新木桶理论与信息安全.docxVIP

PAGE 1 PAGE 1 新木桶理论与信息安全  企业的网络安全中最重要的是什么呢？其实，信息安全的防护强度取决于整个网络中最为薄弱的环节，这就是木桶理论在信息安全领域中的应用。  1、传统木桶理论  说到木桶理论，可谓众所周知:一个由很多块长短不同的木板箍成的木桶，打算其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值，而是取决于其中最短的那块木板。要想提高木桶整体效应，不是增加最长的那块木板的长度，而是要下功夫补齐最短的那块木板的长度。这个理论由谁提出，目前已经无从讲究了，但是这个理论的应用范围却是非常广泛，从经济学、企业管理到人力资源到个人发展。  同样这个理论也被引进了安全领域，在信息安全中，认为信息安全的防护强度取决于“马奇诺防线”中最为薄弱的一环，因此出现的一个状况是发觉哪个安全问题严重就买什么样的产品。这个理论意义在于使我们熟悉到整个安全防护中，最短木块的巨大威逼，并针对最短木块进行改进。  依据这个理论，我们会发觉有些企业找出安全防护中的最短木块，并买了许多安全产品进行防护:发觉病毒对企业影响很大，就买了最好的反病毒软件，发觉边界担心全，就用了最强的防火墙，发觉有黑客入侵，就部署了最先进的IDS。这其实只是一种头痛医头，脚痛医脚的做法，是治标不治本的方法。所以实施后，安全问题还是许多，有人曾形象地说“洞照开，虫照跑，毒照染”。  2、新木桶理论  依据我的分析，传统的木桶理论存在一定的缺陷。实际上，我们可以看到一个木桶能不能容水，容多少水，除了看最短木板之外，还要看一些关键信息:1、这个木桶是否有坚实的底板，2、木板之间是否有缝隙。  2.1木桶底板是木桶能否容水的基础  一个完整的木桶，除了木桶中长板、短板，木桶还有底板。正是这谁也不太重视的底板，打算这只木桶能不能容水，能容多大重量的水。这只底板正是信息安全的基础，即企业的信息安全架构(InformationSecurityArchitecture)、制度建设和流程管理。对于多数企业而言，目前还没有整体的信息安全规划和建设，也没有制度和流程。信息安全还没有从整体上进行考虑，随便性相当强。这就需要对企业进行一次比较全面的安全评估，然后结合企业的业务需求和安全现状来做安全信息架构和安全建设框架，制订符合企业的安全制度和流程。  而在另外一些企业里，信息安全制度不是没有，也不是不完备，最大的问题在于执行不力。前段时间曾和国内运营商中负责信息安全的人聊到，目前在大型企业和运营商中，安全的最大问题是无法贯彻执行企业的安全政策和流程。所以一位在运营商负责安全的朋友说:“安全是一把手工程，只有得到领导的强有力支持，才可能把安全策略进行推广;安全是全民工程，只有全民参与，才能有效地贯彻安全策略和制度。”  同时需要留意的是，由于企业不断发展，安全是动态变化的，因此也就需要我们不定期的检查信息安全这个“木桶“的桶底是否坚实，一个快速长大的企业，正如一只容纳了相当水量的木桶，越来越大的水容量将构成木桶底板的巨大挑战。特殊是目前新技术，新产品发展快速，WLAN、3G的出现和使用都可会增加对安全这个木桶底板的压力，假如不时时关注底板，最终可能因为”不能承受之重“而导致全部的蓄水都丢失。  据说华为公司目前开发了一套企业安全策略认证系统，在客户端联网之前进行安全策略检查，假如不符合企业的安全策略，则对该机器进行隔离;只有对符合企业策略的系统，才允许它联网使用。这样就能够强制用户执行企业安全策略。  2.2木桶是否有缝隙是木桶能否容水的关键。  木桶能否有效地容水，除了需要坚实的底板外，还取决于木板之间的缝隙，这个却是大多数人不易观察的。对于一个安全防护体系而言，其不同产品之间的协作和联动有如木板之间的缝隙，通常为我们所忽视，但其危害却最深。安全产品之间的不协同工作有如木板之间的缝隙，将致使木桶不能容纳一滴水!假如此时，企业还把留意力放在最短的木板上，岂非缘木求鱼?  而桶箍的妙处就在于它能把一堆独立的木条联合起来，紧紧地排成一圈，同时它消退了木条与木条之间的缝隙，使木条之间形成协作关系，形成一个共同得目标，成为一个封闭的容器。假如没有了箍，水桶就变成了一堆木条，成为不了容器;假如箍不紧，那木桶也就是千疮百孔，纵有千升好水，能得几天不停流?  在信息安全中，目前攻击手法已经是融合了多种技术，比如蠕虫就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术，这时候，假如我们的产品还却还是孤军作战，防病毒软件只能查杀病毒，却不能有效地组织病毒地传播;IDS可以检查出蠕虫在网络上的播，却不能清除蠕虫;补丁管理可以防止蠕虫的感染，却不能查杀蠕虫。各