“木桶理论”与信息安全
摘 要:本文首先对传统木桶理论和其在信息安全中的运用作了简单的介绍,并结合作者在实际工作中对信息安全的理解,提出了对传统木桶理论几点思考,通过对几点思考的阐述,指出了在信息安全工作中如何更好地结合木桶理论。 关键词:木桶理论 信息安全 运用
Abstract: In the thesis paper, the author first gives a brief introduction to the traditional cask theory and its application in information security. Then based on the under standing of information security in practical work, the author put forward several views and some thoughts on the traditional cask theory. In the end, the author points out that how to apply the cask theory better in the information security work by illustrating the views which have mentioned before.
Keywords: Cask theory information security apply
引言
说到木桶理论,可谓众所周知:一个由若干块长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值,而是取决于其中最短的那块木板。要想提高木桶的整体效应,不是增加最长的那块木板的长度,而是要下功夫补齐最短的那块木板的长度。这个理论由谁提出,目前已经无从考究了,但这个理论的应用范围却十分广泛,从经济学、单位管理到人力资源,到个人发展。这个理论也被引进了安全领域,在信息安全中,认为信息安全的防护强度取决于安全体系最为薄弱的一环,因此出现的一个状况是发现哪个安全问题严重就买什么样的产品。这个理论的意义在于使我们认识到整个安全防护中最短木块的巨大威胁,并针对最短木块进行改进。
根据这个理论,我们会发现有些单位找出安全防护中的最短木块,并买了很多安全产品进行防护:发现病毒对单位影响很大,就买了最好的反病毒软件;发现边界不安全,就用了最强的防火墙;发现有黑客入侵,就部署了最先进的入侵检测系统。这其实只是一种头痛医头,脚痛医脚的做法,是治标不治本的方法。
1.木桶理论新解
经分析,传统的木桶理论存在一定的缺陷,实际上一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些关键信息:这个木桶是否有坚实的底板、木板之间是否有缝隙。
1.1 木桶底板是木桶能否容水的基础
一个完整的木桶,除了木桶中长板、短板,木桶还有底板。正是这谁也不太重视的底板,决定了这只木桶能不能容水,能容多大重量的水。这只底板正是信息安全的基础,即单位的信息安全架构、安全管理制度和安全流程。对于多数单位而言,目前还没有整体的信息安全规划和建设,也没有完善的制度和流程。信息安全还没有从整体上进行考虑,随意性相当强。这就需要对单位进行一次比较全面的安全评估,然后结合单位的业务需求和安全现状来做安全信息架构和安全建设框架,制订符合单位的安全制度和流程。而在另外一些单位里,信息安全制度不是没有,也不是不完备,最大的问题在于执行不力。目前在大型单位和运营商中,安全的最大问题是无法贯彻执行单位的安全政策和流程。所以可以说:“安全是一把手工程,只有得到领导的强有力支持,才可能把安全策略进行推广;安全是全民工程,只有全民参与,才能有效地贯彻安全策略和制度。”同时需要注意的是,由于单位不断发展,安全是动态变化的,因此也就需要我们不定期的检查信息安全这个“木桶”的桶底是否坚实,一个迅速长大的单位,正如一只容纳了相当水量的木桶,越来越大的水容量将构成木桶底板的巨大挑战,如果不时关注底板,最后可能因为不能承受之重而导致所有的蓄水都丢失。
1.2 木桶是否有缝隙是木桶能否容水的关键。
木桶能否有效地容水,除了需要坚实的底板外,还取决于木板之间的缝隙,这个是大多数人不易看见的。对于一个安全防护体系而言,其不同产品之间的协作和联动有如木板之间的缝隙,通常为我们所忽视,但其危害却最深。安全产品之间的不协同工作有如木板之间的缝隙,将致使木桶不能容纳一滴水!如果此时,单位还把注意力放在最短的木板上,岂非缘木求鱼? 在信息安全中,目前攻击手法已经是融合了多种技术,比如蠕虫就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术,这时候,如果我们的产品还却还是孤军作战,防病毒软件只能查杀病毒,却不能有效地组织病毒地传播;IDS可以检查出蠕虫在网络上的播,却不能清除蠕虫;补丁管理可以防止蠕虫的感染,却不能查杀蠕虫。各个安全产品单独工作,无法有效地查杀病毒、无法组织病毒的传播。而且更为严重的是,每个系统都会记录这些安全日志,这些日志之间没有合并和关联,大量的日志将冲垮管理员,导致无法看到真正关心的日志。
“木桶理论”与信息安全
摘 要:本文首先对传统木桶理论和其在信息安全中的运用作了简单的介绍,并结合作者在实际工作中对信息安全的理解,提出了对传统木桶理论几点思考,通过对几点思考的阐述,指出了在信息安全工作中如何更好地结合木桶理论。 关键词:木桶理论 信息安全 运用
Abstract: In the thesis paper, the author first gives a brief introduction to the traditional cask theory and its application in information security. Then based on the under standing of information security in practical work, the author put forward several views and some thoughts on the traditional cask theory. In the end, the author points out that how to apply the cask theory better in the information security work by illustrating the views which have mentioned before.
