NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
对系统的硬件、软件或固件组件的更改,或与系统相关的操作程序的更改,都可能对系统的安全性或个人隐私产生重大影响。因此,组织仅允许经过资质认证和授权的人员访问系统,以进行变更操作。访问限制包括物理和逻辑访问控制(参见 AC-3 和 PE-3)、软件库、工作流程自动化、媒体库、抽象层(即更改通过外部接口实现而不是直接在系统中实施)以及更改窗口(即更改仅在指定时间进行)。
识别负责管理系统组件的个人,确保所分配的组件得到妥善管理,并且在需要采取某些行动时(例如,当组件被确定为造成安全漏洞的来源、需要召回或更换,或需要重新安置时),组织能够联系到这些个人。
评估的配置和批准的偏差重点关注组织为系统组件建立的配置设置、已评估以确定是否符合所需配置设置的具体组件,以及从已建立的配置设置中获得的任何批准偏差。
未分配到系统的系统组件可能无法被管理、缺乏必要的保护,并可能成为组织的漏洞。
在组织中缺乏专门的配置管理团队的情况下,系统开发人员可能需要利用未直接参与系统开发或系统集成的人员来制定配置管理流程。这种职责分离确保组织在系统开发和集成过程与配置管理过程之间建立并保持足够的独立性,从而促进质量控制和更有效的监督。
授权的软件程序可以限制为特定版本或来自特定来源。为了促进全面的授权软件流程,并增强对绕过应用程序级授权软件的攻击的防护力度,软件程序可以被分解并在不同的细节层级进行监控。这些级别包括应用程序、应用程序编程接口、应用程序模块、脚本、系统进程、系统服务、内核函数、注册表、驱动程序和动态链接库。允许执行授权软件的概念也可以应用于用户操作、系统端口和协议、IP 地址/范围、网站以及 MAC 地址。组织会考虑使用数字签名、加密校验和或哈希函数来验证授权软件程序的完整性。授权软件的验证可以在执行之前或在系统启动时进行。网站授权 URL 的识别在 CA-3(5) 和 SC-7 中有所说明。
组织记录与应用配置更改相关的系统访问,以确保实施配置更改控制,并在组织发现任何未经授权的更改后支持事后行动。
自动化工具可以提高配置基线信息的准确性、一致性和可用性。自动化还可以提供数据聚合和数据关联功能、警报机制以及仪表板,以支持组织内基于风险的决策。
None.
组织使用自动化机制来执行和监控软件安装政策,以更快地检测和应对未经授权的软件安装,这可能是内部或外部恶意攻击的一个迹象。
使用自动化机制跟踪系统组件的位置可以提高组件清单的准确性。这种能力可以帮助组织快速识别已被攻破、出现漏洞或需要采取缓解措施的系统组件的位置及其负责人。如果涉及影响个人隐私的问题,跟踪机制的使用可以与机构高级官员协调,以保障隐私。
组织会在可行的范围内维护系统清单。例如,虚拟机可能很难监控,因为当未使用时,这类机器在网络上不可见。在这种情况下,组织会尽可能保持清单的更新、完整和准确,达到合理可行的程度。对于将系统组件清单和基线配置活动结合起来的组织,可以通过实施 CM-2(2) 来实现自动化维护。
自动化工具(例如,加固工具、基线配置工具)可以提高配置设置信息的准确性、一致性和可用性。自动化还可以提供数据聚合和数据关联功能、警报机制以及仪表盘,以支持组织内基于风险的决策制定。
自动化安全响应包括在配置项被未经授权修改时,停止选定的系统功能、停止系统处理,以及向组织人员发出警报或通知。
使用自动化工具有助于提高系统中信息定位能力的有效性和效率。自动化还帮助组织管理在信息定位活动中产生的数据,并在组织内部共享这些信息。自动化信息定位工具的输出可以用来指导和提供系统架构和设计决策的信息。
除了监控未经授权的远程连接和移动设备外,还会应用自动化的未经授权组件检测。对未经授权系统组件的监控可以持续进行,也可以通过定期扫描系统来实现。还可以使用自动化机制来防止未经授权组件的连接(见 CM-7(9))。自动化机制可以在系统中或在独立的系统组件中实现。在获取和实施自动化机制时,组织会考虑这些机制是否依赖系统组件支持代理或请求者的能力才能被检测到,因为某些类型的组件没有或不能支持代理(例如,物联网设备、传感器)。例如,可以通过将未授权的系统组件放置在单独的域或子网中,或将此类组件隔离来实现隔离。这种类型的组件隔离通常被称为“沙箱化”。
