浅谈文件完整性监测(FIM)

了解信息安全行业的人应监控文件的完整性(FIM)有所了解，这是一种早已出现的功能，Tripwire在最初的开源文件散列监控工具中。

FIM到目前为止，它仍然存在于我们周围。随着年龄的增长，人们仍在进行新的部署。事实上，在这么长的时间内，没有太多的安全控制措施可以被重视。毕竟，了解文件修改的时间和 *** 对安全非常重要和有用。

然而，技术日新月异。一九九八年233Mhz主频的CPU堪称台式机***配置，2018年应用程序不搬到云端就落后了。FIM但是这几年自己变化不大，还是检测文件的变化。

也许，是时候让步了FIM成长进化为完整性管理。

完整性管理是建立基线和监控变化的过程，即定义理想状态并维持它。其概念实际上是信息安全的本质。FIM只是将这个概念缩小到文件和一些额外的配置元素上。

完整性管理是将这一概念应用到整个公司IT包括系统、 *** 设备和云基础设施在内的生态系统，甚至可能随着环境威胁的变化而延伸到公司。

如果你能用可接受的风险来衡量理想的状态，保持完整性就是保持风险的可接受水平。影响公司风险状况的任何变化都应该得到处理，越快越好。

实施完整性管理实际上是以下核心步骤：

1. 从安全部署开始

应用完整性管理原则***一个地方是部署链接。每个公司都应确保部署符合风险接受度标准的系统。这意味着必须首先建立这些标准，并能够衡量服务器、镜像、容器和其他部署的任何系统，无论是现场安装、虚拟或部署在云中。必须找出公司所有系统中是否有未经评估的系统。

2. 为每个部署系统建立基线

是时候为系统建立基线了***部署时。修改和判断这些修改对系统风险状况的影响在很大程度上取决于建立的基线。基线应与此类系统的安全部署标准密切相关。

3. 修改监控系统

完整性管理的核心是检测和修改。部署安全系统并确定其安全基线后，还必须能够检测可能损坏系统完整性的修改。该过程要求公司的修改、测试、基线和修改过程紧密连接。

4. 调查和缓解修改

并非每一次修改都需要采取缓解措施。实现调解过程，区分好坏是非常重要的。与修改指令或计划更新相关的常规业务变更不需要响应。必须调查和缓解不能调解或影响风险情况的修改。因此，我们必须对这些修改的细节有足够的了解才能做出决定。

实现完整性管理项目并不容易，但它能给公司带来很大的好处。

【本文是51CTO专栏作者“”李少鹏“”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv）获取授权】

戳这里，看作者更好的文章