GCSB《新西兰信息安全手册》之“数据管理”介绍（下）

2020-08-01

上期回顾

在上一期的推送中我们对新西兰政府通信安全局（Government Communications Security Bureau, GCSB）于2020年3月更新的《新西兰信息安全手册》（New Zealand Information Security Manual, NZISM）中第20节“数据管理”中的前两部分“数据传输”及“数据导入和导出”进行了介绍。戳链接快速回顾→→GCSB《新西兰信息安全手册》之“数据管理”介绍（上）。

本期我们将继续对GCSB《新西兰信息安全手册》中第20节“数据管理”中的后两部分”内容过滤”及“数据库”两个部分进行详细介绍。

《手册》说明

《手册》结构为：

目标：实施本节内控件时的预期结果
背景：范围、适用性和任何例外情况
引用：可以帮助解释或实施控件的外部信息源
基本原理和控制

基本原理：实施控制和遵守级别要求之原因

控制：降低风险的措施以及相关的遵守级别要求。其中控件标识（CID）对应编号在未来版本更新中将保持不变，仅做相应的增删操作。

保密分级包括：

所有级别（All Classifications）
秘密（Confidential）
机密（Secret）
绝密（Top Secret）

遵守级别包括：

必须（Must）
应当（Should）

20.3 内容过滤

目标

20.3.1. 依据机构所制定的安全策略检查并控制网关内的数据流。防止未经授权或恶意内容跨越安全域边界。

背景

范围

20.3.2. 本节包括在双向或单向网关内使用内容过滤以保护安全域的相关信息。

20.3.3. 内容过滤可降低未经授权或恶意内容跨越安全域边界的风险。

基本原理与控制

20.3.4. 按文件类型限制传输

20.3.4.R.01.基本原理

机构可保证数据传输过滤程度的高低影响安全风险级别，包括：

●通过检查文件内容来确认文件类型；

●确认没有恶意内容；

●确认没有不当内容；

●确认内容分类；

●适当处理压缩文件。

减少被允许文件类型的数量将减少攻击者可利用潜在漏洞的数量。

20.3.4.C.01.控制:

系统分级：秘密，机密，绝密；遵守级别：必须 [CID：4321]

机构必须根据业务需求及安全风险评估的结果严格定义及限制可传输文件类型。

20.3.4.C.02.控制:

系统分级：所有级别；遵守级别：应当[CID:4322]

机构应当根据业务需求及安全风险评估的结果严格定义及限制可传输文件类型。

20.3.5. 阻断活动内容

20.3.5.R.01.基本原理

许多可执行文件如果由系统用户激活则可能带来风险。许多静态文件类型规范允许文件内嵌活动内容从而增加攻击面。

20.3.5.C.01.控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4325]

机构必须阻止所有可执行文件及活动内容进入安全域。

20.3.5.C.02.控制：

系统分级：所有级别；遵守级别：应当[CID:4326]

机构应当阻止所有可执行文件和活动内容通过网关传输。

20.3.6. 阻断可疑数据

20.3.6.R.01.基本原理

定义可疑内容取决于系统风险状况和被判定为正常流量的内容。下表列出了一些可用于识别可疑数据的过滤技术。

技术	目的
防病毒扫描	扫描数据以查找病毒和其他恶意代码
数据格式检查	检查数据以确保其符合预期/允许的格式
数据范围检查	检查每个字段中的数据，以确保其在预期/允许的范围内
数据类型检查	检查每个文件标头以确定文件类型
文件扩展名检查	检查文件扩展名以确保其通过许可
关键词搜索	在数据中检索可能包含机密或不适当内容的关键字或“粗口”
元数据检查	检查文件中应在发布之前删除的元数据。
保护标记检查	验证数据的保护性标记，以确保其符合许可的分级和认可
人工检查	手动检查自动化系统可能丢失的可疑内容数据，这对于传输图像文件，多媒体或内容丰富的文件至关重要

20.3.5.C.02.控制：

系统分级：所有级别；遵守级别：必须[CID:4329]

