本期我们将为大家介绍的是新西兰政府通信安全局(Government Communications Security Bureau, GCSB)发布的新西兰信息安全手册(New Zealand Information Security Manual, NZISM,以下简称《手册》)。该《手册》是新西兰政府发布的信息保护与信息系统安全的官方指南,详细介绍了对于保护所有新西兰政府信息和系统必不可少的流程和控制措施,同时为官方部门、地方政府机构及其他私营组织提供技术安全标准、其他技术和信息安全指导,以满足其信息治理及实践需求。

我们选取了2020年3月更新的最新版本V3.3《手册》第20节“数据管理”中的四部分“数据传输”、“数据导入和导出”、”内容过滤”及“数据库”进行介绍。

《手册》说明

《手册》结构为:

  • 目标:实施本节内控件时的预期结果

  • 背景:范围、适用性和任何例外情况

  • 引用:可以帮助解释或实施控件的外部信息源

  • 基本原理和控制

基本原理:实施控制和遵守级别要求之原因

控制:降低风险的措施以及相关的遵守级别要求。其中控件标识(CID)对应编号在未来版本更新中将保持不变,仅做相应的增删操作。

保密分级包括:

  • 所有级别(All Classifications)

  • 秘密(Confidential)

  • 机密(Secret)

  • 绝密(Top Secret)

遵守级别包括:

  • 必须(Must)

  • 应当(Should)

20.1 数据传输

目标

20.1.1.确保系统间数据传输受控且可靠。

背景

范围

20.1.2.本节介绍了系统间数据传输的基本要求,相关内容也同样适用于移动媒体(介质)间及网关间的数据传输。

20.1.3.更多有关移动媒体(介质)间数据传输的要求可以参见13.3节“媒体(介质)使用”,有关网关间数据传输的其他要求可以参见20.2节“数据导入及导出”。

20.1.4.当数据从具有强大信息安全控制的保密系统传输至信息安全控制较弱的低级系统时,可能会造成数据泄露、信息丢失和隐私泄露等问题。重要的是要建立适当的监督与问责机制以尽量减少或防止不必要的信息损失或泄露。

安全保护需求(protective security requirements, PSR)参考文献

20.1.5. 有关PSR的要求可以参考:

参 考

文 献

       标    题

                  来    源

PSR

强制性要求

GOV2-采取基于风险的方法

GOV6-管理安全事故

INFOSEC2-设计你的信息安全保护措施

INFOSEC3-验证你的安全保护措施

INFOSEC4-确保你的安全保护措施及时更新

PERSEC1-招募合适的人

PERSCE2-确保员工的长期适用性

PERSEC3-离职管理

PERSEC4-国家安全许可管理

http://www.protectivesecurity.govt.nz

https://www.protectivesecurity.govt.nz/

governance/mandatory-requirements-2/

https://www.protectivesecurity.govt.nz/

information-security/mandatory-requirements-2/

https://www.protectivesecurity.govt.nz/

personnel-security/mandatory-requirements/

PSR

协议内容

信息安全管理协议

人事安全管理协议

https://www.protectivesecurity.govt.nz/

information-security/management-protocol/

https://www.protectivesecurity.govt.nz/personnel-security/

management-protocol-for-personnel-security/

PSR要求章节

设置分类和分配保护标记

了解信息安全生命周期

https://www.protectivesecurity.govt.nz/information-security/lifecycle/

understand-what-information-and-ict-systems-you-need-to-protect/

特殊场景管理

与公众进行在线交易

https://www.protectivesecurity.govt.nz/information-security/managing-

specific-scenarios/transacting-online-with-the-public/

基本原理与控制

20.1.6. 用户责任

20.1.6.R.01.基本原理

用户在系统之间传输数据时需要意识到其行为的潜在后果可能包括将包括机密信息的数据泄漏到未被授权处理的数据系统,或者意外引入了恶意代码。因此,各机构将需要让员工对他们的数据传输行为负责。

20.1.6.C.01.控制:

系统分级:所有级别;遵守级别:必须[CID:4318]

各机构必须制定一项政策,对员工进行系统间数据传输流程的培训,同时在传输之前(员工)需要获得必要的授权。

20.1.6.C.02.控制:

系统分级:所有级别;遵守级别:必须[CID:4141]

