NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
区域性中断是指在地理范围上广泛的中断,这种判断由组织根据对风险的评估来做出。
应急计划以及与这些计划相关的应急培训或测试,将备用通信协议能力纳入其中,以建立组织系统的韧性。切换通信协议可能会影响软件应用程序和系统的操作方面。组织在实施之前会评估引入替代通信协议的潜在副作用。
组织可以选择开展应急规划活动,为备选处理和存储地点进行规划,这是业务连续性规划或业务影响分析的一部分。组织在应急规划中定义的主要处理和/或存储地点可能会根据应急相关的情况而发生变化。
备用处理站点在地理位置上与主处理站点不同,当主处理站点不可用时提供处理能力。备用处理能力可以通过物理处理站点或其他替代方案来实现,例如切换到基于云的服务提供商或其他内部或外部提供的处理服务。支持应急需求的地理分布式架构也可以被视为备用处理站点。备用处理站点协议涵盖的控制措施包括备用站点的环境条件、访问规则、物理和环境保护要求,以及人员调动和分配的协调。将需求分配到备用处理站点,这些站点在应急计划中反映了需求,以便在组织系统发生中断、损坏或故障时,仍能维持关键的任务和业务功能。
备份存储站点在地理位置上与主存储站点不同,并在主存储站点不可用时保存信息和数据的副本。同样,如果主处理站点不可用,备用处理站点提供处理能力。支持应急需求的地理分布架构可以被视为备用存储站点。替代存储地点协议涵盖的事项包括替代地点的环境条件、系统和设施的访问规则、物理和环境保护要求,以及备份介质的交付和取回协调。备用存储地点反映了应急计划中的要求,以便组织在组织系统受到破坏、故障或中断的情况下,仍能维持关键的任务和业务功能。
备用电信服务测试是通过与服务提供商签订合同安排的。测试可能会与正常操作同时进行,以确保组织的任务或功能不受影响。
使用替代安全机制有助于系统的弹性、应急计划和业务连续性。为了确保任务和业务的连续性,组织可以实施替代或补充的安全机制。这些机制的效果可能不如主要机制。然而,具备随时使用替代或补充机制的能力,可以增强任务和业务的连续性,否则如果必须暂停操作,直到恢复实施功能的主要方式,可能会受到不利影响。鉴于提供此类替代功能所需的成本和工作量,这些替代或补充机制仅适用于系统、系统组件或系统服务提供的关键安全功能。例如,如果多因素令牌——实现安全认证的标准手段——被破解,组织可能会向高级管理人员、官员和系统管理员发放一次性密码本。
自动化机制通过提供更全面的应急问题覆盖、选择更现实的测试场景和环境,以及有效地对系统及支持的任务和业务功能进行压力测试,从而促进应急计划的彻底和有效测试。
需要进行容量规划,因为不同的威胁可能导致可用的处理能力、电信和支持服务减少,而这些服务旨在支持关键的任务和业务功能。组织在应急操作期间会预计操作性能下降,并将这种下降考虑在容量规划中。在容量规划中,环境支持是指组织确定在紧急情况下需要提供支持的任何环境因素,即使是处于降级状态。此类判断基于对风险的组织评估、系统分类(影响级别)以及组织风险容忍度。
系统恢复和重建组件(即硬件、固件和软件)的保护包括物理和技术控制。用于恢复和重建的备份和还原组件包括路由表、编译器以及其他系统软件。
系统应急计划是实现组织任务和业务职能持续运转的整体计划的一部分。应急计划涉及在系统受损或被入侵时进行系统恢复以及实施替代的任务或业务流程。应急计划贯穿整个系统开发生命周期,并且是系统设计的一个基本部分。系统可以设计为冗余,以提供备份能力,并具备弹性。应急计划反映了组织系统所需的恢复程度,因为并非所有系统都需要完全恢复才能实现所期望的业务连续性水平。系统恢复目标反映了适用的法律、行政命令、指令、法规、政策、标准、指南、组织风险容忍度以及系统影响等级。应急计划中涉及的操作包括有序的系统降级、系统关闭、切换到手动模式、替代信息流,以及在系统受到攻击时保留的操作模式。通过将应急计划与事件处理活动协调起来,组织能够确保在发生事件时,必要的规划活动已到位并得以启动。组织需要考虑在事件期间维持业务连续性是否会与自动禁用系统的能力发生冲突,如 IR-4(5) 所规定。事件响应规划是组织应急计划的一部分,并在事件响应(IR)系列中进行处理。
