NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
对系统具有特权访问权限的个人或角色,如果他们也是该系统审计的对象,可能会通过阻碍审计活动或修改审计记录来影响审计信息的可靠性。要求将特权访问进一步区分为与审计相关的特权和其他特权,可以限制具有审计相关特权的用户或角色数量。
在审核记录中添加生成信息的能力取决于系统配置审核记录内容的功能。组织可以考虑在审核记录中包含额外的信息,包括但不限于访问控制或流程控制规则的调用情况,以及组账户用户的个人身份。组织还可以考虑将额外的审计记录信息限制为仅审计要求明确需要的信息。这有助于审计跟踪和审计日志的使用,因为不会在审计记录中包含可能引起误导、增加查找相关信息难度或增加个人隐私风险的信息。
由于备用审计日志功能可能是一个短期保护解决方案,用于在主要审计日志功能出现故障时采取的临时措施,组织可以决定备用审计日志功能只需要提供受故障影响的主要审计日志功能的一个子集。
将身份与信息绑定支持审计要求,使组织人员在信息传输时能够确定谁产生了特定信息。组织根据信息的安全类别和其他相关风险因素来确定并批准信息生产者与信息之间属性绑定的强度。
组织在分配审计日志存储容量时,会考虑要执行的审计日志类型以及审计日志处理要求。分配足够的审计日志存储容量可以降低容量超出限制,从而可能导致审计日志功能丧失或减少的风险。
审计记录可以从许多不同的系统组件生成。AU-2d 中指定的事件类型是需要生成审计日志的事件类型,它们是系统可以生成审计记录的所有事件类型的一个子集。
审计记录简化是一个处理收集到的审计日志信息并将其组织成对分析人员更有意义的摘要格式的过程。审计记录简化和报告生成能力并不总是来自同一个系统或执行审计日志记录活动的同一组织实体。审计记录缩减功能包括使用先进数据筛选器的现代数据挖掘技术,以识别审计记录中的异常行为。系统提供的报告生成能力可以生成可自定义的报告。如果记录中的时间戳粒度不足,审计记录的时间排序可能会成为问题。
组织保留审计记录,直到确定这些记录不再用于行政、法律、审计或其他运营目的。这包括审计记录的保留与可用性,以应对《信息自由法》(FOIA) 请求、传票和执法行动。各组织会针对不同类型的行为制定标准的审计记录类别,并为每种类型的行为制定标准的响应流程。美国国家档案和记录管理局(NARA)的一般记录计划提供了联邦档案保管政策。
审计记录的审查、分析和报告涵盖组织执行的信息安全和隐私相关的日志记录,包括因监控账户使用情况、远程访问、无线连接、移动设备连接、配置设置、系统组件清单、维护工具使用及非本地维护、物理访问、温湿度、设备交付与移除、系统接口的通信以及移动代码或基于互联网协议的语音(VoIP)使用而生成的日志记录。调查结果可以报告给包括事件响应团队、帮助台以及安全或隐私办公室在内的组织实体。如果组织被禁止审查和分析审计记录或无法进行此类活动,则审查或分析可以由获授权的其他组织进行。根据收到的新信息,审计记录的审查、分析和报告的频率、范围和/或深度可以进行调整以满足组织需求。
受益于综合审计记录审查、分析和报告的组织流程包括事件响应、持续监控、应急计划、对可疑活动的调查与应对,以及监察长审计。
感兴趣的事件可以通过审计记录的内容来识别,包括涉及的系统资源、访问的信息对象、个人身份、事件类型、事件地点、事件日期和时间、涉及的互联网协议地址,或事件的成功与失败情况。组织可以根据所需的细化程度定义事件标准,例如,可以按通用网络位置或特定系统组件选择位置。
用于集中审查和分析的自动化机制包括安全信息与事件管理产品。
