CMMC 以 NIST 800-171 修訂版2 為基礎，包含分成 14 大類的 110 項控制措施。網上有許多資源可取得這些控制措施清單，包括 NIST 網站，您可以在此下載規定的文字性說明文件、列出這些規定的試算表，或 NIST 800-171A，後者包含如何評估各項控制措施的指引。我們會將 NIST 800-171 控制措施分析留給其他安全網站。

其中最重要的就是這些控制措施是否適用於測試系統。測試系統與 IT 系統不同的原因如下：

• 測試系統執行期間可能較長，甚至到數週或數月。測試團隊需要考慮如何套用重要的安全性更新，而不會干擾測試作業。
• 測試系統並非指派給單一使用者。不同使用者可能不需登入登出，即可存取測試系統。測試團隊需要考慮如何符合控制措施，例如建立與個別使用者相關的稽核紀錄。
• 測試系統處理大量資料。測試系統架構師需要了解不同的資料類型，也就是知道哪些資料需要加密，哪些不需要加密，並對其進行規劃。

考慮到這些差異，我們來回顧 NIST 800-171 的部分主題。

NIST 800-171 的前 22 項控制措施與限制測試系統存取權限有關。系統需要限制授權使用者的存取權限，並限制可存取系統的自動化流程 (裝置)。測試工程師需要找出所有可能的系統使用者及其角色。進行這項分析時請記住，某些使用者可能是遠端流程，例如資料庫，其可將資料從測試系統傳輸至中央資料庫。

針對每個被識別的使用者，系統架構師需要建立驗證策略。您是否會使用標準 Windows 登入，來控制誰擁有系統存取權限？操作人員有哪些存取權限，以及與管理員的有何不同？遠端流程如何驗證系統？ 

測試團隊也需要考慮實體存取，以及其會如何改變系統。乙太網路是現今測試系統的重要匯流排，可以讓人們透過移動連接線來連接裝置。您要如何確保裝置資料不被人透過直接連線取得？如果無法控制，那能否真正保護連接線？ 

NIST 800-171 著重於為每個操作提供適當存取等級，因此測試架構師應考慮如何應用此一最少權限存取原則。在操作人員並非個別登入的系統中 (例如在由數人共同操作測試機的實驗室)，存取權限需要嚴格鎖定。如某些動作需要更高權限 (例如安裝軟體更新)，系統應要求管理員單獨登入來執行相關動作。

使用標準 IT 身分管理工具可以達成數項存取控制規定。如果測試系統是 Windows 架構，測試團隊可以與 IT 團隊合作，運用企業身分識別工具。如果系統中斷連線，或使用 IT 系統不支援的裝置，測試架構師需要考慮如何達成基本規定，例如密碼複雜度與有限的嘗試登入次數。 

此類規定重點在於，確保操作人員與管理員均接受他們角色特定的適當網路安全原則訓練。測試團隊或許可使用 IT 團隊所提供的教育訓練。如果測試系統需要執行特定動作或使用特定協定，則可能需要開發特定訓練來達成這些規定。

NIST 800-171 的一項核心原則是，能找出執行特定動作的對象。這有助於偵測惡意動作，並在發生事件時，有助於辨別所造成的損壞，並執行根本原因分析。為此，測試系統必須經過精心設計，以記錄特定動作。

為切實發揮作用，稽核紀錄必須記錄具有特殊權限的動作，也就是會改變存取權限或設定的動作。稽核紀錄會建立系統上任何動作的紀錄，包括系統登入者、被移轉資料、已變更物件。為達到準確性，稽核系統必須具備可靠的時間戳記時脈。此外，為保持可靠，稽核紀錄必須受到保護，以防遭變更或刪除。

在測試系統設計過程中，測試架構師需要專門設計一套計畫來建立、更新和保護這些稽核紀錄。

部署安全測試系統時，測試團隊通常必須套用設定，讓系統和元件進入更安全的狀態。NIST 800-171 要求團隊擷取此設定的快照做為基準，以便快速將系統重設為該設定。

