导中定义批准的解决方案和配置。国家安全局(NSA)国家跨域战略与管理办公室提供已批准的跨域解决方案列表。如需更多信息,请联系 ncdsmo@nsa.gov。
断言和强制应用程序访问旨在解决需要访问现有系统应用程序和功能的应用程序,包括用户联系人、全球定位系统、摄像头、键盘、麦克风、网络、电话或其他文件。
系统通常为特权用户提供将安全和隐私属性分配给系统定义的主体(例如用户)和对象(例如目录、文件和端口)的功能。一些系统还为普通用户提供将安全和隐私属性分配给其他对象(例如文件、电子邮件)的额外功能。设计文档中描述了由授权人员进行属性关联的情况。系统提供的支持可以包括提示用户选择与信息对象相关的安全和隐私属性,使用自动化机制根据定义的策略为信息分配属性,或者确保所选安全或隐私属性的组合有效。组织在定义可审计事件时会考虑属性的创建、删除或修改。
将安全性和隐私属性与系统中的信息关联,对于执行自动访问控制和流量执行操作非常重要。将这些属性与信息关联(即绑定)可以通过提供不同级别保障的技术和方法来实现。例如,系统可以使用数字签名以加密方式将属性绑定到信息上,而这些数字签名支持由硬件设备保护的加密密钥(有时称为硬件信任根)。
基于属性的访问控制是一种访问控制策略,它根据指定的组织属性(例如,工作职能、身份)、操作属性(例如,读取、写入、删除)、环境属性(例如,一天中的时间、位置)和资源属性(例如,文档的分类)来限制系统对授权用户的访问。组织可以根据属性以及执行所需操作的授权(即权限)创建规则,这些操作对应于与组织定义的属性和规则相关的系统。当用户被分配到基于属性的访问控制策略或规则中定义的属性时,他们可以被赋予系统的相应权限,或者动态地获得对受保护资源的访问权限。基于属性的访问控制可以实现为强制访问控制或自主访问控制。当以强制访问控制实施时,AC-3(3)中的要求定义了策略所涵盖的主体和对象的范围。
安全和隐私属性的内容或分配值可以直接影响个人获取组织信息的能力。因此,系统必须能够限制只有授权人员才能创建或修改可与主体和对象关联的属性类型和值。
系统输出包括打印的页面、屏幕或同类物品。系统输出设备包括打印机、笔记本电脑、视频显示器、智能手机和平板电脑。为了降低信息未经授权泄露的风险(例如,偷窥屏幕),当用户未屏蔽时,输出会显示完整的属性值。
重新分级机制是一种受信任的过程,被授权根据已定义的政策例外对数据进行重新分类和重新标记。经过验证的重新分级机制被组织用来为属性重新分配活动提供所需的保证水平。通过确保重新分级机制具有单一用途且功能有限,可以促进验证。由于安全性和隐私属性的变化可能直接影响策略执行行为,因此有必要实施可靠的重评机制,以帮助确保这些机制在一致且正确的运行模式下执行。
属性的内容或分配值会直接影响个人访问组织信息的能力。因此,系统必须能够将创建或修改属性的权限限制在授权人员范围内,这一点非常重要。
内容过滤是指在信息通过跨域解决方案时对其进行检查的过程,并确定该信息是否符合预定义的策略。内容过滤的操作以及过滤操作的结果会对每条消息进行记录,以确保已应用正确的过滤操作。内容过滤报告用于协助排查操作问题,例如,确定消息内容为何被修改和/或为何未通过过滤过程。审计事件在 AU-2 中定义。审计记录在 AU-12 中生成。
在某些情况下,例如当存在对人类生命的威胁或威胁组织执行关键任务或业务功能的事件时,可能需要对访问控制机制的覆盖能力。覆盖条件由组织定义,仅在这些有限情况下使用。审计事件在 AU-2 中定义。审计记录在 AU-12 中生成。
对远程命令进行身份验证可以防止未经授权的命令以及已授权命令的重放。对远程系统进行远程指令身份验证的能力非常重要,因为如果这些系统发生丢失、故障、误导或被利用,可能会立即造成严重后果,例如人员伤害、死亡、财产损失、高价值资产损失、任务或业务功能失败,或机密或受控未分类信息的泄露。远程命令的身份验证机制确保系统按照预期的顺序接受和执行命令,仅执行授权的命令,并拒绝未授权的命令。例如,可以使用加密机制来验证远程命令。
无线网络功能代表了一个潜在的重大漏洞,可能会被对手利用。为了保护具有无线接入点的系统,强用户和设备认证以及强加密可以降低系统在无线技术使用中受到对手威胁的可能性。
安全功能包括建立系统账户、配置访问授权(即权限、特权)、配置需要审计的事件的设置以及建立入侵检测参数。与安全相关的信息包括路由器或防火墙的过滤规则、安全服务的配置参数、加密密钥管理信息以及访问控制列表。授权人员包括安全管理员、系统管理员、系统安全官、系统程序员以及其他具有特权的用户。
账户管理审计记录根据 AU-2 定义,并按照 AU-6 进行审查、分析和报告。
使用自动化机制来执行信息共享决策。
自动化系统账户管理包括使用自动化机制创建、启用、修改、禁用和删除账户;在账户被创建、启用、修改、禁用或删除,或者用户被终止或调岗时通知账户管理人员;监控系统账户使用情况;并报告异常的系统账户使用情况。自动化机制可以包括内部系统功能以及电子邮件、电话和短信通知。
临时和紧急账户的管理包括在预定义的时间段后自动删除或禁用这些账户,而不是由系统管理员自行决定。账户的自动删除或禁用能够实现更一致的管理。
生物特征具有概率性质。成功认证的能力可能受到多种因素的影响,包括匹配性能和欺骗攻击检测机制。组织会根据组织定义的因素为用户选择适当的尝试次数。
组织可以全局、按账户类型、按账户或任何组合方式定义系统账户的最大并发会话数。例如,组织可以限制系统管理员或其他在特别敏感领域或关键任务应用中工作的人员的并发会话数量。并发会话控制针对系统账户的并发会话。然而,它并不涉及单个用户通过多个系统账户的并发会话。