证据保管链是一个追踪证据在收集、保管和分析生命周期中移动的过程,通过记录每个处理证据的个人、收集或转移证据的日期和时间以及转移的目的来实现。如果审阅者是人类,或者审阅功能是自动化的但与发布或转移功能分开,系统会将要发布信息的审阅者身份与信息及信息标签关联起来。在人工审查的情况下,维护审查员或发布者的资质为组织提供了识别谁审查和发布信息的手段。在自动化审查的情况下,它确保只使用经过批准的审查功能。
允许授权人员对系统日志进行更改,使组织能够根据需要扩展或限制日志记录,以满足组织要求。为了节约系统资源而限制的日志记录,可以在某些威胁情况下进行扩展(无论是临时还是永久)。此外,日志记录可能仅限于特定类型的事件,以便简化审计、分析和报告。组织可以设定日志记录操作发生变化的时间阈值(例如,接近实时、几分钟内或几小时内)。
如果审计日志信息被确定超过系统审计日志功能的存储容量,组织有能力拒绝或延迟处理网络通信流量。拒绝或延迟的响应是由已建立的组织流量阈值触发的,这些阈值可以根据审计日志存储容量的变化进行调整。
可能需要支持审计功能的审计记录内容包括事件描述(项目 a)、时间戳(项目 b)、源和目标地址(项目 c)、用户或进程标识符(项目 d 和 f)、成功或失败指示(项目 e)以及涉及的文件名(项目 a、c、e 和 f)。事件结果包括事件成功或失败的指标以及事件特定的结果,例如事件发生后系统的安全性和隐私状况。组织会考虑审计记录如何可能泄露个人信息,从而产生隐私风险,以及如何最好地减轻这些风险。例如,审计跟踪中有可能泄露个人身份信息,尤其是当跟踪记录输入内容或基于使用模式或时间时。
全组织的态势感知包括对风险管理三个层次(即组织层面、任务/业务流程层面和信息系统层面)的意识,并支持跨组织的意识。
非技术性来源包括记录组织政策违反情况的档案,这些档案涉及骚扰事件和信息资产的不当使用。这类信息可以引导有针对性的分析工作,以检测潜在的恶意内部人员活动。由于其敏感性,组织会限制从非技术性来源获取的信息的访问。有限的访问可以最大限度地减少将与隐私相关的信息意外泄露给无需要知情的个人的可能性。来自非技术来源的信息与审计记录信息的关联通常仅在怀疑某人卷入某事件时发生。组织在采取此类行动之前会先寻求法律建议。
将实体审计记录信息与系统审计记录进行关联,可能有助于组织识别可疑行为或支持此类行为的证据。例如,将个人在逻辑访问某些系统时的身份与该个人在逻辑访问发生时出现在设施中的附加物理安全信息相关联,可能在调查中非常有用。
当组织使用外部组织的系统或服务时,审计记录功能需要跨组织的协调方法。例如,在组织边界内维护请求特定服务的个人身份通常是困难的,并且这样做可能会对性能和隐私产生重大影响。因此,跨组织的审计日志往往仅记录在初始系统中发出请求的个人身份,后续系统则记录这些请求是由授权人员发出的。组织通常会考虑在信息交换协议中包括协调审计信息需求和保护审计信息的流程。
用于保护审计信息完整性的密码机制包括使用非对称加密的签名哈希函数。这使得可以分发公钥以验证哈希信息,同时保持用于生成哈希的密钥的机密性。
在审计追踪中保留身份信息可能会带来隐私影响,例如使对个人进行跟踪和分析成为可能,但在操作上可能并非必要。当信息跨组织边界传输时,这些风险可能会进一步加剧。实施增强隐私的加密技术可以将个人与审计信息分离,降低隐私风险,同时保持问责性。
组织可能会针对不同类型的审计信息选择不同的选择方案。双重授权机制(也称为两人控制)要求两名授权人员批准才能执行审计功能。为了降低合谋风险,组织会考虑将双重授权职责轮换给其他人员。在需要立即响应以确保公众和环境安全的情况下,组织不需要双重授权机制。
