“木桶理論”與信息安全

“木桶理論”與信息安全

摘要：本文首先對傳統(tǒng)木桶理論和其在信息安全中的運(yùn)用作了簡單的介紹，并結(jié)合作者在實(shí)際工作中對信息安全的理解，提出了對傳統(tǒng)木桶理論幾點(diǎn)思考，通過對幾點(diǎn)思考的闡述，指出了在信息安全工作中如何更好地結(jié)合木桶理論。

關(guān)鍵詞：木桶理論信息安全運(yùn)用

Abstract:Inthethesispaper,theauthorfirstgivesabriefintroductiontothetraditionalcasktheoryanditsapplicationininformationsecurity.Thenbasedontheunderstandingofinformationsecurityinpracticalwork,theauthorputforwardseveralviewsandsomethoughtsonthetraditionalcasktheory.Intheend,theauthorpointsoutthathowtoapplythecasktheorybetterintheinformationsecurityworkbyillustratingtheviewswhichhavementionedbefore.

Keywords:Casktheoryinformationsecurityapply

引言

說到木桶理論，可謂眾所周知：一個(gè)由若干塊長短不同的木板箍成的木桶，決定其容水量大小的并非是其中最長的那塊木板或全部木板長度的平均值，而是取決于其中最短的那塊木板。要想提高木桶的整體效應(yīng)，不是增加最長的那塊木板的長度，而是要下功夫補(bǔ)齊最短的那塊木板的長度。這個(gè)理論由誰提出，目前已經(jīng)無從考究了，但這個(gè)理論的應(yīng)用范圍卻十分廣泛，從經(jīng)濟(jì)學(xué)、單位管理到人力資源，到個(gè)人發(fā)展。這個(gè)理論也被引進(jìn)了安全領(lǐng)域，在信息安全中，認(rèn)為信息安全的防護(hù)強(qiáng)度取決于安全體系最為薄弱的一環(huán)，因此出現(xiàn)的一個(gè)狀況是發(fā)現(xiàn)哪個(gè)安全問題嚴(yán)重就買什么樣的產(chǎn)品。這個(gè)理論的意義在于使我們認(rèn)識到整個(gè)安全防護(hù)中最短木塊的巨大威脅，并針對最短木塊進(jìn)行改進(jìn)。

根據(jù)這個(gè)理論，我們會發(fā)現(xiàn)有些單位找出安全防護(hù)中的最短木塊，并買了很多安全產(chǎn)品進(jìn)行防護(hù)：發(fā)現(xiàn)病毒對單位影響很大，就買了最好的反病毒軟件；發(fā)現(xiàn)邊界不安全，就用了最強(qiáng)的防火墻；發(fā)現(xiàn)有黑客入侵，就部署了最先進(jìn)的入侵檢測系統(tǒng)。這其實(shí)只是一種頭痛醫(yī)頭，腳痛醫(yī)腳的做法，是治標(biāo)不治本的方法。

1．木桶理論新解

經(jīng)分析，傳統(tǒng)的木桶理論存在一定的缺陷，實(shí)際上一個(gè)木桶能不能容水，容多少水，除了看最短木板之外，還要看一些關(guān)鍵信息：這個(gè)木桶是否有堅(jiān)實(shí)的底板、木板之間是否有縫隙。

木桶底板是木桶能否容水的基礎(chǔ)

一個(gè)完整的木桶，除了木桶中長板、短板，木桶還有底板。正是這誰也不太重視的底板，決定了這只木桶能不能容水，能容多大重量的水。這只底板正是信息安全的基礎(chǔ)，即單位的信息安全架構(gòu)、安全管理制度和安全流程。對于多數(shù)單位而言，目前還沒有整體的信息安全規(guī)劃和建設(shè)，也沒有完善的制度和流程。信息安全還沒有從整體上進(jìn)行考慮，隨意性相當(dāng)強(qiáng)。這就需要對單位進(jìn)行一次比較全面的安全評估，然后結(jié)合單位的業(yè)務(wù)需求和安全現(xiàn)狀來做安全信息架構(gòu)和安全建設(shè)框架，制訂符合單位的安全制度和流程。而在另外一些單位里，信息安全制度不是沒有，也不是不完備，最大的問題在于執(zhí)行不力。目前在大型單位和運(yùn)營商中，安全的最大問題是無法貫徹執(zhí)行單位的安全政策和流程。所以可以說:“安全是一把手工程，只有得到領(lǐng)導(dǎo)的強(qiáng)有力支持，才可能把安全策略進(jìn)行推廣;安全是全民工程，只有全民參與，才能有效地貫徹安全策略和制度。”同時(shí)需要注意的是，由于單位不斷發(fā)展，安全是動態(tài)變化的，因此也就需要我們不定期的檢查信息安全這個(gè)“木桶”的桶底是否堅(jiān)實(shí)，一個(gè)迅速長大的單位，正如一只容納了相當(dāng)水量的木桶，越來越大的水容量將構(gòu)成木桶底板的巨大挑戰(zhàn)，如果不時(shí)關(guān)注底板，最后可能因?yàn)椴荒艹惺苤囟鴮?dǎo)致所有的蓄水都丟失。

