導語：木桶理論信息安全研究論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:本文首先對傳統(tǒng)木桶理論和其在信息安全中的運用作了簡單的介紹,并結(jié)合作者在實際工作中對信息安全的理解,提出了對傳統(tǒng)木桶理論幾點思考,通過對幾點思考的闡述,指出了在信息安全工作中如何更好地結(jié)合木桶理論。

關鍵詞:木桶理論信息安全運用

Abstract:Inthethesispaper,theauthorfirstgivesabriefintroductiontothetraditionalcasktheoryanditsapplicationininformationsecurity.Thenbasedontheunderstandingofinformationsecurityinpracticalwork,theauthorputforwardseveralviewsandsomethoughtsonthetraditionalcasktheory.Intheend,theauthorpointsoutthathowtoapplythecasktheorybetterintheinformationsecurityworkbyillustratingtheviewswhichhavementionedbefore.

Keywords:Casktheoryinformationsecurityapply

引言

說到木桶理論,可謂眾所周知:一個由若干塊長短不同的木板箍成的木桶,決定其容水量大小的并非是其中最長的那塊木板或全部木板長度的平均值,而是取決于其中最短的那塊木板。要想提高木桶的整體效應,不是增加最長的那塊木板的長度,而是要下功夫補齊最短的那塊木板的長度。這個理論由誰提出,目前已經(jīng)無從考究了,但這個理論的應用范圍卻十分廣泛,從經(jīng)濟學、單位管理到人力資源,到個人發(fā)展。這個理論也被引進了安全領域,在信息安全中,認為信息安全的防護強度取決于安全體系最為薄弱的一環(huán),因此出現(xiàn)的一個狀況是發(fā)現(xiàn)哪個安全問題嚴重就買什么樣的產(chǎn)品。這個理論的意義在于使我們認識到整個安全防護中最短木塊的巨大威脅,并針對最短木塊進行改進。

根據(jù)這個理論,我們會發(fā)現(xiàn)有些單位找出安全防護中的最短木塊,并買了很多安全產(chǎn)品進行防護:發(fā)現(xiàn)病毒對單位影響很大,就買了最好的反病毒軟件;發(fā)現(xiàn)邊界不安全,就用了最強的防火墻;發(fā)現(xiàn)有黑客入侵,就部署了最先進的入侵檢測系統(tǒng)。這其實只是一種頭痛醫(yī)頭,腳痛醫(yī)腳的做法,是治標不治本的方法。

1.木桶理論新解

經(jīng)分析,傳統(tǒng)的木桶理論存在一定的缺陷,實際上一個木桶能不能容水,容多少水,除了看最短木板之外,還要看一些關鍵信息:這個木桶是否有堅實的底板、木板之間是否有縫隙。

1.1木桶底板是木桶能否容水的基礎

一個完整的木桶,除了木桶中長板、短板,木桶還有底板。正是這誰也不太重視的底板,決定了這只木桶能不能容水,能容多大重量的水。這只底板正是信息安全的基礎,即單位的信息安全架構(gòu)、安全管理制度和安全流程。對于多數(shù)單位而言,目前還沒有整體的信息安全規(guī)劃和建設,也沒有完善的制度和流程。信息安全還沒有從整體上進行考慮,隨意性相當強。這就需要對單位進行一次比較全面的安全評估,然后結(jié)合單位的業(yè)務需求和安全現(xiàn)狀來做安全信息架構(gòu)和安全建設框架,制訂符合單位的安全制度和流程。而在另外一些單位里,信息安全制度不是沒有,也不是不完備,最大的問題在于執(zhí)行不力。目前在大型單位和運營商中,安全的最大問題是無法貫徹執(zhí)行單位的安全政策和流程。所以可以說:“安全是一把手工程,只有得到領導的強有力支持,才可能把安全策略進行推廣;安全是全民工程,只有全民參與,才能有效地貫徹安全策略和制度。”同時需要注意的是,由于單位不斷發(fā)展,安全是動態(tài)變化的,因此也就需要我們不定期的檢查信息安全這個“木桶”的桶底是否堅實,一個迅速長大的單位,正如一只容納了相當水量的木桶,越來越大的水容量將構(gòu)成木桶底板的巨大挑戰(zhàn),如果不時關注底板,最后可能因為不能承受之重而導致所有的蓄水都丟失。

1.2木桶是否有縫隙是木桶能否容水的關鍵。

木桶能否有效地容水,除了需要堅實的底板外,還取決于木板之間的縫隙,這個是大多數(shù)人不易看見的。對于一個安全防護體系而言,其不同產(chǎn)品之間的協(xié)作和聯(lián)動有如木板之間的縫隙,通常為我們所忽視,但其危害卻最深。安全產(chǎn)品之間的不協(xié)同工作有如木板之間的縫隙,將致使木桶不能容納一滴水!如果此時,單位還把注意力放在最短的木板上,豈非緣木求魚?

