浅谈文件完整性监测(FIM)

了解信息安全行业的人，应该对文件完整性监测(FIM)有所认识，这是一种早已面世的功能，Tripwire最初的开源文件散列监测工具中就有了。

FIM至今依然存在于我们周围，老而弥坚，仍不断有人展开新的部署。这么长的时间区间里还能为人重视的安全控制措施其实不算太多。毕竟，知道文件修改的时间和方式对安全来说相当重要且有用。

但是，技术日新月异。1998年一枚233Mhz主频的CPU堪称台式机尖端配置，2018年应用程序不搬到云端就算落伍了。同时，FIM自身却在这些年里并没有太大变化，依然就是检测文件的变化。

或许，是时候让FIM成长进化为完整性管理了。

完整性管理是建立基线并监测变化的一个过程，就是定义出一理想状态，然后维持它。其概念其实也就是信息安全的要义所在。FIM只是将这个概念收窄应用到了文件和一些额外的配置元素上了而已。

完整性管理则是将这一概念应用到公司整个IT生态系统上，包括系统、网络设备和云基础设施，甚至可能随着威胁环境的改变而延伸到公司之。

如果以可接受风险来衡量理想状态，维持完整性就是要维持风险的可接受水平。影响到公司风险态势的任何改变都要着手处理，越快越好。

完整性管理落到实处，其实就是下面几个核心步骤：

1. 从安全部署开始

应用完整性管理原则的第一个地方就是部署环节。每个公司都应确保部署的是符合风险接受度标准的系统。这意味着得先建立起这些标准，并能够以之衡量服务器、镜像、容器和其他被部署的任何系统，无论是现场安装的还是虚拟的或者部署在云端的。必须摸清公司所有系统中有没有哪个系统是没有经过评估的漏网之鱼。

2. 为每个部署的系统建立基线

为系统建立基线的时机是其首次部署之时。发现修改并判断这些修改对该系统风险态势的影响，很大程度上得依赖所建立的基线。基线应与该类系统安全部署的标准密切相关。

3. 监测系统修改

完整性管理的核心在于检测修改。部署了安全系统并确定了其安全基线后，还必须能检测可能破坏系统完整性的修改。该过程要求公司的修改检测、基线和修改过程紧密衔接。

4. 调查并缓解修改

不是每个修改都需要采取缓解措施。实现调解过程以分清良莠十分重要。常规的业务变动，且与修改指令或计划更新相关的那些就不需要作出响应。不能被调解的修改或者影响到风险态势的修改就必须加以调查并缓解。为此，须得足够了解这些修改的详情以做出决策。

实现完整性管理项目并不容易，但它可以为公司带来很大好处。