说到木桶理论
可谓众所周知:
个由许多块长短区别
木板箍成木桶决定其容水量大小并非是其中最长那块木板或全部木板长度平均值而是取决于其中最短那块木板
要想提高木桶整体效应不是增加最长那块木板长度而是要下功夫补齐最短那块木板长度这个理论由谁提出目前已经无从考究了但是这个理论应用范围却是十分广泛从经济学、企业管理到人力资源到个人发展同样这个理论也被引进了安全领域
在信息安全中认为信息安全防护强度取决于“马奇诺防线”中最为薄弱环因此出现个状况是发现哪个安全问题严重就买什么样产品这个理论意义在于使我们认识到整个安全防护中最短木块巨大威胁并针对最短木块进行改进根据这个理论
我们会发现有些企业找出安全防护中最短木块并买了很多安全产品进行防护:发现病毒对企业影响很大就买了最好反病毒软件Software发现边界不安全就用了最强防火墙发现有黑客入侵就部署了最先进IDS这其实只是种头痛医头脚痛医脚做法是治标不治本思路方法所以实施后安全问题还是很多有人曾形象地说“洞照开虫照跑毒照染”2、新木桶理论
根据我
分析传统木桶理论存在定缺陷实际上我们可以看到个木桶能不能容水容多少水除了看最短木板的外还要看些关键信息:1、这个木桶是否有坚实底板2、木板的间是否有缝隙2.1木桶底板是木桶能否容水
基础个完整木桶除了木桶中长板、短板木桶还有底板正是这谁也不太重视底板决定这只木桶能不能容水能容多大重量水这只底板正是信息安全基础即企业信息安全架构(Information Security Architecture)、制度建设和流程管理对于多数企业而言目前还没有整体信息安全规划和建设也没有制度和流程信息安全还没有从整体上进行考虑随意性相当强这就需要对企业进行次比较全面安全评估然后结合企业业务需求和安全现状来做安全信息架构和安全建设框架制订符合企业安全制度和流程而在另外
些企业里信息安全制度不是没有也不是不完备最大问题在于执行不力前段时间曾和国内运营商中负责信息安全人聊到目前在大型企业和运营商中安全最大问题是无法贯彻执行企业安全政策和流程所以位在运营商负责安全朋友说:“安全是把手工程只有得到领导强有力支持才可能把安全策略进行推广;安全是全民工程只有全民参和才能有效地贯彻安全策略和制度”同时需要注意
是由于企业不断发展安全是动态变化因此也就需要我们不定期检查信息安全这个“木桶“桶底是否坚实个迅速长大企业正如只容纳了相当水量木桶越来越大水容量将构成木桶底板巨大挑战特别是目前新技术新产品发展迅速WLAN、3G出现和使用都可会增加对安全这个木桶底板压力如果不时时关注底板最后可能
”不能承受的重“而导致所有蓄水都丢失据说华为公司目前开发了
套企业安全策略认证系统在客户端联网的前进行安全策略检查如果不符合企业安全策略则对该机器进行隔离;只有对符合企业策略系统才允许它联网使用这样就能够强制用户执行企业安全策略2.2木桶是否有缝隙是木桶能否容水
关键木桶能否有效地容水
除了需要坚实底板外还取决于木板的间缝隙这个却是大多数人不易看见对于个安全防护体系而言其区别产品的间协作和联动有如木板的间缝隙通常为我们所忽视但其危害却最深安全产品的间不协同工作有如木板的间缝隙将致使木桶不能容纳滴水!如果此时企业还把注意力放在最短木板上岂非缘木求鱼?而桶箍
妙处就在于它能把堆独立木条联合起来紧紧地排成圈同时它消除了木条和木条的间缝隙使木条的间形成协作关系形成个共同得目标成为个封闭容器如果没有了箍水桶就变成了堆木条成为不了容器;如果箍不紧那木桶也就是千疮百孔纵有千升好水能得几天流?在信息安全中
目前攻击手法已经是融合了多种技术比如蠕虫就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术这时候如果我们产品还却还是孤军作战防病毒软件Software只能查杀病毒却不能有效地组织病毒地传播;IDS可以检查出蠕虫在网络上播却不能清除蠕虫;补丁管理可以防止蠕虫感染却不能查杀蠕虫各个安全产品单独工作无法有效地查杀病毒、无法组织病毒传播而且更为严重是每个系统都会记录这些安全日志这些日志的间没有合并大量日志将冲垮管理员导致无法看到真正关心日志如果是更为精密