文档包含配置安全或隐私策略过滤器的详细信息。例如,管理员可以配置安全或隐私策略过滤器,以包含安全或隐私策略机制根据组织提供的定义检查的不当词汇列表。
为了在分布式系统的多个系统组件中实施安全和隐私策略,组织提供了对用于访问控制和流量控制决策的安全和隐私属性的一致解释。组织可以建立协议和流程,以帮助确保分布式系统组件在自动访问控制和流量控制操作中对属性的解释保持一致。
组织只有在信息存在于系统内时才能直接保护信息。一旦信息传输到系统之外,可能需要额外的控制措施,以确保组织信息得到充分保护。在系统无法确定外部实体提供的保护措施是否足够的情况下,作为一种减轻控制措施,组织会通过程序性方式确定外部系统是否提供了足够的控制。用于确定外部系统提供的控制措施是否充分的方法包括进行定期评估(检查/测试)、在组织与其对方组织之间建立协议,或其他某种过程。外部实体用于保护所接收信息的手段不必与组织使用的手段相同,但所采用的手段足以确保对安全和隐私政策进行一致的裁定,从而保护信息和个人隐私。信息的受控发布要求系统在将信息发布到外部系统之前,实施技术或程序手段来验证信息。例如,如果系统将信息传递给另一个组织控制的系统,就会采用技术手段来验证所导出信息的安全性和隐私属性是否适合接收系统。或者,如果系统将信息传送到组织控制的空间中的打印机,可以采用程序化手段确保只有授权人员可以访问打印机。
数据挖掘是一种分析过程,它试图在大型数据集中寻找相关性或模式,以实现数据或知识的发现。数据存储对象包括数据库记录和数据库字段。敏感信息可能会从数据挖掘操作中被提取出来。当信息属于可识别个人身份的信息时,可能会导致关于个人的意外披露,并产生隐私风险。在进行数据挖掘活动之前,组织应确定此类活动是否获得授权。组织可能需要遵守适用于数据挖掘要求的法律、行政命令、指令、法规或政策。组织人员就此类要求向机构高级官员咨询隐私和法律意见。数据挖掘的预防和检测技术包括限制数据库查询的数量和频率,以增加确定数据库内容所需的工作量,限制对数据库查询提供的响应类型,应用差分隐私技术或同态加密技术,并在发生异常数据库查询或访问时通知相关人员。数据挖掘保护侧重于在信息存储于组织数据存储时保护这些信息免受数据挖掘的影响。相比之下,AU-13则侧重于监控可能已被挖掘或以其他方式从数据存储中获取并作为开放源信息存在于外部网站(例如社交网络或社交媒体网站)上的组织信息。[EO 13587] 要求建立内部威胁计划,以威慑、检测和减轻内部威胁,包括保护敏感信息免受利用、泄露或其他未经授权的披露。数据挖掘保护要求组织确定适当的技术,以防止和检测不必要或未经授权的数据挖掘。内部人员可以利用数据挖掘收集组织信息以进行外泄。
数据清理是指对存储在存储设备(如硬盘、闪存/固态硬盘、移动设备、光盘和DVD)上或以纸质形式存在的数据进行不可逆地删除或销毁的过程。
数据类型标识符包括文件名、文件类型、文件签名或标记,以及多个内部文件签名或标记。系统仅允许传输符合数据类型格式规范的数据。数据类型的识别和验证基于与每种允许的数据格式相关的定义规范。仅凭文件名和号码不能用于数据类型识别。内容会根据其规范在语法和语义上进行验证,以确保其是正确的数据类型。
在信息传输之前将信息分解成与政策相关的子组件,有助于对来源、目的地、证书、分类、附件以及其他与安全或隐私相关的组件区分因素的政策决策。策略执行机制对信息中与策略相关的子组件应用过滤、检查和/或清理规则,以便在将此类信息传输到不同安全域之前实施流动控制。
未经授权的信息包括恶意代码、不适合从源网络发布的信息,或可能干扰或损害目标网络上的服务或系统的可执行代码。
设备锁是为了防止在用户停止工作并离开系统的直接附近时的逻辑访问而采取的临时措施,但由于缺席是暂时的,他们不希望注销。设备锁可以在操作系统级别或应用程序级别实现。可以使用接近锁来启动设备锁(例如)。通过支持蓝牙的设备或加密锁)。用户主动发起的设备锁定是基于行为或策略的,因此需要用户采取实际操作来启动设备锁定。设备锁定不能作为注销系统的替代方法,例如当组织要求用户在工作日结束时注销时。
禁用过期的、非活动的或其他异常的账户有助于支持最小权限和最小功能的概念,从而减少系统的攻击面。
构成重大安全和/或隐私风险的用户包括那些有可靠证据表明其有意利用授权访问系统来造成伤害,或通过其行为使对手造成伤害的个人。这种伤害包括对组织运营、组织资产、个人、其他组织或国家产生的不利影响。在为高风险人员禁用系统账户时,系统管理员、法律人员、人力资源经理和授权官员之间的紧密协调是至关重要的。
嵌入系统组件中的无线网络功能代表了潜在的重要漏洞,可能被对手利用。当无线功能不是执行关键组织任务或功能所必需时,禁用无线功能可以减少使用无线技术的对手所带来的威胁。
系统断开或禁用的速度取决于任务或业务功能的重要性,以及是否需要立即或未来禁止对系统的远程访问。
当实施自主访问控制策略时,主体在对其已被授予访问权限的信息采取何种操作方面没有限制。因此,已被授予信息访问权限的主体不会被阻止将信息传递给其他主体或对象(即,主体可以自由决定是否传递)。自主访问控制可以与强制访问控制一起运行,如 AC-3(3) 和 AC-3(15) 所述。受强制访问控制策略限制的主体仍然可以在自主访问控制较宽松的约束下进行操作。因此,虽然 AC-3(3) 对主体施加了约束,防止其将信息传递给在不同影响或分类级别上操作的另一个主体,但 AC-3(4) 允许主体将信息传递给同一影响或分类级别的任何主体。该策略受系统限制。一旦信息传出系统控制之外,可能需要额外的手段来确保约束继续有效。虽然传统的自主访问控制定义要求基于身份的访问控制,但对于本次自主访问控制的特定使用,并不要求这一限制。