机构必须阻断、隔离或丢弃由数据过滤识别为可疑的任何数据，直到由内容生成者以外的受信任来源审核并批准后进行传输。

20.3.7. 内容验证

20.3.7.R.01.基本原理

内容验证旨在确保接收内容符合已定义被认可的标准。内容验证是识别格式错误内容的有效方法，从而允许机构阻断潜在恶意内容；根据白名单原则进行，将阻断所有除明确允许之外的内容，示例包括：

●确保数字字段仅包含数字；

●其他字段使用定义的字符集运行；

●确保内容在可接受的长度范围内；

●确保将XML文档与严格定义的XML模式进行对比。

20.3.7.C.01.控制:

系统分级：秘密，机密，绝密；遵守级别：必须 [CID:4332]

机构必须对通过内容过滤的所有数据执行验证，并阻止未通过验证的内容。

20.3.7.C.02.控制:

系统分级：所有级别；遵守级别：应当[CID:4333]

机构应当对通过内容过滤的所有数据执行验证，并阻止未通过验证的内容。

20.3.8. 内容转换及变换

20.3.8.R.01.基本原理

内容转换、文件转换或变换是通过将表示格式与数据分离以使潜在恶意内容无害的一种有效方式。通过将文件转换为另一种格式，漏洞利用、活动内容和/或有效负载通常可以被删除或彻底损坏。

可减轻内容利用威胁而进行文件转换和内容转换的示例包括：

●将Microsoft Word文档转换为PDF文件；

●将Microsoft PowerPoint演示文稿转换为一系列JPEG图像；

●将Microsoft Excel电子表格转换为逗号分隔值（CSV）文件；

●将PDF文档转换为纯文本文件。

某些文件类型（例如XML）无法通过此方式降低恶意内容风险，所以转换过程同时应用于其他文件夹中包含的任何附件或文件，如归档文件或嵌入XML的编码文件。

20.3.8.C.01.控制:

系统分级：所有级别；遵守级别：应当[CID:4336]

机构应当针对通过安全域边界的所有入口或出口数据执行内容转换、文件转换或二者兼有。

20.3.9. 内容清理

20.3.9.R.01.基本原理

清理（消毒）是指通过删除或修改活动内容，同时尽可能保持原始内容的完整性，从而使潜在恶意内容能够安全使用的过程。尽管多种技术可以组合使用，但就内容过滤而言，清理并不像转换那样安全；包括元数据在内的其他应用程序和协议数据也应在可能的情况下进行检查和过滤。减轻内容利用威胁的清理（消毒）措施包括：

●删除Microsoft Office文档中的文档属性信息；

●从PDF文件中删除或重命名JavaScript部分；

●从JPEG文件中删除元数据（例如EXIF信息）。

20.3.9.C.01.控制:

系统分级：所有级别；遵守级别：应当[CID:4339]

如果内容转换或文件转换不适用于传输安全域边界的数据，机构应当对适当的文件类型执行内容和文件清理。

20.3.10. 防病毒扫描

20.3.10.R.01.基本原理

防病毒扫描用于防止、检测和删除包括计算机病毒、蠕虫、特洛伊木马、间谍软件和广告软件在内的恶意软件。

20.3.10.C.01.控制:

系统分级：所有级别；遵守级别：应当 [CID:4348]

机构应当使用多个不同的及最新的扫描引擎和签名对所有内容执行防病毒扫描。

20.3.11. 存档及容器文件

20.3.11.R.01.基本原理

如果内容过滤不能正确处理文件类型和嵌入内容，则可以使用存档文件和容器文件绕过内容过滤过程。内容过滤过程应识别存档文件和容器文件，以确保其中包含的嵌入文件与未存档文件遵循相同的内容过滤过程。

20.3.11.R.02.基本原理

存档文件的构建方式可能会由于处理器、内存或磁盘空间耗尽而造成拒绝服务的风险。为了限制发生此类攻击风险，内容过滤器可以在提取这些文件时指定资源限制/配额。如果超出限制则终止检查，阻断内容并向安全管理员告警。

20.3.11.C.01.控制:

系统分级：所有级别；遵守级别：应当[CID:4401]

机构应当从存档文件和容器文件中提取内容，并对提取的文件进行内容过滤测试。

20.3.11.C.02.控制:

系统分级：所有级别；遵守级别：应当[CID:4402]

机构应当对存档文件和容器文件进行受控检查，以确保内容过滤的性能和可用性不会受到不利影响。

20.3.11.C.03.控制:

系统分级：所有级别；遵守级别：应当[CID:4403]

机构应当阻断无法检查的文件并告警。

20.3.12. 允许内容白名单

20.3.12.R.01.基本原理

创建和强制执行允许内容/文件的白名单是一种强大的内容过滤方法。仅许可满足业务需求的内容可以减少系统的攻击面。例如，电子邮件内容过滤可能仅允许Microsoft Office文档和PDF文件。

20.3.12.C.01.控制：

系统分级：秘密，机密，绝密；遵守级别：必须 [CID:4406]

机构必须根据业务需求和安全风险评估的结果创建并强制执行允许内容类型的白名单。

20.3.12.C.02.控制：

系统分级：所有级别；遵守级别：应当[CID:4407]

机构应当根据业务需求和安全风险评估的结果创建并强制执行允许内容类型的白名单。

20.3.13. 数据完整性

20.3.13.R.01.基本原理

确保通过安全域的内容真实性和完整性是确保其可信赖性的关键。已授权从安全域发布的内容不可修改或包含未经授权发布的其他数据，如添加或替换敏感信息。

20.3.13.R.02.基本原理

如果通过过滤的内容包含某种形式的完整性保护，如数字签名，则内容过滤应在允许内容通过之前验证其完整性；如果内容未通过完整性检查，则可能已被欺骗或篡改，应删除或隔离以备进一步检查。数据完整性检查的示例包括：

●电子邮件服务器或内容过滤，用于验证受DKIM保护的电子邮件；

●验证SOAP请求中包含的XML数字签名的Web服务；

●根据单独提供的哈希值验证文件；

●检查要从安全域导出的数据是否具有发布机构的数字签名。

20.3.13.C.01.控制：

系统分级：秘密，机密，绝密；遵守级别：必须[CID:4411]

如数据有签名，则机构必须确保在导出数据之前验证签名。

20.3.13.C.02.控制：

系统分级：所有级别；遵守级别：应当[CID:4412]

机构应当在适用的情况下验证内容的完整性，并在验证失败时阻止内容。

20.3.14. 加密数据

20.3.14.R.01.基本原理

如果不能对未加密内容执行相同的检查，可以使用加密绕过内容过滤。机构需要考虑解密内容的需要，具体取决于：

● 与之通信的安全域；

●是否强制执行须知原则；

●端到端加密要求；

●任何隐私和政策要求。

20.3.14.R.02.基本原理

选择不解密内容会带来加密的恶意软件通信和数据在安全域之间传输的风险。此外，加密可能隐藏允许将加密级别较高的信息转移到加密级别较低的安全域的情况，这可能导致数据泄漏。

20.3.14.R.03.基本原理

一些系统允许在之后阶段通过外部/边界/外围控件解密加密的内容，在这种情况下，解密后的内容应当遵行所有适用的内容过滤规则控制。

20.3.14.C.01.控制:

系统分级：所有级别；遵守级别：应当[CID:4417]

机构应当解密并检查所有加密的内容、流量和数据以允许内容过滤。

20.3.15. 监控数据导入及导出

20.3.15.R.01.基本原理

为了确保系统及数据的持续保密性和完整性，应当监控及审核数据的导入导出过程。

20.3.15.C.01.控制:

系统分级：所有级别；遵守级别：必须[CID:4420]

机构必须使用保护性标记检查来限制从每个安全域（包括通过网关）的数据导出。

20.3.15.C.02.控制:

系统分级：秘密，机密，绝密；遵守级别：应当 [CID:4421]

