【国际视野】美国国家标准与技术研究所的网络安全中心发布《数据保密：识别和保护资产以防数据泄露》

“

天极按

近日，美国国家标准与技术研究所的网络安全中心发布了两份文件，以帮助识别、检测和应对数据泄露。文件指导组织如何保护其资产并从此类攻击中恢复。从机密性、完整性和可用性三方面解释了数据安全性。同时还采用了基于NIST 网络安全框架1.1的原则。本文为其中之一，文章详细讨论了多因素身份验证解决方案，以防止对企业系统的网络钓鱼攻击。它包含使用虚拟桌面界面软件的MFA 流程图以及敏感信息的受保护网络共享。

概述

在数据驱动的世界里，企业必须将网络安全和隐私作为其业务风险管理策略的优先事项。具体来说，数据保密性仍然是一项挑战，因为针对组织数据的攻击会危及电子邮件、员工记录、财务记录和客户信息，从而影响业务运营、收入和声誉。

保密性的定义是"保持对信息访问和披露的授权限制，包括保护个人隐私和专有信息的手段。数据保密性确保只有授权用户才能访问数据，并以授权方式使用数据。确保数据的保密性应该是任何组织的首要任务。数据失密不仅会对公司或组织造成重大影响，还会对信任该组织的个人造成重大影响。

美国国家标准与技术研究院（NIST）的国家网络安全卓越中心（NCCoE）开发了示例解决方案来满足数据安全和隐私需求。该项目属于更大规模的数据安全项目系列，由保密性、完整性、可用性（CIA）三要素和NIST 网络安全框架（CSF）核心功能组成：识别、保护、检测、响应和恢复。

图 1-1 数据安全项目映射

本《NIST网络安全实践指南》的目标是帮助组织识别并保护其资产和数据，以便为数据保密事件做好准备并加以预防。本指南将帮助组织：

清点数据存储和数据流
防范针对主机、网络和企业组件的保密性攻击
保护静态、传输中和使用中的企业数据
配置日志记录和审计功能，以满足组织要求
对敏感数据实施访问控制
为主机和网络访问实施身份验证机制
根据NIST 隐私框架列举数据流和有问题的数据操作

除了这些文件中提供的指导外，NIST还有许多资源可帮助组织识别和保护数据：

NIST 特别出版物1800-25，《数据完整性》：识别和保护资产，防范勒索软件和其他破坏性事件；
NIST 特别出版物800-83，《台式机和笔记本电脑恶意软件事件预防和处理指南；
NIST 特别出版物800-46，《企业远程工作、远程访问和自带设备(BYOD) 安全指南；
NIST 隐私框架；
NIST 网络安全框架；
NIST 机构间报告8374，勒索软件风险管理：网络安全框架简介；
NIST 特别出版物800-160，《开发网络弹性系统：系统安全工程方法》。

1.1 挑战

数据保密性是一项挑战，因为所有数据都是由一定数量的授权人员或系统访问的。如果数据访问权限被未经授权的人员或系统获得或给予，就会导致数据泄露。组织在维护数据机密性方面面临的挑战来自于组织数据的庞大数量、用户访问数据的多种方式（现场与远程、计算机与移动设备），以及未经授权的用户使用有效用户凭据的可能性。

NIST SP 1800-28 侧重于应用NIST 网络安全框架的"识别和保护功能"来应对与授权和非授权数据访问分类相关的挑战。该文件可帮助企业识别潜在的数据泄密行为，并防止由此造成的损失。

在定义"识别"或"保护"数据的含义时，还会遇到其他挑战。在NCCoE以前关于数据完整性的工作（1800-25、1800-26和1800-11）中，可以将恢复定义为将受损数据回滚到其被更改之前的某个时间点。至于数据机密性的丢失，目前还没有"消除"这种丢失影响的程序--一旦数字数据落入未经授权的用户手中，就没有任何有保障的方法可以取回数据的所有副本。这就使得组织和受影响的个人只能通过非技术手段来减轻泄密造成的后果（财务、声誉等），同时组织也无法将吸取的教训应用到更早的技术改进中，以防止未来泄密事件的发生。

