NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
安全功能隔离是由于实现方式引起的。这些功能仍然可以被扫描和监控。可能与访问控制和流程控制执行功能隔离的安全功能包括审计、入侵检测和恶意代码防护功能。
限制外部网络连接的数量有助于监控进出通信流量。受信任的互联网连接 [DHS TIC] 倡议是一个联邦指南的例子,它要求限制外部网络连接的数量。在从旧技术过渡到新技术的过程中,限制系统的外部网络连接数量非常重要(例如例如,从 IPv4 过渡到 IPv6 网络协议。这样的过渡可能需要在过渡期间同时实施旧技术和新技术,从而增加系统的访问点数量。
None.
仅允许在受限的虚拟机环境中执行移动代码有助于防止恶意代码被引入到其他系统和系统组件中。
依赖证书颁发机构来建立安全会话包括使用传输层安全性(TLS)证书。这些证书在经过各自的证书颁发机构验证后,有助于在网页客户端和网页服务器之间建立受保护的会话。
一次事件,无论是对抗性还是非对抗性,都可能破坏系统运行和组织指挥控制所使用的既定通信路径。备用通信路径可以降低所有通信路径都受同一事件影响的风险。更糟的是,组织官员无法及时获得有关中断的信息,或在通信路径发生事故后无法及时向操作部门提供指导,这可能影响组织及时响应此类事件的能力。建立备用通信路径以进行指挥和控制,包括在主要决策者不可用时指定替代决策者,并确定其行动的范围和限制,可以大大促进组织在事件期间继续运作并采取适当行动的能力。
一些攻击手段通过改变信息系统的安全属性来故意恶意地在系统中实施不足的安全级别。属性的改变会让组织误以为系统中有更多的安全功能已被部署并正在运行,而实际上这些功能并未真正实施。
提供名称和地址解析服务的系统包括域名系统(DNS)服务器。为了消除系统中的单点故障并增强冗余,组织通常至少使用两台权威域名系统服务器——一台配置为主服务器,另一台配置为备用服务器。此外,组织通常会将服务器部署在两个地理上分开的网络子网中(即不位于同一物理设施中)。为了角色分离,具有内部角色的 DNS 服务器仅处理来自组织内部(即内部客户端)的名称和地址解析请求。具有外部角色的DNS服务器仅处理来自组织外部客户端(即外部网络,包括互联网)的名称和地址解析信息请求。组织会指定可以访问某些角色下权威DNS服务器的客户端(例如,通过地址范围和显式列表)。
[SP 800-56A]、[SP 800-56B] 和 [SP 800-56C] 提供了关于加密密钥建立方案和密钥派生方法的指南。[SP 800-57-1]、[SP 800-57-2] 和 [SP 800-57-3] 提供了关于加密密钥管理的指南。
传感器为特定授权目的收集的信息可能会被用于某些未授权的用途。例如,用于支持交通导航的 GPS 传感器可能会被滥用于跟踪个人的行踪。缓解此类活动的措施包括提供额外培训,以帮助确保授权人员不会滥用其权限;如果传感器数据由外部方维护,还应对该数据的使用设定合同限制。
执行协议格式的系统组件包括深度包检测防火墙和 XML 网关。这些组件在应用层验证协议格式和规范的遵循情况,并识别在网络层或传输层的设备无法检测到的漏洞。
加密密钥托管是确保在密钥丢失时可用性的一种常见做法。忘记密码就是丢失加密密钥的一个例子。
由最终用户和外部服务提供商独立配置的通信客户端包括即时通讯客户端和视频会议软件及应用程序。流量阻止不适用于由组织配置以执行授权功能的通信客户端。
受管理的接口包括网关、路由器、防火墙、保护装置、基于网络的恶意代码分析、虚拟化系统或在安全架构中实现的加密隧道。物理上或逻辑上与内部网络隔离的子网络称为非军事区或DMZ。在组织系统中限制或禁止接口包括限制外部网络流量仅访问受管理接口内的指定网页服务器,禁止伪装成内部地址的外部流量,以及禁止伪装成外部地址的内部流量。商业电信服务由客户共享的网络组件和集中管理系统提供。这些服务还可能包括第三方提供的接入线路和其他服务元素。尽管合同中有安全条款,这些服务仍可能带来更高的风险。边界保护可以作为对组织网络的全部或部分的通用控制措施来实施,因此需要保护的边界比系统特定边界(即授权边界)更大。
管理容量可以确保有足够的容量来应对洪水攻击。管理容量包括建立选定的使用优先级、配额、分区或负载均衡。
对手会针对关键任务和业务功能以及支持这些任务和业务功能的系统,同时尽量减少自身存在和作战手法的暴露。由于组织系统具有静态、同质和确定性的特点,成为对手攻击的目标时,这类系统更容易受到攻击,而且对手成功所需的成本和努力较低。更改处理和存储位置(也称为移动目标防御)通过使用虚拟化、分布式处理和复制等技术来应对高级持续性威胁。这使组织能够重新定位支持关键任务和业务功能的系统组件(即处理和存储)。改变处理活动和/或存储地点会在对手的锁定活动中引入一定程度的不确定性。这种锁定不确定性增加了对手的工作难度,使对组织系统的妥协或突破变得更加困难且耗时。它还增加了对手在试图定位关键组织资源时,无意中泄露其某些作战技巧的可能性。
直接连接是两个或多个系统之间的专用物理或虚拟连接。组织通常无法完全控制外部网络,包括互联网。边界防护设备(例如防火墙、网关和路由器)调节机密国家安全系统与外部网络之间的通信和信息流。此外,经批准的边界保护设备(通常是管理接口或跨域系统)提供从系统到外部网络的信息流控制。
协作计算设备和应用包括远程会议设备和应用、联网白板、摄像头和麦克风。使用的明确指示包括在协作计算设备和应用被激活时向用户发出的信号。
尽管可以对收集到的信息实施授权使用的控制策略,但尽量减少不必要的信息收集可以在系统入口处降低隐私风险,并减轻策略控制失效的风险。传感器配置包括对人体特征进行模糊处理,如对肤色进行模糊或像素化处理。
