NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

通知可以由维护人员执行。非本地维护的批准由具有足够信息安全和系统知识的人员完成，以确定所提议维护的适当性。

通信路径可以通过加密进行逻辑分离。

使用自动化机制来管理和控制系统维护程序和活动，有助于确保生成及时、准确、完整且一致的维护记录。

计算机化维护管理系统维护关于组织维护操作的信息数据库，并自动处理设备状态数据，以触发维护计划、执行和报告。

在对组织系统进行维护的过程中，相关人员可能会接触到机密信息。如果组织系统上的机密信息仅限美国公民访问，那么对执行这些系统维护的人员也同样适用这一限制。

在系统、诊断工具和提供维护服务的设备上具有可比的安全能力，意味着这些系统、工具和设备上实施的控制措施至少与所维护系统上的控制措施同样全面。

控制系统维护涉及系统维护计划的信息安全方面，并适用于所有类型的系统组件维护，无论是由本地还是非本地实体进行。维护包括扫描仪、复印机和打印机等外围设备。创建有效维护记录所需的信息包括维护的日期和时间、所执行维护的描述、执行维护的个人或团队的姓名、陪同人员的姓名，以及被移除或更换的系统组件或设备名称。组织还会考虑与系统替换组件相关的供应链风险。

未能保护非本地的维护和诊断通信可能导致未经授权的个人获取组织信息。在远程维护会话中未经授权的访问可能导致各种敌对行为，包括恶意代码插入、系统参数的未经授权更改以及组织信息的外泄。此类行为可能导致任务或业务能力的丧失或下降。

在完成维护后验证连接的终止，可以确保在非本地维护和诊断会话期间建立的连接已被终止，并且不再可用。

以更高系统权限运行的维护工具可能导致未经授权访问本应无法访问的组织信息和资产。

现场维护是指在系统或系统组件部署到特定地点（即操作环境）之后，对其进行的维护。在某些情况下，现场维护（即现场本地维护）可能不会像库房维护那样以相同的严格程度或相同的质量控制检查来执行。对于被组织指定为关键系统的设备，可能需要限制或禁止在本地现场进行维护，并要求此类维护在具有额外控制措施的可信设施中进行。

对组织系统进行维护和诊断活动的人员可能会接触到机密信息。如果允许非美国公民对机密系统进行维护和诊断活动，则需要进行额外的审查，以确保不违反协议和限制。

对于缺乏适当安全许可或非美国公民的个人，程序旨在拒绝其对组织系统上包含的机密或受控未分类信息的视觉和电子访问。维护人员的使用程序可以在系统的安全计划中进行记录。

如果在检查包含维护、诊断和测试程序的媒体时，组织确定该媒体包含恶意代码，则应按照组织的事件处理政策和程序处理该事件。

维护工具可以由维护人员直接带入设施，也可以从供应商的网站下载。如果在检查维护工具时，组织发现这些工具被不当修改或包含恶意代码，则应按照组织的事件处理政策和程序处理该事件。

AU-2 强制执行非本地维护的审计记录。审计事件在 AU-2a 中定义。

维护人员是指对组织系统进行硬件或软件维护的个人，而PE-2则涉及那些因维护职责而进入系统物理保护范围内的个人的物理访问。监督人员的技术能力与系统维护相关，而拥有所需的访问权限则指的是对系统及其周边的维护。先前未被认定为授权维护人员的个人——例如信息技术制造商、供应商、系统集成商和顾问——可能需要对组织系统的特权访问，例如当他们需要在很少或没有通知的情况下进行维护活动时。根据组织对风险的评估，组织可能会向这些个人颁发临时凭证。临时凭证可以是一次性使用的，也可以是仅在很短时间内有效的。