1.2 解决方案

NCCoE开发了由两部分组成的解决方案，以解决数据安全和数据隐私方面的问题，帮助企业管理数据保密性攻击的风险。1800-29中的工作涉及组织在数据失密期间和之后的行动（NIST CSF 的其余功能"检测、响应和恢复"），而本指南的重点是数据失密之前的需求（通过重点关注NIST CSF 功能"识别和保护"）。该解决方案利用市售工具提供相关功能，如自动数据敏感性检测、数据访问控制、潜在机密数据加密和多因素身份验证等。

1.3 优势

各组织可利用本指南提供帮助：

评估其数据保密问题；
确定其数据安全需求是否与本指南中确定的数据保密挑战相一致；
进行差距分析，确定组织数据保密保护的当前状态与期望状态之间的距离；
对实施本指南所述保护措施的可行性进行评估；
确定业务连续性分析，以识别数据失密对业务运营的潜在影响。

使用指南

本指南展示了基于标准的参考设计，并为用户提供了复制本文所述数据保密功能所需的信息。本参考设计采用模块化设计，可全部或部分部署。本指南包含三卷：

NIST SP 1800-28A：执行摘要
NIST SP 1800-28B：方法、架构和安全特性构）；
NIST SP 1800-28C：操作指南。

企业决策者会对执行摘要NIST SP 1800-28A感兴趣，该摘要介绍了以下主题：

企业在识别易受攻击资产和保护其免受数据泄露影响方面面临的挑战；
在 NCCoE建立的示例解决方案；
采用示例解决方案的好处。

关注如何识别、理解、评估和降低风险的技术或安全项目经理会对指南的这一部分NIST SP 1800-28B感兴趣，该部分介绍了进行工作和原因。以下部分尤其值得关注：

第 3.5节"风险评估"介绍了所进行的风险分析；
第 3.6节"安全控制图"将本示例解决方案的安全特性与网络安全标准和最佳实践进行了映射

希望实施类似方法的IT专业人员会发现指南的实用性。指南中的"如何操作"部分提供了实施示例解决方案的具体产品安装、配置和集成说明。

本指南假定IT专业人员具有在企业内实施安全产品的经验。虽然使用了一套商业产品来应对这一挑战，但本指南并不认可这些特定产品。企业可以采用本解决方案或完全遵循本指南的解决方案，也可以将本指南作为起点，定制并实施可防范数据泄露的安全架构的各个部分。

方法

NCCoE 正在开发一套与NIST网络安全框架核心五大功能相对应的数据保密项目。该项目以识别和保护易受攻击数据为中心。商业合作伙伴自愿提供产品，为每个用例中提出的问题提供示例解决方案。通过这种合作，我们的目标是为试图解决数据保密问题的组织和个人创建可行的建议。

3.1 受众

本项目的架构和随附文档面向三类不同的读者。第一类是亲自为其组织管理、实施、安装和配置IT安全解决方案的人员。第二类是那些负责为其组织制定更广泛的安全策略的人员。最后一组是那些负责泄密的法律后果的人员。本指南将使潜在的采用者能够评估在其组织的IT 系统中实施数据保密最佳实践的可行性。

3.2 范围

本文档为识别潜在敏感数据和防止数据失密提供指导。请参阅图1-1，了解本文档如何与更大范围的NCCoE 数据安全项目相适应，如CIA 三要素和NIST 网络安全框架核心的功能所组织的那样。

3.3 假设

NCCoE开发并在本指南中体现的技术解决方案不包含管理组织数据机密性的非技术内容。非技术部分可能包括（但不限于）：

基于相关司法管辖区的适用法律要求；
与保密和隐私相关的企业政策或其他替代政策；
数据失密情况下的标准操作程序；
公共关系策略

本项目以下列假设为指导：

该解决方案是在实验室环境中开发的，数据的大小和规模有限；
本项目仅包括与数据保密性相关的产品子集，因此各组织在实施 IT 时，在根据产品情况评估本组织的需求时，应考虑本文档的指导原则。

