日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

風(fēng)險(xiǎn)管理提供了一種框架，可以幫助你選擇安全控制，從而保護(hù)平臺(tái)即服務(wù)(PaaS)上處于開(kāi)發(fā)生命周期任何環(huán)節(jié)的信息系統(tǒng)――至于那是工程系統(tǒng)、采購(gòu)系統(tǒng)還是人事系統(tǒng)，并不重要。

安全控制是在確認(rèn)和評(píng)估風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)到較低水平后實(shí)施的。實(shí)施標(biāo)準(zhǔn)包括：成本效益、技術(shù)效率和法規(guī)遵從。你必須將這些標(biāo)準(zhǔn)列入到安全方案中。

美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)的風(fēng)險(xiǎn)管理框架(RMF)細(xì)分為將安全控制應(yīng)用到美國(guó)聯(lián)邦信息系統(tǒng)的六個(gè)步驟。在簡(jiǎn)單的場(chǎng)景下，每個(gè)步驟從管理信息系統(tǒng)用戶(hù)(ISO，又叫系統(tǒng)ISSO)團(tuán)隊(duì)的高級(jí)信息安全系統(tǒng)官(ISSO)和安全控制評(píng)估員(SCA)的視角來(lái)加以描述。團(tuán)隊(duì)成員還包括授權(quán)官員，這通常是部門(mén)或組織主管。

第1步：對(duì)信息系統(tǒng)進(jìn)行分類(lèi)

ISO對(duì)其部門(mén)的信息系統(tǒng)進(jìn)行分類(lèi)，并將結(jié)果列入到安全方案中，采用高級(jí)ISSO所提供的格式。安全方案通常涵蓋諸多資產(chǎn)，比如：

?處理、存儲(chǔ)和傳輸?shù)男畔?

?軟硬件接口;

?PaaS開(kāi)發(fā)人員訪問(wèn)權(quán)限;

?加密技術(shù);

?數(shù)據(jù)敏感性(機(jī)密或非機(jī)密);

?事件響應(yīng)聯(lián)系點(diǎn)

高級(jí)ISSO確保信息系統(tǒng)在相應(yīng)的辦公室(比如項(xiàng)目管理辦公室)已登記注冊(cè)。

第2步：選擇安全控制

高級(jí)ISSO與ISO一起，將基本的安全控制定制為系統(tǒng)專(zhuān)用控制或者混合控制。該官員確?？刂拼胧┚哂谐杀拘б?、技術(shù)效率以及遵從法規(guī)。

信息系統(tǒng)特有的安全控制包括如下：

?訪問(wèn)控制策略和規(guī)程;

?職責(zé)分離;

?滲透測(cè)試;

?人員篩選和培訓(xùn);

?安全漏洞掃描;

?拒絕服務(wù)防護(hù);

?配置設(shè)置;

?事件響應(yīng)計(jì)劃;

?應(yīng)急計(jì)劃;

?緊急關(guān)閉;

?保護(hù)靜態(tài)信息;

?信息系統(tǒng)庫(kù)存。#p#

第3步：實(shí)施安全控制

高級(jí)ISSO幫助ISO完成下列工作：

?描述每項(xiàng)安全控制的功能。它們涵蓋輸入、行為和輸出。比如說(shuō)，安全控制接受用戶(hù)名稱(chēng)作為輸入，檢查每個(gè)用戶(hù)的文件權(quán)限級(jí)別，生成日志，記錄下允許和拒絕訪問(wèn)哪些文件的所有用戶(hù)。

?將應(yīng)當(dāng)如何實(shí)施安全控制列入到安全方案中。

第4步：評(píng)估安全控制

高級(jí)ISSO確保SCA：

?準(zhǔn)備制作安全控制問(wèn)題方面的評(píng)估報(bào)告;

?制定、審閱和批準(zhǔn)評(píng)估安全控制方面的行動(dòng)方案;

?遵守方案中的評(píng)估規(guī)程;

?建議針對(duì)有缺陷的安全控制措施采取的補(bǔ)救行動(dòng);

?根據(jù)報(bào)告中的發(fā)現(xiàn)結(jié)果和建議措施，更新安全方案。

第5步：授權(quán)信息系統(tǒng)

高級(jí)ISSO要準(zhǔn)備好一份操作授權(quán)證明(ATO)，證實(shí)信息系統(tǒng)的安全控制具有技術(shù)效率，并遵從法規(guī)。高級(jí)ISSO將該證明連同認(rèn)可包(accreditation package)一并提交給授權(quán)官員，后者負(fù)責(zé)審批信息系統(tǒng)在約定的時(shí)間表(通常是三年)內(nèi)正常操作。

如果安全控制評(píng)估報(bào)告表明了負(fù)面結(jié)果，高級(jí)ISSO或者授權(quán)官員就會(huì)發(fā)一份臨時(shí)操作授權(quán)證明(IATO)。這份證明讓系統(tǒng)ISSO可以操作信息系統(tǒng)，同時(shí)在比較短的時(shí)間內(nèi)(通常最多6個(gè)月)解決安全控制方面的問(wèn)題。解決問(wèn)題后，系統(tǒng)ISSO就更新認(rèn)可授權(quán)包，然后重新提交給高級(jí)ISSO，以便審查。

第6步：監(jiān)控安全控制

必要的時(shí)候，高級(jí)ISSO幫助ISO完成下列工作：

?評(píng)估軟硬件變化給PaaS上的信息系統(tǒng)帶來(lái)的安全影響;

?解決因PaaS上的變化而剛發(fā)現(xiàn)的安全控制低效問(wèn)題;以及

?更新風(fēng)險(xiǎn)管理文檔、安全方案、安全評(píng)估報(bào)告以及行動(dòng)方案。

高級(jí)ISSO在指定的日期向授權(quán)官員提交信息系統(tǒng)的安全狀況，以便后者審查安全控制效果。

如果監(jiān)控報(bào)告在ATO證明下發(fā)的三年內(nèi)顯示了新的低效問(wèn)題，高級(jí)ISSO或者授權(quán)官員就下發(fā)IATO證明，要求：

?將信息系統(tǒng)返回到PaaS，以解決問(wèn)題;

?從風(fēng)險(xiǎn)管理框架的第一步或第二步從頭開(kāi)始;

?將結(jié)果記入到更新后的安全方案中。

結(jié)束語(yǔ)

想解決PaaS上的安全控制問(wèn)題，風(fēng)險(xiǎn)管理框架是最穩(wěn)妥的辦法。關(guān)鍵是你能獲得一份ATO證明，證實(shí)安全控制具有成本效益、技術(shù)有效，并且遵從法規(guī)。

原文地址：http://www.techrepublic.com/article/resolve-security-control-issues-on-a-paas-with-this-risk-management-framework/

文章名稱(chēng)：借助風(fēng)險(xiǎn)管理框架解決PaaS上的安全控制問(wèn)題
文章起源：http://m.5511xx.com/article/djoehgh.html