NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
基于角色的设施访问包括授权的固定和常规/例行维护人员、值班官员以及急救医务人员的访问。
控制对输出设备的物理访问包括将输出设备放置在带锁的房间或其他安全区域,并配备键盘或刷卡访问控制,仅允许授权人员访问;将输出设备放置在可由人员监控的位置;安装屏幕过滤器;以及使用耳机。输出设备的例子包括显示器、打印机、扫描仪、音频设备、传真机和复印机。
对系统分配和传输线路实施的安全控制可以防止意外损坏、干扰和物理篡改。这些控制措施还可能是防止窃听或修改未加密传输的必要手段。用于控制系统分配和传输线路物理访问的安全控制措施包括断开或锁定的备用插孔、上锁的布线间、通过导管或电缆托架保护的电缆,以及窃听传感器。
出入控制前室,也称为人闸,是物理访问控制系统的一部分,通常在两组互锁门之间提供一个空间。人闸的设计目的是防止未授权人员跟随授权人员进入受控访问的设施。这种行为也被称为尾随或搭便车,会导致未经授权的人员进入设施。联锁门控制器可用于限制进入受控通道的人员数量,并在核实物理访问授权时提供隔离区域。联锁门控制器可以完全自动化(即控制门的开启和关闭)或部分自动化(即,使用保安控制进入隔离区的人数)。
通过接入备用商用电源或其他外部电源,能够以最小的运行能力提供备用电源。
通过使用一个或多个容量足够满足组织需求的发电机,可以满足长期、独立电源供应的要求。
备用工作地点包括政府设施或员工私人住宅。虽然与替代处理地点不同,备用工作地点在应急操作期间可以提供随时可用的替代位置。组织可以根据在这些地点进行的工作活动,为特定的备用工作地点或类型的地点定义不同的控制措施。实施和评估组织定义的控制措施的有效性,并提供在替代工作地点传达事件的方式,有助于支持组织的应急计划活动。
资产定位技术可以帮助确保关键资产——包括车辆、设备和系统组件——保持在授权位置。组织在部署和使用资产定位技术时,会与总法律顾问办公室和隐私事务高级官员进行咨询,以应对潜在的隐私问题。
响应措施可以包括通知选定的组织人员或执法人员。用于启动响应措施的自动化机制包括系统警报通知、电子邮件和短信,以及激活门锁机制。物理访问监控可以与入侵检测系统和系统监控功能协调, 为组织提供综合的威胁覆盖。
访客访问记录可能会存储并维护在组织人员可访问的数据库管理系统中。对这些记录的自动访问便于定期审查记录,以确定访问授权是否是最新的,以及是否仍然需要以支持组织的使命和业务职能。
自动环境控制的实施可以对可能损坏、降低性能或破坏组织系统或系统组件的环境条件作出即时响应。
自动电压控制可以监测和控制电压。这些控制装置包括电压调节器、电压调理器和电压稳定器。
自动化机制包括通知系统、水检测传感器和警报装置。
可能需要标记的硬件组件包括输入设备和输出设备。输入设备包括台式电脑和笔记本电脑、键盘、平板电脑和智能手机。输出设备包括打印机、显示器/视频显示器、传真机、扫描仪、复印机和音频设备。控制输出到输出设备的权限在 AC-3 或 AC-4 中进行处理。组件上标注了其所连接系统的影响级别或分类级别,或允许输出的信息的影响级别或分类级别。安全标记是指使用可读的安全属性。安全标识是指对内部系统数据结构使用安全属性。对于处理、存储或传输被组织认定为公共领域信息或可公开发布的信息的硬件组件,一般不需要安全标记。然而,组织可能会要求对处理、存储或传输公共信息的硬件组件进行标记,以表明这些信息是可公开发布的。系统硬件组件的标记反映了适用的法律、行政命令、指令、政策、规章和标准。
在设施的特定物理出入口部署警卫可以为组织提供更快速的响应能力。警卫还可以在视频监控覆盖不到的区域提供人工监控的机会。
执行系统组件进出权限可能需要限制对交付区域的访问,并将这些区域与系统和媒体库隔离。
如果通知名单上的个人需要访问授权或安全许可(例如,进入由于设施内信息的分类或影响等级而受限的场所),组织可以识别相关人员、角色和应急响应人员。通知机制可能需要独立的能源,以确保火灾不会对通知功能产生不利影响。
电磁脉冲(EMP)是一种短时的电磁能量爆发,覆盖一定范围的频率。这种能量爆发可以是自然产生的,也可以是人工制造的。EMP干扰可能会对电子设备造成破坏或干扰。用来减轻EMP风险的防护措施包括屏蔽、浪涌抑制器、铁磁共振变压器和接地。电磁脉冲(EMP)防护对于属于美国关键基础设施的系统和应用可能尤其重要。