事件是系统中可观察到的现象。需要记录的事件类型是那些对系统安全和个人隐私具有重要意义和相关性的事件。事件记录还支持特定的监控和审计需求。事件类型包括密码更改、登录失败或与系统相关的访问失败,安全或隐私属性变更、管理权限使用、PIV 凭证使用、数据操作更改、查询参数或外部凭证使用。在确定需要记录的事件类型时,组织会根据将要实施的每项控制措施,考虑相应的监控和审计需求。为了完整性,事件记录包括系统运行并支持的所有协议。为了在监控和审计需求与其他系统需求之间取得平衡,事件记录需要确定在特定时间记录的事件类型子集。例如,组织可能会确定系统需要具备记录每次文件访问(无论成功与否)的能力,但由于可能对系统性能造成负担,只有在特定情况下才会启用该功能。组织希望记录的事件类型可能会发生变化。审查和更新已记录的事件集是必要的,以帮助确保这些事件保持相关性,并继续支持组织的需求。组织会考虑记录事件的类型如何可能揭示关于个人的信息,从而产生隐私风险,以及如何最好地减轻此类风险。例如,审计跟踪中可能会泄露个人可识别信息,特别是如果日志记录事件是基于模式或使用时间时。事件日志记录要求,包括记录特定事件类型的需求,可能在其他控制措施和控制增强中有所涉及。这些包括 AC-2(4)、AC-3(10)、AC-6(9)、AC-17(1)、CM-3f、CM-5(1)、IA-3(3)。b)、MA-4(1)、MP-4(2)、PE-3、PM-21、PT-7、RA-8、SC-7(9)、SC-7(15)、SI-3(8)、SI-4(22)、SI-7(8) 和 SI-10(1)。组织包括适用法律、行政命令、指令、政策、规章、标准和指南要求的事件类型。审计记录可以在各个层级生成,包括在信息通过网络时的数据包层级。选择适当的事件日志记录级别是监控和审计能力的重要组成部分,并且可以帮助识别问题的根本原因。在定义事件类型时,组织会考虑覆盖相关事件类型所需的日志记录,例如分布式、基于事务的流程中的步骤以及面向服务的架构中发生的操作。
对特权命令的全文分析需要一个独立的环境,用于分析与特权用户相关的审计记录信息,而不会在用户具有提升权限的系统上泄露这些信息,包括执行特权命令的能力。全文分析是指考虑特权命令全文的分析(即而不是仅考虑命令名称的分析。全文分析包括模式匹配和启发式方法的使用。
将审计追踪记录写入硬件强制执行的只写介质适用于审计追踪的初始生成(即表示用于检测、分析和报告的审计记录集合)以及这些审计追踪的备份。将审计追踪写入硬件强制的一次性可写介质并不适用于在写入审计追踪之前生成的初始审计记录。一次写入、多次读取(WORM)介质包括可记录光盘(CD-R)、可记录蓝光光盘(BD-R)和可记录数字多功能光盘(DVD-R)。相比之下,使用可切换写保护的介质,例如磁带盒、通用串行总线(USB)驱动器、可重写光盘(CD-RW)和数字多功能光盘可读写(DVD-RW),会导致介质具有写保护功能,但不是一次性写入介质。
身份保留适用于需要能够将跨组织边界执行的操作追踪到特定个人的情况。
审计记录的综合分析不需要进行漏洞扫描、性能数据生成或系统监控。相反,综合分析要求将扫描、监控或其他数据收集活动产生的信息分析与审计记录信息的分析相结合。安全信息与事件管理工具可以促进来自多个系统组件的审计记录汇总或整合,以及审计记录的关联和分析。使用由组织开发的标准化审计记录分析脚本(必要时进行本地化脚本调整)可以为分析收集到的审计记录信息提供更具成本效益的方法。将审核记录信息与漏洞扫描信息相关联,对于确定系统漏洞扫描的真实性以及将攻击检测事件与扫描结果相关联非常重要。与性能数据的关联可以发现拒绝服务攻击或其他导致资源未经授权使用的攻击类型。与系统监控信息的关联可以帮助发现攻击,并更好地将审计信息与操作情况联系起来。
在审计记录中限制个人身份信息的使用,当这些信息对于操作目的不必要时,有助于降低系统产生的隐私风险水平。
组织需要访问和阅读需要长期保存(以年计)的审计记录。为了便于检索审计记录,采取的措施包括将记录转换为更新的格式、保留能够读取记录的设备以及保留帮助人员理解如何解读记录的必要文档。
