安全配置管理（SCM）的价值与应用

安全配置管理（SCM）已经成为现代企业组织开展网络安全建设的安全重要基础工作，是配置各种安全能力有效运营的基础
，缺少它一切只是管理空中楼阁
。SANS 研究所和互联网安全中心建议，价值当企业全面梳理IT资产后 ，应用最重要的安全安全控制就是进行可靠的安全配置。CIS关键安全控制第4项（Critical Security Control 4）也表明 ，配置“企业应建立和维护硬件（包括便携式和移动设备的管理最终用户设备、网络设备 、免费模板价值非计算/物联网设备及服务器）和软件（操作系统及应用程序）的应用安全配置
。”

什么是安全安全配置管理？

美国国家标准与技术研究所（NIST）给安全配置管理SCM进行了以下定义
：以实现安全和管理风险为目标的信息系统配置管理和控制。通过为系统设置一套标准配置，配置并持续监控各个指标 ，管理组织就可以迅速识别违规行为 ，价值并减少攻击面
。应用

如果组织使用SCM执行安全加强标准（比如CIS 、NIST和ISO 27001）或合规标准（比如PCI 
、SOX、NERC或HIPAA） ，就能够持续加强系统安全
，减小网络犯罪分子发动攻击的机会 。高防服务器

攻击者总是伺机寻找那些默认设置很容易中招的系统  ，一旦发现漏洞，攻击者就会更改系统设置，实施破坏活动。在这种情况下，安全人员能够拥有一套合适的管理工具，对安全配置进行有效管理显得格外重要。SCM工具不仅可以识别使组织系统易受攻击的错误配置 ，还可以让组织准确了解关键资产上发生的变化，比如 ，可以识别对关键文件或注册表项所做的服务器租用“异常”变更等。

安全配置管理计划与实施

组织如果没有安全配置管理计划 ，即使在一台服务器上维护安全配置也困难重重，更何况组织通常有成千上万个端口、服务和配置需要跟踪 。为有效跟踪企业众多服务器 、虚拟机管理程序、云资产  、路由器、交换机和防火墙的配置情况，最好的方法是借助自动化。一款好的SCM工具可以为组织自动处理这些任务，建站模板同时清晰显示系统情况。一旦组织的系统配置有误，安全人员就会立即接到通知，并获得详细的处置说明
 ，以纠正错误配置 。

成熟的SCM计划有四个关键阶段：

1、发现设备

首先组织要找到需要管理的设备 ，组织可以利用整合资产管理存储库的SCM平台完成这项工作。组织还需要对资产进行分类和标记，比如，技术部门的云计算工作站需要与财务系统不一样的配置，避免启动不必要的服务。

2 、建立配置基准

组织需要为每种类型的受管理设备确定可接受的安全配置。许多组织从CIS或NIST等权威机构的基准入手 ，以获得配置设备的详细指导
。

3、评估和报告变更

组织在找到需要管理的设备并进行分门别类后 ，下一步就是模板下载定义评估设备的频次，也就是组织应该多久审查一次安全策略。也许有些企业可以使用实时评估，但并非所有场景都需要实时评估
 ，应根据企业的具体情况进行设置
 。

4 、及时补救

一旦发现了问题，就需要修复问题
，否则攻击者就会趁虚而入。组织需要确定待处理事项的优先级 ，根据轻重缓急处理不同问题，同时 ，还需要验证系统或配置确实发生了变更。

企业在设计有效的安全配置管理计划时 ，还要重点关注以下事项 ：

要避免在IT系统环境中出现资产盲点，通常需要结合基于代理的扫描和无代理扫描 ，以确保始终正确配置了整个环境。组织需要为技术用户和非技术用户设置可选择的设置模式 ，并且需要能够实现仅向授权用户或用户组显示某些要素 、策略及/或警报  ，这些权限通常存储在企业目录中 。安全警报通常由系统中配置的策略驱动，因此，为确保SCM方案满足企业的独特需求 ，创建和管理策略至关重要。争分夺秒在任何事件响应中都非常重要，因此，能够通过深入分析，为事件响应流程提供有价值的信息就显得很有必要 。管理员可以监控和管理表明有违规行为的策略违反行为。

虽然安全配置管理过程很复杂，但如果组织使用合适的SCM工具 ，大部分工作都可以借助自动化来完成。组织使用安全加强标准，并设立基准基线 ，以识别该标准出现的变化，是“密切关注敌人”的好方法。

参考链接

https://www.tripwire.com/state-of-security/featured/why-security-configuration-management-matters/。