在信息安全中,目前攻擊手法已經(jīng)是融合了多種技術,比如蠕蟲就融合了緩沖區(qū)溢出技術、網(wǎng)絡掃描技術和病毒感染技術,這時候,如果我們的產(chǎn)品還卻還是孤軍作戰(zhàn),防病毒軟件只能查殺病毒,卻不能有效地組織病毒地傳播;IDS可以檢查出蠕蟲在網(wǎng)絡上的播,卻不能清除蠕蟲;補丁管理可以防止蠕蟲的感染,卻不能查殺蠕蟲。各個安全產(chǎn)品單獨工作,無法有效地查殺病毒、無法組織病毒的傳播。而且更為嚴重的是,每個系統(tǒng)都會記錄這些安全日志,這些日志之間沒有合并和關聯(lián),大量的日志將沖垮管理員,導致無法看到真正關心的日志。

目前出現(xiàn)的SOC產(chǎn)品可以說是木桶的桶箍,它能把各種安全技術、安全產(chǎn)品、安全策略、安全措施等各種目標等箍在一起,共同形成一個堅實的木桶,保護里面的水資源。SOC包含安全事件收集、事件分析、狀態(tài)監(jiān)視、資產(chǎn)管理、配置管理、策略管理以及長期形成的知識中心,并通過流程優(yōu)化、系統(tǒng)聯(lián)動、事件管理等方式減少木板與木板之間的縫隙,協(xié)調(diào)各方面資源,最高效率地處理安全問題,保護整體安全。

2.木桶理論與信息安全的幾點闡述

2.1如何處理木桶中的最短木板

通過上面的分析,我們可以知道木桶的底板是基礎,桶箍是關鍵,而最短木板決定了能容水的最大容量。但是如何處理這塊最短木板,通常做法是看準了單位的最短木板,并且花大力氣去提高,但效果往往不明顯。其實這陷入了一種慣性思維,如果要提高木桶的容量,有時候不一定非要提高最短木板不可,只要那塊最短木板的范圍不是很寬,我們只要干脆去掉那個最短木板,然后重新用桶箍圍成桶,這個新桶的容量就有可能大于原來的舊桶。

這種做法其實在單位運作中經(jīng)常會使用,對于一些非核心業(yè)務,一些單位領導往往會采用外包的方式來處理,自己做最擅長的事情。但是在信息安全領域,這塊目前做的并不夠,這其中的原因一部分可能是由于信息安全比較重要,要找一個可靠的外包供應商才可以,另外的原因也可能是還沒有意識到這個問題。目前越來越多的單位開始重視安全,都在建立自己的政策體系和人員隊伍,但是由于信息安全具有專業(yè)性強,知識面廣的特點,要建立一個完善的體系和隊伍是比較困難的。

2.2木桶理論與安全等級保護法

《國家信息化領導小組關于加強信息安全保障工作的意見》中認為,不同的信息系統(tǒng)有著不同的安全需求,必須從實際出發(fā),綜合平衡安全成本和風險,優(yōu)化信息安全資源的配置,確保重點,要重點保護基礎信息網(wǎng)絡和關系信息安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南。

信息安全領域中,密級分類、等級保護就是把信息資產(chǎn)分為不同等級,根據(jù)信息資產(chǎn)不同的重要等級,采取不同的措施進行防護。它的出發(fā)點就是要突出重點,要突出重點要害部位,分級負責,分層實施。在單位的安全建設過程中,我們可以根據(jù)等級保護法,把系統(tǒng)分成幾個等級,不同等級采用不同的“木桶”來管理,然后對每一個木桶再進行安全評估和安全防護,這樣就可以在投入有限的情況下,確保重要信息的安全性。

2.3木桶理論與內(nèi)核加固

如何在木桶有縫隙的情況下,還能保護桶里面的水嗎?有一個一個思路:把水降溫變成冰塊,這樣即使有縫隙,水也不會馬上流走,可以為我們進一步修復木桶提供時間。對于系統(tǒng)來說,加固操作系統(tǒng)內(nèi)核就是這個作用,比如在某個系統(tǒng)上發(fā)現(xiàn)了一個很嚴重的漏洞,但是如果內(nèi)核是進行了加固的,那么就不容易被利用進行攻擊。

3.總結(jié)

傳統(tǒng)的木桶理論在信息安全中的運用,讓我們了解了什么是當前最為嚴重的問題,但是如果只著眼于最短木板,而忽視了木桶的底板這個基礎,忘記了使木塊能成為木桶的桶箍的作用,那么信息安全這個木桶還是很不成熟、不完善的。

參考文獻

<1>HaroldF.TiptonInformationSecurityManagementHandbook

<2>RnaldL.Krutz.TheCisspPrepGuide