教你如何使用PaaS作为安全控制的试验平台
创始人
2025-01-10 08:10:51
0

美国商务部国家标准与技术研究所(NIST)在2014年12月发布了特别出版物800-53A修订版4(详见http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf),概述了高级信息系统安全官(ISSO)和信息系统所有者(ISO)需要做哪些工作,以便遵守美国联邦法、行政命令以及安全控制方面的政策、法规及标准。该修订版为安全控制体系设立了标准。

该体系按安全控制方面的下列18个大类来划分。

  1.  访问控制
  2. 认识和培训
  3.  审计和问责制
  4.  安全意识和授权
  5. 配置管理
  6.  应急规划
  7. 识别和验证
  8. 事件响应
  9.  维护
  10. 介质保护 
  11.  物理和环境保护
  12.  规划
  13. 人员安全
  14.  风险评估
  15.  系统和服务购置
  16.  系统和通讯保护
  17.  系统和信息完整性
  18.  程序管理

每种安全控制细分为某大类的多个成员。有些成员是政策、手动过程或人为干预的一部分;而有些类的成员是信息系统服务器、操作系统或另一个设备生成的自动化机制。

举例说明

审计生成(Audit Generation)是审计和问责制安全控制这一类的成员。应该用平台即服务(PaaS)来测试审计生成的自动功能。在你开始测试之前,你应该使用风险管理框架(RMF),这包括六个步骤。

为测试作准备

***步:ISO通常对信息系统进行分类(采购、人事或工程)。适当的分类可帮助高级ISSO确定该信息需要什么样的安全控制。

第二步:高级ISSO为信息系统选择安全控制大类的合适成员。它们应当满足用户预期、业务需求和监管法规。

第三步:高级ISSO为信息系统实施安全控制。他应当确保安全控制的设计和开发以适当的方式记入文档。

开始测试

高级ISSO评估安全控制,包括用PaaS测试审计生成。日志文件就是信息系统生成的审计工具的一个例子。只有信息系统的系统管理员一人才有权访问所有日志数据。

高级ISSO应确保系统管理员开启了日志文件的详细记录功能,日志文件被长期记录下来。然后,高级ISSO向系统管理员询问信息系统的审计功能以及为使用系统的用户赋予的角色。

在一个简单的场景中,员工可能访问数量有限的采用人可读格式的日志数据。他可看到本人创建和修改的文件的时间戳;但无权查看其他员工创建和修改的文件的时间戳。

在另一个例子中,部门经理可访问额外的日志数据。他可以查看向自己汇报的所有员工创建和修改的文件的时间戳,但无权查看操作系统运行的系统文件的日志数据。

日志文件太难读取时,应该可以使用一种计算机程序,将复杂数据转换成人可读格式,以便ISSO能够分析。***有权运行该计算机程序的人是系统管理员。这种类型的应用程序应该用PaaS来测试,确保不同场景下的预想结果与预期结果密切相关。

高级ISSO以及审计人员共同预想的测试结果应包括如下:

  • 并发访问同样文件的用户有多少;
  • 用户拥有哪种类型的安全证书(比如,他们是不是被授予访问机密信息或绝密信息的权限?)
  • 用户访问了哪些网站,他们访问网站有多频繁;
  • 他们从网站下载的文件或应用程序的名称(它们与工作有关吗?)
  • 用户发送电子邮件的日期以及收件人的姓名;以及
  • 没有拥有合适安全证书的用户试图登录了多少次。

监控测试结果

高级ISSO完成安全控制的测试后,他应该确保积极的测试结果已列入说明文档。高级ISSO进入到RMF的第五步时,需要这种文档,以证明实施授权机制,才能确保信息系统正常运行。如果测试结果不好,ISSO或上司就应该发布临时操作授权(Interim Authorization To Operate)。

就已获得操作授权的信息系统而言,ISSO或ISO应该进入到RMF的第六步,监控安全控制。ISSO决定是不是需要换成更新颖、更高效、更省钱的安全控制。

结束语

你需要测试安全控制的方方面面时,最稳妥的选择就是使用PaaS。切记确保信息系统获得操作授权后,不断监控测试结果。

 英文原文链接:http://www.techrepublic.com/article/pro-tip-use-a-paas-as-a-testbed-for-security-controls/

相关内容

热门资讯

PHP新手之PHP入门 PHP是一种易于学习和使用的服务器端脚本语言。只需要很少的编程知识你就能使用PHP建立一个真正交互的...
网络中立的未来 网络中立性是什... 《牛津词典》中对“网络中立”的解释是“电信运营商应秉持的一种原则,即不考虑来源地提供所有内容和应用的...
各种千兆交换机的数据接口类型详... 千兆交换机有很多值得学习的地方,这里我们主要介绍各种千兆交换机的数据接口类型,作为局域网的主要连接设...
粉嫩如何诠释霸道 东芝M805... “霸道粉”是个什么玩意东芝M805拿过来的时候,笔者扑哧笑了,不是笑这款笔记本,而是笑这款产品的颜色...
什么是大数据安全 什么是大数据... 在《为什么需要大数据安全分析》一文中,我们已经阐述了一个重要观点,即:安全要素信息呈现出大数据的特征...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
全面诠释网络负载均衡 负载均衡的出现大大缓解了服务器的压力,更是有效的利用了资源,提高了效率。那么我们现在来说一下网络负载...
如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
30分钟搞定iOS自定义相机 最近公司的项目中用到了相机,由于不用系统的相机,UI给的相机切图,必须自定义才可以。就花时间简单研究...
Intel将Moblin社区控... 本周二,非营利机构Linux基金会宣布,他们将担负起Moblin社区的管理工作,而这之前,Mobli...