测试应急预案以确定其有效性并识别潜在弱点的方法包括清单、演练和桌面演习、模拟(并行或全面中断)以及综合演习。组织根据应急计划中的要求进行测试,并包括对应急操作对组织运营、资产和个人影响的评估。组织在纠正措施的范围、深度和时间安排上具有灵活性和自主权。
组织提供的应急培训与组织人员的指定角色和职责相关,以确保培训中包含适当的内容和细节水平。例如,有些人可能只需要了解在应急行动期间何时何地报到,以及正常职责是否会受到影响;系统管理员可能需要接受额外培训,以了解如何在备用处理和存储站点建立系统;组织官员可能会接受更具体的培训,学习如何在指定的异地位置执行关键任务功能,以及如何与其他政府机构建立通信,以协调应急相关活动。针对应急角色或职责的培训反映了应急计划中的具体连续性要求。可能导致应急培训内容更新的事件包括但不限于应急预案测试或实际应急情况(经验教训)、评估或审计结果、安全或隐私事件,或法律、行政命令、指令、法规、政策、标准和指南的变化。根据组织的决定,参与应急计划测试或演练,包括测试或演练后的经验教训会议,可能符合应急计划培训要求。
组织可以选择开展应急规划活动,以在业务连续性规划或业务影响分析中继续执行任务和业务功能。组织在应急规划中定义的主要处理和/或存储地点可能会根据应急相关的情况而发生变化。
当一个组织执行其使命和业务功能的能力依赖于外部服务提供商时,制定全面且及时的应急计划可能会变得更加具有挑战性。当使命和业务职能依赖于外部服务提供商时,组织会与外部实体协调应急计划活动,以确保各个计划反映组织的整体应急需求。
与组织系统应急计划相关的计划包括业务连续性计划、灾难恢复计划、运营连续性计划、危机沟通计划、关键基础设施计划、网络事件响应计划以及占用者紧急情况计划。应急计划测试的协调不要求组织创建处理相关计划的组织元素,也不要求将这些元素与特定计划对齐。然而,如果这些组织元素负责相关计划,组织就需要与这些元素进行协调。
加密机制的选择是基于保护备份信息的机密性和完整性的需要。所选机制的强度与信息的安全类别或分级相适应。加密保护适用于存储在主备地点的系统备份信息。实施密码机制以保护静态信息的组织也会考虑密码密钥管理解决方案。
双重授权确保备份信息的删除或毁坏不会发生,除非由两名具备资格的人员执行此操作。删除或毁坏备份信息的人员具备判断拟删除或毁坏的信息是否符合组织政策和程序的技能或专业知识。双重授权也可能被称为两人控制。为了降低勾结风险,组织会考虑将双重授权职责轮换给其他人员。
恢复是执行应急计划活动以恢复组织的使命和业务功能。重建发生在恢复之后,包括将系统恢复到完全可操作状态的活动。组织为系统建立已知状态,其中包括硬件、软件程序和数据的系统状态信息。保存系统状态信息有助于系统重新启动,并使组织能够在对任务和业务流程干扰较小的情况下恢复到运行模式。
组织可以选择在关键性分析、业务连续性规划或业务影响分析中识别关键资产。组织识别关键系统资产的目的是为了能够采用额外的控制措施(超出常规实施的控制措施),以帮助确保在应急操作期间,组织的使命和业务功能能够持续进行。关键信息资产的识别还促进了组织资源的优先分配。关键系统资产包括技术和运营方面。技术方面包括系统组件、信息技术服务、信息技术产品和机制。运营方面包括程序(即手动执行的操作)和人员(即(操作技术控制和/或执行手动程序的个人)。组织的项目保护计划可以帮助识别关键资产。如果关键资产存在于外部服务提供商处或由其支持,组织应考虑将 CP-2(7) 作为控制增强措施实施。