隐藏或随机化通信模式可以防止信息被未经授权披露。通信模式包括频率、时间段、可预测性和数量。通信模式的变化可能透露具有情报价值的信息,尤其是当这些变化与可获得的其他与组织的任务和业务功能相关的信息结合时。隐藏或随机化通信可以防止基于通信模式获取情报,这适用于内部和外部网络或可能被未授权人员看到的链接。对链接进行加密并以持续、固定或随机的模式传输可以防止从系统通信模式获取情报。替代的物理控制措施包括受保护的分配系统。
隐蔽和误导技术可以显著降低对手的目标能力(即机会窗口和可用攻击面),从而阻碍其发起和完成攻击。例如,虚拟化技术能够让组织隐藏系统,从而在不增加多平台成本的情况下,可能降低攻击成功的可能性。对隐蔽和误导技术与方法(包括随机性、不确定性和虚拟化)的使用增加,可能足以使对手感到困惑和误导,从而增加被发现和/或暴露操作技术的风险。隐蔽和误导技术可能为执行核心任务和业务功能提供额外的时间。隐蔽和误导技术的实施可能会增加系统所需的复杂性和管理开销。
通过隐藏、伪装或掩盖关键系统组件,组织可能能够降低对手针对这些资产进行攻击并成功入侵的概率。隐藏、伪装或掩盖系统组件的潜在方法包括配置路由器或使用加密或虚拟化技术。
直接连接是两个或多个系统之间的专用物理或虚拟连接。公共网络是公众可访问的网络,包括互联网和具有公共访问权限的组织外联网。
开发人员处于识别系统中可能导致隐蔽通道的潜在区域的最佳位置。当存在跨安全域的未经授权信息流动的可能性时,进行隐蔽通道分析是一项有意义的活动,例如在包含出口管制信息并与外部网络连接的系统情况下(即,不受组织控制的网络)。隐蔽通道分析对于多级安全系统、多安全级别系统和跨域系统也很有用。
对于逻辑策略执行机制,组织会避免在接口之间创建逻辑路径,以防止绕过策略执行机制的能力。对于物理策略执行机制,可能需要通过策略执行的物理实现提供的物理隔离的稳健性,以排除穿透安全域的逻辑隐蔽通道的存在。如需更多信息,请联系 ncdsmo@nsa.gov。
加密机制和技术可以为传输的信息提供强大的安全性和隐私属性绑定,以帮助确保该信息的完整性。
密码密钥的管理和建立可以通过手动程序或带有支持手动程序的自动化机制来执行。组织根据适用的法律、行政命令、指令、法规、政策、标准和指南来定义密钥管理要求,并指定适当的选项、参数和级别。组织管理信任存储以确保只有经过批准的信任锚包含在这些信任存储中。这包括对外部系统可见的证书以及与系统内部操作相关的证书。[NIST CMVP] 和 [NIST CAVP] 提供了关于已验证的密码模块和算法的附加信息,这些模块和算法可用于密码密钥管理和建立。
可信平台模块(TPM)是一种硬件保护的数据存储示例,可用于保护加密密钥。
加密机制的选择是基于保护组织信息的机密性和完整性的需求。机制的强度与信息的安全类别或分类相适应。组织可以灵活地对系统组件或介质上的信息进行加密,或对数据结构进行加密,包括文件、记录或字段。
消息外部的加密保护是指防止信息未经授权泄露的保护措施。消息外部包括消息头和路由信息。加密保护可以防止消息外部被利用,并适用于可能被非授权用户看到的内部和外部网络或链路。报头和路由信息有时以明文(即未加密)传输,因为组织认为这些信息没有重要价值,或者加密这些信息可能导致网络性能下降或成本增加。替代的物理控制措施包括受保护的分发系统。
None.
诱饵(即蜜罐、蜜网或欺骗网络)是用来吸引对手并将攻击从支持组织使命和业务功能的运行系统上转移开。使用诱饵需要一些支持隔离措施,以确保任何被引开的恶意代码不会感染组织系统。根据诱饵的具体用途,部署前可能需要与总法律顾问办公室进行咨询。
拒绝服务事件可能由于各种内部和外部原因发生,例如对手的攻击或在容量和带宽方面未能规划以支持组织需求。这类攻击可以发生在各种网络协议上(例如,IPv4、IPv6)。有多种技术可用于限制或消除拒绝服务事件的发生及其影响。例如,边界保护设备可以过滤某些类型的数据包,以保护内部网络上的系统组件免受拒绝服务攻击的直接影响或作为其来源。增加网络容量和带宽并结合服务冗余也能降低遭受拒绝服务事件的风险。
默认拒绝、例外允许适用于入站和出站的网络通信流量。拒绝所有、例外允许的网络通信流量策略确保仅允许那些必要且经过批准的系统连接。默认拒绝、例外允许也适用于连接到外部系统的系统。
组织在管理因恶意攻击导致的拒绝服务相关风险时,会考虑系统资源的利用率和容量。拒绝服务攻击可以来自外部或内部来源。对拒绝服务敏感的系统资源包括物理磁盘存储、内存和CPU周期。防止与存储利用率和容量相关的拒绝服务攻击的技术包括制定磁盘配额、配置系统在达到特定存储容量阈值时自动提醒管理员、使用文件压缩技术以最大化可用存储空间,以及为系统和用户数据设立独立的分区。
爆炸室,也称为动态执行环境,允许组织在隔离环境或虚拟沙箱的安全环境中打开电子邮件附件、执行不受信任或可疑的应用程序以及执行统一资源定位器请求。受保护和隔离的执行环境提供了一种方法,用于确定相关附件或应用程序是否包含恶意代码。虽然与诱骗网络的概念相关,但使用引爆室并不是为了维护一个长期环境,让对手可以操作并观察他们的行为。相反,爆炸室旨在快速识别恶意代码,并要么降低该代码传播到用户操作环境的可能性,要么完全阻止这种传播。
在协议验证格式失败时禁用对发送者的反馈,可以防止对手获取本来无法获得的信息。
未能禁用或从系统或系统组件中移除协作计算设备和应用程序可能导致信息泄露,包括窃听对话。敏感隔离信息设施(SCIF)是安全工作区域的一个例子。
如果系统被入侵,将应用程序和软件与关于用户与应用程序交互的状态信息分开存储,可能更好地保护个人隐私。
将处理和存储分布在多个物理位置或逻辑域上,为组织提供了一定程度的冗余或重叠。冗余和重叠提高了敌手对组织操作、资产和个人造成不利影响的难度。使用分布式处理和存储并不假设存在单一的主要处理或存储位置。因此,它允许并行处理和存储。
当需要将来源可疑的系统组件与更可信的组件进行分区或分离时,动态隔离某些内部系统组件的能力是非常有用的。组件隔离可以减少组织系统的攻击面。隔离选定的系统组件还可以在攻击发生时限制成功攻击造成的损害。
None.
