配置是指为用户或用户群提供一种或多种信息服务所需的一系列活动(“新”指的是在此之前对该用户或用户群不可用)。配置的核心是必须以安全的方式提供这些服务。换言之,我们必须确保服务本身就是安全的。我们也必须确保用户或系统可以根据他们自己的授权及最低权限原则,安全地使用这些服务。1保护我们的信息系统最重要的是要知道我们在防护什么。尽管跟踪硬件和软件的方法不同,但它们都是公认的关键控制手段。至少,如果你不清楚自己拥有什么,那就很难去保护它。但很显然,许多组织并没有及时对其硬件与软件登记造册。资产监控不仅包括跟踪我们的现有设备,同时也需要识别时而可能出现在我们区域内的未知设备。从个人经历中想到的例子包括恶意无线接入点、个人移动设备,甚至包括电话调制器。每一种情况都会带来未知(而十足)的风险。解决方案就是,需要有一个全面的监控流程用来积极搜索这些设备,从而确保所有设备按照你组织的安全策略运行。控制相应的系统所包含的软件。以下是一些被广为接受的最佳做法:•应用白名单。白名单是指允许在单一或成套设备中运行的一系列软件的列表。采用这一方法不仅可阻止安装未经许可或授权的软件,也可防止各种类型的恶意软件。•使用母盘。正如本章前面所介绍的,母盘是标准镜像工作站或服务器,它包括适当配置和授权的软件。组织可有多种镜像代表不同的用户群。尤其当用户无权对其进行修改时,使用母盘会简化新设备的供应与配置。•执行最低权限原则。若特定的用户无法在其设备上安装任何软件,那么恶意应用程序就更难出现在我们的网络中。此外,如果我们采用这一方法,就能够降低受到大量攻击时的风险。•自动扫描。应定期扫描你的网络中的每一台设备,以确保其仅运行适当配置,以及经过批准的软件。记录对此政策的偏离,并由信息或安全小组进行调查。2当我们能够处理好组织中现有的硬件和软件之后,接下来就需要确保我们可以(并保持)优化配置这些资产。可惜,不幸的是大部分默认配置都不安全。这就意味着当我们配置新硬件或软件时,若不配置安全性,毫无疑问,我们的系统将会受到攻击。配置管理(CM)是在我们所有系统上建立并保持基线的程序。3下面的步骤是流程类型的示例,这应当是任何变更控制策略的一部分:(1)请求发生一个变更请求应当提交给某个个体或小组,他们负责批准变更和检查在一个环境内发生的变更活动。(2)变更的批准请求变更的个体必须证明原因,并且明确说明变更的好处和可能的缺陷...
