日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
借助風險管理框架解決PaaS上的安全控制問題

風險管理提供了一種框架,可以幫助你選擇安全控制,從而保護平臺即服務(PaaS)上處于開發(fā)生命周期任何環(huán)節(jié)的信息系統(tǒng)――至于那是工程系統(tǒng)、采購系統(tǒng)還是人事系統(tǒng),并不重要。

安全控制是在確認和評估風險,將風險到較低水平后實施的。實施標準包括:成本效益、技術效率和法規(guī)遵從。你必須將這些標準列入到安全方案中。

美國國家標準和技術研究所(NIST)的風險管理框架(RMF)細分為將安全控制應用到美國聯(lián)邦信息系統(tǒng)的六個步驟。在簡單的場景下,每個步驟從管理信息系統(tǒng)用戶(ISO,又叫系統(tǒng)ISSO)團隊的高級信息安全系統(tǒng)官(ISSO)和安全控制評估員(SCA)的視角來加以描述。團隊成員還包括授權(quán)官員,這通常是部門或組織主管。

第1步:對信息系統(tǒng)進行分類

ISO對其部門的信息系統(tǒng)進行分類,并將結(jié)果列入到安全方案中,采用高級ISSO所提供的格式。安全方案通常涵蓋諸多資產(chǎn),比如:

?處理、存儲和傳輸?shù)男畔?

?軟硬件接口;

?PaaS開發(fā)人員訪問權(quán)限;

?加密技術;

?數(shù)據(jù)敏感性(機密或非機密);

?事件響應聯(lián)系點

高級ISSO確保信息系統(tǒng)在相應的辦公室(比如項目管理辦公室)已登記注冊。

第2步:選擇安全控制

高級ISSO與ISO一起,將基本的安全控制定制為系統(tǒng)專用控制或者混合控制。該官員確??刂拼胧┚哂谐杀拘б?、技術效率以及遵從法規(guī)。

信息系統(tǒng)特有的安全控制包括如下:

?訪問控制策略和規(guī)程;

?職責分離;

?滲透測試;

?人員篩選和培訓;

?安全漏洞掃描;

?拒絕服務防護;

?配置設置;

?事件響應計劃;

?應急計劃;

?緊急關閉;

?保護靜態(tài)信息;

?信息系統(tǒng)庫存。#p#

第3步:實施安全控制

高級ISSO幫助ISO完成下列工作:

?描述每項安全控制的功能。它們涵蓋輸入、行為和輸出。比如說,安全控制接受用戶名稱作為輸入,檢查每個用戶的文件權(quán)限級別,生成日志,記錄下允許和拒絕訪問哪些文件的所有用戶。

?將應當如何實施安全控制列入到安全方案中。

第4步:評估安全控制

高級ISSO確保SCA:

?準備制作安全控制問題方面的評估報告;

?制定、審閱和批準評估安全控制方面的行動方案;

?遵守方案中的評估規(guī)程;

?建議針對有缺陷的安全控制措施采取的補救行動;

?根據(jù)報告中的發(fā)現(xiàn)結(jié)果和建議措施,更新安全方案。

第5步:授權(quán)信息系統(tǒng)

高級ISSO要準備好一份操作授權(quán)證明(ATO),證實信息系統(tǒng)的安全控制具有技術效率,并遵從法規(guī)。高級ISSO將該證明連同認可包(accreditation package)一并提交給授權(quán)官員,后者負責審批信息系統(tǒng)在約定的時間表(通常是三年)內(nèi)正常操作。

如果安全控制評估報告表明了負面結(jié)果,高級ISSO或者授權(quán)官員就會發(fā)一份臨時操作授權(quán)證明(IATO)。這份證明讓系統(tǒng)ISSO可以操作信息系統(tǒng),同時在比較短的時間內(nèi)(通常最多6個月)解決安全控制方面的問題。解決問題后,系統(tǒng)ISSO就更新認可授權(quán)包,然后重新提交給高級ISSO,以便審查。

第6步:監(jiān)控安全控制

必要的時候,高級ISSO幫助ISO完成下列工作:

?評估軟硬件變化給PaaS上的信息系統(tǒng)帶來的安全影響;

?解決因PaaS上的變化而剛發(fā)現(xiàn)的安全控制低效問題;以及

?更新風險管理文檔、安全方案、安全評估報告以及行動方案。

高級ISSO在指定的日期向授權(quán)官員提交信息系統(tǒng)的安全狀況,以便后者審查安全控制效果。

如果監(jiān)控報告在ATO證明下發(fā)的三年內(nèi)顯示了新的低效問題,高級ISSO或者授權(quán)官員就下發(fā)IATO證明,要求:

?將信息系統(tǒng)返回到PaaS,以解決問題;

?從風險管理框架的第一步或第二步從頭開始;

?將結(jié)果記入到更新后的安全方案中。

結(jié)束語

想解決PaaS上的安全控制問題,風險管理框架是最穩(wěn)妥的辦法。關鍵是你能獲得一份ATO證明,證實安全控制具有成本效益、技術有效,并且遵從法規(guī)。

原文地址:http://www.techrepublic.com/article/resolve-security-control-issues-on-a-paas-with-this-risk-management-framework/


網(wǎng)站標題:借助風險管理框架解決PaaS上的安全控制問題
URL鏈接:http://www.dlmjj.cn/article/djoehgh.html