实施电磁干扰的加密机制可以保护系统免受可能通过阻断或削弱通信的故意干扰影响,从而通过确保用于提供抗干扰保护的无线扩频波形不会被未经授权的人员预测来实现防护。加密机制的实施也可能偶然缓解由于共享同一频谱的合法发射器干扰所造成的无意干扰的影响。任务要求、预期威胁、作战概念以及法律、行政命令、指令、规章、政策和标准决定了无线链路可用性、所需的加密技术和性能水平。
组织为确保只有指定的系统或个人接收某些信息、系统组件或设备而采用的技术包括通过经批准的快递服务发送认证工具,但要求接收方出示某种形式的政府颁发的带照片身份证件作为接收条件。
明确标示当前参与者可以防止未经授权的个人在其他参与者不知情的情况下加入协作计算会话。
外部恶意代码识别与 SC-26 中的诱饵不同,前者的组件会主动探测网络,包括互联网,以查找外部网站上包含的恶意代码。像诱饵一样,使用外部恶意代码识别技术需要一些辅助隔离措施,以确保在搜索过程中发现并随后执行的任何恶意代码不会感染组织系统。虚拟化是实现这种隔离的一种常见技术。
外部电信服务可以提供数据和/或语音通信服务。控制平面流量的示例包括路由、域名系统(DNS)和管理。未经授权的控制平面流量可能通过一种称为“欺骗”(spoofing)的技术发生。
在已知状态下的故障根据组织的使命和业务需求解决安全问题。在已知状态下的故障可以防止在组织系统或系统组件发生故障时信息的机密性、完整性或可用性丧失。在已知安全状态下发生故障有助于防止系统进入可能对个人造成伤害或对财产造成破坏的状态。保持系统状态信息有助于系统的重新启动,并以较少的任务和业务流程中断返回到操作模式。
失败安全是一种通过使用机制来确保在托管接口的边界保护设备发生操作故障时,系统不会进入不安全状态从而导致预期的安全属性不再有效的状态。托管接口包括位于受保护子网(通常称为非军事区)的路由器、防火墙和应用网关。边界防护设备的故障不会导致或使设备外部的信息进入设备,也不会允许未经授权的信息泄露。
None.
系统所有者可能需要更强的机制和更高的稳健性,以确保针对特定类型威胁和操作环境的域分离和策略执行。硬件强制的分离和策略执行比软件强制的分离和策略执行提供更高的机制强度。
基于硬件的系统进程分离通常比基于软件的分离更不容易被攻破,因此可以更大程度地保证分离能够得到执行。硬件分离机制包括硬件内存管理。
在组织系统中增加信息技术的多样性可以减少特定技术被利用或受损的潜在影响。这种多样性能够防止共同模式的故障,包括由供应链攻击引起的故障。信息技术的多样性还降低了敌手利用某一系统组件进行入侵的方法对其他系统组件同样有效的可能性,从而进一步增加了敌手成功完成计划攻击的工作难度。增加多样性可能会增加复杂性和管理开销,最终可能导致错误和未经授权的配置。
基于主机的边界保护机制包括基于主机的防火墙。采用基于主机的边界保护机制的系统组件包括服务器、工作站、笔记本电脑和移动设备。
当检测到不可接受的移动代码时,纠正措施包括阻止、隔离或提醒管理员。阻止措施包括在确定嵌入宏的文字处理文件属于不可接受的移动代码时,阻止其传输。
实施加密机制以识别和拒绝模仿或操纵性通信,确保无线传输的信号参数不被未经授权的人员预测。这种不可预测性降低了仅基于信号参数进行模仿或操纵性通信欺骗的可能性。
通过共享系统资源防止未经授权和无意的信息传输,可以阻止先前用户或角色的行为(或代表先前用户或角色操作的进程的行为)生成的信息在这些资源释放回系统后,供当前用户或角色(或代表当前用户或角色操作的当前进程)访问共享系统资源时使用。共享系统资源中的信息同样适用于信息的加密表示。在其他情况下,对共享系统资源中信息的控制被称为对象重用和残余信息保护。共享系统资源中的信息并不涉及信息残留问题,信息残留是指名义上已删除的数据的残留表示;隐蔽通道(包括存储通道和时序通道),通过操纵共享系统资源来违反信息流限制;或者系统中仅针对单一用户或角色的组件。
控制措施可防止在将媒体安装到系统之前将其替换到系统中或重新编程可编程只读媒体。完整性保护控制措施包括预防、检测和响应的组合。
验证传输信息完整性的一部分是确保与该信息相关的安全性和隐私属性未被未经授权修改。未经授权修改安全性或隐私属性可能导致传输信息的完整性丧失。
防止在界面上向非特权用户显示系统管理功能,可确保系统管理选项,包括管理员权限,不会向普通用户开放。限制用户访问还禁止使用常用于阻止访问此类信息的灰显选项。一个潜在的解决方案是在用户以管理员权限建立会话之前,暂时禁用系统管理选项。
在注销时使会话标识符失效可以限制攻击者捕获并继续使用先前有效的会话 ID 的能力。
不可否认的通信路径允许系统启动受信路径,这要求用户能够明确识别通信来源为受信系统组件。例如,受信路径可能显示在其他应用程序无法访问的显示区域,或者基于无法伪造的标识符存在。
