風(fēng)險(xiǎn)管理提供了一種框架，可以幫助你選擇安全控制，從而保護(hù)平臺(tái)即服務(wù)(PaaS)上處于開發(fā)生命周期任何環(huán)節(jié)的信息系統(tǒng)――至于那是工程系統(tǒng)、采購(gòu)系統(tǒng)還是人事系統(tǒng)，并不重要。

[[124025]]

安全控制是在確認(rèn)和評(píng)估風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)到較低水平后實(shí)施的。實(shí)施標(biāo)準(zhǔn)包括：成本效益、技術(shù)效率和法規(guī)遵從。你必須將這些標(biāo)準(zhǔn)列入到安全方案中。

美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)的風(fēng)險(xiǎn)管理框架(RMF)細(xì)分為將安全控制應(yīng)用到美國(guó)聯(lián)邦信息系統(tǒng)的六個(gè)步驟。在簡(jiǎn)單的場(chǎng)景下，每個(gè)步驟從管理信息系統(tǒng)用戶(ISO，又叫系統(tǒng)ISSO)團(tuán)隊(duì)的高級(jí)信息安全系統(tǒng)官(ISSO)和安全控制評(píng)估員(SCA)的視角來加以描述。團(tuán)隊(duì)成員還包括授權(quán)官員，這通常是部門或組織主管。

第1步：對(duì)信息系統(tǒng)進(jìn)行分類

ISO對(duì)其部門的信息系統(tǒng)進(jìn)行分類，并將結(jié)果列入到安全方案中，采用高級(jí)ISSO所提供的格式。安全方案通常涵蓋諸多資產(chǎn)，比如：

•處理、存儲(chǔ)和傳輸?shù)男畔?

•軟硬件接口;

•PaaS開發(fā)人員訪問權(quán)限;

•加密技術(shù);

•數(shù)據(jù)敏感性(機(jī)密或非機(jī)密);

•事件響應(yīng)聯(lián)系點(diǎn)

高級(jí)ISSO確保信息系統(tǒng)在相應(yīng)的辦公室(比如項(xiàng)目管理辦公室)已登記注冊(cè)。

第2步：選擇安全控制

高級(jí)ISSO與ISO一起，將基本的安全控制定制為系統(tǒng)專用控制或者混合控制。該官員確?？刂拼胧┚哂谐杀拘б?、技術(shù)效率以及遵從法規(guī)。

信息系統(tǒng)特有的安全控制包括如下：

•訪問控制策略和規(guī)程;

•職責(zé)分離;

•滲透測(cè)試;

•人員篩選和培訓(xùn);

•安全漏洞掃描;

•拒絕服務(wù)防護(hù);

•配置設(shè)置;

•事件響應(yīng)計(jì)劃;

•應(yīng)急計(jì)劃;

•緊急關(guān)閉;

•保護(hù)靜態(tài)信息;

•信息系統(tǒng)庫(kù)存。#p#

第3步：實(shí)施安全控制

高級(jí)ISSO幫助ISO完成下列工作：

•描述每項(xiàng)安全控制的功能。它們涵蓋輸入、行為和輸出。比如說，安全控制接受用戶名稱作為輸入，檢查每個(gè)用戶的文件權(quán)限級(jí)別，生成日志，記錄下允許和拒絕訪問哪些文件的所有用戶。

•將應(yīng)當(dāng)如何實(shí)施安全控制列入到安全方案中。

第4步：評(píng)估安全控制

高級(jí)ISSO確保SCA：

•準(zhǔn)備制作安全控制問題方面的評(píng)估報(bào)告;

•制定、審閱和批準(zhǔn)評(píng)估安全控制方面的行動(dòng)方案;

•遵守方案中的評(píng)估規(guī)程;

•建議針對(duì)有缺陷的安全控制措施采取的補(bǔ)救行動(dòng);

•根據(jù)報(bào)告中的發(fā)現(xiàn)結(jié)果和建議措施，更新安全方案。

第5步：授權(quán)信息系統(tǒng)

高級(jí)ISSO要準(zhǔn)備好一份操作授權(quán)證明(ATO)，證實(shí)信息系統(tǒng)的安全控制具有技術(shù)效率，并遵從法規(guī)。高級(jí)ISSO將該證明連同認(rèn)可包(accreditation package)一并提交給授權(quán)官員，后者負(fù)責(zé)審批信息系統(tǒng)在約定的時(shí)間表(通常是三年)內(nèi)正常操作。

如果安全控制評(píng)估報(bào)告表明了負(fù)面結(jié)果，高級(jí)ISSO或者授權(quán)官員就會(huì)發(fā)一份臨時(shí)操作授權(quán)證明(IATO)。這份證明讓系統(tǒng)ISSO可以操作信息系統(tǒng)，同時(shí)在比較短的時(shí)間內(nèi)(通常最多6個(gè)月)解決安全控制方面的問題。解決問題后，系統(tǒng)ISSO就更新認(rèn)可授權(quán)包，然后重新提交給高級(jí)ISSO，以便審查。

第6步：監(jiān)控安全控制

必要的時(shí)候，高級(jí)ISSO幫助ISO完成下列工作：

•評(píng)估軟硬件變化給PaaS上的信息系統(tǒng)帶來的安全影響;

•解決因PaaS上的變化而剛發(fā)現(xiàn)的安全控制低效問題;以及

•更新風(fēng)險(xiǎn)管理文檔、安全方案、安全評(píng)估報(bào)告以及行動(dòng)方案。

高級(jí)ISSO在指定的日期向授權(quán)官員提交信息系統(tǒng)的安全狀況，以便后者審查安全控制效果。

如果監(jiān)控報(bào)告在ATO證明下發(fā)的三年內(nèi)顯示了新的低效問題，高級(jí)ISSO或者授權(quán)官員就下發(fā)IATO證明，要求：

•將信息系統(tǒng)返回到PaaS，以解決問題;

•從風(fēng)險(xiǎn)管理框架的第一步或第二步從頭開始;

•將結(jié)果記入到更新后的安全方案中。

結(jié)束語(yǔ)

想解決PaaS上的安全控制問題，風(fēng)險(xiǎn)管理框架是最穩(wěn)妥的辦法。關(guān)鍵是你能獲得一份ATO證明，證實(shí)安全控制具有成本效益、技術(shù)有效，并且遵從法規(guī)。

原文地址：http://www.techrepublic.com/article/resolve-security-control-issues-on-a-paas-with-this-risk-management-framework/