应急照明的规定主要适用于包含系统资源集中区域的组织设施,包括数据中心、服务器机房和大型机房。系统的应急照明规定在组织的应急计划中有描述。如果系统的应急照明失效或无法提供,组织会考虑用于电力相关应急情况的备用处理场所。
不间断电源(UPS)是一种在主电源发生故障时提供应急电力的电气系统或机制。UPS 通常用于保护计算机、数据中心、电信设备或其他电气设备,以防意外断电可能导致伤害、死亡、严重的任务或业务中断,或数据或信息的丢失。UPS 与紧急电源系统或备用发电机的不同之处在于,UPS 通过提供储存在电池、超级电容器或飞轮中的能量,几乎瞬间保护设备免受主电源意外中断的影响。UPS的电池续航时间相对较短,但足以启动备用电源(如备用发电机)或正确关闭系统。
紧急断电主要适用于包含系统资源集中设施的组织场所,包括数据中心、大型机机房、服务器机房以及拥有计算机控制机械的区域。
环境控制的规定主要适用于包含大量系统资源的组织设施(例如,数据中心、大型计算机机房和服务器机房)。环境控制不足,尤其是在非常恶劣的环境中,可能对支持组织使命和业务功能所需的系统及系统组件的可用性产生重大不利影响。
组织定义它们的基本使命和职能。
组织会确定安全检查的范围、频率和/或随机性,以充分降低与数据外泄相关的风险。
物理和环境危害包括洪水、火灾、龙卷风、地震、飓风、恐怖主义、破坏行为、电磁脉冲、电气干扰以及其他形式的入射电磁辐射。系统组件在设施内的具体位置在 PE-18 中有所说明。
火灾探测与扑灭系统的提供主要适用于包含系统资源集中区域的组织设施,包括数据中心、服务器机房和大型机房。可能需要独立能源的火灾探测与扑灭系统包括喷淋系统和烟雾探测器。独立能源是一种能源,例如微电网,它独立于为设施其他部分提供电力的能源,或者可以与这些能源分离。
信息泄露是指数据或信息通过电磁信号泄漏有意或无意地传递到不受信环境中。系统的安全类别或分类(关于保密性)、组织安全政策和风险容忍度指导采用的控制措施,以保护系统免受电磁信号泄漏导致的信息泄露。
在组织管辖范围内,经过授权和具备资格的人员包括州、县和市的消防检查员及消防局长。在设施内系统含有敏感信息的情况下,组织会在检查期间提供陪同人员。
物理入侵警报可用于在有人试图未经授权进入设施时提醒安保人员。警报系统与物理屏障、物理访问控制系统和保安人员协同工作,当其他形式的安全措施被破坏或突破时,触发响应。物理入侵警报可以包括不同类型的传感器设备,如运动传感器、接触传感器和玻璃破碎传感器。监控设备包括安装在设施各关键位置的视频摄像头。
组织可能有规定访问者访问记录内容的要求。在操作目的不需要个人可识别信息的情况下限制访问者访问记录中的个人信息,有助于降低系统带来的隐私风险。
将个人身份与输出设备的输出接收相联系的方法包括在传真机、复印机和打印机上安装安全功能。这些功能使组织能够在将输出交付给个人之前,在输出设备上实施身份验证。
物理和环境危害包括洪水、火灾、龙卷风、地震、飓风、恐怖主义、破坏、电磁脉冲、电气干扰以及其他形式的入射电磁辐射。组织会考虑那些未获授权人员可能靠近系统的入口点的位置,即使他们没有被授予访问权限。如此接近可能会增加使用无线数据包嗅探器或麦克风进行未经授权的访问组织通信或未经授权披露信息的风险。
使用便携设备(如智能手机、平板电脑和笔记本电脑)最大的风险是被盗。组织可以使用可锁的物理外壳来减少或消除设备被盗的风险。这些外壳有各种尺寸,从保护单台笔记本电脑的单元到可以保护多台服务器、计算机和外设的完整机柜。可上锁的物理外壳可以与电缆锁或固定板一起使用,以防止含有计算机设备的锁定外壳被盗。
物理访问监控包括组织设施内的公共可进入区域。物理访问监控的示例包括雇佣保安、视频监控设备(即摄像头)和传感器设备。审查物理访问日志可以帮助识别可疑活动、异常事件或潜在威胁。如果访问日志是自动化系统的一部分,则审查可以通过审计日志控制(例如 AU-2)来支持。组织的事件响应能力包括对物理安全事件的调查和对事件的响应。事件包括安全违规或可疑的物理访问活动。可疑的实体访问活动包括在正常工作时间之外的访问、反复访问通常不进入的区域、异常长时间的访问以及顺序异常的访问。
监控对系统的物理访问为设施内系统组件集中的区域提供了额外的监控,包括服务器机房、媒体存储区和通信中心。物理访问监控可以与入侵检测系统和系统监控能力协调,以为组织提供全面和集成的威胁覆盖。