3.4 隐私注意事项

由于数据失密可能导致隐私风险，因此本指南包括隐私注意事项。本节简要介绍了保护隐私的重要性、隐私与网络安全风险之间的关系以及NIST 的隐私风险评估方法。

在当今的数字环境中，消费者的大部分生活都是在互联网上进行的。数据处理，包括对数据进行的任何操作，包括组织对数据的收集、使用、存储和共享，都可能导致个人隐私问题。隐私风险会随着技术和相关数据处理的变化而变化。组织如何对待隐私问题，直接影响到组织的可信度。由于认识到技术对个人隐私的影响在不断变化，全球各国政府都在努力通过新的或更新的法律法规来解决他们所关心的问题。

经过公开透明的开发过程，NIST发布了NIST 隐私框架1.0版，以帮助企业更好地识别和管理隐私风险，与客户和合作伙伴建立信任，并履行合规义务。隐私框架核心提供了组织可能希望实现的隐私成果，作为隐私风险管理计划的一部分。

隐私框架还讨论了隐私工程目标，可用于帮助企业确定隐私风险管理活动的优先次序。隐私工程目标包括：

可预测性：使个人、所有者和操作者能够对数据及其在系统中的处理做出可靠的假设；
可管理性：提供细粒度的数据管理能力，包括收集、更改、删除和选择性披露；
可分解性：在处理数据或事件时，不与系统运行要求之外的个人或设备发生关联。

个人和组织必须了解网络安全与隐私之间的关系。正如《NIST隐私框架》第1.2.1节所述，对网络安全和隐私风险的不同起源有一个总体了解，对于确定应对风险的最有效解决方案非常重要。图3-1说明了这种关系，显示有些隐私风险源于网络安全风险，有些则与网络安全风险无关。

图 3-1 网络安全与隐私风险的关系

虽然数据泄密可能会导致个人隐私问题，但必须注意的是，在没有发生网络安全事件的情况下也可能出现隐私风险。例如，组织在处理数据时可能会侵犯个人隐私，但数据并未因安全事件而被泄露或损害。这类问题可能在多种情况下发生，如数据被长期存储，超出了最初收集信息的需要。

隐私风险源于隐私事件，问题数据行为的发生或潜在发生。NIST隐私框架将有问题的数据行为定义为可能对个人造成不利影响的数据行为。有问题的数据行为可能仅仅是出于任务或业务目的而进行的数据处理。隐私风险是指个人因数据处理而遭遇问题的可能性，以及一旦发生问题所造成的影响。如图3-1 的重叠部分所示，将这些风险与网络安全风险并行分析，有助于组织了解数据泄密影响的全部后果。第5.3节展示了可能出现隐私风险的情况以及潜在的缓解措施。在参考架构的基础上，本构建考虑了可能导致有问题数据操作的数据操作。

3.5 风险评估

NIST SP 800-30 第 1次修订版《风险评估指南》指出，风险是"实体受潜在情况或事件威胁程度的度量，通常是以下因素的函数：(i) 如果情况或事件发生，将产生的不利影响；以及(ii) 发生的可能性"。该指南进一步将风险评估定义为"识别、估计和优先处理信息系统运行对组织业务、组织资产、个人、其他组织和国家造成的风险的过程。风险管理的一部分包括威胁和漏洞分析，并考虑计划中或已实施的安全控制措施所提供的缓解措施"。

NCCoE 建议，任何有关风险管理的讨论，特别是在企业一级，都应首先全面审查NIST SP 800-37 Revision 2《信息系统和组织风险管理框架》公众可查阅的资料。事实证明，风险管理框架(RMF) 指南提供了一个评估风险的基线，据此制定了项目、构建的安全特性和本指南。

