Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 464

文件完整性监控 (FIM)

审核人Cybersecurity entrepreneur & security researcher

文件完整性监控 (FIM) 是什么?

文件完整性监控 (FIM)通过将关键操作系统、应用与配置文件与可信加密基线进行对比,检测异常变更的安全控制。


文件完整性监控(FIM)对敏感文件、注册表键或配置对象维护加密散列(SHA-256 或更强),当内容或元数据在已批准的变更窗口之外发生变化时报警。经典实现包括 Gene Kim 1992 年开发的 Tripwire、AIDE、OSSEC、Wazuh、Samhain,以及 Trend Micro、Tenable、Qualys、Splunk 与大多数 EDR 平台中的相关模块。PCI DSS v4.0 第 11.5.2 条(原 11.5)、HIPAA 与 SOX 都明确要求 FIM。有效的 FIM 应严格界定范围(系统二进制、Web 根目录、sudoers、/etc、注册表 hive、计划任务),与变更管理集成以抑制经批准的更新,并将事件转发到 SIEM,与 EDR、身份日志和威胁情报关联。

示例

  1. 01

    OSSEC 在 /etc/sudoers 被改动且不在已批准的 Ansible 执行内时报警。

  2. 02

    Tripwire Enterprise 与变更工单系统集成,标记 Web 服务器 document root 的未授权变更。

常见问题

文件完整性监控 (FIM) 是什么?

通过将关键操作系统、应用与配置文件与可信加密基线进行对比,检测异常变更的安全控制。 它属于网络安全的 防御与运营 分类。

文件完整性监控 (FIM) 是什么意思?

通过将关键操作系统、应用与配置文件与可信加密基线进行对比,检测异常变更的安全控制。

如何防御 文件完整性监控 (FIM)?

针对 文件完整性监控 (FIM) 的防御通常结合技术控制与运营实践,详见上方完整定义。

文件完整性监控 (FIM) 还有哪些其他名称?

常见的别称包括: FIM, 变更检测, Tripwire 式监控。

相关术语

另见