同时实施强制访问控制策略和自主访问控制策略可以为用户或代表用户操作的进程的未授权代码执行提供额外的保护。这有助于防止单个被攻破的用户或进程危及整个系统。
归因是安全和隐私作战概念中的关键组成部分。能够识别系统内部信息流的来源和目的地,使得事件的取证重建成为可能,并通过将政策违规行为归因于特定组织或个人来促进政策合规性。成功的域名认证要求系统标签能够区分参与准备、发送、接收或传播信息的系统、组织和个人。归属还使组织能够更好地维护个人身份信息处理在系统中流动的来源,并可以促进同意跟踪,以及个人提出的更正、删除或访问请求。
双重授权,也称为双人控制,可以降低与内部威胁相关的风险。双重授权机制要求两位授权人员的批准才能执行。为了降低串通的风险,组织通常会考虑将双重授权职责轮换给其他人员。组织在需要立即响应以确保公众和环境安全时,会考虑实施双重授权机制所带来的风险。
动态创建、激活、管理和停用系统账户的方法依赖于在运行时自动为先前未知的实体提供账户。组织通过建立信任关系、业务规则以及与适当权限机构的机制,来规划系统账户的动态管理、创建、激活和停用,从而验证相关的授权和权限。
当信息的安全性或隐私特性随时间变化时,属性的动态关联是适当的。属性可能由于信息聚合问题而发生变化(即,单个数据元素的特性与组合后的元素不同),以及单个访问授权的变化(即…,权限)、信息安全类别的变化,或安全或隐私政策的变化。属性也可能会根据情况发生变化。
关于动态信息流控制的组织政策包括基于不断变化的条件或任务或操作考虑来允许或不允许信息流动。变化的条件包括由于任务或业务需求的紧迫性变化而导致的风险容忍度变化、威胁环境的变化,以及可能有害或不利事件的检测。
与使用静态账户和预定义用户权限的访问控制方法相比,动态访问控制方法依赖于通过动态权限管理在运行时进行的访问控制决策,例如基于属性的访问控制。虽然用户身份随时间相对保持不变,但用户权限通常会根据持续的任务或业务需求以及组织的运营需求更频繁地变化。动态权限管理的一个例子是立即撤销用户的权限,而不是要求用户终止并重新启动会话以反映权限的变化。动态权限管理还可以包括根据动态规则更改用户权限的机制,而不是编辑特定的用户配置文件。例如,如果用户在非正常工作时间操作、其工作职能或任务发生变化,或者系统处于压力或紧急情况下,用户权限会自动调整。动态权限管理包括权限更改的影响,例如,当用于通信的加密密钥发生变化时。
在其他数据类型中嵌入数据类型可能会导致流程控制效果降低。数据类型嵌入包括将文件作为对象插入到其他文件中,以及使用可能包含多个嵌入数据类型的压缩或归档数据类型。对数据类型嵌入的限制考虑嵌入的层级,并禁止超出检查工具能力的数据类型嵌入层级。
例如,在系统授权允许的情况下,管理员可以启用安全或隐私策略过滤器,以适应批准的数据类型。管理员还可以根据需要选择在特定数据流上执行的过滤器,这些选择基于传输的数据类型、源和目的地的安全域以及其他与安全或隐私相关的特性。
未通过过滤检查的内容如果传输到接收域可能会破坏系统。
使用多个进程来实现内容过滤机制可以减少单点故障的可能性。
内容过滤是指在信息穿越跨域解决方案时进行检查,并确定该信息是否符合预定义的安全策略的过程。编排引擎协调内容过滤过程中活动(手动和自动)的顺序。错误被定义为异常操作或内容过滤过程的意外终止。这不同于过滤器因内容不符合政策而失败。内容过滤报告是确保预期过滤操作成功完成的常用机制。
流量控制机制包括内容检查、安全策略过滤器和数据类型标识符。加密一词的使用范围已扩展到包括过滤机制无法识别的编码数据。
基于容器的加密为移动设备上的数据和信息加密提供了更细粒度的方法,包括加密选定的数据结构,如文件、记录或字段。
组织为所有可能进行自动流量控制决策的情况定义安全或隐私策略过滤器。当无法进行完全自动的流量控制决策时,可以使用人工审核来代替或补充自动安全或隐私策略过滤。组织也可以根据需要使用人工审核。
不活动注销是基于行为或策略的,需要用户在预计的不活动时间超过定义的期限时采取实际操作进行注销。不活动注销的自动执行由 AC-11 处理。
个人访问使个人能够审查组织记录中关于他们的可识别个人信息,无论其格式如何。访问可以帮助个人了解他们的可识别个人信息是如何被处理的。这也可以帮助个人确保他们的数据是准确的。访问机制可以包括请求表格和应用接口。对于联邦机构,[PRIVACT] 处理流程可以在记录系统通知和机构网站上找到。某些类型记录的访问可能不适合(例如。对于联邦机构来说,系统记录中的执法记录可能根据[PRIVACT]免于披露,或者可能需要特定级别的身份验证保障。组织人员应咨询负责隐私事务和法律顾问的高级机构官员,以确定适当的机制以及访问权限或限制。
信息流控制规范了信息在系统内部以及系统之间的流动(与谁被允许访问信息相反),并且不考虑对该信息的后续访问。流量控制限制包括阻止声称来自组织内部的外部流量,防止受出口管制的信息以明文方式传输到互联网,限制非来自内部网页代理服务器的网页请求,以及根据数据结构和内容限制组织之间的信息传输。在组织之间转移信息可能需要一份协议,规定信息流的执行方式(参见 CA-3)。在具有不同安全或隐私策略的不同安全或隐私域之间转移信息,会引入这样的风险:这些转移可能违反一个或多个域的安全或隐私策略。在这种情况下,信息拥有者/管理者会在连接系统之间的指定政策执行点提供指导。组织考虑强制实施特定的架构解决方案以执行特定的安全和隐私政策。执行措施包括禁止连接系统之间的信息传输(即仅允许访问)、在接受来自另一个安全或隐私域或连接系统的信息之前验证写入权限、使用硬件机制来强制单向信息流,以及实施可信的重分类机制以重新分配安全或隐私属性和标签。组织通常采用信息流控制策略和执行机制来控制系统内部以及连接系统之间指定源和目的地之间的信息流。流控制基于信息及/或信息路径的特性。执行例如发生在使用规则集或建立配置设置以限制系统服务、提供基于报头信息的分组过滤能力或提供基于消息内容的消息过滤能力的边界保护设备中。组织还会考虑过滤和/或检查机制的可信度(即硬件、固件和软件组件)对于信息流控制至关重要。控制增强3到32主要针对跨域解决方案的需求,这些需求集中在更先进的过滤技术、深入分析以及在跨域产品(如高保障防护装置)中实现更强的流量控制机制。这种能力通常在商用现成产品中不可用。信息流强制也适用于控制平面流量(例如路由和 DNS)。