帮助组织维持系统一致基线配置的自动化机制包括配置管理工具、硬件、软件、固件清单工具和网络管理工具。自动化工具可以在组织层面、任务和业务流程层面或系统层面使用,适用于工作站、服务器、笔记本电脑、网络组件或移动设备。工具可用于跟踪操作系统、应用程序、已安装软件类型以及当前补丁级别的版本号。通过实施 CM-8(2),对结合系统组件清单和基线配置活动的组织,可以满足自动化对准确性和实时性的支持。
系统及系统组件的基线配置包括系统的连接性、操作性和通信方面的内容。基线配置是系统或系统中配置项的已记录、正式审查并达成一致的规格。基线配置作为未来构建、发布或系统变更的基础,包括安全和隐私控制的实施、操作程序、系统组件信息、网络拓扑以及组件在系统架构中的逻辑位置。随着组织系统的变化,维护基线配置需要创建新的基线。系统的基线配置反映了当前的企业架构。
二进制或机器可执行代码适用于所有二进制或机器可执行代码的来源,包括商业软件、固件和开源软件。组织在没有附带源代码或来源有限或没有保证的软件产品上,会评估潜在的安全影响。评估指出,没有提供源代码的软件产品可能难以进行审查、修复或扩展。此外,可能没有任何负责人代表组织进行这些修复。如果使用开源软件,评估则指出其可能没有任何保证,开源软件可能包含后门或恶意软件,并且可能没有可用的支持。
组织可以实施包含所有组织系统组件的集中式系统组件清单。集中式组件清单存储库为组织的硬件、软件和固件资产的核算提供了效率提升的机会。这样的存储库还可以帮助组织快速识别已被破坏、遭受入侵或需要采取缓解措施的组件的位置和负责人。组织确保最终的集中库存包含执行适当组件问责所需的系统特定信息。
在受保护的环境中执行代码适用于所有来源的二进制或机器可执行代码,包括商业软件、固件和开源软件。
组织系统的配置变更控制涉及系统性地提出、论证、实施、测试、审查和处理系统变更,包括系统升级和修改。配置变更控制包括对基线配置、系统配置项、操作程序、系统组件的配置设置、修复漏洞以及非计划或未经授权的变更的管理。管理系统配置变更的流程包括配置控制委员会或变更咨询委员会,这些委员会负责审核并批准所提议的变更。对于影响隐私风险的变更,隐私高级机构官员会更新隐私影响评估和记录系统通知。对于新系统或重大升级,组织会考虑在配置控制委员会或变更咨询委员会中包括来自开发组织的代表。变更审计包括在系统变更前后进行的活动以及实施这些变更所需的审计活动。另见 SA-10。
配置管理活动贯穿于系统开发生命周期。因此,存在开发阶段的配置管理活动(例如,代码和软件库的控制)以及运行阶段的配置管理活动(例如,已安装组件的控制及组件的配置方式)。配置管理计划在符合配置管理政策要求的同时,针对各个系统进行定制。配置管理计划定义了配置管理如何用于支持系统开发生命周期活动的流程和程序。配置管理计划是在系统开发生命周期的开发和获取阶段生成的。这些计划描述了如何通过变更管理流程推进变更;更新配置设置和基线;维护组件清单;控制开发、测试和运行环境;以及开发、发布和更新关键文档。组织可以使用模板来帮助确保配置管理计划的一致和及时开发及实施。模板可以代表组织的配置管理计划,并在系统基础上实施计划的子集。配置管理审批流程包括指定负责审核和批准系统变更建议的关键利益相关者,以及在实施系统变更之前进行安全和隐私影响分析的人员。配置项是系统组件,例如需要进行配置管理的硬件、软件、固件和文档。随着系统在系统开发生命周期中的推进,可能会识别出新的配置项,而一些现有的配置项可能不再需要进行配置控制。
