眾所周知，確保網(wǎng)絡(luò)設(shè)備與應(yīng)用系統(tǒng)的安全運行是減少基礎(chǔ)架構(gòu)攻擊面的基礎(chǔ)和前提,，為此,，國際互聯(lián)網(wǎng)安全中心（CIS）等組織陸續(xù)頒布了相關(guān)工作指南,，明確規(guī)定了所有部署的應(yīng)用系統(tǒng)都應(yīng)安全配置,，并且這些配置應(yīng)受到持續(xù)監(jiān)控，并得到長期維護,，以便保持在安全可靠的配置狀態(tài)下運行工作,。但是在實際應(yīng)用中，雖然很多企業(yè)都會按照CIS標準指南要求部署配置系統(tǒng),，但長期的準確管理配置卻難以保障,，配置漂移情況時有發(fā)生。

　　什么是配置漂移,？軟件系統(tǒng)在開發(fā)和交付過程中,，需要根據(jù)應(yīng)用需求不斷進行修改和調(diào)整，隨之而來也會發(fā)生相關(guān)軟件運行參數(shù)的配置變更,。在理想的情況下,，這些變更都應(yīng)該有序進行，并被準確跟蹤記錄,。但是,，由于企業(yè)的實際應(yīng)用環(huán)境并不完美，導(dǎo)致企業(yè)很多的修改并未被正確同步,。當系統(tǒng)正式上線后,，實際運行的配置與研發(fā)設(shè)計的配置并不一致，這種現(xiàn)象就叫配置漂移,。

　　配置漂移會讓組織面臨重大安全風險,，具體視漂移的嚴重程度而定。那么該如何應(yīng)對這種情況的發(fā)生呢,？維護系統(tǒng)配置的方法主要有三種,。企業(yè)組織可以根據(jù)自身安全管理流程的成熟度，選擇適合自己的管理方法,。

　　模式一  人工監(jiān)控系統(tǒng)配置

　　人工管理系統(tǒng)配置非常耗時,，因此難以定期,、持續(xù)開展。由于合規(guī)管理的硬性要求,，組織通常會嘗試將系統(tǒng)數(shù)量限制在必須審核管理的范圍內(nèi),，從而盡可能減少人工監(jiān)控的工作量。在此情況下,，審核員也只會核實有限范圍內(nèi)的部分系統(tǒng)和應(yīng)用,，以驗證配置的正確性和合規(guī)性。只有當這部分設(shè)備被發(fā)現(xiàn)存在配置漂移時,，組織才會采取修復(fù)措施,。

　　模式二  通過掃描工具監(jiān)測配置情況

　　采用掃描工具可以對人工監(jiān)測進行有效的補充，但這仍需要一定程度的交互來創(chuàng)建工具掃描所需的管理憑據(jù),，以及需要時安排工具操作人員運行掃描，并針對結(jié)果進行人工修補,。工具掃描通常每月或每季度進行一次,，以滿足合規(guī)流程的需要。

　　在實際應(yīng)用中,，這種模式通常也主要針對合規(guī)要求內(nèi)的應(yīng)用系統(tǒng),，而其他系統(tǒng)往往會被遺忘，只有在它們暴露出問題或發(fā)生運行事故時才進行檢查,。在CIS發(fā)布的指南中,，建議企業(yè)組織盡可能為所有應(yīng)用系統(tǒng)提供安全配置監(jiān)測，因此即使發(fā)生變更,，也應(yīng)有能力持續(xù)維護所有運行系統(tǒng)上的配置正確,。

　　模式三  實時地監(jiān)控所有系統(tǒng)配置

　　在此模式下，可以為各種應(yīng)用系統(tǒng)配備輕量級代理,，并通過代理監(jiān)控系統(tǒng)的配置變更和運行狀態(tài),。代理程序可以嵌入到已部署的映像中，或者包含在某些自動化工具（比如Puppet或Chef）的部署流程中,，從而連接到所有的應(yīng)用系統(tǒng)上,。

　　一旦代理啟動并進行監(jiān)控，就可以實時發(fā)現(xiàn)系統(tǒng)的異常變更,，同時啟動相應(yīng)的修補措施,。比如說，這可以通過自動創(chuàng)建事件工單,、發(fā)送電子郵件或通過安全事件管理（SIEM）工具來完成,。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<