D7-05 8–10 分钟 重要程度:高
配置、变更、补丁与漏洞管理
配置管理维持安全基线,变更管理控制生产环境风险,补丁和漏洞管理减少攻击面。CISSP 题目重视测试、审批、记录和验证。
一、必须记住
- Configuration management 确保系统从安全一致状态部署,并在生命周期内维持该状态。
- Baseline 是系统初始安全配置;Image 可用于重复部署一致配置。
- 配置文档应说明系统目的、当前配置、负责人和基线后的变更。
- 变更管理流程通常包括请求、审查、批准或拒绝、测试、安排实施、记录。
- Security impact analysis 在生产变更前识别变更对 CIA 和控制的影响。
- Patch management 包括评估、测试、审批、部署和验证。
- Vulnerability assessment 在某一时间点识别漏洞;CVE 提供通用漏洞标识。
二、核心概念
配置管理
安全基线让系统部署后处于已知、受控和可重复的安全状态。若系统漂移,组织应通过配置扫描、组策略、自动化工具或重新部署镜像恢复一致性。
变更管理
未授权或未测试的变更可能直接影响 Availability,也可能削弱 Confidentiality 或 Integrity。正式流程要在生产前做安全影响分析,并保留版本、批准、测试和回退记录。
补丁与漏洞
补丁管理不只适用于服务器和工作站,也适用于运行 OS 或固件的网络设备、打印机、防火墙和云工作负载。部署后必须验证补丁完成,不能只看工单关闭。
三、CISSP 判断规则
- 问已知安全起点,选 Baseline。
- 问生产变更前识别安全影响,选 Security impact analysis。
- 问未经批准的修改,优先走 Change management。
- 问补丁流程最后一步,选 Verify deployment。
- 问漏洞通用编号,选 CVE。
四、常见陷阱
- 补丁应先评估和测试,再批准部署;紧急补丁也应记录和补做评审。
- 漏洞扫描发现问题不等于已经修复,仍需风险排序、修补和验证。
- 配置基线不是静态文件,环境变化后要维护和更新。
五、英文关键字
Configuration management (配置管理) 定义:维持系统和软件处于受控、已知、可重复的状态。 Baseline (基线) 定义:最低安全要求。 Image Configuration documentation Change management (变更管理) 定义:通过请求、审批、测试、实施和记录控制生产变更。 Security impact analysis (安全影响分析) 定义:在变更前评估对 CIA 和控制的影响。 Version control Patch management (补丁管理) 定义:评估、测试、批准、部署并验证补丁。 Hotfix Service pack Vulnerability assessment CVE (通用漏洞披露) 定义:公开漏洞的标准编号。
小测验
1. 在生产环境变更前评估该变更对安全控制和 CIA 的影响,称为?
安全影响分析是变更管理中识别变更安全影响的关键步骤。
2. 补丁管理流程中,部署补丁之后还必须做什么?
CISSP 强调部署后验证,确保补丁确实安装且未造成不可接受影响。
3. 用于表示系统初始安全配置的受控起点是?
Baseline 是配置管理中的安全一致起点,可用于比较和恢复配置。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成