木桶是否有縫隙是木桶能否容水的關(guān)鍵。

木桶能否有效地容水，除了需要堅(jiān)實(shí)的底板外，還取決于木板之間的縫隙，這個(gè)是大多數(shù)人不易看見的。對于一個(gè)安全防護(hù)體系而言，其不同產(chǎn)品之間的協(xié)作和聯(lián)動有如木板之間的縫隙，通常為我們所忽視，但其危害卻最深。安全產(chǎn)品之間的不協(xié)同工作有如木板之間的縫隙，將致使木桶不能容納一滴水！如果此時(shí)，單位還把注意力放在最短的木板上，豈非緣木求魚？

在信息安全中，目前攻擊手法已經(jīng)是融合了多種技術(shù)，比如蠕蟲就融合了緩沖區(qū)溢出技術(shù)、網(wǎng)絡(luò)掃描技術(shù)和病毒感染技術(shù)，這時(shí)候，如果我們的產(chǎn)品還卻還是孤軍作戰(zhàn)，防病毒軟件只能查殺病毒，卻不能有效地組織病毒地傳播；IDS可以檢查出蠕蟲在網(wǎng)絡(luò)上的播，卻不能清除蠕蟲；補(bǔ)丁管理可以防止蠕蟲的感染，卻不能查殺蠕蟲。各個(gè)安全產(chǎn)品單獨(dú)工作，無法有效地查殺病毒、無法組織病毒的傳播。而且更為嚴(yán)重的是，每個(gè)系統(tǒng)都會記錄這些安全日志，這些日志之間沒有合并和關(guān)聯(lián)，大量的日志將沖垮管理員，導(dǎo)致無法看到真正關(guān)心的日志。

目前出現(xiàn)的SOC產(chǎn)品可以說是木桶的桶箍，它能把各種安全技術(shù)、安全產(chǎn)品、安全策略、安全措施等各種目標(biāo)等箍在一起，共同形成一個(gè)堅(jiān)實(shí)的木桶，保護(hù)里面的水資源。SOC包含安全事件收集、事件分析、狀態(tài)監(jiān)視、資產(chǎn)管理、配置管理、策略管理以及長期形成的知識中心，并通過流程優(yōu)化、系統(tǒng)聯(lián)動、事件管理等方式減少木板與木板之間的縫隙，協(xié)調(diào)各方面資源，最高效率地處理安全問題，保護(hù)整體安全。

2．木桶理論與信息安全的幾點(diǎn)闡述

如何處理木桶中的最短木板

通過上面的分析，我們可以知道木桶的底板是基礎(chǔ)，桶箍是關(guān)鍵，而最短木板決定了能容水的最大容量。但是如何處理這塊最短木板，通常做法是看準(zhǔn)了單位的最短木板，并且花大力氣去提高，但效果往往不明顯。其實(shí)這陷入了一種慣性思維，如果要提高木桶的容量，有時(shí)候不一定非要提高最短木板不可，只要那塊最短木板的范圍不是很寬，我們只要干脆去掉那個(gè)最短木板，然后重新用桶箍圍成桶，這個(gè)新桶的容量就有可能大于原來的舊桶。

這種做法其實(shí)在單位運(yùn)作中經(jīng)常會使用，對于一些非核心業(yè)務(wù)，一些單位領(lǐng)導(dǎo)往往會采用外包的方式來處理，自己做最擅長的事情。但是在信息安全領(lǐng)域，這塊目前做的并不夠，這其中的原因一部分可能是由于信息安全比較重要，要找一個(gè)可靠的外包供應(yīng)商才可以，另外的原因也可能是還沒有意識到這個(gè)問題。目前越來越多的單位開始重視安全，都在建立自己的政策體系和人員隊(duì)伍，但是由于信息安全具有專業(yè)性強(qiáng)，知識面廣的特點(diǎn)，要建立一個(gè)完善的體系和隊(duì)伍是比較困難的。

木桶理論與安全等級保護(hù)法

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中認(rèn)為，不同的信息系統(tǒng)有著不同的安全需求，必須從實(shí)際出發(fā)，綜合平衡安全成本和風(fēng)險(xiǎn)，優(yōu)化信息安全資源的配置，確保重點(diǎn)，要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系信息安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南。

信息安全領(lǐng)域中，密級分類、等級保護(hù)就是把信息資產(chǎn)分為不同等級，根據(jù)信息資產(chǎn)不同的重要等級，采取不同的措施進(jìn)行防護(hù)。它的出發(fā)點(diǎn)就是要突出重點(diǎn)，要突出重點(diǎn)要害部位，分級負(fù)責(zé)，分層實(shí)施。在單位的安全建設(shè)過程中，我們可以根據(jù)等級保護(hù)法，把系統(tǒng)分成幾個(gè)等級，不同等級采用不同的“木桶”來管理，然后對每一個(gè)木桶再進(jìn)行安全評估和安全防護(hù)，這樣就可以在投入有限的情況下，確保重要信息的安全性。

木桶理論與內(nèi)核加固

如何在木桶有縫隙的情況下，還能保護(hù)桶里面的水嗎？有一個(gè)一個(gè)思路：把水降溫變成冰塊，這樣即使有縫隙，水也不會馬上流走，可以為我們進(jìn)一步修復(fù)木桶提供時(shí)間。對于系統(tǒng)來說，加固操作系統(tǒng)內(nèi)核就是這個(gè)作用，比如在某個(gè)系統(tǒng)上發(fā)現(xiàn)了一個(gè)很嚴(yán)重的漏洞，但是如果內(nèi)核是進(jìn)行了加固的，那么就不容易被利用進(jìn)行攻擊。

3．