问如何存储和维护安全配置文档？

EN

正如一些人所建议的那样，使用配置管理工具，如Puppet (推荐)、Chef等。使用VCS (如Git )来存储木偶清单的修订。使用“木偶”，您可以定义您的安全基线，并将其应用于任意数量的计算机。添加一些注释到木偶代码(操作代码)，你就有了你的“配置文档”。

一般来说，基线不会经常改变。它通常具有一个标准，这是一个更理论的方法，可以是技术上独立的。基线在技术上是依赖的，应该规定如何配置一台新机器，使其在安全性方面得到充分加强。

一个步骤可以是做出一般的配置，这些配置在部署之前就已经强化了。

如果您开始涉及漏洞智能提要，则您所处的领域是修补程序管理，而不是基线。基线应声明将机器更新为最新版本。一个标准应该解释所有的机器应该使用补丁管理方法定期更新。不应在基线本身内定义修补程序管理过程。

正常情况下，审计应以下列方式进行：

• 在最终部署之后，将对设备进行审核，以确定配置是否具有正确的值。
• 在一定的时间间隔内，应随机选择机器，并在审计师的监督下提取配置，并应对照基线进行检查。遵从性脚本可以运行，但它们需要在每个基线更改时更新(通常不应该如此频繁)。

关于下列步骤：

• 更容易了解新的和当前的威胁
• 当某些系统无法满足最佳安全原则时，更容易记录异常

首先，请注意，即使承认当前的威胁，这些威胁每年也不会达到数百个，最多也不会达到10个(取决于组织设备的大小，如果您有10个不同的设备执行相同的任务，则应该检查基础设施的配置和设计流程/决策)。

为了跟踪例外情况，必须指出，应将异常记录到风险评估过程中。如果存在需要接受的风险，则应创建一份正式文件，详细说明问题、风险和建议的解决办法。然后，审计/风险/业务委员会可以审查此文档并批准或拒绝解决方案。

如果：

• 您开始使用版本化PDF。
• 将更改管理工具中的每个更改记录到基线。

每一份文件更新都将是某一事件的结果。这一事件要么是由于威胁情报(例如，需要禁用SSL压缩)，要么是由于操作问题。此事件将产生一个响应，从这个响应中应该生成一个新的票证，说明文档应该由变更委员会更新和验证。

如果您没有使用风险管理/变更管理工具，我强烈建议您设置一个工具。