批准、控制、监控和审查维护工具，旨在解决与维护工具相关的安全问题，这些工具不在系统授权范围内，并且专门用于对组织系统进行诊断和修理操作。组织在确定维护工具的批准角色以及如何记录该批准方面具有灵活性。定期审查维护工具有助于撤销对过时、不受支持、无关或不再使用的工具的批准。维护工具可以包括硬件、软件和固件项目，可能是预装的、由维护人员通过介质带入的、基于云的，或从网站下载的。此类工具可能成为将恶意代码带入设施并随后进入系统的载体，无论是故意还是无意。维护工具可以包括硬件和软件诊断测试设备以及数据包嗅探器。支持维护并且是系统一部分的硬件和软件组件（包括实现“ping”、“ls”、“ipconfig”等实用程序的软件，或实现以太网交换机监控端口的硬件和软件）不在维护工具的处理范围内。

在其他与系统不直接相关的职责中执行维护活动的人员包括设备维护人员和清洁人员。

非本地维护和诊断活动由通过外部或内部网络进行通信的人员执行。本地维护和诊断活动由实际在系统位置的人员进行，而不通过网络连接进行通信。用于建立远程维护和诊断会话的认证技术反映了 IA-2 中的网络访问要求。强认证要求使用能够抵御重放攻击并采用多因素认证的认证器。强认证器包括将证书存储在受密码、短语密码或生物特征保护的令牌上的公钥基础设施（PKI）。在 MA-4 中强制执行要求部分是通过其他控制来完成的。[SP 800-63B] 提供了有关强身份验证和验证器的额外指导。

维护政策和程序涉及在系统和组织中实施的MA系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于确保安全性和隐私性。因此，安全和隐私项目在制定维护政策和程序时进行协作非常重要。一般来说，组织层面的安全和隐私项目政策和程序是可取的，并且可能不需要特定任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分，或者通过多项政策来体现组织的复杂性。如果需要，可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的，并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中，或记录在一个或多个单独的文档中。可能导致维护政策和程序评估或审计发现、安保或隐私事件，或适用法律、行政命令、指令、规章、政策、标准和指南发生变更的事件。仅仅重复控制措施并不构成组织的政策或程序。

预测性维护通过定期或持续（在线）监测设备状态来评估设备状况。预测性维护的目标是在维护活动最具成本效益的预定时间进行维护，并在设备性能下降到某一阈值之前进行维护。预测性维护的预测成分源于预测设备状态未来趋势的目标。预测性维护方法采用统计过程控制的原理来确定未来何时进行维护活动是合适的。大多数预测性维护检查是在设备运行时进行的，从而将对正常系统操作的干扰降到最低。预测性维护可以带来可观的成本节约和更高的系统可靠性。

组织信息包括组织拥有的所有信息以及提供给组织且由组织作为信息管理者负责的信息。

预防性维护包括对系统组件进行主动保养和维护，以保持组织设备和设施处于良好的运行状态。这种维护涉及系统的检查、测试、测量、调整、零件更换、潜在故障的检测与修正，旨在在故障发生之前或在其发展为重大缺陷之前进行处理。预防性维护的主要目标是避免或减轻设备故障的后果。预防性维护旨在通过在组件失效之前更换磨损部件来保持和恢复设备的可靠性。确定应采用何种预防性（或其他）故障管理策略的方法包括原始设备制造商的建议、统计故障记录以及专家意见；已经在类似设备上进行的维护；某个管辖区内的规范、法律或法规要求；或测量值和性能指标。

将维护工具的使用限制在授权人员范围内，适用于用于执行维护功能的系统。

对组织系统进行维护的人员在维护过程中可能会接触到机密信息。为了减轻这种接触的固有风险，组织会使用经过审查的维护人员（即拥有与系统上存储信息相同等级的安全许可的人员）。

使用过时和/或未修补软件的维护工具可能为对手提供威胁途径，并给组织带来重大漏洞。

组织会指定那些系统组件，这些组件在其提供的功能无法正常运行时，会导致组织运营和资产、个人、其他组织或国家面临更高的风险。组织为获得维护支持所采取的行动包括签订适当的合同。