配置设置是可以在系统的硬件、软件或固件组件中更改的参数,这些参数会影响系统的安全性、隐私或功能。可以定义配置设置的信息技术产品包括大型计算机、服务器、工作站、操作系统、移动设备、输入/输出设备、协议和应用程序。影响系统安全状况的参数包括注册表设置;账户、文件或目录权限设置;以及功能、协议、端口、服务和远程连接的设置。隐私参数是影响系统隐私状况的参数,包括满足其他隐私控制所需的参数。隐私参数包括访问控制设置、数据处理偏好以及处理和保留权限。组织会建立全组织范围的配置设置,随后为各系统派生具体的配置设置。已建立的设置成为系统配置基线的一部分。常见的安全配置(也称为安全配置清单、锁定和加固指南,以及安全参考指南)提供了公认的、标准化的和已建立的基准,这些基准规定了信息技术产品和平台的安全配置设置,以及配置这些产品或平台以满足操作要求的说明。常见的安全配置可以由各种组织制定,包括信息技术产品开发商、制造商、供应商、联邦机构、联盟、学术界、行业以及其他公共和私营部门的组织。在组织层面、任务和业务流程层面、系统层面或更高层面,包括监管机构,可能会要求实施通用的安全配置。常见的安全配置包括美国政府配置基准(USGCB)和安全技术实施指南(STIGs),这些会影响CM-6及其他控制措施的实施,例如AC-19和CM-7。安全内容自动化协议(SCAP)及其协议中定义的标准提供了一种有效的方法,用于唯一识别、跟踪和控制配置设置。
当已知系统或系统组件将位于组织外的高风险区域时,可以实施额外的控制措施以应对这些区域中增加的威胁。例如,组织可以对出差和回程人员使用的笔记本电脑采取相应的措施。操作包括确定关注的位置、定义组件所需的配置、确保组件在出发前按预期配置,并在出行完成后对组件进行控制。特别配置的笔记本电脑包括硬盘已清理的计算机、应用程序受限的计算机以及配置设置更严格的计算机。对旅行归来的移动设备实施的控制包括检查移动设备是否有物理篡改的迹象,以及清除和重装磁盘驱动器。保护移动设备上存储的信息在 MP(媒体保护)系列中有所涉及。
组织会识别那些可能存在来源问题或可能包含恶意代码的软件。对于这类软件,用户安装会在受限的操作环境中进行,以限制或控制可能执行的恶意代码造成的损害。
控制增强中提到的控制是指控制目录中的安全和隐私控制。无论采用何种加密机制,都有相应的流程和程序来管理这些机制。例如,如果系统组件使用证书进行身份识别和认证,则会实施一个流程来处理这些证书的过期问题。
数据操作是处理个人身份信息的系统操作。这类信息的处理涵盖整个信息生命周期,包括收集、生成、转换、使用、披露、保留和处置。系统数据操作的地图包括离散的数据操作、在数据操作中处理的个人身份信息元素、参与数据操作的系统组件以及系统组件的所有者或运营者。了解正在处理的个人身份信息(例如个人可识别信息的敏感性)、个人可识别信息的处理方式(例如,该数据操作是否对个人可见,或在系统的其他部分进行处理)、以及由谁进行处理(例如)个人对处理个人身份信息的实体可能有不同的隐私认知) 提供了多种评估系统产生的隐私风险程度的重要情境因素。数据映射可以用不同的方式展示,其详细程度可能根据组织的任务和业务需求而有所不同。数据地图可以是组织使用的任何系统设计工件的叠加。这张地图的开发可能需要隐私和安全程序之间的协调,以涉及所覆盖的数据操作以及被识别为系统一部分的组件。
为开发、测试和运营环境建立单独的基线配置可以保护系统免受与开发和测试活动相关的计划外或意外事件的影响。单独的基线配置使组织能够对每种类型的配置应用最合适的配置管理。例如,运营配置的管理通常强调稳定性的需求,而开发或测试配置的管理则需要更大的灵活性。测试环境的配置在可行的范围内尽量反映运营环境的配置,以便测试结果能够代表对运营系统所提出的更改。独立的基线配置不一定需要独立的物理环境。
组织采用双重授权,以帮助确保对选定系统组件和信息的任何更改,除非经过两位合格人员的批准和执行,否则无法进行。这两位人员具备判断拟议更改是否为已批准更改的正确实施所需的技能和专业知识。这些人员也对这些更改负有责任。双重授权也可能被称为两人控制。为了降低勾结的风险,组织会考虑将双重授权的职责轮换给其他人。系统级信息包括操作程序。
具有安全或隐私职责的组织人员进行影响分析。进行影响分析的个人具备必要的技能和技术专长,能够分析系统的变更以及对安全或隐私的影响。影响分析包括审查安全和隐私计划、政策及程序,以了解控制要求;审查系统设计文档和操作程序,以了解控制的实施情况以及特定系统更改可能如何影响控制;与利益相关者一起审查更改对组织供应链合作伙伴的影响;并确定系统的潜在更改如何对个人隐私造成新的风险,以及已实施的控制措施缓解这些风险的能力。影响分析还包括风险评估,以了解变更的影响并确定是否需要额外的控制措施。
