D7-05 8–10 分钟 重要程度:高

配置、变更、补丁与漏洞管理

配置管理维持安全基线,变更管理控制生产环境风险,补丁和漏洞管理减少攻击面。CISSP 题目重视测试、审批、记录和验证。

一、必须记住

  • Configuration management 确保系统从安全一致状态部署,并在生命周期内维持该状态。
  • Baseline 是系统初始安全配置;Image 可用于重复部署一致配置。
  • 配置文档应说明系统目的、当前配置、负责人和基线后的变更。
  • 变更管理流程通常包括请求、审查、批准或拒绝、测试、安排实施、记录。
  • Security impact analysis 在生产变更前识别变更对 CIA 和控制的影响。
  • Patch management 包括评估、测试、审批、部署和验证。
  • Vulnerability assessment 在某一时间点识别漏洞;CVE 提供通用漏洞标识。

二、核心概念

配置管理

安全基线让系统部署后处于已知、受控和可重复的安全状态。若系统漂移,组织应通过配置扫描、组策略、自动化工具或重新部署镜像恢复一致性。

变更管理

未授权或未测试的变更可能直接影响 Availability,也可能削弱 Confidentiality 或 Integrity。正式流程要在生产前做安全影响分析,并保留版本、批准、测试和回退记录。

补丁与漏洞

补丁管理不只适用于服务器和工作站,也适用于运行 OS 或固件的网络设备、打印机、防火墙和云工作负载。部署后必须验证补丁完成,不能只看工单关闭。

三、CISSP 判断规则

  • 问已知安全起点,选 Baseline。
  • 问生产变更前识别安全影响,选 Security impact analysis。
  • 问未经批准的修改,优先走 Change management。
  • 问补丁流程最后一步,选 Verify deployment。
  • 问漏洞通用编号,选 CVE。

四、常见陷阱

  • 补丁应先评估和测试,再批准部署;紧急补丁也应记录和补做评审。
  • 漏洞扫描发现问题不等于已经修复,仍需风险排序、修补和验证。
  • 配置基线不是静态文件,环境变化后要维护和更新。

五、英文关键字

Configuration management (配置管理) Baseline (基线) Image Configuration documentation Change management (变更管理) Security impact analysis (安全影响分析) Version control Patch management (补丁管理) Hotfix Service pack Vulnerability assessment CVE (通用漏洞披露)

小测验

1. 在生产环境变更前评估该变更对安全控制和 CIA 的影响,称为?

安全影响分析是变更管理中识别变更安全影响的关键步骤。

2. 补丁管理流程中,部署补丁之后还必须做什么?

CISSP 强调部署后验证,确保补丁确实安装且未造成不可接受影响。

3. 用于表示系统初始安全配置的受控起点是?

Baseline 是配置管理中的安全一致起点,可用于比较和恢复配置。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成