未经授权的信息披露是一种数据泄露形式。开源信息包括社交网站、代码共享平台和代码仓库。组织信息的例子包括组织保留的可识别个人身份的信息或组织生成的专有信息。
不可抵赖所涵盖的个人行为类型包括创建信息、发送和接收消息以及批准信息。不可抵赖能够防止作者声称未创建某些文件、发送者声称未发送消息、接收者声称未接收消息以及签署者声称未签署文件的情况。不可抵赖性服务可用于确定信息是否源自某个人或某个人是否执行了特定操作(例如,发送电子邮件、签署合同、批准采购请求或接收特定信息)。组织通过采用各种技术或机制来获取不可抵赖性服务,包括数字签名和数字消息回执。
组织通过系统帐户管理活动,为与审计记录的审查、分析和报告相关的系统进程、角色和用户指定允许的操作。对审计记录信息指定允许的操作是一种执行最小权限原则的方式。允许的操作由系统强制执行,包括读取、写入、执行、追加和删除。
审计和问责政策与程序涉及在系统和组织中实施的 AU 系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此,安全和隐私项目在制定审计和问责政策及程序时进行协作非常重要。通常情况下,组织层面的安全和隐私项目政策和程序是更可取的,并且可能不需要针对具体任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分,或者通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致审计和问责政策及程序更新的事件包括评估或审计发现、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重复控制措施并不构成组织政策或程序。
审计信息包括成功审计系统活动所需的所有信息,例如审计记录、审计日志设置、审计报告以及可识别个人身份的信息。审计记录工具是用于执行系统审计和记录活动的程序和设备。审计信息的保护侧重于技术保护,并将访问和执行审计记录工具的能力限制在授权人员范围内。审计信息的物理保护通过媒介保护控制以及物理和环境保护控制来实现。
查询参数是个人或自动化系统提交给系统以检索数据的明确条件。对包含个人身份信息的数据集的查询参数进行审计,可以增强组织跟踪和理解授权人员访问、使用或共享个人身份信息的能力。
将特权用户或角色的权限限制为只读有助于限制此类用户或角色可能对组织造成的潜在损害,例如删除审计记录以掩盖恶意活动。
警报为组织提供紧急消息。实时警报以信息技术的速度提供这些消息(即从事件检测到警报发生的时间在几秒钟或更短)。
None.
审计日志记录过程的失败包括软件和硬件错误、审计日志捕获机制的故障以及审计日志存储容量的达到或超限。组织定义的措施包括覆盖最旧的审计记录、关闭系统以及停止生成审计记录。组织可以根据故障类型、故障位置、故障严重性或这些因素的组合,为审计日志处理失败定义额外的操作。当审计日志处理失败与存储相关时,将针对审计日志存储库(即)进行响应。审计日志存储的不同系统组件)、审计日志所在的系统、组织的总审计日志存储容量(即所有审计日志存储库的总和),或者三者兼有。组织可以决定在提醒指定角色或人员后不采取额外的行动。
定期审查当前正在监控的开源信息网站列表有助于确保所选网站仍然具有相关性。审查还提供了添加新的开源信息网站的机会,这些网站有可能提供组织信息未经授权披露的证据。受监控的网站列表可以通过其他可信信息来源的威胁情报进行指导和参考。
会话审计可以包括监控按键、跟踪访问的网站,以及记录信息和/或文件传输。会话审计功能是在事件日志记录的基础上实现的,可能涉及专门的会话捕获技术的实施。组织会考虑会话审计如何揭示可能引发隐私风险的个人信息,以及如何减轻这些风险。由于会话审计可能影响系统和网络性能,组织会在明确规定的情况下启用此功能(例如,组织怀疑某个特定个人)。组织会咨询法律顾问、公民自由官员和隐私官员,以确保任何法律、隐私、公民权利或公民自由相关的问题,包括个人身份信息的使用,都得到适当处理。