信息位置关注于了解信息是在哪里被处理和存储的。信息位置包括识别特定类型的信息以及信息在系统组件中的存在位置,以及信息的处理方式,以便理解信息流动,并为这些信息和系统组件提供适当的保护和政策管理。信息的安全类别也是确定保护信息所需控制措施以及信息所在的系统组件的一个因素(参见 FIPS 199)。信息和系统组件的位置也是系统架构和设计的一个因素(参见 SA-4、SA-8、SA-17)。
系统提供各种功能和服务。某些默认常规提供的功能和服务可能并非支持关键组织任务、功能或操作所必需。此外,有时从单个系统组件提供多项服务是方便的,但这样做会增加风险,相比之下限制该单个组件提供的服务可降低风险。在可行的情况下,组织会将组件的功能限制为每个组件仅执行单一功能。组织还会考虑移除未使用或不必要的软件,禁用未使用或不必要的物理和逻辑端口及协议,以防止组件的未经授权连接、信息传输和隧道传输。组织使用网络扫描工具、入侵检测与防御系统以及端点保护技术(如防火墙和基于主机的入侵检测系统)来识别并阻止使用被禁止的功能、协议、端口和服务。最小功能性也可以作为系统基本设计和开发的一部分实现(参见SA-8、SC-2和SC-3)。
软件库包括特权程序。
开源软件是指以源代码形式提供的软件。某些通常归版权持有者所有的软件权利,通常会通过软件许可协议提供,允许个人研究、修改和改进软件。从安全的角度来看,开源软件的主要优势在于它使组织能够审查源代码。在某些情况下,与软件相关的在线社区会持续检查、测试、更新并报告软件中发现的问题。然而,修复开源软件中的漏洞可能存在困难。开源软件还可能涉及许可问题,包括对其衍生使用的限制。仅以二进制形式提供的开源软件可能会增加使用此类软件的风险水平。
组织会审查系统或系统组件提供的功能、端口、协议和服务,以确定可以被淘汰的功能和服务。这类审查在从旧技术向新技术过渡期间尤为重要(例如,从 IPv4 过渡到 IPv6)。这些技术过渡可能需要在过渡期间同时实施旧技术和新技术,并在尽早的机会下恢复到最低必要的功能、端口、协议和服务。组织可以自行决定功能、端口、协议和/或服务的相对安全性,也可以根据对其他实体的评估来做出安全决策。不安全的协议包括蓝牙、FTP 和点对点网络。
配置管理政策和程序涵盖在系统和组织中实施的CM系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此,安全和隐私项目在制定配置管理政策和程序时进行协作非常重要。通常情况下,组织层面的安全和隐私项目政策与程序是更可取的,并且可能不需要针对特定任务或系统的政策和程序。该政策可以作为整体安全与隐私政策的一部分,也可以通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务/业务流程以及系统建立相关程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致配置管理政策和程序更新的事件包括但不限于评估或审计发现、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重复控制措施并不构成组织政策或程序。
系统配置更改可能会对关键的系统安全性和隐私功能产生不利影响。可以通过自动化机制来实施更改限制。
程序执行的预防涉及组织政策、行为规范和/或限制软件使用的访问协议,以及开发者或制造商施加的条款和条件,包括软件许可和版权。限制包括禁止自动执行功能、限制允许批准程序执行的角色、允许或禁止特定软件程序,或限制同时执行的程序实例数量。
在许多组织中,系统支持多项任务和业务功能。限制对操作系统的系统组件进行更改的权限是必要的,因为系统组件的更改可能对系统支持的任务和业务流程产生深远影响。在某些情况下,开发人员对系统与任务/业务流程之间的关系并不清楚。与系统相关的信息包括操作程序。
硬件组件为组织系统提供基础,并为经过授权的软件程序的执行提供平台。管理硬件组件的库存以及控制允许安装或连接到组织系统的硬件组件对于提供足够的安全性至关重要。
组织使用注册流程来管理、跟踪并监督系统及其已实施的功能、端口、协议和服务。
对未经授权的配置设置更改的响应包括提醒指定的组织人员、恢复既定的配置设置,或者在极端情况下停止受影响的系统处理。