黑客攻击行为可能出现情况是每个单独安全产品可能没有识别出是个攻击行为但是如果把这些攻击日志结合在起就发现是次严重攻击行为而事实目前产品日志是没有合并因此管理员很难发现这些攻击行为目前出现
SOC产品可以说是木桶桶箍它能把各种安全技术、安全产品、安全策略、安全措施等各种目标等箍在起共同形成个坚实木桶保护里面水资源SOC包含安全事件收集、事件分析、状态监视、资产管理、配置管理、策略管理以及长期形成知识中心并通过流程优化、系统联动、事件管理等方式减少木板和木板的间缝隙协调各方面资源最高效率地处理安全问题保护整体安全3、木桶理论引出
几个研究3.1 如何处理木桶中
最短木板通过上面
分析我们可以知道木桶底板是基础桶箍是关键而最短木板决定了能容水最大容量但是如何处理这块最短木板却是大有学问:有企业看准了企业最短木板并且花大力气去提高高投入结果却往往不能高产出其实这陷入了
种惯性思维如果要提高木桶容量有时候不定非要提高最短木板不可只要那块最短木板范围不是很宽我们只要干脆去掉那个最短木板然后重新用桶箍围成桶这个新桶容量就有可能大于原来旧桶这种做法其实在企业运作中经常会使用
对于些非核心业务些企业领导往往会采用外包方式来处理自己做最擅长事情现代企业运作条金科玉律--“利润最大化成本最小化” 为达到这目标管理学大师彼得•德鲁克认为“任何企业中仅做后台支持而不创造营业额工作都应该外包出去任何不提供向高级发展机会活动和业务也应该采取外包形式” 但是在信息安全领域这块目前做并不够这其中原因部分可能是由于信息安全比较重要要找个可靠外包供应商才可以另外原因也可能是还没有意识到这个问题目前越来越多企业开始重视安全都在建立自己政策体系和人员队伍但是由于信息安全具有专业性强知识面广特点要建立个完善体系和队伍是比较困难比如目前很多企业都买了大量IDS却直放在那当摆设原因是分析IDS数据是个技术性要求比较高工作得有丰富经验积累需要了解几万个漏洞详细信息以及常用攻击手法以前曾和几个朋友讨论想专门做IDS数据分析和事件处理外包服务听说目前香港已经有些公司开始做类似服务了3.2 木桶理论和等级保护法
2003年27号文件
国家信息化领导小组有关加强信息安全保障工作意见
中认为区别信息系统有着区别安全需求必须从实际出发综合平衡安全成本和风险优化信息安全资源配置确保重点要重点保护基础信息网络和关系信息安全、经济命脉、社会稳定等方面重要信息系统抓紧建立信息安全等级保护制度制定信息安全等级保护管理办法和技术指南信息安全领域中
密级分类、等级保护就是把信息资产分为区别等级根据信息资产区别重要等级采取区别措施进行防护它出发点就是要突出重点要突出重点要害部位分级负责分层实施在企业安全建设过程中我们可以根据等级保护法把系统分成几个等级区别等级采用区别“木桶”来管理然后对每个木桶再进行安全评估和安全防护这样就可以在投入有限情况下确保重要信息安全性3.3木桶理论和内核加固
如何在木桶有缝隙
情况下还能保护桶里面水呢?在和Glacier、wollf、coolc等讨论中还提到下面个思路:把水降温变成冰块这样即使有缝隙水也不会马上流走可以为我们进步修复木桶提供时间对于系统来说加固操作系统内核就是这个作用比如在某个系统上发现了个很严重漏洞但是如果内核是进行了加固那么就不容易被利用进行攻击4、整理总结
传统
木桶理论在信息安全中运用让我们了解了什么是当前最为严重问题但是如果只着眼于最短木板而忽视了木桶底板这个基础忘记了使木块能成为木桶桶箍作用那么信息安全这个木桶还是很不成熟、不完善目前国家、政府、企业单位都十分重视信息安全
建设问题但是如何有规划、有系统建设信息安全如何建设个可分级、可信任、可管理安全系统是我们大家都需要研究问题希望本文能引起大家个研究
最新评论