借助風險管理框架解決PaaS上的安全控制問題(1)

風險管理提供了一種框架，可以説明你選擇安全控制，從而保護平臺即服務(PaaS)上處於開發生命週期任何環節的資訊系統――至於那是工程系統、採購系統還是人事系統，並不重要。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="width: 354px; height: 305px" border="0" alt="借助風險管理框架 解決PaaS上的安全控制問題" width="1024" height="1024" src="HTTP://s1.51cto.com/wyfs02/ M02/54/8B/wKioL1SGTijTd1GOAAFEE7LpwSs788.jpg" />安全控制是在確認和評估風險，將風險到較低水準後實施的。 實施標準包括：成本效益、技術效率和法規遵從。 你必須將這些標準列入到安全方案中。 美國國家標準和技術研究所(NIST)的風險管理框架(RMF)細分為將安全控制應用到美國聯邦資訊系統的六個步驟。 在簡單的場景下，每個步驟從執行資訊系統使用者(ISO，又叫系統ISSO)團隊的高級資訊安全系統官(ISSO)和安全控制評估員(SCA)的視角來加以描述。 團隊成員還包括授權官員，這通常是部門或組織主管。 第1步：對資訊系統進行分類ISO對其部門的資訊系統進行分類，並將結果列入到安全方案中，採用高級ISSO所提供的格式。 安全方案通常涵蓋諸多資產，比如：•處理、存儲和傳輸的資訊;•軟硬體介面;•PaaS開發人員存取權限;•加密技術;•資料敏感性(機密或非機密);•事件回應聯繫點高級ISSO確保資訊系統在相應的辦公室(比如專案管理辦公室) 已登記註冊。 第2步：選擇安全控制高級ISSO與ISO一起，將基本的安全控制定制為系統專用控制或者混合控制。 該官員確保控制措施具有成本效益、技術效率以及遵從法規。 資訊系統特有的安全控制包括如下：•存取控制策略和規程;•職責分離;•滲透測試;•人員篩選和培訓;•安全性漏洞掃描;•拒絕服務防護;•配置設置;•事件回應計畫;•應急計畫;•緊急關閉;•保護靜態資訊;•資訊系統庫存。 1 2 下一頁>>查看全文 內容導航第 1 頁：選擇安全控制 第 2 頁：實施安全控制 原文：借助風險管理框架解決PaaS上的安全控制問題(1) 返回網路安全首頁