信息搜索与检索服务识别与信息需求相关的信息系统资源。
信息共享适用于那些可能因某种正式或行政决定而在某种程度上受到限制的信息。此类信息的例子包括合同敏感信息、与特殊访问计划或分区相关的机密信息、特权信息、专有信息以及个人可识别信息。安全和隐私风险评估以及适用的法律、法规和政策可以为这些决策提供有用的参考。根据具体情况,共享合作伙伴可以在个人、群体或组织层面上进行定义。信息可以根据内容、类型、安全类别或特殊访问项目或隔间进行定义。访问限制可能包括保密协议(NDA)。信息流技术和安全属性可用于为用户在作出共享和协作决策时提供自动化帮助。
将数据转换为规范化形式是阻止恶意攻击和大规模数据外泄的最有效机制之一。
组织对特定职责和系统采用最小权限原则。最小权限原则也适用于系统进程,确保这些进程对系统的访问权限以及操作权限不会超过完成组织任务或业务功能所需的最低水平。组织认为,为实现最小权限,有必要创建额外的流程、角色和账户。组织将最小权限原则应用于组织系统的开发、实施和运营。
限制授权使用承认了个人在使用外部系统时可能需要访问组织系统的情况。组织需要确保外部系统具备必要的控制措施,以免危及、损害或以其他方式伤害组织系统。可以通过外部独立评估、认证或其他方式来验证所需控制措施是否已实施,这取决于组织所需的可信度水平。
内容过滤是指在信息通过跨域解决方案时对其进行检查,并确定该信息是否符合预定义政策的过程。使用线性内容过滤管道可以确保过滤过程不可绕过且始终被调用。一般而言,对单一数据类型使用并行过滤架构进行内容过滤会引入绕过和未调用的问题。
特权功能的滥用,无论是由授权用户有意或无意造成,还是由已入侵系统账户的未经授权的外部实体造成,都是一个严重且持续存在的问题,并可能对组织产生重大不利影响。记录和分析特权功能的使用是一种检测此类滥用的方法,同时有助于降低内部威胁和高级持续性威胁所带来的风险。
维护属性关联需要各个用户(而非系统)将定义的安全和隐私属性与主体和对象保持关联。
保持安全性和隐私属性与主体和客体的关联性和完整性,并提供足够的保证,有助于确保这些属性关联可作为自动化策略操作的基础。特定项目的完整性,例如安全配置文件,可以通过使用完整性监控机制来维护,该机制能够检测与“已知良好”基线偏离的异常和变化。自动化策略操作包括保留日期到期、访问控制决策、信息流控制决策和信息披露决策。
组织在考虑外部网络连接时会考虑可信互联网连接(TIC)计划[DHS TIC]的要求,因为限制远程访问的访问控制点数量可以减少攻击面。
强制访问控制是一种非自主访问控制。强制访问控制策略限制主体对已经获得访问权限的对象所获得的信息可以执行的操作。这防止主体将信息传递给未授权的主体和对象。强制访问控制策略限制主体在访问控制权限传播方面可以采取的操作;也就是说,具有某种权限的主体不能将该权限传递给其他主体。该策略在系统所控制的所有主体和对象上统一执行。否则,访问控制策略可能会被规避。这种执行是由符合 AC-25 所描述的参考监控器概念的实现提供的。该策略受到系统的限制(即,一旦信息传递到系统控制之外,可能需要额外的手段来确保对信息的约束仍然有效)。上述受信任主体被授予与最小特权概念一致的权限(参见 AC-6)。受信任主体仅被赋予为满足组织任务/业务需求所必需的最少权限,并符合上述政策。当有一项规定建立了关于访问受控非机密信息或机密信息的政策,并且系统的一些用户未被授权访问系统中所有此类信息时,该控制最为适用。强制访问控制可以与AC-3(4)中描述的自主访问控制一起操作。受强制访问控制策略限制的主体仍然可以在 AC-3(4) 的较宽松约束下操作,但强制访问控制策略优先于 AC-3(4) 的较宽松约束。例如,虽然强制访问控制策略施加了限制,阻止主体将信息传递给在不同影响或分类级别上运作的另一个主体,但 AC-3(4) 允许主体将信息传递给与其具有相同影响或分类级别的任何其他主体。强制访问控制策略的示例包括用于保护信息机密性的Bell-LaPadula策略以及用于保护信息完整性的Biba策略。
元数据是描述数据特征的信息。元数据可以包括描述数据结构的结构化元数据,或描述数据内容的描述性元数据。基于元数据强制执行允许的信息流,可以实现更简单、更有效的流量控制。组织会考虑元数据在数据准确性方面的可信度(即、确保元数据值与数据一致的知识)、数据完整性(即保护元数据标签免于未经授权的更改)、以及元数据与数据负载的绑定(即采用足够强的绑定技术并提供适当的保证)。
修改不可发布的信息可以帮助在信息跨安全域传输时防止数据泄露或攻击。修改操作包括掩码、排列、变更、删除或编辑。
对远程访问方法的监控和控制使组织能够检测攻击,并通过审计远程用户在各种系统组件上的连接活动来帮助确保远程访问策略的合规性,这些组件包括服务器、笔记本电脑、工作站、智能手机和平板电脑。远程访问的审计日志由 AU-2 强制执行。审计事件在 AU-2a 中定义。
网络访问是指通过网络连接进行的任何访问,以替代本地访问(即用户亲自到设备上操作)。
