如何使用PaaS作为安全控制的试验平台

美国商务部国家标准与技术研究所(NIST)在2014年12月发布了特别出版物800-53A修订版4,概述了高级信息系统安全官(ISSO)和信息系统所有者(ISO)需要做哪些工作,以便遵守美国联邦法、行政命令以及安全控制方面的政策、法规及标准。该修订版为安全控制体系设立了标准。

该体系按安全控制方面的下列18个大类来划分:

访问控制

认识和培训

审计和问责制

安全意识和授权

配置管理

应急规划

识别和验证

事件响应

维护

介质保护

物理和环境保护

规划

人员安全

风险评估

系统和服务购置

系统和通讯保护

系统和信息完整性

程序管理

每种安全控制细分为某大类的多个成员。有些成员是政策、手动过程或人为干预的一部分;而有些类的成员是信息系统服务器、操作系统或另一个设备生成的自动化机制。

举例说明

审计生成(Audit Generation)是审计和问责制安全控制这一类的成员。应该用平台即服务(PaaS)来测试审计生成的自动功能。在你开始测试之前,你应该使用风险管理框架(RMF),这包括六个步骤。

为测试作准备

第一步:ISO通常对信息系统进行分类(采购、人事或工程)。适当的分类可帮助高级ISSO确定该信息需要什么样的安全控制。

第二步:高级ISSO为信息系统选择安全控制大类的合适成员。它们应当满足用户预期、业务需求和监管法规。

第三步:高级ISSO为信息系统实施安全控制。他应当确保安全控制的设计和开发以适当的方式记入文档。

开始测试

高级ISSO评估安全控制,包括用PaaS测试审计生成。日志文件就是信息系统生成的审计工具的一个例子。只有信息系统的系统管理员一人才有权访问所有日志数据。

高级ISSO应确保系统管理员开启了日志文件的详细记录功能,日志文件被长期记录下来。然后,高级ISSO向系统管理员询问信息系统的审计功能以及为使用系统的用户赋予的角色。

在一个简单的场景中,员工可能访问数量有限的采用人可读格式的日志数据。他可看到本人创建和修改的文件的时间戳;但无权查看其他员工创建和修改的文件的时间戳。

在另一个例子中,部门经理可访问额外的日志数据。他可以查看向自己汇报的所有员工创建和修改的文件的时间戳,但无权查看操作系统运行的系统文件的日志数据。

日志文件太难读取时,应该可以使用一种计算机程序,将复杂数据转换成人可读格式,以便ISSO能够分析。唯一有权运行该计算机程序的人是系统管理员。这种类型的应用程序应该用PaaS来测试,确保不同场景下的预想结果与预期结果密切相关。

高级ISSO以及审计人员共同预想的测试结果应包括如下:

并发访问同样文件的用户有多少;

用户拥有哪种类型的安全证书(比如,他们是不是被授予访问机密信息或绝密信息的权限?)

用户访问了哪些网站,他们访问网站有多频繁;

他们从网站下载的文件或应用程序的名称(它们与工作有关吗?)

用户发送电子邮件的日期以及收件人的姓名;以及

没有拥有合适安全证书的用户试图登录了多少次。

监控测试结果

高级ISSO完成安全控制的测试后,他应该确保积极的测试结果已列入说明文档。高级ISSO进入到RMF的第五步时,需要这种文档,以证明实施授权机制,才能确保信息系统正常运行。如果测试结果不好,ISSO或上司就应该发布临时操作授权(Interim Authorization To Operate)。

就已获得操作授权的信息系统而言,ISSO或ISO应该进入到RMF的第六步,监控安全控制。ISSO决定是不是需要换成更新颖、更高效、更省钱的安全控制。

结束语

你需要测试安全控制的方方面面时,最稳妥的选择就是使用PaaS。切记确保信息系统获得操作授权后,不断监控测试结果。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2015-02-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

钓鱼骗局:通过伪造App Store支付链接误导用户

网络犯罪目前又将目标指向苹果用户,他们通过更加成熟的钓鱼手法,引导用户点击一个支付退款链接,由此获取用户个人敏感数据。 钓鱼的前期-引导用户进入“陷阱” 这种新...

2248
来自专栏字根中文校对软件

Apache CloudStack 4.5.2 新特性一览

     Apache CloudStack 4.5.2 新特性一览 ? CloudStack 4.5.2 相比前一个版本修复了大约 200 个Bug。   ...

3076
来自专栏FreeBuf

从一次攻防平台搭建浅谈企业网络安全建设

本篇文章涉及到的知识点包括:IDS/IPS/防火墙的区别与部署位置;镜像端口、堡垒机的位置和注意细节;ACL访问控制列表和端口安全、VLAN安全,以及靶场以及日...

6403
来自专栏黑白安全

查询使用CDN的网站的真实IP

1:先查一下分站的IP,许多状况是主站运用了 CDN 而分站没有运用。 相似这么www.xxx.com 运用了CDN ,那么 mail.code521.com ...

2592
来自专栏林德熙的博客

win10 uwp ping

有时需要进行 ping ,但是ms没有给一个类可以进行 ping 本文:如何使用 ping

1081
来自专栏腾讯大讲堂的专栏

【扩展阅读】流氓软件你造吗?

“流氓软件”是介于病毒和正规软件之间的软件,通俗地讲是指在使用电脑上网时,不断跳出的窗口让自己的鼠标无所适从;有时电脑浏览器被莫名修改增加了许多工作条,当用户打...

2198
来自专栏java一日一条

如何给你的女神修Mac电脑

话不多说,直接进入正题,如果你或者你的女神使用 Mac 遇到以下这些问题的话,你可以来看看怎么解决。

1182
来自专栏FreeBuf

Joomla高危漏洞扫描事件分析

1.摘要 12月14日,Joomla官方网站紧急发布了一条由于安全漏洞引发的版本更新(3.4.6),根据安全公司sucuri对外发布的信息,此事扫描时间是利用了...

2338
来自专栏源哥的专栏

基于linux的嵌入IPv4协议栈的内容过滤防火墙系统(2)-概要引言

概要:在Linux系统下,具有图形界面的防火墙系统很少,而包含内容过滤的防火墙系统更可以说是少之又少,本程序不仅具有防火墙功能,而且可以对rar、zip压缩格式...

673
来自专栏FreeBuf

揭秘:安卓木马是如何盗取用户手机银行的

手机银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是,随着手机银行涉及的金钱数额越来越大,攻击者...

4879

扫码关注云+社区

领取腾讯云代金券