具有托管接口的物理独立子网络在将计算机网络防御与关键操作处理网络隔离方面非常有用,以防止对手发现组织所使用的分析和取证技术。
组织可以隔离执行不同任务或业务功能的系统组件。这种隔离可以限制系统组件之间的未经授权的信息流动,并为所选系统组件提供部署更高级别保护的机会。通过边界保护机制隔离系统组件能够增强对各个系统组件的保护能力,并更有效地控制这些组件之间的信息流。隔离系统组件提供了增强的保护,能够限制恶意网络攻击和错误可能造成的损害。隔离的程度取决于所选择的机制。边界保护机制包括路由器、网关和防火墙,这些设备将系统组件分隔到物理上独立的网络或子网络;跨域设备,用于分隔子网络;虚拟化技术;以及使用不同的加密密钥对系统组件之间的信息流进行加密。
通过实现分层结构,并将安全功能之间的交互最小化以及采用非循环层(即低层功能不依赖高层功能),可以实现安全功能的隔离和复杂性的管理。
完全消除隐蔽通道,尤其是隐蔽时间通道,通常是不可能的,除非付出显著的性能代价。
在特定操作环境中测量隐蔽通道带宽可以帮助组织确定在这种信息泄露对任务或业务功能产生不利影响之前,可以秘密泄露多少信息。在独立于特定操作环境的设置中测量时,例如实验室或系统开发环境,隐蔽通道带宽可能会显著不同。
在不能实现将非安全功能与安全功能严格隔离的情况下,有必要采取措施尽量减少安全功能边界内的非安全相关功能。包含在隔离边界内的非安全功能被视为与安全相关,因为软件中的错误或恶意代码可能直接影响系统的安全功能。根本的设计目标是提供信息安全的系统特定部分应尽量小且复杂性低。最小化安全相关系统组件中的非安全功能数量,使设计者和实施者能够专注于那些提供所需安全能力(通常是访问控制)所必需的功能。通过在隔离边界内最小化非安全功能,被信任来执行安全策略的代码量显著减少,从而有助于理解性。
使用误导性信息旨在使潜在的对手对组织所部署的控制措施的性质和范围产生困惑。因此,对手可能会使用错误且无效的攻击技术。一种误导对手的技术是组织在外部系统中放置关于已部署特定控制的误导性信息,而这些系统已知是对手的攻击目标。另一种技术是使用欺骗网络,这些网络模仿组织系统的实际部分,但例如使用过时的软件配置。
移动代码包括任何可以通过网络传输(例如,嵌入在电子邮件、文档或网站中)并在远程系统上执行的程序、应用或内容。关于在组织系统中使用移动代码的决策,是基于该代码在恶意使用时可能对系统造成损害的潜力。移动代码技术包括 Java 小程序、JavaScript、HTML5、WebGL 和 VBScript。无论是在服务器上安装的移动代码,还是在个人工作站和设备(包括笔记本电脑和智能手机)上下载并执行的移动代码,其选择和使用都适用使用限制和实施指南。移动代码政策和程序涉及采取具体措施,以防止在组织系统中开发、获取和引入不可接受的移动代码,包括要求移动代码由可信来源进行数字签名。
减少模块间的交互有助于限制安全功能并管理复杂性。耦合和内聚的概念在软件设计的模块化方面非常重要。耦合指一个模块对其他模块的依赖关系。内聚指模块内各个功能之间的关系。软件工程和系统安全工程中的最佳实践依赖于分层、最小化和模块化分解来降低和管理复杂性。这会产生高度内聚且松散耦合的软件模块。
在多级或分时期处理不同分类级别或安全类别的信息时,处理级别可能会发生变化。硬件组件在不同分类级别的多次重复使用过程中也可能发生这种变化。组织定义的程序可以包括经批准的电子存储信息清理流程。
网络断开适用于内部网络和外部网络。终止与特定通信会话相关的网络连接包括在操作系统级别释放 TCP/IP 地址或端口对,以及在应用程序级别释放网络分配(如果多个应用会话使用单个操作系统级别的网络连接)。组织可以设定非活动时期,并根据网络访问的类型或特定网络访问来确定时间段。
特权访问提供了对系统功能的更高可访问性,包括安全功能。对手试图通过远程访问获取系统的特权访问权限,以造成不利的任务或业务影响,例如窃取信息或使关键系统功能瘫痪。通过专用的、托管的接口路由网络化的特权访问请求,可以进一步限制特权访问,从而增强访问控制和审计。
禁止可写存储可以消除通过指定系统组件中的持久可写存储插入恶意代码的可能性。此限制适用于固定存储和可移动存储,后者可以通过访问控制对移动设备施加具体限制来直接处理。
系统的操作环境包含承载应用程序的代码,包括操作系统、执行程序或虚拟机监控器(即,管理程序)。它还可以包含直接在硬件平台上运行的某些应用程序。由硬件强制执行的只读介质包括可记录光盘(CD-R)和数字多用途光盘可记录盘(DVD-R)驱动器以及一次性可编程只读存储器。使用不可修改的存储可以确保软件从只读映像创建之日起的完整性。可重新编程的只读存储器的使用可以被视为只读介质,前提是从初次写入到将存储器插入系统的整个过程中其完整性能够得到充分保护,并且在组织系统中安装时有可靠的硬件防护措施防止对存储器重新编程。