各机构必须确保在系统间传输数据的系统用户对其传输的数据担责。

20.1.7. 数据传输过程和程序

20.1.7.R.01. 基本原理

员工可以通过检查防护标记(分类、许可证、可发布性),用杀毒软件对系统间传输的数据进行检查,并对数据传输的所有过程和程序进行跟踪,从而防止发生信息安全事件,确保目标系统适合用于保护所传输的数据。

20.1.7.C.01.控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4147]

各机构必须按照认证机构批准的过程和程序进行数据传输。

20.1.7.C.02.控制:

系统分级:所有级别;遵守级别:必须[CID:4148]

各机构应当按照认证机构批准的过程和程序进行数据传输。

20.1.8. 数据传输授权

20.1.8.R.01基本原理

使用可信来源批准将数据从一个机密系统传输至另一个保密级别较低的系统,或者是对所传输数据有可发布性认可的系统,同时要有适当的监督和活动报告。

20.1.8.C.01控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4151]

各机构必须确保所有传输到保密级别较低或安全系数较低的系统的数据都经过可信来源的批准。

20.1.9. 可信来源

20.1.9.R.01. 基本原理

可信来源是指被授权评估和批准传输和发布数据或文件的指定人员。

可信来源可能包括机构内的安全人员,如CISO(Chief Information Security Officer,首席信息安全官)和ITSM(IT Service Management,IT服务管理)。

20.1.9.C.01.控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4156]

可信来源必须:

●由业务需求和安全风险评估结果导出严格的受限列表;

●如有需要,必须进行适当的安全性检查;

●必须经认证机构认可。

20.1.10. 数据导入

20.1.10.R.01基本原理

扫描导入的数据以查找活动内容或恶意内容可以降低系统或网络受到(病毒)感染的安全风险,从而保证系统或网络的持续保密性、完整性和可用性。

20.1.10.R.02基本原理

格式检查提供了一种防止已知恶意格式进入系统或网络的方法。持续定期审核这些(检查)日志,可以检查系统或网络是否有任何不寻常的活动或使用痕迹。

20.1.10.R.03基本原理

在机构的事件管理过程中,人员报告意外事件能够及早地遏制恶意软件,限制损坏和纠正错误。

20.1.10.C.01控制:

系统分级:所有级别;遵守级别:必须[CID:4165]

机构将数据导入系统时必须对数据进行扫描,以发现恶意和活动内容。

20.1.10.C.02 控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4168]

机构在将数据导入系统时必须实施以下控制:

●扫描恶意和活动内容;

●数据格式检查;

●标识意外的附件或嵌入对象;

●记录每项活动的日志;

●监测过度使用或异常使用模式。

20.1.11. 高格式化文本数据的导出

20.1.11.R.01 基本原理

在系统间传输没有自由文本字段的高度格式化文本数据时,由于严格定义了信息格式,因此降低了检查要求。

20.1.11.C.01控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4239]

当机构导出没有自由文本字段的格式化文本数据且所有字段有一个预定义的允许格式和数据值时,机构必须实行以下控制:

●防护标记检查;

●数据验证和格式检查;

●大小限制;

●关键词检查;

●标识意外的附件或嵌入对象;

●记录每项活动的日志;

●监测过度使用或异常使用模式。

20.1.12. 导出其他数据

20.1.12.R.01 基本原理

没有高度格式化的文本数据很难进行自动化检查。各机构需要采取措施,以确保机密信息不会意外地传输至未经官方授权处理机密信息的系统或传输至公共领域。

20.1.12.C.01 控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4245]

当机构导出高度格式化文本数据以外的数据时,机构必须实行以下控制:

●防护标记检查;

●数据验证和格式检查;

●大小限制;

●关键词检查;

●标识意外的附件或嵌入对象;

●记录每项活动的日志;

●监测过度使用或异常使用模式。

20.1.13. 防止NZEO(New Zealand Eyes Only 仅限新西兰人浏览的信息)数据导出到国外系统

20.1.12.R.01 基本原理

20.1.13.R.01 基本原理

为了减少有许可证的数据泄漏到国外系统的安全风险,制定NZEO标记数据检测程序以防止国外系统或境外人员获取到数据至关重要。

20.1.13.C.01控制:

系统分级:所有级别;遵守级别:必须[CID:4249]

