風險管理提供了一種框架，可以幫助你選擇安全控制，從而保護平臺即服務(PaaS)上處于開發生命周期任何環節的信息系統――至于那是工程系統、采購系統還是人事系統，并不重要。

[[124025]]

安全控制是在確認和評估風險，將風險到較低水平后實施的。實施標準包括：成本效益、技術效率和法規遵從。你必須將這些標準列入到安全方案中。

美國國家標準和技術研究所(NIST)的風險管理框架(RMF)細分為將安全控制應用到美國聯邦信息系統的六個步驟。在簡單的場景下，每個步驟從管理信息系統用戶(ISO，又叫系統ISSO)團隊的高級信息安全系統官(ISSO)和安全控制評估員(SCA)的視角來加以描述。團隊成員還包括授權官員，這通常是部門或組織主管。

第1步：對信息系統進行分類

ISO對其部門的信息系統進行分類，并將結果列入到安全方案中，采用高級ISSO所提供的格式。安全方案通常涵蓋諸多資產，比如：

•處理、存儲和傳輸的信息;

•軟硬件接口;

•PaaS開發人員訪問權限;

•加密技術;

•數據敏感性(機密或非機密);

•事件響應聯系點

高級ISSO確保信息系統在相應的辦公室(比如項目管理辦公室)已登記注冊。

第2步：選擇安全控制

高級ISSO與ISO一起，將基本的安全控制定制為系統專用控制或者混合控制。該官員確保控制措施具有成本效益、技術效率以及遵從法規。

信息系統特有的安全控制包括如下：

•訪問控制策略和規程;

•職責分離;

•滲透測試;

•人員篩選和培訓;

•安全漏洞掃描;

•拒絕服務防護;

•配置設置;

•事件響應計劃;

•應急計劃;

•緊急關閉;

•保護靜態信息;

•信息系統庫存。#p#

第3步：實施安全控制

高級ISSO幫助ISO完成下列工作：

•描述每項安全控制的功能。它們涵蓋輸入、行為和輸出。比如說，安全控制接受用戶名稱作為輸入，檢查每個用戶的文件權限級別，生成日志，記錄下允許和拒絕訪問哪些文件的所有用戶。

•將應當如何實施安全控制列入到安全方案中。

第4步：評估安全控制

高級ISSO確保SCA：

•準備制作安全控制問題方面的評估報告;

•制定、審閱和批準評估安全控制方面的行動方案;

•遵守方案中的評估規程;

•建議針對有缺陷的安全控制措施采取的補救行動;

•根據報告中的發現結果和建議措施，更新安全方案。

第5步：授權信息系統

高級ISSO要準備好一份操作授權證明(ATO)，證實信息系統的安全控制具有技術效率，并遵從法規。高級ISSO將該證明連同認可包(accreditation package)一并提交給授權官員，后者負責審批信息系統在約定的時間表(通常是三年)內正常操作。

如果安全控制評估報告表明了負面結果，高級ISSO或者授權官員就會發一份臨時操作授權證明(IATO)。這份證明讓系統ISSO可以操作信息系統，同時在比較短的時間內(通常最多6個月)解決安全控制方面的問題。解決問題后，系統ISSO就更新認可授權包，然后重新提交給高級ISSO，以便審查。

第6步：監控安全控制

必要的時候，高級ISSO幫助ISO完成下列工作：

•評估軟硬件變化給PaaS上的信息系統帶來的安全影響;

•解決因PaaS上的變化而剛發現的安全控制低效問題;以及

•更新風險管理文檔、安全方案、安全評估報告以及行動方案。

高級ISSO在指定的日期向授權官員提交信息系統的安全狀況，以便后者審查安全控制效果。

如果監控報告在ATO證明下發的三年內顯示了新的低效問題，高級ISSO或者授權官員就下發IATO證明，要求：

•將信息系統返回到PaaS，以解決問題;

•從風險管理框架的第一步或第二步從頭開始;

•將結果記入到更新后的安全方案中。

結束語

想解決PaaS上的安全控制問題，風險管理框架是最穩妥的辦法。關鍵是你能獲得一份ATO證明，證實安全控制具有成本效益、技術有效，并且遵從法規。

原文地址：http://www.techrepublic.com/article/resolve-security-control-issues-on-a-paas-with-this-risk-management-framework/