CMMC基于NIST 800-171修订版（第二版）制定，其中包含110项控制措施，这些控制措施被划分为14个类别。许多网络资源均有助于获取这些控制措施列表（包括NIST官网），在此可下载描述这些要求的文本文件，或者列出这些要求的电子表格，也可参考NIST 800-171A，其中包含了评估人员评估每个控制措施的指导说明。我们将NIST 800-171控制措施分析留给其他安全网站。

本文将探讨这些控制措施如何应用于测试系统。测试系统与IT系统有所不同，原因在于：

• 测试系统可能会长时间运行，持续数周甚至数月。测试团队需要考虑如何在不中断测试操作的情况下应用重要的安全更新。
• 测试系统通常不会分配给单一用户。不同的用户可能无需登录和注销即可访问测试系统。测试团队需要考虑如何满足控制措施，如创建与单一用户相关联的审计日志。
• 测试系统处理大量数据。测试系统架构师需要了解并规划不同类型的数据，明确需要加密和不需要加密的数据类型。

考虑到这些差异，让我们回顾一下NIST 800-171中的一些主题。

NIST 800-171中的前22项控制措施涉及限制测试系统的访问权限。系统需要限制授权用户的访问，并限制能够访问该系统的自动化流程（设备）。测试工程师需要识别系统所有潜在用户及其角色。此分析中请记住，某些用户可能采用远程进程，例如将数据从测试系统移动到中央数据库的数据库。

系统架构师需要为每个识别的用户制定身份验证策略。您会使用标准Windows登录来控制系统访问权限吗？操作员拥有哪些访问权限，与管理员有何不同？远程进程如何进行系统身份验证？ 

测试团队还需要考虑物理访问，以及物理访问对系统的影响。由于目前以太网是测试系统中的一个重要总线，因此有人可能会通过移动电缆连接到设备。您将如何确保数据不会通过直接连接从设备中被获取？如果无法控制，能否对这些电缆实施物理防护？ 

NIST 800-171专注于为每个操作提供合适级别的访问权限，因此测试架构师应该考虑如何应用最小权限访问原则。在操作员未单独登录的系统中（例如，在一个实验室里，几个人共同使用测试设备），需要严格限制访问权限。如果需要更高权限（例如，安装软件更新），系统应当要求管理员单独登录才能执行该操作。

标准IT身份管理工具可满足多数访问控制要求。如果测试系统基于Windows，测试团队可与Windows的IT团队合作，利用企业身份工具满足要求。如果系统处于断开状态，或使用IT系统不支持的设备，测试架构师需考虑如何满足密码复杂性和有限登录尝试等基本要求。 

本系列标准中的要求重点在于确保操作员和管理员能够针对其各自角色的专业化要求接受网络安全原则方面的适当培训。测试团队也可接受其IT团队提供的培训。如果测试系统需要特定的操作或协议，可能需要开发符合要求的相应培训内容。

NIST 800-171中的核心原则之一是能够知晓执行特定操作的人员。该原则有助于检测恶意操作，在发生事故时可帮助确定事故造成的损害并进行根本原因分析。要满足该原则，测试系统必须设计为能够记录特定操作。

要实现有效记录，审计日志必须捕获特权操作，即改变访问权限或配置的操作。审计日志记录系统中的任何操作，包括登陆者、移动的数据以及系统中更改的对象。为保证准确，审计系统必须有一个用于标记时间戳的可靠时钟。为保证记录可靠，审计日志必须受到保护，防止更改或删除。

作为测试系统设计的一部分，测试架构师需要制定计划以创建、更新和保护这些审计日志。

部署一个安全的测试系统通常需要测试团队应用一些配置设置，使系统及其组件处于更安全的状态。NIST 800-171要求团队捕获该配置的快照作为基准，以便能够快速将系统恢复到该配置。

安全技术实施指南(STIG)为系统管理员提供了一种保证系统保持最安全配置的方法。供应商与美国防御讯息系统局(DISA)合作制定STIG，其中包括检查和调整其产品配置的说明。STIG获批后可在美国国防部STIG数据库中获取。请尽可能获取测试系统软件组件的STIG。 

管理身份和帐户是NIST 800-171的另一个重要组成部分。这部分要求系统在提供访问权限前对用户和其他系统进行身份验证。与访问管理类似，测试团队可依靠IT工具对系统中的标准PC技术进行身份验证。 

测试架构师需要寻找对系统组件进行身份验证的方法。以太网组件、数据库和联网计算机在连接到测试数据系统之前都需要进行身份验证。 

组织在防御失效且系统受到攻击时需迅速响应。这一系列控制措施要求团队为失败情况做好计划，包括跟踪事件、测试系统以及建立向相应部门报告事件的方式。 

测试系统需要定期维护（包括校准）。NIST 800-171要求团队制定计划，避免在维护过程中出现保护措施失效。

硬件在维修或校准前须清除所有敏感数据。供应商应提供易失性声明，其中包含正确清除这些设备储存器位置的指导，测试团队应建立维护过程中数据的保护流程。

当敏感数据存储在介质设备中时，必须在逻辑和物理上保护这些设备。设备上的数据必须加密。设备必须防盗，系统必须阻止来自未知设备（例如USB驱动器）的访问。

测试架构师必须考虑数据存储的位置，以及如何在这些位置保护数据。IT工具可帮助架构师保护这些位置的数据，例如，Windows BitLocker可加密大多数服务器PC上的数据。对于其他设备，测试程序可能需要在数据记录前对数据进行加密，或控制允许连接的设备。

为确保只有特定人员有权访问测试系统和数据，需建立筛选个人身份并控制访问权限的流程以应对角色变更。测试团队需考虑如何在现有公司政策框架内实施相关流程，以管理有权访问系统的人员。

有时，通过物理操作（例如更改连接、移除驱动器或调整系统物理参数）可绕过系统安全措施。测试团队规划测试系统时必须考虑如何从物理层面保障系统安全。这可能需要控制进入房间的权限，或者锁定系统某些组件。

没有完美的安全计划，因为攻击者会不断调整策略。为维护系统安全，测试团队必须定期评估其风险状况，并根据需要进行调整。漏洞测试是安全团队发现系统弱点的手段。测试团队必须制定能够暴露系统弱点的安全测试策略。大型公司可能拥有可设计测试的安全团队，或测试团队可能会聘请外部顾问设计安全测试。

安全评估为团队提供了一种检查现有安全控制措施有效性的方式，以及寻找改进措施的方法。安全团队需定期开会，审查和更新安全系统。

NIST 800-171对经明确定义且控制措施在该定义范围内实施的系统最有效。定义除系统组件外，还需包括与外部系统的连接。这组要求规定，这些连接必须安全且受到保护。这种保护必须确保数据不会在受保护系统之外进行通信。如果有意传输数据，必须对其进行加密以防止数据被窃取。

NIST 800-171的系列控制措施还包括识别系统缺陷并更新这些流程的额外要求，包括持续更新恶意代码保护措施。测试团队需要制定计划以审查和更新系统，同时尽量减少对测试系统的干扰。

本文概述了NIST 800-171控制措施系列如何应用于测试系统。测试团队应在计划部署测试系统中审查这些要求。 

了解NI如何提供资源，帮助您的团队满足这些要求。 

• 订阅安全公告
• 下载安全更新
• 报告安全问题