众所周知，确保网络设备与应用系统的安全运行是减少基础架构攻击面的基础和前提，为此，国际互联网安全中心（CIS）等组织陆续颁布了相关工作指南，明确规定了所有部署的应用系统都应安全配置，并且这些配置应受到持续监控，并得到长期维护，以便保持在安全可靠的配置状态下运行工作。但是在实际应用中，虽然很多企业都会按照CIS标准指南要求部署配置系统，但长期的准确管理配置却难以保障，配置漂移情况时有发生。

什么是配置漂移？软件系统在开发和交付过程中，需要根据应用需求不断进行修改和调整，随之而来也会发生相关软件运行参数的配置变更。在理想的情况下，这些变更都应该有序进行，并被准确跟踪记录。但是，由于企业的实际应用环境并不完美，导致企业很多的修改并未被正确同步。当系统正式上线后，实际运行的配置与研发设计的配置并不一致，这种现象就叫配置漂移。

配置漂移会让组织面临重大安全风险，具体视漂移的严重程度而定。那么该如何应对这种情况的发生呢？维护系统配置的方法主要有三种。企业组织可以根据自身安全管理流程的成熟度，选择适合自己的管理方法。

模式一

人工监控系统配置

人工管理系统配置非常耗时，因此难以定期、持续开展。由于合规管理的硬性要求，组织通常会尝试将系统数量限制在必须审核管理的范围内，从而尽可能减少人工监控的工作量。在此情况下，审核员也只会核实有限范围内的部分系统和应用，以验证配置的正确性和合规性。只有当这部分设备被发现存在配置漂移时，组织才会采取修复措施。