GCSB《新西兰信息安全手册》之“数据管理”介绍（上）

2020-07-15

导读

本期我们将为大家介绍的是新西兰政府通信安全局（Government Communications Security Bureau, GCSB）发布的新西兰信息安全手册（New Zealand Information Security Manual, NZISM，以下简称《手册》）。该《手册》是新西兰政府发布的信息保护与信息系统安全的官方指南，详细介绍了对于保护所有新西兰政府信息和系统必不可少的流程和控制措施，同时为官方部门、地方政府机构及其他私营组织提供技术安全标准、其他技术和信息安全指导，以满足其信息治理及实践需求。

我们选取了2020年3月更新的最新版本V3.3《手册》第20节“数据管理”中的前两部分“数据传输”及“数据导入和导出”进行介绍。

《手册》说明

《手册》结构为：

目标：实施本节内控件时的预期结果
背景：范围、适用性和任何例外情况
引用：可以帮助解释或实施控件的外部信息源
基本原理和控制

基本原理：实施控制和遵守级别要求之原因

控制：降低风险的措施以及相关的遵守级别要求。其中控件标识（CID）对应编号在未来版本更新中将保持不变，仅做相应的增删操作。

保密分级包括：

所有级别（All Classifications）
秘密（Confidential）
机密（Secret）
绝密（Top Secret）

遵守级别包括：

必须（Must）
应当（Should）

20.1 数据传输

目标20.1.1.确保系统间数据传输受控且可靠。

背景

范围

20.1.2.本节介绍了系统间数据传输的基本要求，相关内容也同样适用于移动媒体（介质）间及网关间的数据传输。

20.1.3.更多有关移动媒体（介质）间数据传输的要求可以参见13.3节“媒体（介质）使用”，有关网关间数据传输的其他要求可以参见20.2节“数据导入及导出”。

20.1.4.当数据从具有强大信息安全控制的保密系统传输至信息安全控制较弱的低级系统时，可能会造成数据泄露、信息丢失和隐私泄露等问题。重要的是要建立适当的监督与问责机制以尽量减少或防止不必要的信息损失或泄露。

安全保护需求（protective security requirements, PSR）参考文献

20.1.5. 有关PSR的要求可以参考：

参考
文献

标题

来源

PSR

强制性要求

GOV2-采取基于风险的方法

GOV6-管理安全事故

INFOSEC2-设计你的信息安全保护措施

INFOSEC3-验证你的安全保护措施

INFOSEC4-确保你的安全保护措施及时更新

PERSEC1-招募合适的人

PERSCE2-确保员工的长期适用性

PERSEC3-离职管理

PERSEC4-国家安全许可管理

http://www.protectivesecurity.govt.nz

https://www.protectivesecurity.govt.nz/

governance/mandatory-requirements-2/

https://www.protectivesecurity.govt.nz/

information-security/mandatory-requirements-2/

https://www.protectivesecurity.govt.nz/

personnel-security/mandatory-requirements/

PSR

协议内容

信息安全管理协议

人事安全管理协议

https://www.protectivesecurity.govt.nz/

information-security/management-protocol/

https://www.protectivesecurity.govt.nz/personnel-security/

management-protocol-for-personnel-security/

PSR要求章节

设置分类和分配保护标记

了解信息安全生命周期

https://www.protectivesecurity.govt.nz/information-security/lifecycle/

understand-what-information-and-ict-systems-you-need-to-protect/

特殊场景管理

与公众进行在线交易

https://www.protectivesecurity.govt.nz/information-security/managing-

specific-scenarios/transacting-online-with-the-public/

基本原理与控制

20.1.6. 用户责任

20.1.6.R.01.基本原理

用户在系统之间传输数据时需要意识到其行为的潜在后果可能包括将包括机密信息的数据泄漏到未被授权处理的数据系统，或者意外引入了恶意代码。因此，各机构将需要让员工对他们的数据传输行为负责。

