美國商務部國家標準與技術研究所（NIST）在2014年12月發布了特別出版物800-53A修訂版4（詳見http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf），概述了高級信息系統安全官（ISSO）和信息系統所有者（ISO）需要做哪些工作，以便遵守美國聯邦法、行政命令以及安全控制方面的政策、法規及標準。該修訂版為安全控制體系設立了標準。

該體系按安全控制方面的下列18個大類來劃分。

1.  訪問控制
2. 認識和培訓
3.  審計和問責制
4.  安全意識和授權
5. 配置管理
6.  應急規劃
7. 識別和驗證
8. 事件響應
9.  維護
10. 介質保護　
11.  物理和環境保護
12.  規劃
13. 人員安全
14.  風險評估
15.  系統和服務購置
16.  系統和通訊保護
17.  系統和信息完整性
18.  程序管理

每種安全控制細分為某大類的多個成員。有些成員是政策、手動過程或人為干預的一部分；而有些類的成員是信息系統服務器、操作系統或另一個設備生成的自動化機制。

舉例說明

審計生成（Audit Generation）是審計和問責制安全控制這一類的成員。應該用平臺即服務（PaaS）來測試審計生成的自動功能。在你開始測試之前，你應該使用風險管理框架（RMF），這包括六個步驟。

為測試作準備

***步：ISO通常對信息系統進行分類（采購、人事或工程）。適當的分類可幫助高級ISSO確定該信息需要什么樣的安全控制。

第二步：高級ISSO為信息系統選擇安全控制大類的合適成員。它們應當滿足用戶預期、業務需求和監管法規。

第三步：高級ISSO為信息系統實施安全控制。他應當確保安全控制的設計和開發以適當的方式記入文檔。

開始測試

高級ISSO評估安全控制，包括用PaaS測試審計生成。日志文件就是信息系統生成的審計工具的一個例子。只有信息系統的系統管理員一人才有權訪問所有日志數據。

高級ISSO應確保系統管理員開啟了日志文件的詳細記錄功能，日志文件被長期記錄下來。然后，高級ISSO向系統管理員詢問信息系統的審計功能以及為使用系統的用戶賦予的角色。

在一個簡單的場景中，員工可能訪問數量有限的采用人可讀格式的日志數據。他可看到本人創建和修改的文件的時間戳；但無權查看其他員工創建和修改的文件的時間戳。

在另一個例子中，部門經理可訪問額外的日志數據。他可以查看向自己匯報的所有員工創建和修改的文件的時間戳，但無權查看操作系統運行的系統文件的日志數據。

日志文件太難讀取時，應該可以使用一種計算機程序，將復雜數據轉換成人可讀格式，以便ISSO能夠分析。***有權運行該計算機程序的人是系統管理員。這種類型的應用程序應該用PaaS來測試，確保不同場景下的預想結果與預期結果密切相關。

高級ISSO以及審計人員共同預想的測試結果應包括如下：

• 并發訪問同樣文件的用戶有多少；
• 用戶擁有哪種類型的安全證書（比如，他們是不是被授予訪問機密信息或絕密信息的權限？）
• 用戶訪問了哪些網站，他們訪問網站有多頻繁；
• 他們從網站下載的文件或應用程序的名稱（它們與工作有關嗎？）
• 用戶發送電子郵件的日期以及收件人的姓名；以及
• 沒有擁有合適安全證書的用戶試圖登錄了多少次。

監控測試結果

高級ISSO完成安全控制的測試后，他應該確保積極的測試結果已列入說明文檔。高級ISSO進入到RMF的第五步時，需要這種文檔，以證明實施授權機制，才能確保信息系統正常運行。如果測試結果不好，ISSO或上司就應該發布臨時操作授權（Interim Authorization To Operate）。

就已獲得操作授權的信息系統而言，ISSO或ISO應該進入到RMF的第六步，監控安全控制。ISSO決定是不是需要換成更新穎、更高效、更省錢的安全控制。

結束語

你需要測試安全控制的方方面面時，最穩妥的選擇就是使用PaaS。切記確保信息系統獲得操作授權后，不斷監控測試結果。

 英文原文鏈接：http://www.techrepublic.com/article/pro-tip-use-a-paas-as-a-testbed-for-security-controls/