◇BP.01.02管理安全配置

所有設備的安全配置需要管理。該基本實施認為，系統(tǒng)安全很大程度上依賴于許多相關組件（硬件、軟件與程序），而常規(guī)配置管理實施則不必關心安全系統(tǒng)所需的相互關聯(lián)性。

工作產(chǎn)品示例：。

(1)所有軟件更新的記錄——記錄系統(tǒng)的所有軟件與軟件更新的許可證、序列號和回執(zhí)，包括日期、個人責任和修改描述。

(2)所有發(fā)布問題的記錄——包括對軟件發(fā)布期間所遇到的任何問題以及怎樣解決它的描述。

(3)系統(tǒng)安全配置——描述系統(tǒng)硬件、軟件及通信的當前狀態(tài)的數(shù)據(jù)庫，包括硬件位置、軟件發(fā)布和相關的信息。

(4)系統(tǒng)安全配置的修改——描述對系統(tǒng)安全配置的任何修改，包括修改人的名字、 修改的描述、修改的理由以及修改的時間。

(5)所有確認的軟件更新記錄——一個跟蹤軟件更新的數(shù)據(jù)庫，包括修改的描述、修改人的名字以及修改的時間。

(6)可信軟件發(fā)布的定期綜述——描述最近的可信軟件發(fā)布活動，注意到出現(xiàn)的任何困難和作用情況。

(7)安全需求修改——跟蹤對系統(tǒng)要求所作的任何修改，修改的原因可能是基于安全理由或對安全有影響。這樣有助于保證修改及其作用是合乎安全策略的。

(8)對設計文檔進行安全修改——跟蹤對系統(tǒng)設計文檔所作的任何修改，修改的原因可能是基于安全理由或對安全有影響。這樣有助于保證修改及其作用是合乎安全策略的。

(9)控制的實現(xiàn)——描述系統(tǒng)中安全控制的實現(xiàn)，包括配置的詳細情況。

(10)安全審核——描述相對于所希望控制實現(xiàn)的系統(tǒng)安全控制的當前狀態(tài)。 (l l)控制處置——描述刪除或取消安全控制的程序，包括過度控制計劃。

維護任何系統(tǒng)中安全控制配置的當前狀態(tài)是一項復雜的任務，特別是對于大型的分布式系統(tǒng)更是如此。配置本身的某些方面對于保護安全是至關重要的。有效的安全需要記錄一 些特定信息，這些特定信息是與組成該系統(tǒng)的安全控制機制有關的，并且通常不用于其它科目。同樣，必須對現(xiàn)有系統(tǒng)提出的修改進行評估，以便確定這些修改對整個系統(tǒng)安全狀態(tài)的影響。

特別是在分布式環(huán)境中，需要有相應的程序來保證軟件或應用的特定模塊的所有拷貝都是相同的合適版本。此外，特別是當該軟件通過網(wǎng)絡本身進行發(fā)布時，那么保證該軟件在發(fā)布過程中不被損傷是至關重要的。這些要求適用于所用軟件。

該基本實施應該保證該軟件只執(zhí)行那些希望的功能；維持一個密封的標準版本；該軟件的所有拷貝是相同的；更新需要進行確認；安全控制配置是已知的和可維護的。