了解信息安全行業(yè)的人，應(yīng)該對(duì)文件完整性監(jiān)測(FIM)有所認(rèn)識(shí)，這是一種早已面世的功能，Tripwire最初的開源文件散列監(jiān)測工具中就有了。

[[233805]]

FIM至今依然存在于我們周圍，老而彌堅(jiān)，仍不斷有人展開新的部署。這么長的時(shí)間區(qū)間里還能為人重視的安全控制措施其實(shí)不算太多。畢竟，知道文件修改的時(shí)間和方式對(duì)安全來說相當(dāng)重要且有用。

但是，技術(shù)日新月異。1998年一枚233Mhz主頻的CPU堪稱臺(tái)式機(jī)***配置，2018年應(yīng)用程序不搬到云端就算落伍了。同時(shí)，F(xiàn)IM自身卻在這些年里并沒有太大變化，依然就是檢測文件的變化。

或許，是時(shí)候讓FIM成長進(jìn)化為完整性管理了。

完整性管理是建立基線并監(jiān)測變化的一個(gè)過程，就是定義出一理想狀態(tài)，然后維持它。其概念其實(shí)也就是信息安全的要義所在。FIM只是將這個(gè)概念收窄應(yīng)用到了文件和一些額外的配置元素上了而已。

完整性管理則是將這一概念應(yīng)用到公司整個(gè)IT生態(tài)系統(tǒng)上，包括系統(tǒng)、網(wǎng)絡(luò)設(shè)備和云基礎(chǔ)設(shè)施，甚至可能隨著威脅環(huán)境的改變而延伸到公司之。

如果以可接受風(fēng)險(xiǎn)來衡量理想狀態(tài)，維持完整性就是要維持風(fēng)險(xiǎn)的可接受水平。影響到公司風(fēng)險(xiǎn)態(tài)勢的任何改變都要著手處理，越快越好。

完整性管理落到實(shí)處，其實(shí)就是下面幾個(gè)核心步驟：

1. 從安全部署開始

應(yīng)用完整性管理原則的***個(gè)地方就是部署環(huán)節(jié)。每個(gè)公司都應(yīng)確保部署的是符合風(fēng)險(xiǎn)接受度標(biāo)準(zhǔn)的系統(tǒng)。這意味著得先建立起這些標(biāo)準(zhǔn)，并能夠以之衡量服務(wù)器、鏡像、容器和其他被部署的任何系統(tǒng)，無論是現(xiàn)場安裝的還是虛擬的或者部署在云端的。必須摸清公司所有系統(tǒng)中有沒有哪個(gè)系統(tǒng)是沒有經(jīng)過評(píng)估的漏網(wǎng)之魚。

2. 為每個(gè)部署的系統(tǒng)建立基線

為系統(tǒng)建立基線的時(shí)機(jī)是其***部署之時(shí)。發(fā)現(xiàn)修改并判斷這些修改對(duì)該系統(tǒng)風(fēng)險(xiǎn)態(tài)勢的影響，很大程度上得依賴所建立的基線?；€應(yīng)與該類系統(tǒng)安全部署的標(biāo)準(zhǔn)密切相關(guān)。

3. 監(jiān)測系統(tǒng)修改

完整性管理的核心在于檢測修改。部署了安全系統(tǒng)并確定了其安全基線后，還必須能檢測可能破壞系統(tǒng)完整性的修改。該過程要求公司的修改檢測、基線和修改過程緊密銜接。

4. 調(diào)查并緩解修改

不是每個(gè)修改都需要采取緩解措施。實(shí)現(xiàn)調(diào)解過程以分清良莠十分重要。常規(guī)的業(yè)務(wù)變動(dòng)，且與修改指令或計(jì)劃更新相關(guān)的那些就不需要作出響應(yīng)。不能被調(diào)解的修改或者影響到風(fēng)險(xiǎn)態(tài)勢的修改就必須加以調(diào)查并緩解。為此，須得足夠了解這些修改的詳情以做出決策。

實(shí)現(xiàn)完整性管理項(xiàng)目并不容易，但它可以為公司帶來很大好處。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文