3.5.1 安全风险评估

安全风险评估经常讨论对信息系统威胁的考虑。NIST SP 800-30 Revision 1 将威胁定义为"任何可能通过信息系统对组织运作和资产、个人、其他组织或国家造成不利影响的情况或事件，包括未经授权的访问、破坏、披露或修改信息和/或拒绝服务"。威胁是指可能损害系统机密性、完整性或可用性的行为。威胁是不断变化的，组织在评估本组织面临的威胁和风险时需要进行自己的分析。

在开发数据保密解决方案时，考虑了以下威胁：

外部恶意行为者的外泄；
内部恶意行为者的外泄（权限滥用）；
有泄漏数据威胁的勒索软件：非恶意内部人员（意外电子邮件）；
硬件放错位置。

要实现威胁，系统、流程或个人必须容易受到威胁行为的攻击。漏洞是威胁源可能利用的缺陷或弱点，会导致威胁事件的发生。漏洞可能存在于更广泛的环境中。也就是说，它们可能存在于组织治理结构、外部关系和任务/业务流程中。

组织应考虑一旦发生数据泄密事件可能造成的影响，包括组织信任度和公信力可能下降，影响到员工、客户、合作伙伴和利益相关者，以及专有信息或其他敏感信息丢失造成的财务影响。

3.5.2 隐私风险评估

本构建还将隐私作为构建风险评估的一部分。作为全面风险管理流程的一部分，企业必须应对隐私风险。本构建利用NIST 隐私框架和隐私风险评估方法(PRAM) 来识别和处理隐私风险。

作为本次构建中识别隐私风险的一部分，有问题的数据操作与观察到的隐私风险相关联。在许多情况下，本构建中的安全功能将有助于降低隐私风险，但组织应谨慎实施这些功能，以免带来新的隐私风险。

3.6 技术

表 3-1产品和技术列出了本项目中使用的技术，并提供了通用应用程序术语、使用的特定产品和该产品提供的安全控制之间的映射。有关 NIST网络安全框架子类别标识符的解释，请参阅表6-1 安全控制映射。

表 3-1 产品和技术

架构

本节介绍数据保密参考设计所使用的高层架构和一系列功能，这些功能可识别和保护资产，防止未经授权的访问和披露。

图 4-1 高级架构

所实施的每项功能都在减轻数据保密性攻击方面发挥作用：

数据管理允许在整个企业内发现和跟踪文件；
数据保护包括加密和防止敏感文件泄露；
访问控制允许企业执行访问控制策略，确保只有授权用户才能访问敏感文件；
浏览器隔离通过对从互联网上下载的可执行文件进行沙盒封装，保护组织内的端点免受恶意网络恶意软件的侵害；
策略执行可确保组织内的端点符合指定的安全策略，包括证书验证、已安装程序和机器态势；
日志记录可创建正常企业活动的基线，以便在发生数据保密事件时进行比较；
网络保护可确保网络上的主机仅以允许的方式进行通信，防止侧信道攻击和依赖主机间直接通信的攻击。此外，它还能防止潜在的恶意主机加入或观察穿越网络的流量（加密或解密）。

这些功能共同为参考架构提供"识别"和"保护"功能。数据管理功能为企业中的文件提供数据清单和资产管理；帮助识别潜在的敏感文件；并与数据保护功能合作，确保潜在的敏感文件在发生外泄时得到妥善保护。由于企业规模庞大，每天都可能创建新的敏感文件，因此必须具备至少部分自动识别和保护文件的能力。数据保护功能和访问控制可防止数据被未经授权的各方读取。通过确保只有正确的用户和系统才能访问数据，并确保数据在使用中和静态时受到保护，对手就更难窃取和泄露敏感数据。