外部系统中的网络可访问存储设备包括公共、混合或社区云系统中的在线存储设备。
在某些情况下,确保访问控制决策能够在不获取发出请求的用户身份信息的情况下做出是很重要的。这类情况通常是那些需要高度保护个人隐私的场景。在其他情况下,访问控制决策根本不需要用户身份信息,尤其是在分布式系统中,以所需的保证程度传输此类信息可能非常昂贵或难以实现。例如,MAC、RBAC、ABAC 和基于标签的控制策略可能不会将用户身份作为属性包含在内。
非组织拥有的系统或系统组件包括由其他组织拥有的系统或系统组件以及个人拥有的设备。使用非组织拥有的系统或组件存在潜在风险。在某些情况下,风险足够高,以至于禁止使用此类系统或组件(参见 AC-20(6))。在其他情况下,可能允许使用此类系统或系统组件,但在某种程度上会受到限制。限制包括在授权连接非组织拥有的系统和组件之前,要求实施批准的控制措施;限制访问信息、服务或应用程序的类型;使用虚拟化技术将处理和存储活动限制在组织提供的服务器或系统组件上;并同意使用条款和条件。组织会就使用个人拥有的设备相关的法律问题向总法律顾问办公室咨询,包括发生事件后在调查中进行取证分析的要求。
在访问非安全功能时要求使用非特权账户,可以在从特权账户或角色操作时限制暴露风险。角色的引入解决了组织实施访问控制策略时的情况,例如基于角色的访问控制,并且角色的变更在用户及其代表的进程的访问授权变更中提供的保证程度,与特权账户和非特权账户之间的变更所提供的保证程度相同。
关于账户安全相关特征在特定时间段内变更的信息,允许用户识别是否有未经他们知情的变更发生。
信息流强制机制会比较与信息(即数据内容和结构)以及源和目标对象相关的安全和隐私属性,当强制机制遇到信息流不被信息流策略明确允许时,会做出相应的响应。例如,标记为“秘密”的信息对象可以流向标记为“秘密”的目标对象,但标记为“绝密”的信息对象不允许流向标记为“秘密”的目标对象。包含个人可识别信息的数据集可能会被标记为禁止与其他类型的数据集合并,因此不允许流向受限数据集。安全和隐私属性还可以包括在流量过滤防火墙中使用的源地址和目标地址。可以使用显式的安全或隐私属性来执行流量控制,例如,用于控制某些类型信息的发布。
单向流动机制也可以被称为单向网络、单向安全网关或数据二极管。单向流动机制可以用于防止数据从高影响或机密域或系统中导出,同时允许从低影响或非机密域或系统导入数据。
模式隐藏显示可以包括静态或动态图像,例如用于屏幕保护程序的图案、照片图像、纯色、时钟、电量指示器,或空白屏幕,但前提是不会显示受控非机密信息。
如果组织确定特定用户操作不需要身份识别和认证,某些用户操作可能在不进行身份识别或认证的情况下被允许。组织可能允许在没有身份识别或认证的情况下进行有限数量的用户操作,包括个人访问公共网站或其他公开可访问的联邦系统时、个人使用手机接听电话时,或接收传真时。组织会识别通常需要身份识别或认证的操作,但在某些情况下,可能允许绕过身份识别或认证机制。例如,这种绕过可能通过一个软件可读取的物理开关实现,该开关可以指令绕过登录功能,并受到防止意外或无人监控使用的保护。允许在没有身份识别或认证的情况下进行操作,不适用于已经完成身份识别和认证且不再次进行的情况,而是适用于尚未进行身份识别和认证的情况。组织可能会决定,在组织系统上无法在没有身份识别和认证的情况下执行任何用户操作,因此,该分配的值可以为“无”。
强制执行与已定义数据类型相关的信息流分离可以通过确保信息在传输过程中不被混合,并通过启用无法通过其他方式实现的传输路径流量控制,从而增强保护。可分离信息的类型包括入站和出站通信流量、服务请求和响应,以及具有不同安全影响或分类级别的信息。
访问控制政策和程序涉及在系统和组织内实施的 AC 系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此,安全和隐私项目在制定访问控制政策和程序时进行协作非常重要。通常情况下,组织层面的安全和隐私项目政策与程序是更可取的,并且可能不需要针对特定任务或系统的政策和程序。该政策可以作为整体安全与隐私政策的一部分,也可以通过多项政策来体现,以反映组织的复杂性。如有需要,可以为安全与隐私计划、任务或业务流程以及系统制定相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致访问控制政策和程序更新的事件包括评估或审计发现、安全或隐私事件,或法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重述控制措施并不构成组织的政策或程序。
对外部系统中使用组织控制的便携存储设备的限制包括完全禁止使用此类设备。禁止使用此类设备可以通过技术方法和/或非技术方法(即基于流程的方法)来执行。
对外部系统中由组织控制的可移动存储设备的使用限制包括对设备使用方式和使用条件的限制。
上一次登录通知适用于通过人工用户界面进行的系统访问以及发生在其他类型架构中的系统访问。有关上次成功登录的信息可以让用户识别提供的日期和时间是否与用户的上次访问一致。
在某些情况下,软件应用程序或程序需要以提升的权限运行以执行所需的功能。然而,根据软件的功能和配置,如果执行所需的权限高于分配给调用这些应用程序或程序的组织用户的权限,这些用户可能会间接获得超过其分配的更高权限。
组织用户是指被组织视为具有相当于员工身份的员工或个人。组织用户包括承包商、访问研究人员或从其他组织调来的个人。非组织用户是指不属于组织用户的用户。授予个人与员工等同地位的政策和程序包括知情需求、国籍以及与组织的关系。