意识到组织的传感器正在收集数据,使个人能够更有效地参与管理其隐私。措施可以包括常规的书面通知和传感器配置,通过其他设备使个人直接或间接意识到传感器正在收集信息。通知的可用性和有效性是重要的考虑因素。
将组织信息从在线存储移至离线存储可以消除个人通过网络获取未授权信息的可能性。因此,组织可能会选择将信息转移到离线存储,而不是在在线存储中保护这些信息。
作战安全(OPSEC)是一种系统的过程,通过这一过程,可以通过识别、控制和保护与敏感组织活动的计划和执行直接相关的一般非机密信息,来阻止潜在敌手获得有关组织能力和意图的信息。OPSEC流程包括五个步骤:识别关键情报、分析威胁、分析漏洞、评估风险以及采取适当的对策。OPSEC控制措施适用于组织系统及这些系统运行的环境。OPSEC 控制措施保护信息的机密性,包括限制与供应商、潜在供应商以及其他非组织成员和个人共享信息。对组织使命和业务功能至关重要的信息包括用户身份、元素用途、供应商、供应链流程、功能需求、安全需求、系统设计规范、测试与评估方案以及安全控制的实施细节。
带外通道包括对系统的本地非网络访问;与用于操作性流量的网络路径物理上分离的网络路径;或者非电子通道,例如美国邮政服务。使用带外通道与使用承载常规操作流量的带内通道(即相同通道)形成对比。带外通道不像带内通道那样存在相同的漏洞或风险。因此,带内通道的机密性、完整性或可用性受到损害,不会危及或影响带外通道。组织可以在传递或传输组织物品时使用带外通道,包括认证器和凭证;加密密钥管理信息;系统和数据备份;硬件、固件或软件的配置管理变更;安全更新;维护信息;以及恶意代码防护更新。
管理个人可识别信息的处理是保护个人隐私的重要方面。应用、监控并记录处理规则的例外情况可确保个人可识别信息仅按照既定的隐私要求进行处理。
对于使用外部服务提供商(例如云服务或数据中心提供商)的组织而言,对加密密钥的物理控制可以额外确保由这些外部提供商存储的信息不会被未经授权披露或篡改。
未能从协作计算设备断开连接可能会导致组织信息的后续泄露。在协作计算会话结束后提供简便的断开连接方法,可确保参与者在不必经历复杂繁琐程序的情况下完成断开操作。与协作计算设备的断开连接可以是手动的,也可以是自动的。
平台是用于执行软件应用的硬件、固件和软件组件的组合。平台包括操作系统、底层计算机架构或两者兼有。跨平台应用是能够在多个平台上执行的应用程序。这类应用促进了在不同平台上的可移植性和重构能力。应用的可移植性以及在不同平台上重新部署的能力,可以在特定操作系统的系统受到攻击的情况下,提高组织中关键任务功能的可用性。
系统和通信保护政策与程序涉及在系统和组织中实施的 SC 系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此,安全和隐私项目在系统和通信保护政策及程序的制定上进行协作非常重要。一般来说,组织层面的安全和隐私项目政策和程序是更可取的,并且可能无需专门针对特定任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分,或者通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致系统和通信保护政策及程序更新的事件包括评估或审计发现、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变更。简单地重复控制措施并不构成组织政策或程序。
可以使用分布式处理和/或存储来减少对手破坏组织信息和系统的机密性、完整性或可用性的机会。然而,处理和存储组件的分布并不能防止对手破坏一个或多个组件。轮询比较分布式组件的处理结果和/或存储内容,并随后对结果进行投票。轮询可识别分布式处理和存储组件中的潜在故障、漏洞或错误。
连接端口包括通用串行总线(USB)、雷电接口(Thunderbolt)和火线接口(IEEE 1394)。输入/输出(I/O)设备包括光盘和数字多功能光盘驱动器。禁用或移除这些连接端口和I/O设备有助于防止信息从系统中泄露,以及防止通过这些端口或设备引入恶意代码。物理禁用或移除端口和/或设备是更强的措施。
信息在传输准备或接收过程中,包括在汇总、协议转换点以及打包和解包过程中,可能会被无意或恶意地泄露或篡改。此类未经授权的泄露或篡改会损害信息的机密性或完整性。
在执行移动代码之前采取的措施包括在打开电子邮件附件或点击网页链接之前提示用户。防止移动代码自动执行的措施包括禁用使用便携存储设备(如光盘、数字多功能光盘和通用串行总线设备)的系统组件上的自动执行功能。
防止发现表示托管接口的系统组件有助于保护这些组件的网络地址,避免通过常用工具和技术识别网络上的设备。网络地址无法被发现,访问这些地址需要事先知道相关信息。通过不公开网络地址、使用网络地址转换或不在域名系统中输入地址,可以防止组件和设备被发现。另一种预防方法是定期更换网络地址。
None.