当向每个安全域（包括通过网关）导入数据时，机构必须至少每月审核一次完整的数据传输日志。

20.3.16. 异常处理

20.3.16.R.01.基本原理

根据为内容过滤建立的标准，可能存在正当原因来传输被识别为可疑的数据。需要建立责任制及可审核机制来处理此类异常。

20.3.16.C.01.控制:

系统分级：所有级别；遵守级别：应当[CID:4424]

机构应当创建异常处理流程，以处理可能具有有效传输要求的阻止或隔离文件类型。

20.4 数据库

目标

20.4.1. 数据库内容受保护，不允许无关人员了解其内容。

背景

范围

20.4.2. 本节介绍与数据库和数据库接口（例如搜索引擎）有关的信息。

基本原理与控制

20.4.3. 数据标签

20.4.3.R.01. 基本原理

根据结构和使用用途，保护性标记可以应用于记录、数据表表或整个数据库。查询结果通常需要保护性标记，以反映所检索信息的汇总。

20.4.3.C.01.控制:

系统分级：绝密；遵守级别：必须[CID:4434]

机构必须确保数据库中存储的所有分级信息均关联适当的保护性标记，该信息：

●可以导出到其他系统；

●包含不同分级或不同处理要求。

20.4.3.C.02.控制:

系统分级：绝密；遵守级别：必须[CID:4435]

机构必须确保保护性标记的应用粒度足以清晰定义从数据库检索或导出的任何分级信息的处理要求。

20.4.3.C.03.控制:

系统分级：所有级别；遵守级别：应当[CID:4436]

机构必须确保数据库中存储的所有分级信息均关联适当的保护性标记，该信息：

●可以导出到其他系统；

●包含不同分级或不同处理要求。

20.4.3.C.04.控制:

系统分级：所有级别；遵守级别：应当[CID:4437]

机构应当确保保护性标记的应用粒度足以清晰定义从数据库检索或导出的任何分级信息的处理要求。

20.4.4. 数据库文件

20.4.4.R.01.基本原理

即使数据库可对存储数据进行访问控制，数据库文件本身也必须受到保护。

20.4.4.C.01.控制:

系统分级：绝密；遵守级别：必须 [CID:4440]

机构必须保护数据库文件，使其不受绕过正常访问控制的访问。

20.4.4.C.02.控制:

系统分级：所有级别；遵守级别：应当[CID:4441]

机构应当保护数据库文件，使其不受绕过正常访问控制的访问。

20.4.5. 责任制

20.4.5.R.01.基本原理

如果未记录和审核系统用户与数据库的交互，机构将无法适当地调查任何数据库内容的滥用或损坏。

20.4.5.C.01.控制:

系统分级：绝密；遵守级别：必须[CID:4444]

机构必须启用日志记录和审核系统用户的操作。

20.4.5.C.02.控制:

系统分级：所有级别；遵守级别：应当[CID:4445]

机构应当确保数据库提供审核系统用户操作行为的功能。

20.4.6. 搜索引擎

20.4.6.R.01.基本原理

即使搜索引擎限制浏览系统用户无安全权限访问的机密信息，关联元数据也可以包含高于系统用户安全权限的信息。此时限制对该元数据的访问或清除该元数据，可有效控制系统用户无法查看信息的泄露。

20.4.6.C.01.控制:

系统分级：所有级别；遵守级别：必须[CID:4448]

如果无法对数据库的查询结果进行适当过滤，则机构必须确保适当地清除所有查询结果，以满足系统用户最低安全要求。

20.4.6.C.02.控制:

系统分级：所有级别；遵守级别：应当[CID:4449]

机构应当确保只有拥有足够内容访问安全权限的系统用户才可浏览或查询搜索引擎查询结果列表中的相关元数据。

本文系中国人民大学电子文件管理研究中心学生研究员团队原创成果，转载请注明出处。

本期小编

郝晓雅

天津师范大学管理学院2019级档案学硕士研究生

邵亚伟

扬州大学社会发展学院档案学系2017级本科生

嘎拉森

中国人民大学信息资源管理学院2018级档案学硕士研究生

杨文

中国人民大学信息资源管理学院2017级档案学博士研究生