借助风险管理框架解决PaaS上的安全控制问题(1)

风险管理提供了一种框架，可以帮助你选择
安全控制，从而保护平台即服务(PaaS)上处于开发生命周期任何环节的信息系统――至于那是工程系统、采购系统还是人事系统，并不重要。498)this.w
idth=498;' onmousewheel = 'javascript:return big(this)' style="width: 354px; height: 305px" border="0" alt="
借助风险管理框架 解决PaaS上的安全控制问题" width="1024" height="1024" src="http://s1.51cto.com/wyfs02/M02/54/8B/wKioL1SGTijTd1GOAAFEE7LpwSs788.jpg" />安全控制是在确认和评估风险，将风险到较低水平后实施的。实施标准包括：成本效益、技术效率和法规遵从。你必须将这些标准列入到安全方案中。美国国家标准和技术研究所(NIST)的风险管理框架(RMF)细分为将安全控制应用到美国联邦信息系统的六个步骤。在简单的场景下，每个步骤从管理信息系统用户(ISO，又叫系统ISSO)团队的高级信息安全系统官(ISSO)和安全控制评估员(SCA)的视角来加以描述。团队成员还包括授权官员，这通常是部门或组织主管。第1步：对信息系统进行分类ISO对其部门的信息系统进行分类，并将结果列入到安全方案中，采用高级ISSO所提供的格式。安全方案通常涵盖
诸多资产，比如：•处理、存储和传输的信息;•软硬件接口;•PaaS开发人员访问权限;•加密技术;•数据敏感性(机密或非机密);•事件响应联系点高级ISSO确保信息系统在相应的办公室(比如项目管理办公室)已登记注册。第2步：选择安全控制高级ISSO与ISO一起，将基本的安全控制定制为系统专用控制或者混合控制。该官员确保控制措施具有成本效益、技术效率以及遵从法规。信息系统特
有的安全控制包括
如下：•访问控制策略和规程;•职责分离;•
渗透测试;•人员筛选和培训;•安全漏洞扫描;•拒绝服务防护;•配置设置;•事件响应计划;•应急计划;•紧急关闭;•保护静态信息;•信息系统库存。 1 2 下一页>>查看全文 内容导航第 1 页：选择安全控制 第 2 页：实施安全控制 原文：借助风险管理框架解决PaaS上的安全控制问题(1) 返回网络安全首页