教你如何使用PaaS作为安全控制的试验平台

美国商务部国家标准与技术研究所(NIST)在2014年12月发布了特别出版物800-53A修订版4(详见http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf),概述了高级信息系统安全官(ISSO)和信息系统所有者(ISO)需要做哪些工作,以便遵守美国联邦法、行政命令以及安全控制方面的政策、法规及标准。该修订版为安全控制体系设立了标准。

该体系按安全控制方面的下列18个大类来划分。

  1. 访问控制
  2. 认识和培训
  3. 审计和问责制
  4. 安全意识和授权
  5. 配置管理
  6. 应急规划
  7. 识别和验证
  8. 事件响应
  9. 维护
  10. 介质保护 
  11. 物理和环境保护
  12. 规划
  13. 人员安全
  14. 风险评估
  15. 系统和服务购置
  16. 系统和通讯保护
  17. 系统和信息完整性
  18. 程序管理

每种安全控制细分为某大类的多个成员。有些成员是政策、手动过程或人为干预的一部分;而有些类的成员是信息系统服务器、操作系统或另一个设备生成的自动化机制。

举例说明

审计生成(Audit Generation)是审计和问责制安全控制这一类的成员。应该用平台即服务(PaaS)来测试审计生成的自动功能。在你开始测试之前,你应该使用风险管理框架(RMF),这包括六个步骤。

为测试作准备

第一步:ISO通常对信息系统进行分类(采购、人事或工程)。适当的分类可帮助高级ISSO确定该信息需要什么样的安全控制。

第二步:高级ISSO为信息系统选择安全控制大类的合适成员。它们应当满足用户预期、业务需求和监管法规。

第三步:高级ISSO为信息系统实施安全控制。他应当确保安全控制的设计和开发以适当的方式记入文档。

开始测试

高级ISSO评估安全控制,包括用PaaS测试审计生成。日志文件就是信息系统生成的审计工具的一个例子。只有信息系统的系统管理员一人才有权访问所有日志数据。

高级ISSO应确保系统管理员开启了日志文件的详细记录功能,日志文件被长期记录下来。然后,高级ISSO向系统管理员询问信息系统的审计功能以及为使用系统的用户赋予的角色。

在一个简单的场景中,员工可能访问数量有限的采用人可读格式的日志数据。他可看到本人创建和修改的文件的时间戳;但无权查看其他员工创建和修改的文件的时间戳。

在另一个例子中,部门经理可访问额外的日志数据。他可以查看向自己汇报的所有员工创建和修改的文件的时间戳,但无权查看操作系统运行的系统文件的日志数据。

日志文件太难读取时,应该可以使用一种计算机程序,将复杂数据转换成人可读格式,以便ISSO能够分析。唯一有权运行该计算机程序的人是系统管理员。这种类型的应用程序应该用PaaS来测试,确保不同场景下的预想结果与预期结果密切相关。

高级ISSO以及审计人员共同预想的测试结果应包括如下:

  • 并发访问同样文件的用户有多少;
  • 用户拥有哪种类型的安全证书(比如,他们是不是被授予访问机密信息或绝密信息的权限?)
  • 用户访问了哪些网站,他们访问网站有多频繁;
  • 他们从网站下载的文件或应用程序的名称(它们与工作有关吗?)
  • 用户发送电子邮件的日期以及收件人的姓名;以及
  • 没有拥有合适安全证书的用户试图登录了多少次。

监控测试结果

高级ISSO完成安全控制的测试后,他应该确保积极的测试结果已列入说明文档。高级ISSO进入到RMF的第五步时,需要这种文档,以证明实施授权机制,才能确保信息系统正常运行。如果测试结果不好,ISSO或上司就应该发布临时操作授权(Interim Authorization To Operate)。

就已获得操作授权的信息系统而言,ISSO或ISO应该进入到RMF的第六步,监控安全控制。ISSO决定是不是需要换成更新颖、更高效、更省钱的安全控制。

结束语

你需要测试安全控制的方方面面时,最稳妥的选择就是使用PaaS。切记确保信息系统获得操作授权后,不断监控测试结果。

文献参考:

http://www.cnjiayu.com.cn/life/djys/2015020823926.html
http://www.cnjiayu.com.cn/life/jkys/2015020823925.html
http://www.cnjiayu.com.cn/life/jbzl/2015020823924.html
http://www.cnjiayu.com.cn/life/djys/2015020823923.html
http://www.cnjiayu.com.cn/life/jkys/2015020823922.html
http://www.cnjiayu.com.cn/life/djys/2015020823921.html
http://www.cnjiayu.com.cn/life/jkys/2015020823920.html
http://www.cnjiayu.com.cn/life/jkys/2015020323220.html
http://www.cnjiayu.com.cn/life/jkys/2015020323219.html
http://www.cnjiayu.com.cn/life/jkys/2015020323218.html

时间: 2024-12-29 07:45:09

教你如何使用PaaS作为安全控制的试验平台的相关文章

基于PaaS通用校园办公云平台的设计与实现视频教程

基于PaaS通用校园办公云平台的设计与实现视频教程下载课程分享链接:https://pan.baidu.com/s/1RpC198Q76eTu1E-lyeuO9g 密码:3d8j 1.1.课程的背景该课程是一个paas平台搭建的课程,paas是云计算三层概念中的第二层,提出了平台及服务,向客户提供开发平台,即使客户不懂任何的编程知识,也一样可以根据自己的需求来定制软件模块.在课程中,引入了工作流中间件和元数据的概念.强大的工作流中间件保证了系统流程的稳定运行,自定义的工作流中间件也能够根据paa