20.1.6.C.01.控制：

系统分级：所有级别；遵守级别：必须[CID:4318]

各机构必须制定一项政策，对员工进行系统间数据传输流程的培训，同时在传输之前（员工）需要获得必要的授权。

20.1.6.C.02.控制：

系统分级：所有级别；遵守级别：必须[CID:4141]

各机构必须确保在系统间传输数据的系统用户对其传输的数据担责。

20.1.7. 数据传输过程和程序

20.1.7.R.01. 基本原理

员工可以通过检查防护标记（分类、许可证、可发布性），用杀毒软件对系统间传输的数据进行检查，并对数据传输的所有过程和程序进行跟踪，从而防止发生信息安全事件，确保目标系统适合用于保护所传输的数据。

20.1.7.C.01.控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4147]

各机构必须按照认证机构批准的过程和程序进行数据传输。

20.1.7.C.02.控制：

系统分级：所有级别；遵守级别：必须[CID:4148]

各机构应当按照认证机构批准的过程和程序进行数据传输。

20.1.8. 数据传输授权

20.1.8.R.01基本原理

使用可信来源批准将数据从一个机密系统传输至另一个保密级别较低的系统，或者是对所传输数据有可发布性认可的系统，同时要有适当的监督和活动报告。

20.1.8.C.01控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4151]

各机构必须确保所有传输到保密级别较低或安全系数较低的系统的数据都经过可信来源的批准。

20.1.9. 可信来源

20.1.9.R.01. 基本原理

可信来源是指被授权评估和批准传输和发布数据或文件的指定人员。

可信来源可能包括机构内的安全人员，如CISO（Chief Information Security Officer，首席信息安全官）和ITSM（IT Service Management，IT服务管理）。

20.1.9.C.01.控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4156]

可信来源必须：

●由业务需求和安全风险评估结果导出严格的受限列表；

●如有需要，必须进行适当的安全性检查；

●必须经认证机构认可。

20.1.10. 数据导入

20.1.10.R.01基本原理

扫描导入的数据以查找活动内容或恶意内容可以降低系统或网络受到（病毒）感染的安全风险，从而保证系统或网络的持续保密性、完整性和可用性。

20.1.10.R.02基本原理

格式检查提供了一种防止已知恶意格式进入系统或网络的方法。持续定期审核这些（检查）日志，可以检查系统或网络是否有任何不寻常的活动或使用痕迹。

20.1.10.R.03基本原理

在机构的事件管理过程中，人员报告意外事件能够及早地遏制恶意软件，限制损坏和纠正错误。

20.1.10.C.01控制：

系统分级：所有级别；遵守级别：必须[CID:4165]

机构将数据导入系统时必须对数据进行扫描，以发现恶意和活动内容。

20.1.10.C.02 控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4168]

机构在将数据导入系统时必须实施以下控制：

●扫描恶意和活动内容；

●数据格式检查；

●标识意外的附件或嵌入对象；

●记录每项活动的日志；

●监测过度使用或异常使用模式。

20.1.11. 高格式化文本数据的导出

20.1.11.R.01 基本原理

在系统间传输没有自由文本字段的高度格式化文本数据时，由于严格定义了信息格式，因此降低了检查要求。

20.1.11.C.01控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4239]

当机构导出没有自由文本字段的格式化文本数据且所有字段有一个预定义的允许格式和数据值时，机构必须实行以下控制：

●防护标记检查；

●数据验证和格式检查；

●大小限制；

●关键词检查；

●标识意外的附件或嵌入对象；

●记录每项活动的日志；

●监测过度使用或异常使用模式。

20.1.12. 导出其他数据

20.1.12.R.01 基本原理

没有高度格式化的文本数据很难进行自动化检查。各机构需要采取措施，以确保机密信息不会意外地传输至未经官方授权处理机密信息的系统或传输至公共领域。

20.1.12.C.01 控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4245]