Keywords: Cask theory information security apply
引言
说到木桶理论,可谓众所周知:一个由若干块长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值,而是取决于其中最短的那块木板。要想提高木桶的整体效应,不是增加最长的那块木板的长度,而是要下功夫补齐最短的那块木板的长度。这个理论由谁提出,目前已经无从考究了,但这个理论的应用范围却十分广泛,从经济学、单位管理到人力资源,到个人发展。这个理论也被引进了安全领域,在信息安全中,认为信息安全的防护强度取决于安全体系最为薄弱的一环,因此出现的一个状况是发现哪个安全问题严重就买什么样的产品。这个理论的意义在于使我们认识到整个安全防护中最短木块的巨大威胁,并针对最短木块进行改进。
根据这个理论,我们会发现有些单位找出安全防护中的最短木块,并买了很多安全产品进行防护:发现病毒对单位影响很大,就买了最好的反病毒软件;发现边界不安全,就用了最强的防火墙;发现有黑客入侵,就部署了最先进的入侵检测系统。这其实只是一种头痛医头,脚痛医脚的做法,是治标不治本的方法。
1.木桶理论新解
经分析,传统的木桶理论存在一定的缺陷,实际上一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些关键信息:这个木桶是否有坚实的底板、木板之间是否有缝隙。
1.1 木桶底板是木桶能否容水的基础
一个完整的木桶,除了木桶中长板、短板,木桶还有底板。正是这谁也不太重视的底板,决定了这只木桶能不能容水,能容多大重量的水。这只底板正是信息安全的基础,即单位的信息安全架构、安全管理制度和安全流程。对于多数单位而言,目前还没有整体的信息安全规划和建设,也没有完善的制度和流程。信息安全还没有从整体上进行考虑,随意性相当强。这就需要对单位进行一次比较全面的安全评估,然后结合单位的业务需求和安全现状来做安全信息架构和安全建设框架,制订符合单位的安全制度和流程。而在另外一些单位里,信息安全制度不是没有,也不是不完备,最大的问题在于执行不力。目前在大型单位和运营商中,安全的最大问题是无法贯彻执行单位的安全政策和流程。所以可以说:“安全是一把手工程,只有得到领导的强有力支持,才可能把安全策略进行推广;安全是全民工程,只有全民参与,才能有效地贯彻安全策略和制度。”同时需要注意的是,由于单位不断发展,安全是动态变化的,因此也就需要我们不定期的检查信息安全这个“木桶”的桶底是否坚实,一个迅速长大的单位,正如一只容纳了相当水量的木桶,越来越大的水容量将构成木桶底板的巨大挑战,如果不时关注底板,最后可能因为不能承受之重而导致所有的蓄水都丢失。
1.2 木桶是否有缝隙是木桶能否容水的关键。
木桶能否有效地容水,除了需要坚实的底板外,还取决于木板之间的缝隙,这个是大多数人不易看见的。对于一个安全防护体系而言,其不同产品之间的协作和联动有如木板之间的缝隙,通常为我们所忽视,但其危害却最深。安全产品之间的不协同工作有如木板之间的缝隙,将致使木桶不能容纳一滴水!如果此时,单位还把注意力放在最短的木板上,岂非缘木求鱼? 在信息安全中,目前攻击手法已经是融合了多种技术,比如蠕虫就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术,这时候,如果我们的产品还却还是孤军作战,防病毒软件只能查杀病毒,却不能有效地组织病毒地传播;IDS可以检查出蠕虫在网络上的播,却不能清除蠕虫;补丁管理可以防止蠕虫的感染,却不能查杀蠕虫。各个安全产品单独工作,无法有效地查杀病毒、无法组织病毒的传播。而且更为严重的是,每个系统都会记录这些安全日志,这些日志之间没有合并和关联,大量的日志将冲垮管理员,导致无法看到真正关心的日志。