美國(guó)商務(wù)部國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）在2014年12月發(fā)布了特別出版物800-53A修訂版4（詳見(jiàn)http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf），概述了高級(jí)信息系統(tǒng)安全官（ISSO）和信息系統(tǒng)所有者（ISO）需要做哪些工作，以便遵守美國(guó)聯(lián)邦法、行政命令以及安全控制方面的政策、法規(guī)及標(biāo)準(zhǔn)。該修訂版為安全控制體系設(shè)立了標(biāo)準(zhǔn)。

該體系按安全控制方面的下列18個(gè)大類來(lái)劃分。

1.  訪問(wèn)控制
2. 認(rèn)識(shí)和培訓(xùn)
3.  審計(jì)和問(wèn)責(zé)制
4.  安全意識(shí)和授權(quán)
5. 配置管理
6.  應(yīng)急規(guī)劃
7. 識(shí)別和驗(yàn)證
8. 事件響應(yīng)
9.  維護(hù)
10. 介質(zhì)保護(hù)　
11.  物理和環(huán)境保護(hù)
12.  規(guī)劃
13. 人員安全
14.  風(fēng)險(xiǎn)評(píng)估
15.  系統(tǒng)和服務(wù)購(gòu)置
16.  系統(tǒng)和通訊保護(hù)
17.  系統(tǒng)和信息完整性
18.  程序管理

每種安全控制細(xì)分為某大類的多個(gè)成員。有些成員是政策、手動(dòng)過(guò)程或人為干預(yù)的一部分；而有些類的成員是信息系統(tǒng)服務(wù)器、操作系統(tǒng)或另一個(gè)設(shè)備生成的自動(dòng)化機(jī)制。

舉例說(shuō)明

審計(jì)生成（Audit Generation）是審計(jì)和問(wèn)責(zé)制安全控制這一類的成員。應(yīng)該用平臺(tái)即服務(wù)（PaaS）來(lái)測(cè)試審計(jì)生成的自動(dòng)功能。在你開(kāi)始測(cè)試之前，你應(yīng)該使用風(fēng)險(xiǎn)管理框架（RMF），這包括六個(gè)步驟。

為測(cè)試作準(zhǔn)備

***步：ISO通常對(duì)信息系統(tǒng)進(jìn)行分類（采購(gòu)、人事或工程）。適當(dāng)?shù)姆诸惪蓭椭呒?jí)ISSO確定該信息需要什么樣的安全控制。

第二步：高級(jí)ISSO為信息系統(tǒng)選擇安全控制大類的合適成員。它們應(yīng)當(dāng)滿足用戶預(yù)期、業(yè)務(wù)需求和監(jiān)管法規(guī)。

第三步：高級(jí)ISSO為信息系統(tǒng)實(shí)施安全控制。他應(yīng)當(dāng)確保安全控制的設(shè)計(jì)和開(kāi)發(fā)以適當(dāng)?shù)姆绞接浫胛臋n。

開(kāi)始測(cè)試

高級(jí)ISSO評(píng)估安全控制，包括用PaaS測(cè)試審計(jì)生成。日志文件就是信息系統(tǒng)生成的審計(jì)工具的一個(gè)例子。只有信息系統(tǒng)的系統(tǒng)管理員一人才有權(quán)訪問(wèn)所有日志數(shù)據(jù)。

高級(jí)ISSO應(yīng)確保系統(tǒng)管理員開(kāi)啟了日志文件的詳細(xì)記錄功能，日志文件被長(zhǎng)期記錄下來(lái)。然后，高級(jí)ISSO向系統(tǒng)管理員詢問(wèn)信息系統(tǒng)的審計(jì)功能以及為使用系統(tǒng)的用戶賦予的角色。

在一個(gè)簡(jiǎn)單的場(chǎng)景中，員工可能訪問(wèn)數(shù)量有限的采用人可讀格式的日志數(shù)據(jù)。他可看到本人創(chuàng)建和修改的文件的時(shí)間戳；但無(wú)權(quán)查看其他員工創(chuàng)建和修改的文件的時(shí)間戳。

在另一個(gè)例子中，部門經(jīng)理可訪問(wèn)額外的日志數(shù)據(jù)。他可以查看向自己匯報(bào)的所有員工創(chuàng)建和修改的文件的時(shí)間戳，但無(wú)權(quán)查看操作系統(tǒng)運(yùn)行的系統(tǒng)文件的日志數(shù)據(jù)。

日志文件太難讀取時(shí)，應(yīng)該可以使用一種計(jì)算機(jī)程序，將復(fù)雜數(shù)據(jù)轉(zhuǎn)換成人可讀格式，以便ISSO能夠分析。***有權(quán)運(yùn)行該計(jì)算機(jī)程序的人是系統(tǒng)管理員。這種類型的應(yīng)用程序應(yīng)該用PaaS來(lái)測(cè)試，確保不同場(chǎng)景下的預(yù)想結(jié)果與預(yù)期結(jié)果密切相關(guān)。

高級(jí)ISSO以及審計(jì)人員共同預(yù)想的測(cè)試結(jié)果應(yīng)包括如下：

• 并發(fā)訪問(wèn)同樣文件的用戶有多少；
• 用戶擁有哪種類型的安全證書(shū)（比如，他們是不是被授予訪問(wèn)機(jī)密信息或絕密信息的權(quán)限？）
• 用戶訪問(wèn)了哪些網(wǎng)站，他們?cè)L問(wèn)網(wǎng)站有多頻繁；
• 他們從網(wǎng)站下載的文件或應(yīng)用程序的名稱（它們與工作有關(guān)嗎？）
• 用戶發(fā)送電子郵件的日期以及收件人的姓名；以及
• 沒(méi)有擁有合適安全證書(shū)的用戶試圖登錄了多少次。

監(jiān)控測(cè)試結(jié)果

高級(jí)ISSO完成安全控制的測(cè)試后，他應(yīng)該確保積極的測(cè)試結(jié)果已列入說(shuō)明文檔。高級(jí)ISSO進(jìn)入到RMF的第五步時(shí)，需要這種文檔，以證明實(shí)施授權(quán)機(jī)制，才能確保信息系統(tǒng)正常運(yùn)行。如果測(cè)試結(jié)果不好，ISSO或上司就應(yīng)該發(fā)布臨時(shí)操作授權(quán)（Interim Authorization To Operate）。

就已獲得操作授權(quán)的信息系統(tǒng)而言，ISSO或ISO應(yīng)該進(jìn)入到RMF的第六步，監(jiān)控安全控制。ISSO決定是不是需要換成更新穎、更高效、更省錢的安全控制。

結(jié)束語(yǔ)

你需要測(cè)試安全控制的方方面面時(shí)，最穩(wěn)妥的選擇就是使用PaaS。切記確保信息系統(tǒng)獲得操作授權(quán)后，不斷監(jiān)控測(cè)試結(jié)果。

 英文原文鏈接：http://www.techrepublic.com/article/pro-tip-use-a-paas-as-a-testbed-for-security-controls/