美国商务部国家标准与技术研究所(NIST)在2014年12月发布了特别出版物800-53A修订版4(详见http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf),概述了高级信息系统安全官(ISSO)和信息系统所有者(ISO)需要做哪些工作,以便遵守美国联邦法、行政命令以及安全控制方面的政策、法规及标准。该修订版为安全控制体系设立了标准。
该体系按安全控制方面的下列18个大类来划分。
- 访问控制
- 认识和培训
- 审计和问责制
- 安全意识和授权
- 配置管理
- 应急规划
- 识别和验证
- 事件响应
- 维护
- 介质保护
- 物理和环境保护
- 规划
- 人员安全
- 风险评估
- 系统和服务购置
- 系统和通讯保护
- 系统和信息完整性
- 程序管理
每种安全控制细分为某大类的多个成员。有些成员是政策、手动过程或人为干预的一部分;而有些类的成员是信息系统服务器、操作系统或另一个设备生成的自动化机制。
举例说明
审计生成(Audit Generation)是审计和问责制安全控制这一类的成员。应该用平台即服务(PaaS)来测试审计生成的自动功能。在你开始测试之前,你应该使用风险管理框架(RMF),这包括六个步骤。
为测试作准备
***步:ISO通常对信息系统进行分类(采购、人事或工程)。适当的分类可帮助高级ISSO确定该信息需要什么样的安全控制。
第二步:高级ISSO为信息系统选择安全控制大类的合适成员。它们应当满足用户预期、业务需求和监管法规。
第三步:高级ISSO为信息系统实施安全控制。他应当确保安全控制的设计和开发以适当的方式记入文档。
开始测试
高级ISSO评估安全控制,包括用PaaS测试审计生成。日志文件就是信息系统生成的审计工具的一个例子。只有信息系统的系统管理员一人才有权访问所有日志数据。
高级ISSO应确保系统管理员开启了日志文件的详细记录功能,日志文件被长期记录下来。然后,高级ISSO向系统管理员询问信息系统的审计功能以及为使用系统的用户赋予的角色。
在一个简单的场景中,员工可能访问数量有限的采用人可读格式的日志数据。他可看到本人创建和修改的文件的时间戳;但无权查看其他员工创建和修改的文件的时间戳。
在另一个例子中,部门经理可访问额外的日志数据。他可以查看向自己汇报的所有员工创建和修改的文件的时间戳,但无权查看操作系统运行的系统文件的日志数据。
日志文件太难读取时,应该可以使用一种计算机程序,将复杂数据转换成人可读格式,以便ISSO能够分析。***有权运行该计算机程序的人是系统管理员。这种类型的应用程序应该用PaaS来测试,确保不同场景下的预想结果与预期结果密切相关。
高级ISSO以及审计人员共同预想的测试结果应包括如下:
- 并发访问同样文件的用户有多少;
- 用户拥有哪种类型的安全证书(比如,他们是不是被授予访问机密信息或绝密信息的权限?)
- 用户访问了哪些网站,他们访问网站有多频繁;
- 他们从网站下载的文件或应用程序的名称(它们与工作有关吗?)
- 用户发送电子邮件的日期以及收件人的姓名;以及
- 没有拥有合适安全证书的用户试图登录了多少次。
监控测试结果
高级ISSO完成安全控制的测试后,他应该确保积极的测试结果已列入说明文档。高级ISSO进入到RMF的第五步时,需要这种文档,以证明实施授权机制,才能确保信息系统正常运行。如果测试结果不好,ISSO或上司就应该发布临时操作授权(Interim Authorization To Operate)。
就已获得操作授权的信息系统而言,ISSO或ISO应该进入到RMF的第六步,监控安全控制。ISSO决定是不是需要换成更新颖、更高效、更省钱的安全控制。
结束语
你需要测试安全控制的方方面面时,最稳妥的选择就是使用PaaS。切记确保信息系统获得操作授权后,不断监控测试结果。
英文原文链接:http://www.techrepublic.com/article/pro-tip-use-a-paas-as-a-testbed-for-security-controls/