安全配置管理（SCM）已經成為現代企業(yè)組織開展網絡安全建設的重要基礎工作，是各種安全能力有效運營的基礎,，缺少它一切只是空中樓閣,。SANS 研究所和互聯網安全中心建議,，當企業(yè)全面梳理IT資產后，最重要的安全控制就是進行可靠的安全配置,。CIS關鍵安全控制第4項（Critical Security Control 4）也表明,，“企業(yè)應建立和維護硬件（包括便攜式和移動設備的最終用戶設備、網絡設備,、非計算/物聯網設備及服務器）和軟件（操作系統(tǒng)及應用程序）的安全配置,。”

　　什么是安全配置管理,？

　　美國國家標準與技術研究所（NIST）給安全配置管理SCM進行了以下定義：以實現安全和管理風險為目標的信息系統(tǒng)配置管理和控制,。通過為系統(tǒng)設置一套標準配置，并持續(xù)監(jiān)控各個指標,，組織就可以迅速識別違規(guī)行為,，并減少攻擊面。

　　如果組織使用SCM執(zhí)行安全加強標準（比如CIS,、NIST和ISO 27001）或合規(guī)標準（比如PCI,、SOX、NERC或HIPAA）,，就能夠持續(xù)加強系統(tǒng)安全,，減小網絡犯罪分子發(fā)動攻擊的機會。

　　攻擊者總是伺機尋找那些默認設置很容易中招的系統(tǒng),，一旦發(fā)現漏洞,，攻擊者就會更改系統(tǒng)設置,，實施破壞活動,。在這種情況下，安全人員能夠擁有一套合適的管理工具,，對安全配置進行有效管理顯得格外重要,。SCM工具不僅可以識別使組織系統(tǒng)易受攻擊的錯誤配置，還可以讓組織準確了解關鍵資產上發(fā)生的變化,，比如,，可以識別對關鍵文件或注冊表項所做的“異?！弊兏取?/p>

　　安全配置管理計劃與實施

　　組織如果沒有安全配置管理計劃,，即使在一臺服務器上維護安全配置也困難重重,，更何況組織通常有成千上萬個端口、服務和配置需要跟蹤,。為有效跟蹤企業(yè)眾多服務器,、虛擬機管理程序、云資產,、路由器,、交換機和防火墻的配置情況，最好的方法是借助自動化,。一款好的SCM工具可以為組織自動處理這些任務,，同時清晰顯示系統(tǒng)情況。一旦組織的系統(tǒng)配置有誤,，安全人員就會立即接到通知,，并獲得詳細的處置說明，以糾正錯誤配置,。

　　成熟的SCM計劃有四個關鍵階段：

　　1.發(fā)現設備

　　首先組織要找到需要管理的設備,，組織可以利用整合資產管理存儲庫的SCM平臺完成這項工作。組織還需要對資產進行分類和標記,，比如,，技術部門的工作站需要與財務系統(tǒng)不一樣的配置，避免啟動不必要的服務,。

　　2.建立配置基準

　　組織需要為每種類型的受管理設備確定可接受的安全配置,。許多組織從CIS或NIST等權威機構的基準入手，以獲得配置設備的詳細指導,。

　　3.評估和報告變更

　　組織在找到需要管理的設備并進行分門別類后,，下一步就是定義評估設備的頻次，也就是組織應該多久審查一次安全策略,。也許有些企業(yè)可以使用實時評估,，但并非所有場景都需要實時評估，應根據企業(yè)的具體情況進行設置,。

　　4.及時補救

　　一旦發(fā)現了問題,，就需要修復問題，否則攻擊者就會趁虛而入,。組織需要確定待處理事項的優(yōu)先級,，根據輕重緩急處理不同問題，同時，還需要驗證系統(tǒng)或配置確實發(fā)生了變更,。

　　企業(yè)在設計有效的安全配置管理計劃時,，還要重點關注以下事項：

　　要避免在IT系統(tǒng)環(huán)境中出現資產盲點，通常需要結合基于代理的掃描和無代理掃描,，以確保始終正確配置了整個環(huán)境,；

　　組織需要為技術用戶和非技術用戶設置可選擇的設置模式，并且需要能夠實現僅向授權用戶或用戶組顯示某些要素,、策略及/或警報,，這些權限通常存儲在企業(yè)目錄中；

　　安全警報通常由系統(tǒng)中配置的策略驅動,，因此,，為確保SCM方案滿足企業(yè)的獨特需求，創(chuàng)建和管理策略至關重要,；

　　爭分奪秒在任何事件響應中都非常重要,，因此，能夠通過深入分析,，為事件響應流程提供有價值的信息就顯得很有必要,。管理員可以監(jiān)控和管理表明有違規(guī)行為的策略違反行為。

　　雖然安全配置管理過程很復雜,，但如果組織使用合適的SCM工具,，大部分工作都可以借助自動化來完成。組織使用安全加強標準,，并設立基準基線,，以識別該標準出現的變化，是“密切關注敵人”的好方法,。

更多信息可以來這里獲取==>>電子技術應用-AET<<