保留基线配置的先前版本以支持回滚,包括硬件、软件、固件、配置文件、配置记录和相关文档。
可以通过组织在配置变更过程或持续监控过程中开展的活动,获取需审查系统变更的指征以及证明此类审查合理的具体情况。
信息安全和隐私代表包括系统安全官、高级机构信息安全官、高级机构隐私官或系统隐私官。由具有信息安全和隐私专业知识的人员进行代表非常重要,因为对系统配置的更改可能会产生意想不到的副作用,其中一些可能与安全或隐私相关。在过程早期检测此类变化可以帮助避免可能最终影响系统安全性和隐私状况的意外负面后果。在第二个组织定义的参数中提到的配置变更控制要素,反映了组织在 CM-3g 中定义的变更控制要素。
独立的测试环境需要一个在物理上或逻辑上与操作环境分离和独立的环境。分离的程度应足以确保测试环境中的活动不会影响操作环境中的活动,并且操作环境中的信息不会被意外传输到测试环境。可以通过物理或逻辑手段实现独立环境。如果没有实施物理独立的测试环境,组织在实施逻辑分离时需要确定所需机制的强度。
除非经过认可和批准的证书签名,否则软件和固件组件无法安装,这些组件包括软件和固件版本更新、补丁、服务包、设备驱动程序以及基本输入/输出系统更新。组织可以按类型、按特定项目或两者结合的方式识别适用的软件和固件组件。数字签名及对该签名的组织验证是一种代码认证的方法。
例如,通过担任系统管理员的角色可以获得特权状态。
软件许可证跟踪可以通过手动或自动方法实现,具体取决于组织的需求。合同协议的示例包括软件许可证协议和保密协议。
系统组件是离散的、可识别的信息技术资产,包括硬件、软件和固件。组织可以选择实施包含所有组织系统组件的集中系统组件清单。在这种情况下,组织需要确保清单包含组件问责所需的特定系统信息。有效追踪系统组件所需的信息包括系统名称、软件所有者、软件版本号、硬件清单规格、软件许可信息,以及对于网络组件,还包括使用的所有协议(如 IPv4、IPv6)下的机器名称和网络地址。库存规格包括收货日期、成本、型号、序列号、制造商、供应商信息、组件类型和物理位置。防止系统组件的重复核算可以解决在组件所有权和系统关联不明时产生的责任缺失问题,尤其是在大型或复杂的连接系统中。有效防止系统组件重复记账需要为每个组件使用唯一标识符。对于软件库存,通过其他系统访问的集中管理软件被视为安装和管理该软件的系统的一个组件。安装在多个组织系统上并在系统级别管理的软件,会针对每个单独的系统进行处理,并可能在集中组件清单中出现多次,因此需要在集中清单中为每个软件实例建立系统关联,以避免组件重复计数。扫描实现了多种网络协议的系统(例如IPv4 和 IPv6) 可能导致在不同地址空间中识别出重复的组件。实施 CM-8(7) 可以帮助消除组件的重复计数。
对系统的更改包括对硬件、软件或固件组件以及 CM-6 中定义的配置设置的修改。组织确保测试不会干扰支持组织任务和业务功能的系统操作。进行测试的个人或团体了解安全和隐私政策及程序、系统安全和隐私政策及程序,以及与特定设施或流程相关的健康、安全和环境风险。在进行测试之前,可能需要使操作系统脱机,或在可行范围内进行复制。如果系统必须下线进行测试,测试应尽可能安排在计划的系统停机期间进行。如果测试无法在运行系统上进行,组织将采用补偿性控制措施。
未经授权的软件程序可以限制为特定版本或来自特定来源。禁止执行未经授权的软件的概念也可以应用于用户操作、系统端口和协议、IP 地址/范围、网站和 MAC 地址。
如果在组件安装或移除过程中或在进行系统常规更新时更新系统组件清单,组织可以提高系统组件清单的准确性、完整性和一致性。如果在这些关键时刻没有更新清单,那么信息很可能无法被适当捕捉和记录。系统更新包括硬件、软件和固件组件。
如果拥有必要的权限,用户可以在组织系统中安装软件。为了控制安装的软件,组织会明确允许和禁止的软件安装行为。允许的软件安装包括对现有软件进行更新和安全补丁安装,以及从组织批准的“应用商店”下载新应用程序。禁止的软件安装包括来源不明或可疑的软件,或组织认为可能有恶意的软件。用于管理用户安装软件的政策由组织制定或由某些外部实体提供。政策的执行方法可以包括程序方法和自动化方法。
在此上下文中,实施是指在运行系统中安装已更改的代码,这些更改可能会影响安全或隐私控制。