安全技術執行指南 (STIG) 可協助系統管理員確保系統維持在最安全的設定中。廠商與國防資訊系統局 (DISA) 合作建立 STIG，其包含可檢查與調整產品設定的指示。STIG 一旦核准後，即可透過 DoD STIG 資料庫取得。在可能的情況下，針對測試系統的軟體元件收集 STIG。 

身分與帳號管理是 NIST 800-171 的另一重要部分。這規定了系統要先驗證使用者和其他系統，才能提供存取權限。如同存取管理，測試團隊驗證系統的標準電腦技術時，也可以依靠 IT 工具。 

測試架構師需要找出驗證系統元件的方式。乙太網路元件、資料庫與連網式電腦，全數需要先完成驗證，才能連接測試資料系統。 

如果防禦失敗，且系統受到攻擊，企業組織就需要快速做出回應。此類控制措施規定團隊要針對這些故障進行規劃，包括追蹤事件、測試系統，以及建立向適當主管機關回報事件的方法。 

測試系統需要定期進行維護，包括校準。NIST 800-171 規定團隊要擬定計畫，以預防維護階段期間保護失效。

在將硬體寄送進行維修或校準之前，必須先清除其中的任何敏感資料。廠商應提供波動性聲明與說明，以正確清除這些裝置的記憶體位置，而測試團隊應建立流程，以便在維護流程中保護資料。

將敏感資料儲存在媒體裝置時，必須透過合邏輯的實際保護方式來保護這些裝置。裝置資料必須經過加密。裝置必須有防盜措施，而系統也必須防止由 USB 磁碟等未知裝置存取。

測試架構師必須考慮資料儲存位置，以及在這些位置保護資料的方式。IT 工具可能有助於保護這些位置的資料 - Windows Bitlocker 可加密多數伺服器電腦上的資料。就其他裝置而言，測試程式可能需要先加密資料才能記錄資料，或是需要控制哪些裝置可以連線。

為確保僅限特定人員存取測試系統與資料，必須建立流程，以在角色變更時篩選個人，並控制存取權限。測試團隊需要考慮如何在公司現有政策框架內執行流程，以管理系統存取人員。

系統安全有時會透過實際動作而被略過，如變更連線、移除磁碟機，或是調整系統實際參數。規劃測試系統時，測試團隊必須考慮實際防護系統的方式。這可能需要控制房間出入權限，或鎖定系統特定元件。

安全計畫無法盡善盡美，攻擊者會不斷調整策略。為維護系統安全，測試團隊必須定期評估風險狀況，並在必要時進行調整。安全團隊會運用漏洞測試找出弱點。測試團隊必須規劃安全測試策略，以找出系統弱點。大型公司可能會建立一支能設計測試的安全團隊，而測試團隊也可能會聘請外部顧問來設計安全測試。

安全評估可協助團隊檢視現有安全控制措施的成效，並找出改善方法。安全團隊需要定期開會，以檢視並更新安全系統。

當系統定義明確，且要為定義的系統採取控制措施時，NIST 800-171 會是最有效選擇。除系統元件外，定義也需包含與外部系統的連線。此套規定要求確保連線安全並有保護措施。此保護措施必須確保資料不會流出受保護系統外。如有意傳送資料時必須為資料加密，以防止資料遭竊取。

NIST 800-171 中的此類控制措施包含識別系統瑕疵並更新相關流程的其他規定。其中包括讓惡意程式碼保護措施保持最新狀態。測試團隊需要建立檢視與更新系統的計畫，並將測試系統的干擾降至最低。

本文概述將 NIST 800-171 各類控制措施應用於測試系統的方式。測試團隊在制定測試系統部署計畫時，應檢視這些規定。 

了解 NI 如何提供資源，協助您的團隊符合這些規定。 

• 訂閱安全公告
• 下載安全更新項目
• 回報安全問題