机构必须:

●确保对所有文本数据执行关键字搜索;

●确保隔离所有已识别的数据,直至经发布者以外的可信来源审核和批准发布;

●开发防止NZEO信息同时以文本和非文本格式导出的程序。

20.2 数据导入和导出

    目标

20.2.1.确保网关间数据传输过程受控且可靠。

    背景

范围

20.2.2.本节介绍了通过网关在系统间传输数据的特殊要求。系统间数据传输的基本要求可以在“20.1节——数据传输”中找到,这些基本要求同样适用于网关间数据传输。

基本原理与控制

20.2.3. 用户责任

20.2.3.R.01.基本原理

当用户在系统之间传输数据时,他们需要意识到其行为的潜在后果,包括将敏感或机密数据泄漏到未被授权处理机密数据的系统上,或者无意中引入恶意代码。因此,用户需要对他们的数据传输行为负责。

20.2.3.C.01. 控制:

系统分级:所有级别;遵守级别:必须[CID:4264]

在系统间传输数据的用户必须对他们传输的数据负责。

20.2.4. 数据传输授权

20.2.4.R.01.基本原理

用户可以通过以下措施帮助防止发生信息安全事件:

●检查保护标记,以确保目标系统适合接收所传输的数据;

●对系统间传输的数据进行病毒检测;

●跟踪数据传输的过程和程序。

20.2.4.C.01. 控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4269]

所有传输到敏感程度或保密级别较低的系统的数据必须经过可信来源的批准。

20.2.5. 可信来源

20.2.5.R.01.基本原理

可信来源是指被授权评估和批准数据或文件传输和或发布的指定人员。

可信来源可能包括机构内的安全人员,如CISO(Chief Information Security Officer,首席信息安全官)和ITSM(IT Service Management,IT服务管理)。

20.2.5.C.01. 控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4277]

可信来源必须是:

●由业务需求和安全风险评估结果导出严格的受限列表;

●如有需要,必须进行适当的安全性检查;

●必须经认证机构认可。

20.2.6. 通过网关导入数据

20.2.6.R.01.基本原理

为了确保系统的持续运行,必须不断分析导入的数据。对数据进行格式转换可以有效地防止大多数恶意活动内容。20.2.6.C.01. 控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4280]

当机构通过网关将数据导入系统时,数据必须进行专门筛选以过滤恶意和活动内容。

20.2.6.C.02. 控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4281]

当机构通过网关将数据导入系统时,必须至少每月对全部或部分事件日志执行一次审核。

20.2.6.C.03. 控制:

系统分级:秘密,机密,绝密;遵守级别:应当[CID:4282]

在连接网络之前,各机构应将网关上导入的数据转换为另一种格式。

20.2.7. 通过网关导出数据

20.2.7.R.01.基本原理

为了确保机构网络数据的持续完整性和保密性,在将数据导出到保密级别较低的系统之前必须做一系列检查。

20.2.7.R.02.基本原理

根据保护性标记过滤内容是一种保护机密性较低数据的适当方法。

20.2.7.C.01. 控制:

系统分级:所有级别;遵守级别:应当[CID:4286]

各机构至少应该使用保护性标记检查来过滤数据,从而限制将数据导出到保密级别较低的系统。

20.2.8. 通过网关导出高格式化文本数据

20.2.8.R.01.基本原理

当数据被限制为高格式化的文本数据时,发布更高机密数据的安全风险将会在一定程度上降低。因为在这种情况下,数据不太可能包含隐藏数据和机密数据,通过自动扫描就可以检测数据中的加密内容。当设置一个网关过滤器以限制超过网关外部网络级别的保密数据,并定期检查日志以检测是否有异常使用和过度使用时,安全风险会进一步降低。

20.2.8.C.01. 控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4289]

当通过网关导出高格式化的文本数据时,机构必须实行以下措施:

●防护标记检查;

●专门性数据过滤;

●数据范围和数据类型检查;

●至少每月对全部或部分事件日志执行一次审核。

20.2.9. 通过网关导出其他数据

20.2.9.R.01.基本原理

没有高度格式化的文本数据可能包含隐藏数据,也可能由于聚合内容而具有更高保密级别的数据。除了对高度格式化的文本数据进行检查外,对导出的非格式化数据运行额外的自动检查在一定程度上也能降低安全风险。如果不能自动确定级别,则应由人工可信来源进行确定。