防止数据外泄适用于有意和无意的信息外泄。防止信息从系统中外泄的技术可以在内部端点、外部边界以及管理接口处实施,包括遵守协议格式、监控系统的信标活动、在非必要情况下断开外部网络接口、利用流量特征分析检测流量量和类型的异常、回调指挥和控制中心、进行渗透测试、监控隐写术、拆解和重组数据包头部,以及使用数据丢失和数据泄露防护工具。强制严格遵守协议格式的设备包括深度包检测防火墙和可扩展标记语言(XML)网关。这些设备在应用层验证协议格式和规范的遵守情况,并识别网络层或传输层设备无法检测的漏洞。防止数据外泄类似于数据丢失防护或数据泄露防护,并且与执行信息流要求的跨域解决方案和系统防护密切相关。
系统可以通过为每个执行的进程分配独立的地址空间来维护各自的执行域。每个系统进程都有一个独特的地址空间,因此进程之间的通信是通过安全功能控制的方式进行的,一个进程不能修改另一个进程正在执行的代码。通过实现独立的地址空间等方式,可以为执行的进程保持独立的执行域。进程隔离技术,包括沙箱或虚拟化,可以在逻辑上将软件和固件与其他软件、固件及数据隔离开来。进程隔离有助于限制潜在不可信软件对其他系统资源的访问。能够维护独立执行域的能力在使用多状态处理器技术的商业操作系统中是可用的。
在不同安全类别或等级下运行的系统可能共享公共的物理和环境控制,因为这些系统可能在同一设施内共享空间。在实际操作中,这些独立系统可能会共享公共设备室、布线间和电缆分布路径。可以通过使用明确标识且物理分隔的电缆槽、连接框架和配线架来实现对未授权物理连接的保护,每一侧的管理接口都应配备物理访问控制,以限制对这些设备的授权访问。
受保护的分发系统的目的是阻止、检测和/或增加获取传输国家安全信息的通信线路的物理难度。
静态信息是指信息在不处理或传输时的状态,并存储在系统组件上。这些组件包括内置或外置硬盘驱动器、存储区域网络设备或数据库。然而,保护静态信息的重点不是存储设备的类型或访问频率,而是信息本身的状态。静态信息关注信息的机密性和完整性,涵盖用户信息和系统信息。需要保护的系统相关信息包括防火墙、入侵检测和防御系统、过滤路由器的配置或规则集,以及身份验证信息。组织可以采用不同的机制来实现机密性和完整性保护,包括使用加密机制和文件共享扫描。例如,可以通过实施一次写入多次读取(WORM)技术来实现完整性保护。当无法通过其他方式实现对静态信息的充分保护时,组织可以采用其他控制措施,包括频繁扫描以识别静态恶意代码,以及使用安全的离线存储代替在线存储。
公钥基础设施证书是指在组织系统之外可见的证书,以及与系统内部操作相关的证书,例如特定应用的时间服务。在具有层次结构的加密系统中,信任锚是一个权威来源(即证书颁发机构),对其信任是被假定的,而不是推导出来的。用于 PKI 系统的根证书是信任锚的一个例子。信任存储或证书存储维护着受信任根证书的列表。
随机性增加了敌方对组织为防御攻击而采取的行动的不确定性。这类行动可能阻碍敌方正确定位支持关键任务或业务功能的组织信息资源的能力。不确定性还可能导致敌方在发起或继续攻击前犹豫。涉及随机性的误导技术包括在一天中的不同时间执行某些常规操作、使用不同的信息技术、采用不同的供应商以及轮换组织人员的角色和职责。
实施加密机制以降低被检测的可能性,用于隐蔽通信并保护无线发射器免受地理定位的影响。它还确保用于实现低检测概率的扩频波形不会被未授权人员预测。任务要求、预期威胁、作战概念以及适用的法律、行政命令、指令、法规、政策和标准决定了无线链接的不可侦测程度。
在传感器被授权人员激活的情况下,传感器收集的数据或信息仍有可能被发送给未授权的实体。
优先保护可以防止低优先级进程延迟或干扰服务高优先级进程的系统。配额可以防止用户或进程获取超过预定数量的资源。
限制个人发起拒绝服务攻击的能力需要常用的攻击机制不可用。需要关注的个人包括敌对的内部人员或已经入侵或破坏系统的外部对手,他们正在利用系统发起拒绝服务攻击。组织可以限制个人在传输介质上连接和传输任意信息的能力(即有线网络、无线网络、伪造的互联网协议数据包)。组织还可以限制个人使用过多系统资源的能力。可以在特定系统或边界设备上实施保护,防止个体发起拒绝服务攻击,这些设备会禁止对潜在目标系统的外发访问。
通用的源地址验证技术用于限制非法和未分配的源地址的使用,以及那些应仅在系统内使用的源地址。对入站通信流量的限制可以判断源地址和目标地址对是否代表授权或允许的通信。判定可以基于多个因素,包括此类地址对是否出现在授权或允许通信的列表中、是否未出现在未授权或禁止的地址对列表中,或者是否符合对授权或允许的源和目标地址对的更一般规则。如果不使用明确的安全协议,就无法对网络地址进行强认证,因此地址往往可能被伪造。此外,还可以采用基于身份的入站流量限制方法,包括路由器访问控制列表和防火墙规则。
从内部行为中检测可能对外部系统构成威胁的外发通信流量称为外发检测。外发检测是在系统的受控接口内进行的。外发检测包括分析进出通信流量,同时寻找对外部系统安全构成内部威胁的迹象。对外部系统的内部威胁包括显示拒绝服务攻击的流量、伪造源地址的流量以及包含恶意代码的流量。组织有相应的标准来确定、更新和管理与外泄检测相关的已识别威胁。
外部网络是组织无法控制的网络。代理服务器是一种服务器(即系统或应用程序),它作为客户端向非组织或其他组织的服务器请求系统资源时的中介。可以请求的系统资源包括文件、连接、网页或服务。通过连接到代理服务器建立的客户端请求会被评估,以管理复杂性并通过限制直接连接提供额外的保护。网页内容过滤设备是最常见的代理服务器之一,它们提供对互联网的访问。代理服务器可以支持传输控制协议会话的记录,以及阻止特定的统一资源定位器、互联网协议地址和域名。Web代理可以根据组织定义的授权和未授权网站列表进行配置。请注意,代理服务器可能会阻碍虚拟私人网络(VPN)的使用,并可能产生“中间人”攻击的风险(取决于具体实现)。