可能会出现一些情况,使得组织无法返回主要处理地点,例如如果自然灾害(如洪水或飓风)损坏或毁坏了设施,并且确定在同一地点重建是不明智的。
运营机制是指为实现组织目标而建立的流程,或支持特定组织使命或业务目标的系统。实际的任务和业务流程、系统和/或设施可以用于生成模拟事件,并在应急训练中增强模拟事件的真实性。
应急计划政策和程序涉及在系统和组织中实施的CP系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此,安全和隐私项目在制定应急计划政策和程序时进行协作非常重要。通常情况下,组织层面的安全和隐私项目政策和程序是可取的,并且可能不需要针对特定任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分,或者通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致应急计划政策和程序更新的事件包括评估或审计发现、安全或隐私事件,或法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重复控制措施并不构成组织的政策或程序。
现场准备包括为备用处理站点建立与主站点要求一致的系统配置设置,并确保必需的物资和后勤考虑到位。
服务协议优先级是指与服务提供商协商达成的协议,确保组织在其可用性要求以及信息资源在逻辑备用处理和/或物理备用处理地点的可用性情况下,获得优先处理。组织在应急计划中会制定恢复时间目标。
在电信服务提供商为其他组织提供类似优先服务的情况下,组织会考虑潜在的任务或业务影响。电信服务优先(TSP)是联邦通信委员会(FCC)的一项计划,指导电信服务提供商(例如有线和无线电话公司)在用户需要新增电话线路或在服务中断后恢复线路时,应对参加该计划的用户给予优先待遇,无论中断原因如何。联邦通信委员会(FCC)制定TSP计划的规则和政策,而国土安全部负责管理TSP计划。TSP计划始终有效,并不取决于是否发生重大灾难或攻击。参加TSP计划需要联邦赞助。
对服务提供商应急计划的审查会考虑此类计划的专有性质。在某些情况下,服务提供商应急计划的概要可能足以作为组织满足审查要求的证据。电信服务提供商还可以与国土安全部及州和地方政府协调参与持续的灾难恢复演练。组织可以使用这些类型的活动来满足与服务提供商应急计划审查、测试和培训相关的证据要求。
组织在应急计划中设定恢复时间目标和恢复点目标。备用存储站点的配置包括物理设施以及支持恢复操作的系统,以确保可访问性和正确执行。
系统备份的效果可以通过维护一个冗余的次级系统来实现,该次级系统镜像主系统,包括信息的复制。如果存在这种类型的冗余,并且两个系统之间有足够的地理间隔,则次级系统也可以作为备用处理站点。
系统组件的恢复包括重建镜像,这会将组件恢复到已知的可操作状态。
组织可能选择开展应急预案活动,以作为业务连续性计划的一部分或业务影响分析的一部分来恢复使命和业务职能。组织会优先恢复使命和业务职能。恢复任务和业务功能的时间可能取决于系统及其支持基础设施中断的严重程度和范围。
对于支持关键任务和业务功能的系统——包括军事行动、民用太空行动、核电站运营以及空中交通管制操作(尤其是实时操作环境)——组织可以确定某些条件,在这些条件下,系统会恢复到预定义的安全运行模式。安全模式可以自动或手动激活,当遇到特定条件时,它会限制系统可以执行的操作。限制包括只允许在有限电力或降低的通信带宽下可执行的选定功能运行。
通常,评估系统弹性的最佳方法是以某种方式扰乱系统。组织使用的机制可能以多种方式中断系统功能或系统服务,包括终止或禁用关键系统组件、更改系统组件的配置、降低关键功能(例如限制网络带宽)或更改权限。自动化、持续进行和模拟的网络攻击及服务中断可以揭示意想不到的功能依赖关系,并帮助组织确定在实际网络攻击面前确保韧性的能力。