20.2.9.C.01. 控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4292]

当机构通过网关导出除高度格式化文本数据以外的数据时,必须采用专门为此设计的产品执行数据过滤。

20.2.9.C.02. 控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4293]

当机构没有对数据传输日志执行月度审核时,就必须每周对数据传输日志的随机子集执行随机定时审核。

20.2.9.C.03. 控制:

系统分级:秘密,机密,绝密;遵守级别:应当[CID:4294]

在不能自动确定级别的情况下,应该由人工可信来源评估数据的级别。

20.2.9.C.04. 控制:

系统分级:秘密,机密,绝密;遵守级别:应当[CID:4294]

当通过网关导出其他数据时,机构应至少对所有的数据传输日志进行月度审核。

22.2.10. 防止NZEO数据导出到外部系统

20.2.10.R.01.基本原理

NZEO网络特别敏感,在与其他网络连接时需要采取更加严格的安全措施。

20.2.10.C.01. 控制:

系统分级:所有级别;遵守级别:必须[CID:4301]

为了防止NZEO数据导出到境外系统,机构必须采用专门设计或配置的产品对NZEO数据进行过滤。

20.2.10.C.02. 控制:

系统分级:所有级别;遵守级别:必须[CID:4303]

在允许数据导出之前,各机构必须对保护性标记和关键词进行检查。

20.2.11. 对导出数据进行签名的有关要求

20.2.11.R.01.基本原理

对导出数据进行数字签名,能够证明数据的真实性,提高数据在传输过程中没有被更改的可信度。

20.2.11.C.01. 控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4308]

如果数据要在未受信任的人员或系统可以访问的网络上进行传输,那么可信来源必须对要导出的数据进行签名。

20.2.11.C.02. 控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4309]

在发布导出的数据之前,机构必须确保网关能够验证发布的权限。

20.2.11.C.03. 控制:

系统分级:秘密,机密,绝密;遵守级别:应当[CID:4310]

机构在进行数据签名和签名认证时,应当使用可信度评估水平达到EAL4的产品。

20.3 内容过滤

目标

20.3.1. 依据机构所制定的安全策略检查并控制网关内的数据流。防止未经授权或恶意内容跨越安全域边界。

背景

范围

20.3.2. 本节包括在双向或单向网关内使用内容过滤以保护安全域的相关信息。

20.3.3. 内容过滤可降低未经授权或恶意内容跨越安全域边界的风险。

基本原理与控制

20.3.4. 按文件类型限制传输

20.3.4.R.01.基本原理

机构可保证数据传输过滤程度的高低影响安全风险级别,包括:

●通过检查文件内容来确认文件类型;

●确认没有恶意内容;

●确认没有不当内容;

●确认内容分类;

●适当处理压缩文件。

减少被允许文件类型的数量将减少攻击者可利用潜在漏洞的数量。

20.3.4.C.01.控制:

系统分级:秘密,机密,绝密;遵守级别:必须 [CID:4321]

机构必须根据业务需求及安全风险评估的结果严格定义及限制可传输文件类型。

20.3.4.C.02.控制:

系统分级:所有级别;遵守级别:应当[CID:4322]

机构应当根据业务需求及安全风险评估的结果严格定义及限制可传输文件类型。

20.3.5. 阻断活动内容

20.3.5.R.01.基本原理

许多可执行文件如果由系统用户激活则可能带来风险。许多静态文件类型规范允许文件内嵌活动内容从而增加攻击面。

20.3.5.C.01.控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4325]

机构必须阻止所有可执行文件及活动内容进入安全域。

20.3.5.C.02.控制:

系统分级:所有级别;遵守级别:应当[CID:4326]

机构应当阻止所有可执行文件和活动内容通过网关传输。

20.3.6. 阻断可疑数据

20.3.6.R.01.基本原理

定义可疑内容取决于系统风险状况和被判定为正常流量的内容。下表列出了一些可用于识别可疑数据的过滤技术。

技 术

目 的

防病毒扫描

扫描数据以查找病毒和其他恶意代码

数据格式检查

检查数据以确保其符合预期/允许的格式

数据范围检查

检查每个字段中的数据,以确保其在预期/允许的范围内

数据类型检查

检查每个文件标头以确定文件类型

文件扩展名检查

检查文件扩展名以确保其通过许可

关键词搜索

在数据中检索可能包含机密或不适当内容的关键字或“粗口”

