教你如何使用PaaS作为安全控制的测试平台.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf),概述了高级信息系统安全官(ISSOs)和信息系统所有者(ISOs)为遵守美国联邦法律、行政政策、法规以及指挥和安全控制标准而需要做的事情。该修订版为安全控制系统设定了标准。系统按照以下18类安全控制进行划分。访问控制意识和培训审计和问责制安全意识和授权配置管理应急计划识别和验证事件响应维护媒体保护 物理和环境保护计划人员安全风险评估系统和服务采集系统和通信保护系统和信息完整性每个安全控件被细分为一个大类的多个成员。一些成员是策略、手动过程或人为干预的一部分;而某些类的成员是由信息系统服务器、操作系统或其他设备生成的自动化机制。例如,AuditGeneration是AuditandAccountabilitySecurityControls类别的成员。应使用平台即服务(PaaS)测试审计生成的自动化。在开始测试之前,您应该使用风险管理框架(RMF),它由六个步骤组成。准备测试第一步:ISO通常对信息系统(采购、人员或工程)进行分类。适当的分类有助于高级ISSO确定该信息需要哪些安全控制。第2步:高级ISSO从广泛的信息系统安全控制类别中选择合适的成员。它们应该满足用户期望、业务需求和法规要求。第3步:高级ISSO实施信息系统的安全控制。他应确保安全控制的设计和开发得到适当记录。开始测试高级ISSO评估安全控制,包括使用PaaS测试审计生成。日志文件是信息系统生成的审计工具的示例。只有信息系统的系统管理员才有权访问所有日志数据。高级ISSO应确保系统管理员已启用日志文件的详细记录,并且日志文件会长期记录。高级ISSO然后向系统管理员询问信息系统的审计能力以及分配给使用该系统的用户的角色。在一个简单的场景中,员工可以访问有限数量的人类可读格式的日志数据。他可以看到他创建和修改的文件的时间戳;但他无权查看其他员工创建和修改的文件的时间戳。在另一个例子中,部门经理可以访问额外的日志数据。他可以查看所有向他报告的员工创建和修改的文件的时间戳,但他无权查看操作系统运行的系统文件的日志数据。当日志文件太难阅读时,应该可以使用将复杂数据转换为人类可读格式的计算机程序,以便ISSO可以对其进行分析。***有权运行计算机程序的人是系统管理员。此类应用程序应该使用PaaS进行测试,以确保在不同场景下的预想结果与预期结果紧密相关。高级ISSO和审核员期望的测试结果应包括以下内容:有多少用户同时访问同一文件;用户拥有什么类型的安全凭证(例如,他们是否有权访问机密或绝密信息?)用户访问了哪些网站以及访问这些网站的频率;他们从网站下载的文件或应用程序的名称(是否与工作相关?)用户发送电子邮件的日期和收件人的姓名;并且没有尝试登录的用户的适当安全凭证。监控测试结果高级ISSO完成安全控制测试后,他应确保记录正面测试结果。AdvancedISSOs在进入RMF的第五步时需要这种文档来证明授权机制的实施保证了信息系统的正常运行。如果测试结果不好,ISSO或主管应签发临时操作授权(InterimAuthorizationToOperate)。对于已获授权运行的信息系统,ISSO或ISO应继续执行RMF的第六步,即监控安全控制。ISSO决定是否有必要更换更新、更有效和更便宜的安全控制。结论当您需要测试安全控制的各个方面时,最安全的选择是使用PaaS。请记住在确保信息系统被授权运行后持续监控测试结果。英文原文链接:http://www.techrepublic.com/article/pro-tip-use-a-paas-as-a-testbed-for-security-controls/
