木桶理論 信息安全 運(yùn)用

1、摘要：本文首先對傳統(tǒng)木桶理論和其在信息安全中的運(yùn)用作了簡單的介紹，并結(jié)合作者在 實際工作中對信息安全的理解，提出了對傳統(tǒng)木桶理論幾點(diǎn)思考，通過對幾點(diǎn)思考的闡述， 指出了在信息安全工作中如何更好地結(jié)合木桶理論。關(guān)鍵詞：木桶理論信息安全運(yùn)用Abstract: In the thesis paper, the author first gives a brief introduction to the traditional cask theory and its application in information security. Then based on the under standin

2、g of information security in practical work, the author put forward several views and some thoughts on the traditional cask theory. In the end, the author points out that how to apply the cask theory better in the information security work by illustrating the views which have mentioned before.Keywor

3、ds: Cask theory information security apply 引言說到木桶理論，可謂眾所周知：一個由若干塊長短不同的木板箍成的木桶，決定其容水量大 小的并非是其中最長的那塊木板或全部木板長度的平均值，而是取決于其中最短的那塊木 板。要想提高木桶的整體效應(yīng)，不是增加最長的那塊木板的長度，而是要下功夫補(bǔ)齊最短的 那塊木板的長度。這個理論由誰提出，目前已經(jīng)無從考究了，但這個理論的應(yīng)用范圍卻十分 廣泛，從經(jīng)濟(jì)學(xué)、單位管理到人力資源，到個人發(fā)展。這個理論也被引進(jìn)了安全領(lǐng)域，在信 息安全中，認(rèn)為信息安全的防護(hù)強(qiáng)度取決于安全體系最為薄弱的一環(huán)，因此出現(xiàn)的一個狀況 是發(fā)現(xiàn)哪個安全問題嚴(yán)

4、重就買什么樣的產(chǎn)品。這個理論的意義在于使我們認(rèn)識到整個安全防 護(hù)中最短木塊的巨大威脅，并針對最短木塊進(jìn)行改進(jìn)。根據(jù)這個理論，我們會發(fā)現(xiàn)有些單位找出安全防護(hù)中的最短木塊，并買了很多安全產(chǎn)品進(jìn)行 防護(hù)：發(fā)現(xiàn)病毒對單位影響很大，就買了最好的反病毒軟件；發(fā)現(xiàn)邊界不安全，就用了最強(qiáng) 的防火墻；發(fā)現(xiàn)有黑客入侵，就部署了最先進(jìn)的入侵檢測系統(tǒng)。這其實只是一種頭痛醫(yī)頭， 腳痛醫(yī)腳的做法，是治標(biāo)不治本的方法。木桶理論新解經(jīng)分析，傳統(tǒng)的木桶理論存在一定的缺陷，實際上一個木桶能不能容水，容多少水，除了看 最短木板之外，還要看一些關(guān)鍵信息：這個木桶是否有堅實的底板、木板之間是否有縫隙。 1.1木桶底板是木桶能否容水的基

5、礎(chǔ)一個完整的木桶，除了木桶中長板、短板，木桶還有底板。正是這誰也不太重視的底板，決 定了這只木桶能不能容水，能容多大重量的水。這只底板正是信息安全的基礎(chǔ)，即單位的信 息安全架構(gòu)、安全管理制度和安全流程。對于多數(shù)單位而言，目前還沒有整體的信息安全規(guī) 劃和建設(shè)，也沒有完善的制度和流程。信息安全還沒有從整體上進(jìn)行考慮，隨意性相當(dāng)強(qiáng)。 這就需要對單位進(jìn)行一次比較全面的安全評估，然后結(jié)合單位的業(yè)務(wù)需求和安全現(xiàn)狀來做安 全信息架構(gòu)和安全建設(shè)框架，制訂符合單位的安全制度和流程。而在另外一些單位里，信息 安全制度不是沒有，也不是不完備，最大的問題在于執(zhí)行不力。目前在大型單位和運(yùn)營商中， 安全的最大問題是無法貫

6、徹執(zhí)行單位的安全政策和流程。所以可以說：“安全是一把手工程， 只有得到領(lǐng)導(dǎo)的強(qiáng)有力支持，才可能把安全策略進(jìn)行推廣;安全是全民工程，只有全民參與， 才能有效地貫徹安全策略和制度?！蓖瑫r需要注意的是，由于單位不斷發(fā)展，安全是動態(tài)變 化的，因此也就需要我們不定期的檢查信息安全這個“木桶”的桶底是否堅實，一個迅速長 大的單位，正如一只容納了相當(dāng)水量的木桶，越來越大的水容量將構(gòu)成木桶底板的巨大挑戰(zhàn)， 如果不時關(guān)注底板，最后可能因為不能承受之重而導(dǎo)致所有的蓄水都丟失。1.2木桶是否有縫隙是木桶能否容水的關(guān)鍵。木桶能否有效地容水，除了需要堅實的底板外，還取決于木板之間的縫隙，這個是大多數(shù)人 不易看見的。對于