元数据检查

检查文件中应在发布之前删除的元数据。

保护标记检查

验证数据的保护性标记,以确保其符合许可的分级和认可

人工检查

手动检查自动化系统可能丢失的可疑内容数据,这对于传输图像文件,多媒体或内容丰富的文件至关重要

20.3.5.C.02.控制:

系统分级:所有级别;遵守级别:必须[CID:4329]

机构必须阻断、隔离或丢弃由数据过滤识别为可疑的任何数据,直到由内容生成者以外的受信任来源审核并批准后进行传输。

20.3.7. 内容验证

20.3.7.R.01.基本原理

内容验证旨在确保接收内容符合已定义被认可的标准。内容验证是识别格式错误内容的有效方法,从而允许机构阻断潜在恶意内容;根据白名单原则进行,将阻断所有除明确允许之外的内容,示例包括:

●确保数字字段仅包含数字;

●其他字段使用定义的字符集运行;

●确保内容在可接受的长度范围内;

●确保将XML文档与严格定义的XML模式进行对比。

20.3.7.C.01.控制:

系统分级:秘密,机密,绝密;遵守级别:必须 [CID:4332]

机构必须对通过内容过滤的所有数据执行验证,并阻止未通过验证的内容。

20.3.7.C.02.控制:

系统分级:所有级别;遵守级别:应当[CID:4333]

机构应当对通过内容过滤的所有数据执行验证,并阻止未通过验证的内容。

20.3.8. 内容转换及变换

20.3.8.R.01.基本原理

内容转换、文件转换或变换是通过将表示格式与数据分离以使潜在恶意内容无害的一种有效方式。通过将文件转换为另一种格式,漏洞利用、活动内容和/或有效负载通常可以被删除或彻底损坏。

可减轻内容利用威胁而进行文件转换和内容转换的示例包括:

●将Microsoft Word文档转换为PDF文件;

●将Microsoft PowerPoint演示文稿转换为一系列JPEG图像;

●将Microsoft Excel电子表格转换为逗号分隔值(CSV)文件;

●将PDF文档转换为纯文本文件。

某些文件类型(例如XML)无法通过此方式降低恶意内容风险,所以转换过程同时应用于其他文件夹中包含的任何附件或文件,如归档文件或嵌入XML的编码文件。

20.3.8.C.01.控制:

系统分级:所有级别;遵守级别:应当[CID:4336]

机构应当针对通过安全域边界的所有入口或出口数据执行内容转换、文件转换或二者兼有。

20.3.9. 内容清理

20.3.9.R.01.基本原理

清理(消毒)是指通过删除或修改活动内容,同时尽可能保持原始内容的完整性,从而使潜在恶意内容能够安全使用的过程。尽管多种技术可以组合使用,但就内容过滤而言,清理并不像转换那样安全;包括元数据在内的其他应用程序和协议数据也应在可能的情况下进行检查和过滤。减轻内容利用威胁的清理(消毒)措施包括:

●删除Microsoft Office文档中的文档属性信息;

●从PDF文件中删除或重命名JavaScript部分;

●从JPEG文件中删除元数据(例如EXIF信息)。

20.3.9.C.01.控制:

系统分级:所有级别;遵守级别:应当[CID:4339]

如果内容转换或文件转换不适用于传输安全域边界的数据,机构应当对适当的文件类型执行内容和文件清理。

20.3.10. 防病毒扫描

20.3.10.R.01.基本原理

防病毒扫描用于防止、检测和删除包括计算机病毒、蠕虫、特洛伊木马、间谍软件和广告软件在内的恶意软件。

20.3.10.C.01.控制:

系统分级:所有级别;遵守级别:应当 [CID:4348]

机构应当使用多个不同的及最新的扫描引擎和签名对所有内容执行防病毒扫描。

20.3.11. 存档及容器文件

20.3.11.R.01.基本原理

如果内容过滤不能正确处理文件类型和嵌入内容,则可以使用存档文件和容器文件绕过内容过滤过程。内容过滤过程应识别存档文件和容器文件,以确保其中包含的嵌入文件与未存档文件遵循相同的内容过滤过程。

