借助风险管理框架解决PaaS上的安全控制问题

风险管理提供了一种框架，可以帮助你选择安全控制，从而保护平台即服务(PaaS)上处于开发生命周期任何环节的信息系统――至于那是工程系统、采购系统还是人事系统，并不重要。

[[124025]]

安全控制是在确认和评估风险，将风险到较低水平后实施的。实施标准包括：成本效益、技术效率和法规遵从。你必须将这些标准列入到安全方案中。

美国国家标准和技术研究所(NIST)的风险管理框架(RMF)细分为将安全控制应用到美国联邦信息系统的六个步骤。在简单的场景下，每个步骤从管理信息系统用户(ISO，又叫系统ISSO)团队的高级信息安全系统官(ISSO)和安全控制评估员(SCA)的视角来加以描述。团队成员还包括授权官员，这通常是部门或组织主管。

第1步：对信息系统进行分类

ISO对其部门的信息系统进行分类，并将结果列入到安全方案中，采用高级ISSO所提供的格式。安全方案通常涵盖诸多资产，比如：

•处理、存储和传输的信息;

•软硬件接口;

•PaaS开发人员访问权限;

•加密技术;

•数据敏感性(机密或非机密);

•事件响应联系点

高级ISSO确保信息系统在相应的办公室(比如项目管理办公室)已登记注册。

第2步：选择安全控制

高级ISSO与ISO一起，将基本的安全控制定制为系统专用控制或者混合控制。该官员确保控制措施具有成本效益、技术效率以及遵从法规。

信息系统特有的安全控制包括如下：

•访问控制策略和规程;

•职责分离;

•渗透测试;

•人员筛选和培训;

•安全漏洞扫描;

•拒绝服务防护;

•配置设置;

•事件响应计划;

•应急计划;

•紧急关闭;

•保护静态信息;

•信息系统库存。#p#

第3步：实施安全控制

高级ISSO帮助ISO完成下列工作：

•描述每项安全控制的功能。它们涵盖输入、行为和输出。比如说，安全控制接受用户名称作为输入，检查每个用户的文件权限级别，生成日志，记录下允许和拒绝访问哪些文件的所有用户。

•将应当如何实施安全控制列入到安全方案中。

第4步：评估安全控制

高级ISSO确保SCA：

•准备制作安全控制问题方面的评估报告;

•制定、审阅和批准评估安全控制方面的行动方案;

•遵守方案中的评估规程;

•建议针对有缺陷的安全控制措施采取的补救行动;

•根据报告中的发现结果和建议措施，更新安全方案。

第5步：授权信息系统

高级ISSO要准备好一份操作授权证明(ATO)，证实信息系统的安全控制具有技术效率，并遵从法规。高级ISSO将该证明连同认可包(accreditation package)一并提交给授权官员，后者负责审批信息系统在约定的时间表(通常是三年)内正常操作。

如果安全控制评估报告表明了负面结果，高级ISSO或者授权官员就会发一份临时操作授权证明(IATO)。这份证明让系统ISSO可以操作信息系统，同时在比较短的时间内(通常最多6个月)解决安全控制方面的问题。解决问题后，系统ISSO就更新认可授权包，然后重新提交给高级ISSO，以便审查。

第6步：监控安全控制

必要的时候，高级ISSO帮助ISO完成下列工作：

•评估软硬件变化给PaaS上的信息系统带来的安全影响;

•解决因PaaS上的变化而刚发现的安全控制低效问题;以及

•更新风险管理文档、安全方案、安全评估报告以及行动方案。

高级ISSO在指定的日期向授权官员提交信息系统的安全状况，以便后者审查安全控制效果。

如果监控报告在ATO证明下发的三年内显示了新的低效问题，高级ISSO或者授权官员就下发IATO证明，要求：

•将信息系统返回到PaaS，以解决问题;

•从风险管理框架的第一步或第二步从头开始;

•将结果记入到更新后的安全方案中。

结束语

想解决PaaS上的安全控制问题，风险管理框架是最稳妥的办法。关键是你能获得一份ATO证明，证实安全控制具有成本效益、技术有效，并且遵从法规。

原文地址：http://www.techrepublic.com/article/resolve-security-control-issues-on-a-paas-with-this-risk-management-framework/