美國商務(wù)部國家標(biāo)準與技術(shù)研究所（NIST）在2014年12月發(fā)布了特別出版物800-53A修訂版4（詳見http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf），概述了高級信息系統(tǒng)安全官（ISSO）和信息系統(tǒng)所有者（ISO）需要做哪些工作，以便遵守美國聯(lián)邦法、行政命令以及安全控制方面的政策、法規(guī)及標(biāo)準。該修訂版為安全控制體系設(shè)立了標(biāo)準。

該體系按安全控制方面的下列18個大類來劃分。

1.  訪問控制
2. 認識和培訓(xùn)
3.  審計和問責(zé)制
4.  安全意識和授權(quán)
5. 配置管理
6.  應(yīng)急規(guī)劃
7. 識別和驗證
8. 事件響應(yīng)
9.  維護
10. 介質(zhì)保護　
11.  物理和環(huán)境保護
12.  規(guī)劃
13. 人員安全
14.  風(fēng)險評估
15.  系統(tǒng)和服務(wù)購置
16.  系統(tǒng)和通訊保護
17.  系統(tǒng)和信息完整性
18.  程序管理

每種安全控制細分為某大類的多個成員。有些成員是政策、手動過程或人為干預(yù)的一部分；而有些類的成員是信息系統(tǒng)服務(wù)器、操作系統(tǒng)或另一個設(shè)備生成的自動化機制。

舉例說明

審計生成（Audit Generation）是審計和問責(zé)制安全控制這一類的成員。應(yīng)該用平臺即服務(wù)（PaaS）來測試審計生成的自動功能。在你開始測試之前，你應(yīng)該使用風(fēng)險管理框架（RMF），這包括六個步驟。

為測試作準備

***步：ISO通常對信息系統(tǒng)進行分類（采購、人事或工程）。適當(dāng)?shù)姆诸惪蓭椭呒塈SSO確定該信息需要什么樣的安全控制。

第二步：高級ISSO為信息系統(tǒng)選擇安全控制大類的合適成員。它們應(yīng)當(dāng)滿足用戶預(yù)期、業(yè)務(wù)需求和監(jiān)管法規(guī)。

第三步：高級ISSO為信息系統(tǒng)實施安全控制。他應(yīng)當(dāng)確保安全控制的設(shè)計和開發(fā)以適當(dāng)?shù)姆绞接浫胛臋n。

開始測試

高級ISSO評估安全控制，包括用PaaS測試審計生成。日志文件就是信息系統(tǒng)生成的審計工具的一個例子。只有信息系統(tǒng)的系統(tǒng)管理員一人才有權(quán)訪問所有日志數(shù)據(jù)。

高級ISSO應(yīng)確保系統(tǒng)管理員開啟了日志文件的詳細記錄功能，日志文件被長期記錄下來。然后，高級ISSO向系統(tǒng)管理員詢問信息系統(tǒng)的審計功能以及為使用系統(tǒng)的用戶賦予的角色。

在一個簡單的場景中，員工可能訪問數(shù)量有限的采用人可讀格式的日志數(shù)據(jù)。他可看到本人創(chuàng)建和修改的文件的時間戳；但無權(quán)查看其他員工創(chuàng)建和修改的文件的時間戳。

在另一個例子中，部門經(jīng)理可訪問額外的日志數(shù)據(jù)。他可以查看向自己匯報的所有員工創(chuàng)建和修改的文件的時間戳，但無權(quán)查看操作系統(tǒng)運行的系統(tǒng)文件的日志數(shù)據(jù)。

日志文件太難讀取時，應(yīng)該可以使用一種計算機程序，將復(fù)雜數(shù)據(jù)轉(zhuǎn)換成人可讀格式，以便ISSO能夠分析。***有權(quán)運行該計算機程序的人是系統(tǒng)管理員。這種類型的應(yīng)用程序應(yīng)該用PaaS來測試，確保不同場景下的預(yù)想結(jié)果與預(yù)期結(jié)果密切相關(guān)。

高級ISSO以及審計人員共同預(yù)想的測試結(jié)果應(yīng)包括如下：

• 并發(fā)訪問同樣文件的用戶有多少；
• 用戶擁有哪種類型的安全證書（比如，他們是不是被授予訪問機密信息或絕密信息的權(quán)限？）
• 用戶訪問了哪些網(wǎng)站，他們訪問網(wǎng)站有多頻繁；
• 他們從網(wǎng)站下載的文件或應(yīng)用程序的名稱（它們與工作有關(guān)嗎？）
• 用戶發(fā)送電子郵件的日期以及收件人的姓名；以及
• 沒有擁有合適安全證書的用戶試圖登錄了多少次。

監(jiān)控測試結(jié)果

高級ISSO完成安全控制的測試后，他應(yīng)該確保積極的測試結(jié)果已列入說明文檔。高級ISSO進入到RMF的第五步時，需要這種文檔，以證明實施授權(quán)機制，才能確保信息系統(tǒng)正常運行。如果測試結(jié)果不好，ISSO或上司就應(yīng)該發(fā)布臨時操作授權(quán)（Interim Authorization To Operate）。

就已獲得操作授權(quán)的信息系統(tǒng)而言，ISSO或ISO應(yīng)該進入到RMF的第六步，監(jiān)控安全控制。ISSO決定是不是需要換成更新穎、更高效、更省錢的安全控制。

結(jié)束語

你需要測試安全控制的方方面面時，最穩(wěn)妥的選擇就是使用PaaS。切記確保信息系統(tǒng)獲得操作授權(quán)后，不斷監(jiān)控測試結(jié)果。

 英文原文鏈接：http://www.techrepublic.com/article/pro-tip-use-a-paas-as-a-testbed-for-security-controls/