当机构导出高度格式化文本数据以外的数据时，机构必须实行以下控制：

●防护标记检查；

●数据验证和格式检查；

●大小限制；

●关键词检查；

●标识意外的附件或嵌入对象；

●记录每项活动的日志；

●监测过度使用或异常使用模式。

20.1.13. 防止NZEO(New Zealand Eyes Only 仅限新西兰人浏览的信息)数据导出到国外系统

20.1.12.R.01 基本原理

20.1.13.R.01 基本原理

为了减少有许可证的数据泄漏到国外系统的安全风险，制定NZEO标记数据检测程序以防止国外系统或境外人员获取到数据至关重要。

20.1.13.C.01控制：

系统分级：所有级别；遵守级别：必须[CID:4249]

机构必须：

●确保对所有文本数据执行关键字搜索；

●确保隔离所有已识别的数据，直至经发布者以外的可信来源审核和批准发布；

●开发防止NZEO信息同时以文本和非文本格式导出的程序。

20.2 数据导入和导出

目标20.2.1.确保网关间数据传输过程受控且可靠。

背景

范围

20.2.2.本节介绍了通过网关在系统间传输数据的特殊要求。系统间数据传输的基本要求可以在“20.1节——数据传输”中找到，这些基本要求同样适用于网关间数据传输。

基本原理与控制

20.2.3. 用户责任

20.2.3.R.01.基本原理

当用户在系统之间传输数据时，他们需要意识到其行为的潜在后果，包括将敏感或机密数据泄漏到未被授权处理机密数据的系统上，或者无意中引入恶意代码。因此，用户需要对他们的数据传输行为负责。

20.2.3.C.01. 控制：

系统分级：所有级别；遵守级别：必须[CID:4264]

在系统间传输数据的用户必须对他们传输的数据负责。

20.2.4. 数据传输授权

20.2.4.R.01.基本原理

用户可以通过以下措施帮助防止发生信息安全事件：

●检查保护标记，以确保目标系统适合接收所传输的数据；

●对系统间传输的数据进行病毒检测；

●跟踪数据传输的过程和程序。

20.2.4.C.01. 控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4269]

所有传输到敏感程度或保密级别较低的系统的数据必须经过可信来源的批准。

20.2.5. 可信来源

20.2.5.R.01.基本原理

可信来源是指被授权评估和批准数据或文件传输和或发布的指定人员。

可信来源可能包括机构内的安全人员，如CISO（Chief Information Security Officer，首席信息安全官）和ITSM（IT Service Management，IT服务管理）。

20.2.5.C.01. 控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4277]

可信来源必须是：

●由业务需求和安全风险评估结果导出严格的受限列表；

●如有需要，必须进行适当的安全性检查；

●必须经认证机构认可。

20.2.6. 通过网关导入数据

20.2.6.R.01.基本原理

为了确保系统的持续运行，必须不断分析导入的数据。对数据进行格式转换可以有效地防止大多数恶意活动内容。20.2.6.C.01. 控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4280]

当机构通过网关将数据导入系统时，数据必须进行专门筛选以过滤恶意和活动内容。

20.2.6.C.02. 控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4281]

当机构通过网关将数据导入系统时，必须至少每月对全部或部分事件日志执行一次审核。

20.2.6.C.03. 控制：

系统分级：秘密，机密，绝密；遵守级别：应当[CID:4282]

在连接网络之前，各机构应将网关上导入的数据转换为另一种格式。

20.2.7. 通过网关导出数据

20.2.7.R.01.基本原理

为了确保机构网络数据的持续完整性和保密性，在将数据导出到保密级别较低的系统之前必须做一系列检查。

20.2.7.R.02.基本原理

根据保护性标记过滤内容是一种保护机密性较低数据的适当方法。

20.2.7.C.01. 控制：

系统分级：所有级别；遵守级别：应当[CID:4286]