可能需要使用地理定位信息来确定备用权威时间源位于不同的地理区域。
提供权威的源信息使外部客户端(包括远程互联网客户端)能够获得通过该服务获取的主机/服务名称到网络地址解析信息的来源认证和完整性验证保证。提供名称和地址解析服务的系统包括域名系统(DNS)服务器。附加的工件包括 DNS 安全扩展(DNSSEC)数字签名和加密密钥。权威数据包括 DNS 资源记录。用于指示子区域安全状态的方式包括在 DNS 中使用委派签名(DS)资源记录。使用除 DNS 以外技术在主机名、服务名和网络地址之间进行映射的系统,提供了其他方法来保证响应数据的真实性和完整性。
每个名称解析服务的客户端要么自行进行此验证,要么通过已认证的通道连接到受信任的验证提供者。为本地客户端提供名称和地址解析服务的系统包括递归解析或缓存的域名系统(DNS)服务器。DNS 客户端解析器要么执行 DNSSEC 签名的验证,要么客户端通过经过身份验证的通道使用执行此类验证的递归解析器。使用除 DNS 以外的技术在主机和服务名称与网络地址之间进行映射的系统,会提供其他方式使客户端能够验证响应数据的真实性和完整性。
通过系统内通过分区和域实现的隔离边界,安全功能与非安全功能相互隔离。隔离边界控制对执行系统安全功能的硬件、软件和固件的访问,并保护其完整性。系统通过多种方式实现代码分离,例如通过处理器环或处理器模式提供安全内核。对于非内核代码,安全功能隔离通常通过文件系统保护来实现,以保护磁盘上的代码,以及通过地址空间保护来保护正在执行的代码。系统可以通过访问控制机制和实施最小权限功能来限制对安全功能的访问。虽然理想情况下,在定义的安全功能隔离边界内的所有代码都只包含与安全相关的代码,但有时有必要将非安全功能作为例外包括在内。通过应用 SA-8 中的系统安全工程设计原则(包括 SA-8(1)、SA-8(3)、SA-8(4)、SA-8(10)、SA-8(12)、SA-8(13)、SA-8(14) 和 SA-8(18)),可以实现安全功能与非安全功能的隔离。
传感器能力和数据适用于被归类为移动设备的系统或系统组件类型,例如蜂窝电话、智能手机和平板电脑。移动设备通常包含可以收集和记录系统使用环境数据的传感器。嵌入移动设备中的传感器包括麦克风、摄像头、全球定位系统(GPS)机制和加速度计。虽然移动设备上的传感器提供了重要功能,但如果被秘密激活,这些设备有可能成为对手获取个人和组织重要信息的手段。例如,远程激活移动设备上的GPS功能可能使对手能够追踪某个个人的行踪。组织可能会禁止个人在存放机密信息或进行敏感谈话的特定指定设施或设施内的受控区域携带手机或数码相机。
对手在横向渗透组织(包括其系统)以达到目标或试图从组织中窃取信息时,可能会采取各种途径和不同的方法。组织通常只有有限的监控和检测能力,而且这些能力可能主要集中在关键或可能被渗透或窃取的路径上。通过使用组织通常不监控的通信路径,对手可以增加实现其预期目标的机会。通过将其传感器或监控能力迁移到新的位置,组织可以阻碍对手实现其目标的能力。传感器或监测能力的重新部署可能基于组织获取的威胁信息进行,也可能随机进行,以迷惑对手,使其在系统或组织内的横向移动更加困难。
None.
在单一物理域中运行的特权功能,如果该域受到入侵或经历拒绝服务,则可能成为单点故障。
将系统分解为子网络(即子网)有助于为连接到包含不同安全类别或分类级别信息的不同安全域的网络提供适当的保护级别。
通过独立的子网络将关键系统组件和功能与其他非关键系统组件和功能分开,可能有助于降低由于系统故障导致的灾难性或严重安全漏洞的风险。例如,通过在商用飞机中通过不同的子网络将指挥和控制功能与机上娱乐功能物理隔离,可以提高对关键系统功能可信度的保证水平。
系统管理功能包括管理数据库、网络组件、工作站或服务器所需的功能。这些功能通常需要特权用户访问权限。用户功能与系统管理功能的分离可以是物理的或逻辑的。组织可以通过使用不同的计算机、操作系统实例、中央处理器或网络地址;采用虚拟化技术;或将这些方法与其他方法结合,来将系统管理功能与用户功能分开。将系统管理功能与用户功能分离包括采用单独的身份验证方法的网络管理接口,以供任何其他系统资源的用户使用。系统与用户功能的分离可能包括在不同的域中隔离管理接口,并增加额外的访问控制。通过在 SA-8 中应用系统安全工程设计原则,包括 SA-8(1)、SA-8(3)、SA-8(4)、SA-8(10)、SA-8(12)、SA-8(13)、SA-8(14) 和 SA-8(18),可以实现系统功能与用户功能的分离。
保护会话的真实性是针对会话层的通信保护,而不是针对数据包层的保护。这种保护为通信会话双方在对方身份的持续有效性以及传输信息的有效性方面建立了信任基础。真实性保护包括防止“中间人”攻击、会话劫持以及在会话中插入虚假信息。
通过实施加密机制来防止无线发射器的识别,可以防止无线发射器被用于情报利用的唯一识别,从而确保信号参数的防指纹修改不会被未授权人员预测。当需要时,它还提供匿名性。无线电指纹识别技术通过识别发射器的独特信号参数来对其进行指纹识别,以便用于跟踪以及任务或用户识别。
系统所有者可能需要额外的机制强度,以确保在特定类型的威胁和操作环境下实现域分离和策略执行。