国内PaaS概述及EEPlat定位

2014年国内云计算产业进入飞速发展的阶段,多年来的云计算热度使得云计算产业迅速进入了应用落地的阶段.IaaS.PaaS.SaaS市场的各大厂商纷纷大力布局,使得云计算在这三个层次的应用进入实际使用阶段.IaaS厂商已经基本成熟,拥有成熟的管理技术和虚拟化平台,并已经提供商业化应用一段时间.各大云计算厂商在IaaS已经进入成熟应用的阶段,纷纷把注意力投向了PaaS领域.各自PaaS平台的构件成为了各大云计算厂商目前阶段的重点.SaaS厂商也不再如前几年的凤毛麟角,ERP.HR.CRM.OA办公.

云计算发展与BPaaS构建企业Private PaaS分析

1. 云计算发展概述 云计算的发展[2],追根溯源是从并行计算.分布式计算.网格计算.虚拟化.SaaS.SOA 等技术混合演进的结果. 1959年6月,ChristopherStrachey 发表虚拟化论文,虚拟化是今天云计算基础架构的基石. 1996年,网格计算Globus 开源网格平台起步,网格计算是聚合分散资源,支持大型集中式应用,从技术层面面向科研计算. 2000年,SaaS 兴起. 2004年,Google 发布MapReduce 论文.Hadoop 就是Google 集群系统的一个开

PAAS介绍

PaaS是Platform-as-a-Service的缩写,意思是平台即服务. 把服务器平台作为一种服务提供的商业模式.通过网络进行程序提供的服务称之为SaaS(Software as a Service),而云计算时代相应的服务器平台或者开发环境作为服务进行提供就成为了PaaS(Platform as a Service). PaaS[1],全称:(Platform as a service) ,中文:平台即服务. 实例:CloudCC http://baike.baidu.com/view/

ISSA PAAS SAAS的区别

issa: 基础设施即服务 通俗解释相当于卖硬件,甲方需要提供项目代码,插件,应用软件等,并要完成网络的配置搭建,项目代码的运行及服务器的配置 Paas 平台即服务 相当于卖平台,甲方需要提供代码及应用插件即可,网络搭建及服务器的配置等工作都由厂家提供 Saas 软件及服务 厂家连软件都提供给你,无需你进行任何操作.省略一切步骤. 知乎上看到,有人形象的将这三个比喻为 IAAS  和老婆生孩子 PAAS  让老婆和别人生孩子 SAAS  领养

国内PaaS概述和EEPlat定位

2014国内云计算产业进入快速发展阶段.热火多年来,所以云计算的云计算产业迅速进入栈桥的应用.IaaS.PaaS.SaaS各大厂商具有较强的市场布局,所以,云计算应用在这三个层次的访问,以实际使用阶段.IaaS,拥有成熟的管理技术和虚拟化平台.并已经提供商业化应用一段时间. 各大云计算厂商在IaaS已经进入成熟应用的阶段,纷纷把注意力投向了PaaS领域.各自PaaS平台的构件成为了各大云计算厂商眼下阶段的重点.SaaS厂商也不再如前几年的凤毛麟角,ERP.HR.CRM.OA办公.项目管理等经常使

微信公众平台教程,注册申请、认证、开发、推广营销,教你怎么用微信公众号

微信公众平台教程 微信公众平台上至少有580多万公众号,8亿的微信用户参与其中,如此聚宝盆如何挖掘呢?本微信公众平台教程,以ytkah自己的使用体会教你怎么用微信公众号,包括微信公众平台注册申请.认证.开发.推广营销.成功案例,公众平台消息导出,关注用户备份,图文消息排版美化,图片尺寸,微信菜单设置,使用技巧等 教程目录 微信公众平台分类 微信公众平台注册,微信公众平台申请 微信公众平台登录 微信公众平台认证 微信公众平台开发 微信公众平台推广,微信公众平台营销 微信公众平台分类 服务号 给企业

Azure Stack技术深入浅出系列5:在Azure Stack上使用Web App PaaS服务及其背后原理窥探(开发案例)

App Service 是微软Azure的PaaS产品. 为任何平台或设备创建Web App PaaS服务和mobile App PaaS服务. 将应用与SaaS解决方案集成.与本地应用程序进行连接,以实现业务流程的自动化.在我们日常开发中,经常会使用Web App PaaS服务来承载企业的业务. 本文试图通过一个案例来分别详细说明Azure Web App业务的下列几大特点: 应用服务计划 多种语言和框架 持续集成和部署 连接数据库服务 可用性全局缩放 就在本文撰写过程中,Azure Stac

关于PaaS的纯干货总结

关于PaaS的纯干货总结什么是PaaS? PaaS是面向应用的核心平台. 从功能定义和核心价值分为三个层次:1)自动化获取资源进行部署:2)提供标准化的编程框架和服务来帮助应用开发和运行实现自动化:3)无需感知底层资源的应用自动化运维(包括配置.升级.伸缩等等). 业界PaaS发展趋势 根据Gartner对全球公有云PaaS服务市场空间预测,2020年将达到百亿规模 在整个Paas生态中,容器和编排占据重要一环,五成企业已在生产环境使用容器: 在整个容器编排生态中,Kubernates逐步统一容