特权账户,包括超级用户账户,通常被描述为各种商业现成操作系统的系统管理员。将特权账户限制在特定人员或角色上,可以防止日常用户访问特权信息或执行特权功能。组织在限制特权账户的应用上可以有所区分,对本地账户和域账户允许的特权进行不同管理,但前提是他们能够控制关键参数的系统配置,并在必要时采取其他措施以充分降低风险。
对系统的远程访问代表了一个重大潜在漏洞,可能被对手利用。因此,通过远程访问限制特权命令的执行和访问安全相关信息,可以减少组织的风险暴露,并降低对手利用远程访问能力的威胁。
特权角色是由组织定义并分配给个人的角色,这些角色允许个人执行普通用户无权执行的某些安全相关功能。特权角色包括密钥管理、账户管理、数据库管理、系统和网络管理以及网站管理。基于角色的访问方案将允许的系统访问和权限组织到不同的角色中。相比之下,基于属性的访问方案则根据属性来指定允许的系统访问和权限。
在滤波管道之间传递信息的过程具有最小的复杂性和功能,以确保这些过程正常运行。
系统内的受保护处理域是与其他处理空间有受控交互的处理空间,使得能够控制这些空间之间以及与信息对象之间的信息流。例如,可以通过实现域和类型强制来提供受保护处理域。在域和类型强制中,系统进程被分配到各个域,信息通过类型进行标识,并且信息流的控制基于允许的信息访问(即由域和类型决定)、域之间允许的信号传递以及进程向其他域的允许转移。
特权功能包括禁用、规避或更改已实施的安全或隐私控制、建立系统账户、执行系统完整性检查以及管理加密密钥管理活动。非特权用户是指没有适当授权的个人。需要保护不受非特权用户干扰的特权功能包括规避入侵检测和预防机制或恶意代码防护机制。防止非特权用户执行特权功能由AC-3强制执行。
虚拟专用网络可以用于保护远程访问会话的机密性和完整性。传输层安全协议(TLS)是一个加密协议的例子,它提供端到端的网络通信安全,并用于互联网通信和在线交易。
非组织实体对组织信息的远程访问可能增加未经授权使用和披露的风险,这涉及远程访问机制。组织考虑在与其他组织的信息交换协议中,包括远程访问要求(如适用)。远程访问要求也可以包含在行为规则(见 PL-4)和访问协议(见 PS-6)中。
根据适用的法律、行政命令、指令、政策、法规、标准和指南,公众无权获取非公开信息,包括受[PRIVACT]保护的信息和专有信息。公开可访问的内容是指由组织控制并向公众开放的系统,通常无需身份验证或认证。在非组织系统上发布信息(例如,非组织的公共网站、论坛和社交媒体)则受组织政策的约束。虽然组织可能有负责制定和实施有关可公开访问信息政策的个人,但可公开访问信息的内容涉及管理那些使信息可公开获取的个人。
移动设备是一种计算设备,具有较小的体积,可以由个人携带;设计为在无需物理连接的情况下运行;拥有本地的、不可拆卸或可拆卸的数据存储;并包含独立的电源。清除或擦除设备仅适用于发生组织定义的失败登录次数的移动设备。登录的是移动设备,而不是设备上的任何一个账户。成功登录移动设备上的账户会将未成功登录的计数重置为零。如果设备上的信息使用了足够强的加密机制进行保护,清除或擦除可能是没有必要的。
内容过滤是指在信息通过跨域解决方案时对其进行检查,并判断该信息是否符合预定义的策略。冗余和独立的内容过滤可以消除单点故障的过滤系统。独立性定义为使用不同的代码库和支持库实现内容过滤器(例如)。,两个使用不同供应商JPEG库的JPEG滤镜)以及多个独立的系统进程。
参考监控器是一组针对参考验证机制的设计要求,作为操作系统的关键组件,它对所有主体和客体执行访问控制策略。参考验证机制始终被调用、防篡改,并且足够小以便进行分析和测试,其完整性可以得到保证(即可验证)。信息在系统内部是通过称为数据结构的抽象来表示的。内部数据结构可以表示不同类型的实体,包括主动和被动实体。主动实体,也称为主体,与个人、设备或代表个人行动的过程相关联。被动实体,也称为对象,与数据结构相关联,例如记录、缓冲区、通信端口、表、文件和进程间管道。参考监控器实施访问控制策略,根据主体的身份或主体所属的组限制对对象的访问。系统根据策略制定的规则集执行访问控制策略。参考监控器的防篡改特性可以防止有决心的对手破坏参考验证机制的功能。始终调用特性可以防止对手绕过该机制并违反安全策略。小型化特性有助于确保对该机制进行分析和测试的完整性,以发现任何弱点或缺陷(即,潜在缺陷)会阻止安全策略的执行。
远程访问是指通过外部网络(如互联网)访问组织系统(或代表用户操作的流程)。远程访问的类型包括拨号上网、宽带和无线接入。组织使用加密的虚拟专用网络(VPN)来提高远程连接的机密性和完整性。使用加密 VPN 可以为组织提供足够的保证,即如果所使用的加密机制符合适用的法律、行政命令、指令、法规、政策、标准和指南,该组织可以有效地将此类连接视为内部网络。尽管如此,VPN 连接仍然需要穿越外部网络,且加密的 VPN 并不能提高远程连接的可用性。具有加密隧道的 VPN 也可能影响对网络通信流量中恶意代码的有效监控能力。远程访问控制适用于公共 Web 服务器或专为公共访问设计的系统以外的其他系统。每种远程访问类型的授权都是在允许远程访问之前进行授权,而不具体说明此类授权的具体形式。虽然组织可以使用信息交换和系统连接安全协议来管理与其他系统的远程访问连接,但此类协议在 CA-3 中有涉及。远程访问的访问限制执行通过 AC-3 进行处理。
限制对特定信息的访问旨在为系统中特定信息类型的访问控制提供灵活性。例如,可以采用基于角色的访问控制,仅允许访问数据库中的特定类型的个人可识别信息,而不是允许访问整个数据库。其他例子包括限制对加密密钥、身份验证信息以及选定系统信息的访问。
组织授权允许选定用户配置无线网络功能,部分是通过组织系统中使用的访问执行机制来强制实施的。
None.
