大公司通常会为联网系统制定一个或多个配置标准。这些标准包括台式机和服务器操作系统、网络设备,甚至打印机的配置标准。在这些标准中通常有内置的实践案例。如果设置的标准没有实施到位,那么漏洞可能会比标准缺失时出现得更多。其实,有成文的标准仅仅能说明人们确实关注到了设备的状态。
但是,即便存在标准,配置仍可能老化过时。标准一经建立就不会再轻易更改,因为很难同步所有的主机使其按修改的内容变更配置。即便有一个良好的补丁管理系统,也无法依靠补丁完全解决这些固有的配置问题。大多数情况下,补丁管理系统无法检测出每一个需要修复的问题,因此它并不能取代漏洞管理。
标准化的缺陷在于漏洞的普遍存在性。如果一项标准配置存在某一漏洞,而这一配置又被全面部署,那么该漏洞就会广泛地存在于各个部署结点中。如果不能对其进行及时的检测和修复,将会导致严重的安全问题。