策略执行、网络保护和浏览器隔离功能共同保护笔记本电脑和台式机等终端免受常见攻击载体的攻击。传播恶意软件的恶意网站首先会通过浏览器隔离功能，该功能会对网页进行沙盒处理，确保通过恶意网页下载的恶意软件无法传播到用户或企业的系统中。网络分段使用网络层策略，根据业务需求将端点分组。如果端点受到感染，网络分段可以防止恶意软件在网段之间传播，从而限制影响。策略执行可确保系统与组织定义的安全策略保持同步。所有这些功能都会反馈到日志记录功能中，让企业了解其正常活动的基线。在事件发生前，这些日志会告知组织其安全态势，这样组织就能在获得有关威胁的新信息时调整其策略，并采取适当的行动。

安全与隐私特性分析

以下部分旨在帮助企业了解项目在多大程度上实现了其目标，即展示技术和能力以帮助企业降低数据保密风险。

5.1 假设与限制

以下分析有以下限制：

它既不是对所有安全和隐私组件的全面测试，也不是红队演练；
无法确定所有弱点或风险；
不包括实验室基础设施。假定设备已加固。对这些设备进行测试只能发现实施中的薄弱环节，而这些薄弱环节与采用本参考架构的设备无关。

5.2 安全场景

安全评估包括评估参考设计如何很好地解决其所要支持的安全特性。每个场景都列出了一个潜在的网络安全事件，并讨论了组织在每个事件中的责任，以及架构的安全功能将如何帮助组织应对该事件的网络安全框架功能"识别 "和"保护"。

以下是为测试该架构安全功能而创建的情景列表。

5.2.1 加密数据的外泄

表 5-1加密数据外泄的安全情景

5.2.2 鱼叉式网络钓鱼活动

表 5-2 鱼叉式网络钓鱼活动安全方案

5.2.3 勒索软件

表 5-3 勒索软件安全情景

5.2.4 意外电子邮件

表 5-4 意外电子邮件安全场景

5.2.6 特权滥用

表 5-6 特权滥用安全情景

5.2.7 窃听

表 5-7 窃听安全场景

5.3 隐私场景

下一节描述了组织在进行隐私风险评估时可能考虑的情景。根据本项目中使用的参考架构，对每种情景进行了检查，以确定会导致潜在个人隐私问题的数据操作。每个表格都记录了从NIST有问题数据操作和问题目录中提取的有问题数据操作，并列出了与NIST隐私框架相对应的隐私保护措施。在分析隐私风险时，考虑了数据的处理方式。场景中发现的具体隐私风险来自于本构建中使用的架构组件和数据流，但尽可能为使用类似组件和功能的组织通用。

组织在实施网络安全或基于隐私的控制时，可能会收集影响隐私的信息。例如，组织可能会使用手机号码等信息实施多因素身份验证(MFA)。尽管收集这些信息有助于通过支持不可抵赖性和系统审计等功能来保护系统和数据，但也可能产生隐私风险。

在实施基于网络安全或隐私的控制措施时，组织应考虑用户从使用服务和在处理影响隐私的信息前确保服务安全中获得的好处。在权衡这种益处与隐私事件发生时对个人和组织造成的风险时，可以考虑这种益处。

例如，使用上文提到的MFA，用户可能会觉得必须提供影响隐私的信息，如用于SMS（短信服务）验证的个人电话号码，才能访问系统或服务。但是，如果用户访问的是公开信息，收集个人电话号码所带来的信息被滥用的风险可能会大于保护低敏感信息的安全效益。此外，如果用户可以选择，他们可以使用其他隐私侵犯较少的验证方法，如使用工作电话号码而不是个人电话号码，或使用硬件MFA 验证器而不是短信验证。NIST隐私风险评估方法(PRAM)将用户被迫提供与交易目的或结果不相称的信息这种有问题的数据行为称为诱导披露。

各组织在设计和实施系统时应考虑这些类型的风险。如下文情景所示，应在设计中实施风险缓解措施，以限制隐私风险。除其他外，这些隐私风险缓解措施可能包括以下内容：