7、一個安全防護(hù)體系而言，其不同產(chǎn)品之間的協(xié)作和聯(lián)動有如木板之間的縫 隙，通常為我們所忽視，但其危害卻最深。安全產(chǎn)品之間的不協(xié)同工作有如木板之間的縫隙， 將致使木桶不能容納一滴水!如果此時，單位還把注意力放在最短的木板上，豈非緣木求魚？ 在信息安全中，目前攻擊手法已經(jīng)是融合了多種技術(shù)，比如蠕蟲就融合了緩沖區(qū)溢出技術(shù)、 網(wǎng)絡(luò)掃描技術(shù)和病毒感染技術(shù)，這時候，如果我們的產(chǎn)品還卻還是孤軍作戰(zhàn)，防病毒軟件只 能查殺病毒，卻不能有效地組織病毒地傳播；IDS可以檢查出蠕蟲在網(wǎng)絡(luò)上的播，卻不能清 除蠕蟲；補(bǔ)丁管理可以防止蠕蟲的感染，卻不能查殺蠕蟲。各個安全產(chǎn)品單獨(dú)工作，無法有 效地查殺病毒、無法組織病毒的傳播。而

8、且更為嚴(yán)重的是，每個系統(tǒng)都會記錄這些安全日志， 這些日志之間沒有合并和關(guān)聯(lián)，大量的日志將沖垮管理員，導(dǎo)致無法看到真正關(guān)心的日志。 目前出現(xiàn)的SOC產(chǎn)品可以說是木桶的桶箍，它能把各種安全技術(shù)、安全產(chǎn)品、安全策略、安 全措施等各種目標(biāo)等箍在一起，共同形成一個堅實的木桶，保護(hù)里面的水資源o SOC包含安 全事件收集、事件分析、狀態(tài)監(jiān)視、資產(chǎn)管理、配置管理、策略管理以及長期形成的知識中 心，并通過流程優(yōu)化、系統(tǒng)聯(lián)動、事件管理等方式減少木板與木板之間的縫隙，協(xié)調(diào)各方面 資源，最高效率地處理安全問題，保護(hù)整體安全。木桶理論與信息安全的幾點(diǎn)闡述2.1如何處理木桶中的最短木板通過上面的分析，我們可以知道木桶的

9、底板是基礎(chǔ)，桶箍是關(guān)鍵，而最短木板決定了能容水 的最大容量。但是如何處理這塊最短木板，通常做法是看準(zhǔn)了單位的最短木板，并且花大力 氣去提高，但效果往往不明顯。其實這陷入了一種慣性思維，如果要提高木桶的容量，有時 候不一定非要提高最短木板不可，只要那塊最短木板的范圍不是很寬，我們只要干脆去掉那 個最短木板，然后重新用桶箍圍成桶，這個新桶的容量就有可能大于原來的舊桶。這種做法其實在單位運(yùn)作中經(jīng)常會使用，對于一些非核心業(yè)務(wù)，一些單位領(lǐng)導(dǎo)往往會采用外 包的方式來處理，自己做最擅長的事情。但是在信息安全領(lǐng)域，這塊目前做的并不夠，這其 中的原因一部分可能是由于信息安全比較重要，要找一個可靠的外包供應(yīng)商才可

10、以，另外的 原因也可能是還沒有意識到這個問題。目前越來越多的單位開始重視安全，都在建立自己的 政策體系和人員隊伍，但是由于信息安全具有專業(yè)性強(qiáng)，知識面廣的特點(diǎn)，要建立一個完善 的體系和隊伍是比較困難的。2.2木桶理論與安全等級保護(hù)法國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見中認(rèn)為，不同的信息系統(tǒng)有著不同的安全需求，必須從實際出發(fā)，綜合平衡安全成本和風(fēng)險，優(yōu)化信息安 全資源的配置，確保重點(diǎn)，要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系信息安全、經(jīng)濟(jì)命脈、社會穩(wěn)定 等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦 法和技術(shù)指南。信息安全領(lǐng)域中，密級分類、等級保護(hù)就是把信息資產(chǎn)

11、分為不同等級，根據(jù)信息資產(chǎn)不同的 重要等級，采取不同的措施進(jìn)行防護(hù)。它的出發(fā)點(diǎn)就是要突出重點(diǎn)，要突出重點(diǎn)要害部位， 分級負(fù)責(zé)，分層實施。在單位的安全建設(shè)過程中，我們可以根據(jù)等級保護(hù)法，把系統(tǒng)分成幾 個等級，不同等級采用不同的“木桶”來管理，然后對每一個木桶再進(jìn)行安全評估和安全防護(hù)， 這樣就可以在投入有限的情況下，確保重要信息的安全性。2.3木桶理論與內(nèi)核加固如何在木桶有縫隙的情況下，還能保護(hù)桶里面的水嗎？有一個一個思路:把水降溫變成冰塊， 這樣即使有縫隙，水也不會馬上流走，可以為我們進(jìn)一步修復(fù)木桶提供時間。對于系統(tǒng)來說， 加固操作系統(tǒng)內(nèi)核就是這個作用，比如在某個系統(tǒng)上發(fā)現(xiàn)了一個很嚴(yán)重的漏洞，但是如果內(nèi) 核是進(jìn)行了加固的，那么就不容易被利用進(jìn)行攻擊。總結(jié)傳統(tǒng)的木桶理論在信息安全中的運(yùn)用，讓我們了