在允许使用共享或群组账户之前,组织会考虑由于此类账户缺乏责任追究而带来的风险增加。
随着组织使命和业务职能、操作环境、技术或威胁的变化,对某些分配的用户权限的需求可能会发生变化。需要定期审查分配的用户权限,以确定分配这些权限的合理性是否仍然有效。如果该需求无法重新验证,组织应采取适当的纠正措施。
访问规则的撤销可能因被撤销访问的类型而异。例如,如果某个主体(即代表用户操作的用户或进程)被从某个组中移除,访问权限可能不会立即被撤销,而要等到下次打开对象或主体尝试访问对象时才会生效。基于安全标签更改的撤销可能会立即生效。如果系统无法提供此类功能且需要立即撤销,组织会提供替代方法来实现即时撤销。
基于角色的访问控制(RBAC)是一种访问控制策略,它根据主体的已定义角色(即工作职能)来强制访问对象和系统功能。组织可以根据工作职能创建特定角色,并根据组织定义的角色,授权(即权限)执行系统上所需的操作。当用户被分配到特定角色时,他们会继承为这些角色定义的授权或权限。RBAC 简化了组织的权限管理,因为权限不是直接分配给每个用户(这可能涉及大量个人),而是通过角色分配来获得的。如果分配到某个角色的个人被授予了超出其支持组织使命或业务职能所需的信息访问权限,RBAC也可能增加隐私和安全风险。RBAC可以作为强制性或自主性访问控制形式来实施。对于实施带有强制访问控制的 RBAC 的组织,AC-3(3) 中的要求定义了该策略所涵盖的主体和对象的范围。
信息在系统内部通过称为数据结构的抽象来表示。内部数据结构可以表示不同类型的实体,包括主动实体和被动实体。主动实体,也称为主体,通常与个人、设备或代表个人进行操作的过程相关联。被动实体,也称为对象,通常与数据结构相关,例如记录、缓冲区、表、文件、进程间管道和通信端口。安全属性是一种元数据,它们是一种抽象,表示主动和被动实体在保护信息方面的基本特性或属性。隐私属性可以单独使用,也可以与安全属性结合使用,它们表示在管理可识别个人身份信息时,主动或被动实体的基本属性或特征。属性可以显式或隐式地与组织系统或系统组件中包含的信息相关联。属性可以与具有发送或接收信息潜力、引起对象之间信息流动或改变系统状态的活跃实体(即主体)相关联。这些属性也可以与包含或接收信息的被动实体(即对象)相关联。系统将属性关联到主体和客体的过程称为绑定,包括设置属性值和属性类型。当属性与数据或信息绑定时,可以执行安全和隐私策略,以实现访问控制和信息流控制,包括数据保留期限、允许使用的个人可识别信息,以及数据对象中个人信息的识别。这种执行通过组织流程或系统功能或机制进行。系统所实施的绑定技术会影响属性与信息绑定的强度。绑定强度以及与绑定技术相关的可靠性在组织对信息流执行过程的信任中起着重要作用。绑定技术还会影响组织所需的额外审核的数量和程度。属性的内容或分配值可以直接影响个人访问组织信息的能力。组织可以定义系统支持任务或业务功能所需的属性类型。安全属性可以分配多种值。通过指定允许的属性范围和值,组织可以确保属性值具有意义且相关。标记是指将属性与系统内部数据结构所表示的主体和对象关联起来。这有助于基于系统实施信息安全和隐私策略。标签包括根据法律和合规要求对信息的分类(例如,绝密、机密、保密、受控未分类)、信息影响等级、高价值资产信息、访问授权、国籍;数据生命周期保护(即加密和数据过期)、个人可识别信息处理权限,包括个人对个人可识别信息处理的同意,以及承包商隶属关系。与标签相关的术语是标记。标记是指以人类可读的形式将属性与对象关联,并显示在系统介质上。标记可以实现信息安全和隐私策略的手动、程序化或基于流程的执行。安全和隐私标签可能与媒介标记的值相同(例如,绝密、机密、保密)。参见 MP-3(媒体标记)。
由组织定义的安全或隐私策略过滤器可以处理数据结构和内容。例如,用于数据结构的安全或隐私策略过滤器可以检查最大文件长度、最大字段大小,以及数据/文件类型(针对结构化和非结构化数据)。数据内容的安全或隐私策略过滤器可以检查特定的词语、列举的值或数据值范围,以及隐藏内容。结构化数据允许应用程序对数据内容进行解释。非结构化数据是指没有数据结构或数据结构无法促进制定规则集以处理数据所传递信息的影响或分类级别,或无法支持流量执行决策的数字信息。非结构化数据由本质上非语言化的位图对象组成(即图像、视频或音频文件)以及基于书面或印刷语言的文本对象。组织可以实施多个安全或隐私策略过滤器,以满足信息流控制的目标。
数据结构和内容限制可以减少跨域交易中潜在的恶意或未经许可的内容的范围。限制数据结构的安全或隐私策略过滤器包括限制文件大小和字段长度。数据内容政策过滤器包括字符集的编码格式、限制字符数据字段仅包含字母数字字符、禁止特殊字符以及验证模式结构。
与安全相关的信息是指系统内可能影响安全功能运行或安全服务提供的信息,这类信息可能导致系统安全和隐私策略无法得到执行,或无法保持代码与数据的分离。与安全相关的信息包括访问控制列表、路由器或防火墙的过滤规则、安全服务的配置参数以及加密密钥管理信息。安全的、非操作的系统状态包括系统未执行任务或业务相关处理的时间,例如系统因维护、启动、故障排除或关机而离线的时间。
为更细粒度的用户权限分配提供独立的处理域,包括使用虚拟化技术在虚拟机内允许额外的用户权限,同时限制对其他虚拟机或底层物理机的权限,实施独立的物理域,以及采用硬件或软件的域分离机制。
职责分离可以防止滥用授权特权的可能性,并有助于在没有勾结的情况下降低恶意行为的风险。职责分离包括将任务或业务职能与支持职能分配给不同的个人或角色,由不同的个人执行系统支持职能,并确保管理访问控制功能的安全人员不会同时管理审计功能。由于职责分离的违规行为可能跨越系统和应用领域,组织在制定职责分离政策时会考虑系统及其组件的整体情况。职责分离通过 AC-2 中的账户管理活动、AC-3 中的访问控制机制,以及 IA-2、IA-4 和 IA-12 中的身份管理活动来实施。