20.3.11.R.02.基本原理

存档文件的构建方式可能会由于处理器、内存或磁盘空间耗尽而造成拒绝服务的风险。为了限制发生此类攻击风险,内容过滤器可以在提取这些文件时指定资源限制/配额。如果超出限制则终止检查,阻断内容并向安全管理员告警。

20.3.11.C.01.控制:

系统分级:所有级别;遵守级别:应当[CID:4401]

机构应当从存档文件和容器文件中提取内容,并对提取的文件进行内容过滤测试。

20.3.11.C.02.控制:

系统分级:所有级别;遵守级别:应当[CID:4402]

机构应当对存档文件和容器文件进行受控检查,以确保内容过滤的性能和可用性不会受到不利影响。

20.3.11.C.03.控制:

系统分级:所有级别;遵守级别:应当[CID:4403]

机构应当阻断无法检查的文件并告警。

20.3.12. 允许内容白名单

20.3.12.R.01.基本原理

创建和强制执行允许内容/文件的白名单是一种强大的内容过滤方法。仅许可满足业务需求的内容可以减少系统的攻击面。例如,电子邮件内容过滤可能仅允许Microsoft Office文档和PDF文件。

20.3.12.C.01.控制:

系统分级:秘密,机密,绝密;遵守级别:必须 [CID:4406]

机构必须根据业务需求和安全风险评估的结果创建并强制执行允许内容类型的白名单。

20.3.12.C.02.控制:

系统分级:所有级别;遵守级别:应当[CID:4407]

机构应当根据业务需求和安全风险评估的结果创建并强制执行允许内容类型的白名单。

20.3.13. 数据完整性

20.3.13.R.01.基本原理

确保通过安全域的内容真实性和完整性是确保其可信赖性的关键。已授权从安全域发布的内容不可修改或包含未经授权发布的其他数据,如添加或替换敏感信息。

20.3.13.R.02.基本原理

如果通过过滤的内容包含某种形式的完整性保护,如数字签名,则内容过滤应在允许内容通过之前验证其完整性;如果内容未通过完整性检查,则可能已被欺骗或篡改,应删除或隔离以备进一步检查。数据完整性检查的示例包括:

●电子邮件服务器或内容过滤,用于验证受DKIM保护的电子邮件;

●验证SOAP请求中包含的XML数字签名的Web服务;

●根据单独提供的哈希值验证文件;

●检查要从安全域导出的数据是否具有发布机构的数字签名。

20.3.13.C.01.控制:

系统分级:秘密,机密,绝密;遵守级别:必须[CID:4411]

如数据有签名,则机构必须确保在导出数据之前验证签名。

20.3.13.C.02.控制:

系统分级:所有级别;遵守级别:应当[CID:4412]

机构应当在适用的情况下验证内容的完整性,并在验证失败时阻止内容。

20.3.14. 加密数据

20.3.14.R.01.基本原理

如果不能对未加密内容执行相同的检查,可以使用加密绕过内容过滤。机构需要考虑解密内容的需要,具体取决于:

● 与之通信的安全域;

●是否强制执行须知原则;

●端到端加密要求;

●任何隐私和政策要求。

20.3.14.R.02.基本原理

选择不解密内容会带来加密的恶意软件通信和数据在安全域之间传输的风险。此外,加密可能隐藏允许将加密级别较高的信息转移到加密级别较低的安全域的情况,这可能导致数据泄漏。

20.3.14.R.03.基本原理

一些系统允许在之后阶段通过外部/边界/外围控件解密加密的内容,在这种情况下,解密后的内容应当遵行所有适用的内容过滤规则控制。

20.3.14.C.01.控制:

系统分级:所有级别;遵守级别:应当[CID:4417]

机构应当解密并检查所有加密的内容、流量和数据以允许内容过滤。

20.3.15. 监控数据导入及导出

20.3.15.R.01.基本原理

为了确保系统及数据的持续保密性和完整性,应当监控及审核数据的导入导出过程。

20.3.15.C.01.控制:

系统分级:所有级别;遵守级别:必须[CID:4420]

机构必须使用保护性标记检查来限制从每个安全域(包括通过网关)的数据导出。

20.3.15.C.02.控制:

系统分级:秘密,机密,绝密;遵守级别:应当 [CID:4421]

当向每个安全域(包括通过网关)导入数据时,机构必须至少每月审核一次完整的数据传输日志。

20.3.16. 异常处理

20.3.16.R.01.基本原理

根据为内容过滤建立的标准,可能存在正当原因来传输被识别为可疑的数据。需要建立责任制及可审核机制来处理此类异常。

20.3.16.C.01.控制:

系统分级:所有级别;遵守级别:应当[CID:4424]

机构应当创建异常处理流程,以处理可能具有有效传输要求的阻止或隔离文件类型。

20.4 数据库

目标

20.4.1. 数据库内容受保护,不允许无关人员了解其内容。

背景

范围

20.4.2. 本节介绍与数据库和数据库接口(例如搜索引擎)有关的信息。

基本原理与控制

20.4.3. 数据标签

20.4.3.R.01. 基本原理

根据结构和使用用途,保护性标记可以应用于记录、数据表表或整个数据库。查询结果通常需要保护性标记,以反映所检索信息的汇总。

20.4.3.C.01.控制:

系统分级:绝密;遵守级别:必须[CID:4434]

机构必须确保数据库中存储的所有分级信息均关联适当的保护性标记,该信息:

●可以导出到其他系统;

●包含不同分级或不同处理要求。

20.4.3.C.02.控制:

系统分级:绝密;遵守级别:必须[CID:4435]

机构必须确保保护性标记的应用粒度足以清晰定义从数据库检索或导出的任何分级信息的处理要求。

20.4.3.C.03.控制:

系统分级:所有级别;遵守级别:应当[CID:4436]

机构必须确保数据库中存储的所有分级信息均关联适当的保护性标记,该信息:

●可以导出到其他系统;

●包含不同分级或不同处理要求。

20.4.3.C.04.控制:

系统分级:所有级别;遵守级别:应当[CID:4437]

机构应当确保保护性标记的应用粒度足以清晰定义从数据库检索或导出的任何分级信息的处理要求。

20.4.4. 数据库文件

20.4.4.R.01.基本原理

即使数据库可对存储数据进行访问控制,数据库文件本身也必须受到保护。

20.4.4.C.01.控制:

系统分级:绝密;遵守级别:必须 [CID:4440]

机构必须保护数据库文件,使其不受绕过正常访问控制的访问。

20.4.4.C.02.控制:

系统分级:所有级别;遵守级别:应当[CID:4441]

机构应当保护数据库文件,使其不受绕过正常访问控制的访问。

20.4.5. 责任制

20.4.5.R.01.基本原理

如果未记录和审核系统用户与数据库的交互,机构将无法适当地调查任何数据库内容的滥用或损坏。

20.4.5.C.01.控制:

系统分级:绝密;遵守级别:必须[CID:4444]

机构必须启用日志记录和审核系统用户的操作。

20.4.5.C.02.控制:

系统分级:所有级别;遵守级别:应当[CID:4445]

机构应当确保数据库提供审核系统用户操作行为的功能。

20.4.6. 搜索引擎

20.4.6.R.01.基本原理

即使搜索引擎限制浏览系统用户无安全权限访问的机密信息,关联元数据也可以包含高于系统用户安全权限的信息。此时限制对该元数据的访问或清除该元数据,可有效控制系统用户无法查看信息的泄露。

20.4.6.C.01.控制:

系统分级:所有级别;遵守级别:必须[CID:4448]

如果无法对数据库的查询结果进行适当过滤,则机构必须确保适当地清除所有查询结果,以满足系统用户最低安全要求。

20.4.6.C.02.控制:

系统分级:所有级别;遵守级别:应当[CID:4449]

机构应当确保只有拥有足够内容访问安全权限的系统用户才可浏览或查询搜索引擎查询结果列表中的相关元数据。

本文系中国人民大学电子文件管理研究中心学生研究员团队原创成果

本期小编

郝晓雅,天津师范大学管理学院2019级档案学硕士研究生

邵亚伟,扬州大学社会发展学院档案学系2017级本科生

嘎拉森,中国人民大学信息资源管理学院2018级档案学硕士研究生

杨文,中国人民大学信息资源管理学院2017级档案学博士研究生

声明:本文来自电子文件管理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。