让我们面对现实：网络安全配置管理的讨论不会让安全工程师在早上兴奋的从床上跳下来。这仅仅是必须做的任务之一。问题是它应该做为首要任务，因为管理网络安全配置上的失误可能使人被炒鱿鱼，亦或者像安全圈子里所说的，是一个“为履历增色的项目”。

　　为什么？根据我的经验，基于误配置的攻击，由不当的网络配置造成的恶意的网络入侵，是仅次于软件bug的攻击媒介。实际上，攻击者现在利用搜索引擎APIs将搜索网络误配置及报告的过程自动化。这种“谷歌黑客”已经成为主流的黑客技术，并提供广泛的攻击媒介。例如，通过搜索 "intitle:index。of" 或 "inurl:index。of admin"可以发现误配置的服务器。通常在短短30分钟内，恶意黑客就可以触发一个搜索，发现一个漏洞报告，并开始主动扫描和利用。

　　和这个同时存在的是软件和硬件平台之间的极度不协调。很多关键业务系统仅仅是接口、通信的通道和控制系统的简单拼凑。这会成为安全瓶颈，例如一些系统仅支持8个字符的密码，而承载的应用程序却要求10个字符密码。（确实是一个极端的例子，但是却能说明问题。）

　　安全团队必须选择允许更简单的密码－或者默认设置－仅仅为了使流程能够按业务的要求工作。这使风险和监控属性概要更高，从而使事件响应时间缩短。关键是主动配置管理，现在有平台可以自动化这一流程。

　　自动化网络安全配置管理

　　为什么自动化？供应商正在慢慢引导我们到一种交互功能的世界，使安全管理、补丁管理、变更管理和帮助台管理系统都互联互通，这使得手动配置管理变得不切实际。例如，收到一个新应用补丁可用的通知是很常见的，但可能在实施之前要进行配置。补丁管理系统注意到新补丁并要求触发一个更新请求去生成服务请求记录。然后安全配置系统被指定给受补丁影响的用户执行必要的策略改变。当这一切是由每个管理系统的策略服务器透明的完成，那么需要的工时将减少，部署速度加快，风险状况将降低。

　　虽然看似复杂，幸运的是开始使用网络安全配置管理并不意味着重新推动进展。有很多厂家的产品使这一过程变得更容易。但是像对于任何产品的选择一样，确定厂商及其产品的地位是很重要的。下列问题应作为这些讨论的起点，一个可靠的网络安全配置管理产品应该提供：

• 策略建模，可视化和可验证的安全配置。
• 分布式策略编辑，授权和分发。这对有很多办事处的大型分布企业来说是很关键的，对它们来说，在不同网段中保证一致的策略至关重要。
• 发现现存的安全配置，策略冲突并建议解决路径。它应该有能力进行“适应性”和/或“上下文感知”的安全配置。
• 安全配置创建之后，能进行测试，验证和执行安全配置，确保其一致。
• 基于配置的安全风险评估和审计或者取证工具。
• 适用于无线和移动网络的安全管理。

　　还有一些非特定产品相关的最佳实践也该记住。首先，公司必须有以业务为中心的安全策略，为要求的配置提供基础。尽管厂家提供策略模板，但他们没人能像你一样了解你自己的业务。从指导需被管理的系统安全配置的策略开始。回顾法律和法规的要求，因为这些可以帮你发现你的安全配置需要改进的地方。最后，在部署系统之前、期间、之后，利用公共领域已经存在的现有安全基准，来衡量的风险状况。这里的例子包括（但不限于）：

• NIST
• center for internet security(CIS)
• SANS institute

　　查找每个资源站点的安全配置指导

　　好消息是，市场中很多厂家对配置管理采取全面的解决方案，结合了漏洞评估工具、和带有自动修复和配置一致性检查的补丁管理。这主动地建立和管理配置使得安全团队符合法规指导，提供了审查能力，评估了配置风险，并最终降低企业的风险状态。另外随着网络和安全管理软件融合的迅速发展，今天的产品使得建立一个灵活的、自纠错的，对安全操作的效率有所改变和提高的基础架构变得更加简单。

　　然而，不是所有的都是有趣的事和游戏。作为一个有经验的项目经理，我可以告诉你网络安全配置管理的实施 ── 或者针对相同目标的所有产品实施──都不会像计划一样顺利。对这种技术来说，平台之间的不一致才是实施中产生问题最多的地方。换句话说，不是所有的网络安全配置管理产品都能和网络中的设备和系统无缝配合。厂家在这个领域相比已经好多了，但是他们可能会没有针对某一路由器、服务器、或者应用等的专用模板。为了让所有的设备都“说相同的语言”，可能需要一些手动配置。这就意味着工时，以及项目预算。还有，除了实施的成本，运营上的节省将会日积月累。

　　网络安全配置管理项目经常由法规遵从的需求而产生，但是当你意识到在运营和事件响应上的成本之后，你会回奇怪自己为什么没有早点实施。所以，你可以靠遵从法规来得到启动资金，然后向管理层演示它如何降低成本并提高效率。你甚至有可能发现这是个“为履历增色的项目”。