文件完整性监测的5个阶段

文件完整性监测(FIM)解决方案如果部署得好，益处是很大的：

公司主营业务：成都网站制作、做网站、外贸营销网站建设、移动网站开发等业务。帮助企业客户真正实现互联网宣传，提高企业的竞争能力。创新互联是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化，感谢他们对我们的高要求，感谢他们从不同领域给我们带来的挑战，让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。创新互联推出册亨免费做网站回馈大家。

• 如果看到非预期或无法解释的文件修改，可以立即展开调查：若调查发现系统被入侵，可以快速解决问题。
• 可根据文本或电子表格中列出的核准变更来协调这些修改。
• 可判定这些修改是否动到了策略配置(影响固化标准)。
• 可自动化特定类型修改的响应动作——比如：标记DLL文件的出现(高风险)，但自动推进对DLL文件的简单修改(低风险)。

但我们不能低估FIM的重要性。别忘了互联网安全中心在《关键安全控制 3.5》中说的：

该报告系统应达到：

• 具备识别常规和预期修改的能力;
• 标记并报警不正常或非预期修改;
• 显示配置变更历史及变更人(包括用户ID切换时的原始登录账户，比如执行“su”或“sudo”指令时)。

这些完整性检查应识别出可疑系统修改，比如：

• 对文件或目录的拥有者及权限的修改;
• 使用可隐藏恶意活动的备用数据流;
• 在系统关键位置增加文件(可能是攻击者留下的恶意攻击载荷，或批处理过程中不当引入的文件)。

不过，如果控制不好，FIM也可能很“烦人”，还会耗用大量时间和精力。只有精挑细选解决方案，精心维护，恰当馈送，根据环境变化进行微调，才可以避免FIM的5个阶段不至于让你的安全团队不堪重负。

简单讲，FIM的5个阶段是：

1. 发现被监测环境中出现了变化;
2. 有变化，而且是非预期的;
3. 有变化，非预期，而且是不好的改变;
4. 有变化，非预期，有不良后果，但有办法恢复到已知可信状态;
5. 有变化，非预期，会造成不良后果，有办法修复，调整解决方案以最小化将来的噪音。

如果尚未部署解决方案，或者已有解决方案不能快速搞定此类变化，那就容易产生FIM“没什么用”的认知。

提升FIM功效的最佳办法，是将其监测范围缩小到针对能解决合规、安全和运营问题的用例上，而且最好就是按这个顺序确定优先级。上述5个阶段的复杂度也是顺序递进的。

SOX(《塞班斯法案》)合规就是企业FIM的一个很好案例，企业产出SOX相关内容时需有“位置”信息，比如文件、目录、应用，甚至数据库字段。但不是全部文件、目录或应用。

FIM运用上更为成熟的企业可能会说：“我们的SOX数据关联有135个可作为审计点的位置。我们需要知道发生了什么改变，包括基线改变，以确保生成这些关键点的财务报告时不出错。”

企业购买FIM的原因多种多样。有些是想要个便宜的“勾选式”解决方案以显示依法进行了尽职审查，另一些则更关注环境中出现的修改对正常运营造成的影响。

只要认识到FIM的价值，将不得不做的尽职审查转变为主动去做的安全合规，并将防线缩小到关键节点上，收获更多FIM带来的价值和优势就不是空谈。

新闻名称：文件完整性监测的5个阶段
文章源于：http://www.36103.cn/qtweb/news19/5719.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联