由于审计信息的分布式特性,跨组织共享审计信息对于有效分析正在进行的审计可能是必要的。例如,一个组织的审计记录可能无法提供足够的信息来判断其他组织中的个人是否适当使用了组织的信息资源。在某些情况下,只有个人所属的本国机构拥有做出此类判断的适当知识,因此需要在各机构之间共享审计信息。
组织确定哪些类型的审计日志记录失败可能触发自动系统关闭或降低操作性能。由于确保任务和业务的连续性非常重要,组织可能会判断审计日志记录失败的性质并不严重到需要完全关闭支持核心组织任务和业务功能的系统。在那些情况下,部分系统关闭或在能力降低的降级模式下运行可能是可行的替代方案。
遵循通用标准的审计记录有助于设备和系统之间的互操作性和信息交换。促进互操作性和信息交换有助于生成可以方便分析和关联的事件信息。如果日志机制不符合标准化格式,系统在汇总全系统审计追踪时可能会将单个审计记录转换为标准化格式。
组织可能在多个系统组件中分布有多个审计日志存储库,每个存储库的存储容量可能不同。
将审计信息存储在运行不同操作系统的系统组件上,可以降低系统特定漏洞导致审计记录被破坏的风险。
将审计记录存储在与被审计系统或系统组件分开的存储库中,有助于确保即使被审计系统受到破坏,也不会导致审计记录被同时破坏。将审计记录存储在单独的物理系统或组件上,也可以保持审计记录的机密性和完整性,并有助于将审计记录管理作为全组织范围的活动。将审计记录存储在单独的系统或组件上适用于初始生成、备份或长期存储审计记录。
在启动时自动启动会话审计有助于确保所收集的关于特定个人的信息是完整的,并且不会因恶意威胁行为者的篡改而受到损害。
如果单个审计记录中的时间戳可以可靠地与其他审计记录中的时间戳相关联,以在组织容差范围内实现记录的时间排序,则审计跟踪是时间相关的。
系统生成的时间戳包括日期和时间。时间通常以协调世界时(UTC)表示,这是格林威治标准时间(GMT)的现代延续,或者以与UTC有偏移的本地时间表示。时间测量的粒度是指系统时钟与参考时钟之间的同步程度(例如,时钟同步在几百毫秒或几十毫秒范围内)。组织可以为不同的系统组件定义不同的时间粒度。时间服务对于其他安全功能(如访问控制以及身份识别和认证)可能至关重要,这取决于用于支持这些功能的机制的性质。
审计日志转移,也称为卸载,是在审计日志存储容量有限的系统中常见的过程,从而支持审计日志的可用性。初始的审计日志存储仅以过渡方式使用,直到系统能够与分配用于审计日志存储的辅助或备用系统通信为止,此时审计日志将被转移。将审计日志转移到备用存储类似于 AU-9(2),因为审计日志被转移到不同的实体。然而,选择 AU-9(2) 的目的是为了保护审计记录的机密性和完整性。组织可以选择增强控制,以获得增加审计日志存储容量的好处,同时保持审计记录和日志的机密性、完整性和可用性。
外部实体未经授权使用或复制组织信息可能对组织的运营和资产造成不利影响,包括声誉受损。这类活动可能包括敌对或恶意威胁行为者复制组织网站,试图冒充网站托管组织的行为。用于确定外部实体是否以未经授权的方式复制组织信息的发现工具、技术和流程包括扫描外部网站、监控社交媒体以及培训员工识别组织信息的未经授权使用。
自动化机制包括向组织提供通知和警报的商业服务,以及用于监控网站新帖的自动脚本。
验证信息生产者身份与信息的绑定可以防止信息在生产和审核之间被篡改。绑定的验证可以通过例如使用加密校验和的方式实现。组织需要确定验证是响应用户请求还是自动生成的。
验证信息审查者身份与信息在传输或释放点的绑定,可以防止在审查与传输或释放之间的信息被未经授权的篡改。绑定的验证可以通过使用加密校验和来实现。组织可以确定验证是响应用户请求还是自动生成的。