会话终止是指用户发起的逻辑会话的终止(与 SC-10 不同,SC-10 处理的是与通信会话相关的网络连接的终止,即网络断开)。逻辑会话(用于本地、网络和远程访问)是在用户(或代表用户操作的进程)访问组织系统时发起的。这样的用户会话可以在不终止网络会话的情况下结束。会话终止会结束与用户逻辑会话相关的所有进程,除非这些进程是由用户(即会话所有者)专门创建的,以便在会话终止后继续运行。需要自动终止会话的条件或触发事件包括组织规定的用户不活动时间、针对某些类型事件的特定响应或系统使用的时间限制。
有关在指定时间段内成功和不成功登录尝试次数的信息使用户能够判断登录尝试的数量和类型是否与用户实际的登录尝试一致。
系统使用通知可以通过消息或在个人登录系统之前显示的警告横幅来实现。系统使用通知仅用于通过具有人工用户的登录界面进行访问。当不存在人工界面时,不需要通知。基于风险评估,组织会考虑在初次网络登录后,是否需要使用二次系统使用通知来访问应用程序或其他系统资源。组织会根据自身需求和系统用户的人口统计情况,考虑使用多种语言显示的系统使用通知信息或横幅。各组织会咨询隐私办公室以获取隐私信息传递方面的意见,并咨询总法律顾问办公室或组织的同等机构,对警示横幅内容进行法律审查和批准。
Web访问的注销消息可以在认证会话终止后显示。然而,对于某些类型的会话,包括文件传输协议(FTP)会话,系统通常会在终止会话之前将注销消息作为最后的消息发送。
为了提高可用性,应通知用户即将结束的会话,并提示用户是否继续会话。即将结束的会话时间段基于 AC-12 基本控制中定义的参数。
授权过程和访问控制决策可能发生在系统的不同部分或不同系统中。在这种情况下,授权信息会被安全传输(例如,使用加密机制),以便在适当的位置及时执行访问控制决策。为了支持访问控制决策,可能有必要作为访问授权信息的一部分传输支持安全性和隐私属性的内容。这是因为在分布式系统中,需要做出各种访问控制决策,并且不同的实体以串行方式做出这些决策,每个实体都需要这些属性来做出决策。保护访问授权信息可确保此类信息在传输过程中不会被篡改、伪造或泄露。
无论登录是通过本地连接还是网络连接,当尝试次数超过最大限制时,都需要限制失败的登录尝试并采取后续措施。由于存在拒绝服务的可能性,由系统发起的自动锁定通常是暂时的,并会在预定的、由组织定义的时间段后自动解除。如果选择了延迟算法,组织可能会根据各个组件的能力对系统的不同组件采用不同的算法。对未成功登录尝试的响应可能在操作系统和应用程序层面实现。当超过允许的连续无效登录尝试次数时,组织可以采取的措施包括:除了用户名和密码外,提示用户回答一个安全问题;启用具有有限用户功能的锁定模式(而不是完全锁定);允许用户仅从指定的互联网协议(IP)地址登录;要求使用 CAPTCHA 以防止自动化攻击;或者应用用户配置文件,如位置、时间、IP 地址、设备或媒体访问控制(MAC)地址。如果未实施自动系统锁定或延迟算法以支持可用性目标,组织会考虑结合其他措施来帮助防止暴力破解攻击。除了上述措施外,组织还可以在超过允许的不成功登录尝试次数之前,提示用户回答一个秘密问题。通常不允许在指定时间后自动解锁账户。然而,可能会根据运营任务或需要而要求例外情况。
有关自上次成功登录以来未成功登录尝试次数的信息可以让用户识别未成功登录尝试的次数是否与用户实际的登录尝试相符。
指定和执行使用条件有助于落实最小权限原则,提高用户责任感,并实现有效的账户监控。账户监控包括在账户使用违反组织参数时生成的警报。组织可以描述系统帐户可以使用的具体条件或情况,例如通过限制在某些星期几、一天中的特定时间或特定时间段内使用。
使用备用身份验证因素支持可用性目标,并允许意外被锁定的用户使用额外的身份验证因素来绕过锁定。
外部系统是指由组织使用但不属于组织系统的一部分,组织无法直接控制所需控制的实施或控制有效性的评估的系统。外部系统包括个人拥有的系统、组件或设备;商业或公共设施中私人拥有的计算和通信设备;由非联邦组织拥有或控制的系统;由承包商管理的系统;以及不归组织拥有、操作或直接监管的联邦信息系统。外部系统还包括同一组织内其他部门拥有或操作的系统,以及组织内拥有不同授权边界的系统。组织可以选择禁止使用任何类型的外部系统,或者禁止使用特定类型的外部系统(例如,禁止使用非组织拥有的任何外部系统,或禁止使用个人拥有的系统)。对于某些外部系统(即由其他组织运营的系统),这些组织与原始组织之间建立的信任关系可能使得不需要明确的条款和条件。这些组织内的系统可能不被视为外部系统。这些情况发生在例如组织或部门之间已经存在信息交换协议(无论是隐含的还是明确的),或者当适用的法律、行政命令、指令、法规、政策或标准规定了此类协议时。获授权的个人包括组织人员、承包商或其他具有组织系统授权访问权限的个人,组织有权对其施加关于系统访问的特定行为规则。组织对获授权个人施加的限制不必统一,因为这些限制可能会因组织之间的信任关系而有所不同。因此,组织可能会选择对承包商施加不同于州、地方或部落政府的安全限制。用于访问组织系统公共接口的外部系统不在 AC-20 的范围内。组织根据其安全政策和程序,为外部系统的使用制定具体条款和条件。至少,条款和条件应规定可以从外部系统访问的组织系统的具体应用类型,以及可以在外部系统上处理、存储或传输的最高安全类别的信息。如果无法与外部系统的所有者建立条款和条件,组织可能会对使用这些外部系统的组织人员施加限制。
用户通过身份验证获得访问权限的信息资源包括本地工作站、数据库以及受密码保护的网站或基于网络的服务。
所有信息(包括元数据及其所适用的数据)都可能受到过滤和检查。一些组织区分元数据和数据负载(即仅元数据所绑定的数据)。其他组织则不作此类区分,将元数据及其所适用的数据视为负载的一部分。
无线技术包括微波、分组无线电(超高频或甚高频)、802.11x 和蓝牙。无线网络使用提供认证器保护和双重认证的认证协议。