各机构至少应该使用保护性标记检查来过滤数据，从而限制将数据导出到保密级别较低的系统。

20.2.8. 通过网关导出高格式化文本数据

20.2.8.R.01.基本原理

当数据被限制为高格式化的文本数据时，发布更高机密数据的安全风险将会在一定程度上降低。因为在这种情况下，数据不太可能包含隐藏数据和机密数据，通过自动扫描就可以检测数据中的加密内容。当设置一个网关过滤器以限制超过网关外部网络级别的保密数据，并定期检查日志以检测是否有异常使用和过度使用时，安全风险会进一步降低。

20.2.8.C.01. 控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4289]

当通过网关导出高格式化的文本数据时，机构必须实行以下措施：

●防护标记检查；

●专门性数据过滤；

●数据范围和数据类型检查；

●至少每月对全部或部分事件日志执行一次审核。

20.2.9. 通过网关导出其他数据

20.2.9.R.01.基本原理

没有高度格式化的文本数据可能包含隐藏数据，也可能由于聚合内容而具有更高保密级别的数据。除了对高度格式化的文本数据进行检查外，对导出的非格式化数据运行额外的自动检查在一定程度上也能降低安全风险。如果不能自动确定级别，则应由人工可信来源进行确定。

20.2.9.C.01. 控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4292]

当机构通过网关导出除高度格式化文本数据以外的数据时，必须采用专门为此设计的产品执行数据过滤。

20.2.9.C.02. 控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4293]

当机构没有对数据传输日志执行月度审核时，就必须每周对数据传输日志的随机子集执行随机定时审核。

20.2.9.C.03. 控制：

系统分级：秘密，机密，绝密；遵守级别：应当[CID:4294]

在不能自动确定级别的情况下，应该由人工可信来源评估数据的级别。

20.2.9.C.04. 控制：

系统分级：秘密，机密，绝密；遵守级别：应当[CID:4294]

当通过网关导出其他数据时，机构应至少对所有的数据传输日志进行月度审核。

22.2.10. 防止NZEO数据导出到外部系统

20.2.10.R.01.基本原理

NZEO网络特别敏感，在与其他网络连接时需要采取更加严格的安全措施。

20.2.10.C.01. 控制：

系统分级：所有级别；遵守级别：必须[CID:4301]

为了防止NZEO数据导出到境外系统，机构必须采用专门设计或配置的产品对NZEO数据进行过滤。

20.2.10.C.02. 控制：

系统分级：所有级别；遵守级别：必须[CID:4303]

在允许数据导出之前，各机构必须对保护性标记和关键词进行检查。

20.2.11. 对导出数据进行签名的有关要求

20.2.11.R.01.基本原理

对导出数据进行数字签名，能够证明数据的真实性，提高数据在传输过程中没有被更改的可信度。

20.2.11.C.01. 控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4308]

如果数据要在未受信任的人员或系统可以访问的网络上进行传输，那么可信来源必须对要导出的数据进行签名。

20.2.11.C.02. 控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4309]

在发布导出的数据之前，机构必须确保网关能够验证发布的权限。

20.2.11.C.03. 控制：

系统分级：秘密，机密，绝密；遵守级别：应当[CID:4310]

机构在进行数据签名和签名认证时，应当使用可信度评估水平达到EAL4的产品。

未完待续

在下一期的推送中，我们将继续对GCSB《新西兰信息安全手册》中数据管理的“内容过滤”和“数据库”两个部分进行详细介绍，请持续关注哦~

本文系中国人民大学电子文件管理研究中心学生研究员团队原创成果，转载请注明出处。

本期小编

郝晓雅
天津师范大学管理学院2019级档案学硕士研究生

邵亚伟
扬州大学社会发展学院档案学系2017级本科生

嘎拉森中国人民大学信息资源管理学院2018级档案学硕士研究生

杨文
中国人民大学信息资源管理学院2017级档案学博士研究生