NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

信息流控制规范了信息在系统内部以及系统之间的流动（与谁被允许访问信息相反），并且不考虑对该信息的后续访问。流量控制限制包括阻止声称来自组织内部的外部流量，防止受出口管制的信息以明文方式传输到互联网，限制非来自内部网页代理服务器的网页请求，以及根据数据结构和内容限制组织之间的信息传输。在组织之间转移信息可能需要一份协议，规定信息流的执行方式（参见 CA-3）。在具有不同安全或隐私策略的不同安全或隐私域之间转移信息，会引入这样的风险：这些转移可能违反一个或多个域的安全或隐私策略。在这种情况下，信息拥有者/管理者会在连接系统之间的指定政策执行点提供指导。组织考虑强制实施特定的架构解决方案以执行特定的安全和隐私政策。执行措施包括禁止连接系统之间的信息传输（即仅允许访问）、在接受来自另一个安全或隐私域或连接系统的信息之前验证写入权限、使用硬件机制来强制单向信息流，以及实施可信的重分类机制以重新分配安全或隐私属性和标签。组织通常采用信息流控制策略和执行机制来控制系统内部以及连接系统之间指定源和目的地之间的信息流。流控制基于信息及/或信息路径的特性。执行例如发生在使用规则集或建立配置设置以限制系统服务、提供基于报头信息的分组过滤能力或提供基于消息内容的消息过滤能力的边界保护设备中。组织还会考虑过滤和/或检查机制的可信度（即硬件、固件和软件组件）对于信息流控制至关重要。控制增强3到32主要针对跨域解决方案的需求，这些需求集中在更先进的过滤技术、深入分析以及在跨域产品（如高保障防护装置）中实现更强的流量控制机制。这种能力通常在商用现成产品中不可用。信息流强制也适用于控制平面流量（例如路由和 DNS）。