文件完整性监控

第一步：理解"文件完整性"的基本概念
文件完整性指文件在特定时间点的状态完整性，包括文件内容、属性、权限、所有者和时间戳等元数据的完整性。任何未经授权的更改，无论是恶意攻击（如植入木马）还是意外操作（如配置错误），都会破坏其完整性。完整性是信息安全"CIA三要素"（机密性、完整性、可用性）中的核心一环。

第二步：明确"文件完整性监控"的核心定义
文件完整性监控（File Integrity Monitoring, FIM）是一种持续的安全技术手段。其核心工作是：通过为关键系统文件、配置文件、日志文件、可执行程序等建立基准的"完整性快照"，随后持续地监控这些文件的变化，并将所有检测到的变更与预期变更（如授权的系统更新）进行比对分析，实现对非授权变更的实时告警和追溯。

第三步：掌握FIM的工作原理与流程

1. 建立基线：在系统处于"已知良好状态"时，对需监控的文件计算密码学哈希值（如SHA-256），并结合其元数据，创建初始基准数据库。
2. 持续监控：周期性地（如每分钟）或实时地（通过内核驱动）扫描被监控文件，重新计算其当前哈希值。
3. 检测变更：将当前计算出的文件特征与基准数据库中的记录进行比对。
4. 告警与报告：一旦发现非预期的变更（如哈希值不匹配、权限或所有者的意外更改），系统立即触发告警，并生成详细报告，说明变更内容、时间和类型。

第四步：了解FIM的关键监控对象

1. 操作系统文件：系统可执行文件（如/bin, /usr/bin下的文件）、库文件、内核模块。
2. 配置文件：系统配置文件（如/etc/passwd, /etc/ssh/sshd_config）、应用程序配置文件。
3. 安全与日志文件：安全日志、审计日志、应用日志文件，其自身的篡改是攻击者掩盖痕迹的常见手段。
4. 关键数据与静态网页：包含敏感信息的数据库文件、网站静态内容。

第五步：认识FIM的技术实现要素

1. 哈希算法：使用MD5、SHA家族等密码学哈希函数，确保即使文件微小改动也能产生截然不同的哈希值。
2. 监控触发方式：分为基于轮询的扫描（周期性检查）和基于内核的实时通知（如利用inotify, fanotify），后者能实现近实时响应。
3. 基准管理：安全地存储和更新基准数据库，并在系统合法更新（如软件补丁）后，及时更新基线，防止误报。

第六步：明确FIM的主要价值与应用场景

1. 入侵检测：检测Webshell上传、系统二进制文件被替换、后门植入等恶意活动。
2. 合规性要求：满足如PCI DSS（支付卡行业数据安全标准）、HIPAA（健康保险流通与责任法案）等法规中关于保护关键数据完整性的强制要求。
3. 配置合规与审计：确保系统配置符合安全策略，防止因配置漂移引入风险，并提供审计追踪记录。
4. 事故调查：在安全事件发生后，通过FIM日志确定被篡改的文件范围、时间和方式，辅助根因分析。

第七步：知晓部署FIM的挑战与最佳实践

1. 挑战：海量变更带来的告警噪音、基准管理的复杂性、对系统性能的潜在影响、区分授权与非授权变更的困难。
2. 最佳实践：
   • 精准确定监控范围：从最核心、最敏感的文件和目录开始，逐步扩展。
   • 集成变更管理流程：将FIM与IT变更管理流程关联，使计划内的变更能自动更新基线，减少告警。
   • 结合其他安全数据：将FIM告警与SIEM（安全信息和事件管理）系统集成，结合进程监控、网络流量等上下文信息，判断告警的真实风险。
   • 保护FIM自身：确保FIM代理、基准数据库和通信通道的安全，防止攻击者优先禁用或篡改FIM组件。