分割隧道是指允许远程用户或设备与系统建立非远程连接,同时通过其他连接与外部网络中的资源进行通信的过程。这种网络访问方式使用户能够访问远程设备,同时访问不受控制的网络。远程用户可能希望使用分割隧道来访问本地系统资源,例如打印机或文件服务器。然而,分割隧道可能会促使未经授权的外部连接,使系统容易受到攻击并导致组织信息被泄露。可以通过禁用允许远程设备具备此类功能的配置设置,并防止用户配置这些设置,从而防止分割隧道的发生。通过检测远程设备中的分流隧道(或允许分流隧道的配置设置),并在远程设备使用分流隧道时禁止连接,也可以实现预防。虚拟专用网络(VPN)可用于安全地配置分流隧道。一个安全配置的 VPN 包括将连接锁定到专用的、受管理的、命名的环境,或锁定到一组预先批准的地址,而用户无法控制。
[SP 800-56A]、[SP 800-56B] 和 [SP 800-56C] 提供了关于加密密钥建立方案和密钥派生方法的指南。[SP 800-57-1]、[SP 800-57-2] 和 [SP 800-57-3] 提供了关于加密密钥管理的指南。
SC-36 和 CP-9(6) 要求在分布式位置中对系统或系统组件进行冗余。对冗余系统和服务以及数据进行同步,有助于确保分布式位置中的信息能够在组织的任务或业务功能中按需使用。
将内部系统时钟与权威来源同步,可以为具有多个系统时钟的系统以及通过网络连接的系统提供统一的时间戳。
系统分区是纵深防御保护策略的一部分。组织会决定系统组件物理分离的程度。物理分离选项包括在同一房间的不同机架中放置物理独立的组件、将关键组件放置在不同的房间中,以及关键组件的地理位置分离。安全分类可以指导域划分候选的选择。受管接口限制或禁止分区系统组件之间的网络访问和信息流动。
系统时钟的时间同步对于许多系统服务的正确执行至关重要,包括涉及证书和作为访问控制一部分的时间限制的身份识别和认证过程。如果系统及系统组件内外的时钟未能正确同步,可能会导致拒绝服务或未能拒绝已过期的凭证。时间通常以协调世界时(UTC)表示,这是格林尼治标准时间(GMT)的现代延续,或者以与 UTC 有偏移的本地时间表示。时间测量的精细度指的是系统时钟与参考时钟之间的同步程度,例如时钟在数百毫秒或数十毫秒内同步。组织可以为系统组件定义不同的时间粒度。时间服务可能对其他安全功能至关重要——例如访问控制以及身份识别和认证——这取决于用于支持这些功能的机制的性质。
None.
部署具有最小功能的系统组件可以减少保护每个端点的需求,并可能降低信息、系统和服务受到攻击的风险。减少或最小化功能包括无盘节点和瘦客户机技术。
保护传输信息的机密性和完整性适用于内部和外部网络,以及任何可以传输信息的系统组件,包括服务器、笔记本电脑、台式电脑、移动设备、打印机、复印机、扫描仪、传真机和无线电设备。未受保护的通信路径可能会受到拦截和修改的风险。保护信息的机密性和完整性可以通过物理或逻辑手段实现。物理保护可以通过使用受保护的分发系统来实现。受保护的分发系统是一种有线或光纤电信系统,包括终端以及足够的电磁、声学、电气和物理控制,以允许其用于未加密的机密信息传输。逻辑保护可以通过使用加密技术来实现。依赖商业提供商提供传输服务作为商品化服务而非完全专用服务的组织,可能会发现很难获得关于实施传输保密性和完整性所需控制的必要保证。在这种情况下,组织会确定标准商业电信服务套餐中可提供哪些类型的保密性或完整性服务。如果通过适当的合同工具无法获得必要的控制措施及其有效性的保证,组织可以实施适当的补偿性控制措施。
安全性和隐私属性可以显式或隐式地与组织系统或系统组件中所包含的信息相关联。属性是抽象概念,用于表示在保护信息或管理个人可识别信息方面实体的基本特性或特征。属性通常与内部数据结构相关,包括系统中的记录、缓冲区和文件。安全性和隐私属性用于实现访问控制和信息流控制策略;反映特殊的传播、管理或分发指令,包括允许使用的个人身份信息用途;或支持信息安全和隐私政策的其他方面。隐私属性可以单独使用,也可以与安全属性结合使用。
可信路径是用户能够通过输入设备(如键盘)直接与系统的安全功能进行通信的机制,这种通信具有支持安全策略所需的保证。可信路径机制只能由用户或组织系统的安全功能激活。通过受信任路径发生的用户响应可以免受不受信任的应用程序的修改和泄露。组织使用受信任路径,为系统和用户的安全功能之间提供可信的高保障连接,包括在系统登录期间。受信任路径的最初实现使用了带外信号来启动路径,例如使用
直接连接是两个或多个系统之间的专用物理或虚拟连接。组织通常无法完全控制外部网络,包括互联网。边界防护设备(例如防火墙、网关和路由器)调节未分类国家安全系统与外部网络之间的通信和信息流。
直接连接是两个或多个系统之间的专用物理或虚拟连接。组织通常无法完全控制外部网络,包括互联网。边界保护设备(例如防火墙、网关和路由器)调节未分类非国家安全系统与外部网络之间的通信和信息流。
生成唯一的会话标识符可以减少对手重用以前有效会话ID的能力。在生成唯一会话标识符时采用随机性概念可以防止通过暴力破解攻击来确定未来的会话标识符。
使用限制适用于所有系统组件,包括但不限于移动代码、移动设备、无线访问以及有线和无线外设组件(例如复印机、打印机、扫描仪、光学设备及其他类似技术)。使用限制和实施指南基于系统组件可能对系统造成损害的潜在性,并有助于确保系统仅被授权使用。
虽然操作系统和应用程序的频繁更改可能带来重大配置管理挑战,但这些更改可以增加对手进行成功攻击的工作难度。更改虚拟操作系统或应用程序,而不是更改实际的操作系统或应用程序,可以提供虚拟的更改,从而阻碍攻击者的成功,同时减少配置管理工作。虚拟化技术可以帮助将不可信的软件或来源可疑的软件隔离到受限的执行环境中。
无线链路保护适用于可能被未授权系统用户看到的内部和外部无线通信链路。如果无线链路没有得到充分保护,对手可能会利用无线链路的信号参数。有许多方法可以利用无线链路的信号参数来获取情报、拒绝服务或伪装系统用户。无线链路的保护可以减少对无线系统特有攻击的影响。如果组织将商业服务提供商的传输服务作为商品化项目而非完全专用服务来依赖,可能无法实施足够的无线链路保护以满足组织的安全要求。