警报或通知可以是可听警报,也可以是向组织定义的人员或角色实时显示的可视信息。此类警报和通知可以通过促进及时的事件响应,帮助将对个人的伤害和对组织资产的损害降至最低。
排放安全(EMSEC)政策包括之前的TEMPEST政策。
实体访问授权适用于员工和访客。拥有永久实体访问授权凭证的个人不被视为访客。授权凭证包括身份证徽章、身份证件和智能卡。组织根据适用的法律、行政命令、指令、法规、政策、标准和指南,确定所需授权凭证的强度。对于被指定为公众可进入的设施内某些区域,可能不需要物理访问授权。
物理访问控制适用于员工和访客。拥有永久物理访问权限的个人不被视为访客。对公共可进入区域的物理访问控制可能包括物理访问控制日志/记录、警卫或物理访问设备和障碍,以防止从公共可进入区域进入非公共区域。组织确定所需的保安类型,包括专业保安人员、系统用户或行政人员。物理访问设备包括钥匙、锁、密码、 生物识别阅读器和刷卡器。物理访问控制系统遵守适用的法律、行政命令、指令、政策、法规、标准和指南。组织在使用审计日志的类型上具有灵活性。审计日志可以是程序化的、自动的,或者两者的结合。物理访问点可以包括设施的访问点、需要附加访问控制的系统内部访问点,或者两者兼有。系统的组件可能位于被指定为公众可访问的区域,组织对这些组件的访问进行控制。
物理障碍包括路桩、混凝土板、泽西墙和液压主动车辆障碍。
物理和环境保护政策及程序涉及在系统和组织中实施的 PE 系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全和隐私。因此,安全和隐私项目在制定物理和环境保护政策及程序时进行协作非常重要。一般来说,组织层面的安全和隐私项目政策和程序是更可取的,并且可能无需专门针对特定任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分,或者通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致更新物理和环境保护政策及程序的事件包括评估或审计结果、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变化。简单地重复控制措施并不构成组织的政策或程序。
组织确定在不同地点使用的电力设备和电缆所需的保护类型,这些地点包括组织设施内部和外部以及操作环境。电力设备和电缆的类型包括办公室或数据中心的内部布线和不间断电源、建筑物外的发电机和电力电缆,以及用于卫星、车辆和其他可部署系统等自包含组件的电源。
物理上分开的冗余电源电缆确保即使其中一条电缆被切断或损坏,电力仍能继续供应。
没有所需安全许可、访问批准或知情需求的个人,由具有适当物理访问授权的人员陪同,以确保信息不被泄露或以其他方式受到损害。
如果通知名单上的个人需要具有适当的访问授权和/或安全许可(例如进入因影响等级或设施内信息分类而受限制的设施),组织可以识别特定人员、角色和应急响应人员。通知机制可能需要独立的能源,以确保火灾不会对通知功能产生不利影响。
对系统的物理访问控制为设施内系统组件集中的区域提供了额外的物理安全保障。
组织可以在选定的硬件组件上实施防篡改检测和防护,或者在某些组件上实施防篡改检测而在其他组件上实施防篡改防护。检测和防护活动可以采用多种防篡改技术,包括防篡改检测封条和防篡改涂层。防篡改程序有助于通过打击伪造和其他供应链相关风险来检测硬件更改。
可接受的身份证明形式包括护照、符合 REAL ID 要求的驾驶执照以及个人身份验证(PIV)卡。对于使用自动化机制进入设施,组织可以使用 PIV 卡、门禁卡、密码以及生物识别信息。
视频监控主要是记录特定区域的活动,以便在必要情况下进行后续回顾。视频录像通常会被用来检测异常事件或事故。监控视频的实时监看并非必要,虽然组织可以选择进行监看。进行和保留视频监控时可能需要考虑法律问题,尤其是当此类监控发生在公共场所时。
访客访问记录包括访问人员的姓名和所属机构、访客签名、身份证明形式、访问日期、进出时间、访问目的,以及被访人员的姓名和所属机构。访问记录审查用于确定访问授权是否仍然有效,并且是否仍然需要以支持组织的使命和业务职能。公开可访问区域不需要访问记录。
提供水损保护主要适用于包含系统资源集中区的组织设施,包括数据中心、服务器机房和大型主机机房。除了使用总阀门外,还可以使用隔离阀来关闭特定关注区域的供水,而不影响整个组织的供水。