安全配置管理（SCM）已经成为现代企业组织开展网络安全建设的安全重要基础工作，是配置各种安全能力有效运营的基础，缺少它一切只是管理空中楼阁。SANS 研究所和互联网安全中心建议 ，价值当企业全面梳理IT资产后，应用最重要的安全安全控制就是进行可靠的安全配置。CIS关键安全控制第4项（Critical Security Control 4）也表明  ，配置“企业应建立和维护硬件（包括便携式和移动设备的管理最终用户设备、网络设备 、亿华云价值非计算/物联网设备及服务器）和软件（操作系统及应用程序）的应用安全配置。”

什么是安全安全配置管理 ？

美国国家标准与技术研究所（NIST）给安全配置管理SCM进行了以下定义：以实现安全和管理风险为目标的信息系统配置管理和控制 。通过为系统设置一套标准配置 ，配置并持续监控各个指标，管理组织就可以迅速识别违规行为，价值并减少攻击面。应用

如果组织使用SCM执行安全加强标准（比如CIS、NIST和ISO 27001）或合规标准（比如PCI、SOX
、NERC或HIPAA），就能够持续加强系统安全 ，减小网络犯罪分子发动攻击的机会
。高防服务器

攻击者总是伺机寻找那些默认设置很容易中招的系统 ，一旦发现漏洞，攻击者就会更改系统设置 ，实施破坏活动。在这种情况下 ，安全人员能够拥有一套合适的管理工具 ，对安全配置进行有效管理显得格外重要。SCM工具不仅可以识别使组织系统易受攻击的错误配置 ，还可以让组织准确了解关键资产上发生的变化 ，比如，可以识别对关键文件或注册表项所做的模板下载“异常”变更等。

安全配置管理计划与实施

组织如果没有安全配置管理计划 ，即使在一台服务器上维护安全配置也困难重重，更何况组织通常有成千上万个端口 、服务和配置需要跟踪 。为有效跟踪企业众多服务器
、虚拟机管理程序
、云资产 、路由器 、交换机和防火墙的配置情况
，最好的方法是借助自动化。一款好的SCM工具可以为组织自动处理这些任务 ，建站模板同时清晰显示系统情况。一旦组织的系统配置有误 ，安全人员就会立即接到通知，并获得详细的处置说明，以纠正错误配置 。

成熟的SCM计划有四个关键阶段：

1 、发现设备

首先组织要找到需要管理的设备，组织可以利用整合资产管理存储库的SCM平台完成这项工作  。组织还需要对资产进行分类和标记，比如 ，技术部门的香港云服务器工作站需要与财务系统不一样的配置 ，避免启动不必要的服务。

2  、建立配置基准

组织需要为每种类型的受管理设备确定可接受的安全配置
。许多组织从CIS或NIST等权威机构的基准入手
，以获得配置设备的详细指导  。

3 
、评估和报告变更

组织在找到需要管理的设备并进行分门别类后 ，下一步就是免费模板定义评估设备的频次 ，也就是组织应该多久审查一次安全策略。也许有些企业可以使用实时评估，但并非所有场景都需要实时评估，应根据企业的具体情况进行设置 。

4 、及时补救

一旦发现了问题，就需要修复问题
，否则攻击者就会趁虚而入。组织需要确定待处理事项的优先级，根据轻重缓急处理不同问题
，同时，还需要验证系统或配置确实发生了变更
。

企业在设计有效的安全配置管理计划时，还要重点关注以下事项
：

要避免在IT系统环境中出现资产盲点  ，通常需要结合基于代理的扫描和无代理扫描，以确保始终正确配置了整个环境  。组织需要为技术用户和非技术用户设置可选择的设置模式，并且需要能够实现仅向授权用户或用户组显示某些要素、策略及/或警报 ，这些权限通常存储在企业目录中 。安全警报通常由系统中配置的策略驱动，因此 ，为确保SCM方案满足企业的独特需求，创建和管理策略至关重要。争分夺秒在任何事件响应中都非常重要 ，因此，能够通过深入分析
，为事件响应流程提供有价值的信息就显得很有必要 。管理员可以监控和管理表明有违规行为的策略违反行为。

虽然安全配置管理过程很复杂，但如果组织使用合适的SCM工具 ，大部分工作都可以借助自动化来完成 。组织使用安全加强标准，并设立基准基线 ，以识别该标准出现的变化，是“密切关注敌人”的好方法。

参考链接

https://www.tripwire.com/state-of-security/featured/why-security-configuration-management-matters/
。