关键信息的单独存储适用于所有关键信息,无论备份存储介质的类型如何。关键系统软件包括操作系统、中间件、加密密钥管理系统和入侵检测系统。与安全相关的信息包括系统硬件、软件和固件组件的清单。备用存储站点,包括地理上分布的架构,作为组织的独立存储设施。组织可以通过在备用存储站点(例如数据中心)实施自动备份流程来提供独立存储。美国总务管理局(GSA)制定了安全和防火容器的标准和规范。
影响备用处理站点的威胁在组织风险评估中已有定义,包括自然灾害、结构故障、敌对攻击以及遗漏或错误行为。组织根据所关心的威胁类型,确定主要处理站点和备用处理站点之间被认为足够的间隔程度。对于像敌对攻击这样的威胁,站点之间的间隔程度并不那么重要。
影响电信服务的威胁在组织的风险评估中有明确界定,包括自然灾害、结构故障、网络或物理攻击,以及遗漏或错误行为。组织可以通过减少电信服务提供商之间的共享基础设施,并确保服务之间有足够的地理隔离来降低常见的脆弱性。在服务提供商能够提供满足风险评估中所涉及分离需求的替代电信服务的情况下,组织可以考虑使用单一服务提供商。
使用模拟事件为员工创造了一个可以体验实际威胁事件的环境,包括使网站瘫痪的网络攻击、加密组织服务器数据的勒索软件攻击、破坏或摧毁组织设施的飓风,或者硬件或软件故障。
在某些情况下,电信服务提供商或服务可能会共享相同的物理线路,这增加了单点故障的脆弱性。确保服务提供商对电信服务的实际物理传输能力保持透明非常重要。
系统级信息包括系统状态信息、操作系统软件、中间件、应用软件和许可证。用户级信息包括系统级信息以外的信息。用于保护系统备份完整性的机制包括数字签名和加密哈希。传输过程中系统备份信息的保护由 MP-5 和 SC-8 解决。系统备份反映了应急计划中的要求以及组织在备份信息方面的其他要求。组织可能需要遵守涉及特定信息类别(例如个人健康信息)的法律、行政命令、指令、法规或政策的要求。组织人员就此类要求向机构高级官员咨询隐私和法律意见。
恢复是执行应急计划活动以恢复组织的使命和业务功能。重建发生在恢复之后,包括使系统恢复到完全运行状态的活动。恢复和重建操作反映了使命和业务优先级;恢复点、恢复时间和重建目标;并且组织指标应符合应急计划的要求。重建包括停用在恢复操作期间可能需要的临时系统功能。重建还包括对系统完全恢复能力的评估、持续监控活动的重建、系统重新授权(如有需要)以及为系统和组织应对未来中断、入侵、妥协或故障所做的准备工作。恢复和重建能力可以包括自动化机制和手动操作程序。组织在应急计划中设定恢复时间目标和恢复点目标。
电信服务(用于数据和语音)用于主处理和备用处理及存储站点的范围包括在 CP-8 中。备用电信服务反映应急计划中的连续性要求,以在主电信服务中断时维持关键任务和业务功能。组织可以为主站点或备用站点规定不同的时间周期。替代电信服务包括额外的组织或商业地面电路或线路、基于网络的电信方法或卫星的使用。组织在签订替代电信协议时会考虑诸如可用性、服务质量和访问等因素。
组织需要确保系统功能能够正确恢复,并能够支持既定的组织任务。为了确保所选系统功能在应急计划测试中得到充分演练,会提取备份信息样本,以确定这些功能是否按预期运行。组织可以根据所需的保证水平确定各项职能和备份信息的样本量。
组织需要确保备份信息可以可靠地恢复。可靠性涉及存储备份信息的系统及其组件、用于检索信息的操作以及所检索信息的完整性。可以针对可靠性的每个方面进行独立且专业的测试。例如,从备用存储或备份站点解密并传输(或发送)一个随机的备份文件样本,并将信息与主处理站点的相同信息进行比较,可以提供这样的保证。
基于事务的系统包括数据库管理系统和事务处理系统。支持事务恢复的机制包括事务回滚和事务日志记录。
系统备份信息可以通过电子方式或通过实物存储介质的寄送,传输到备用存储站点。