|
|
| |
|
| |
| |
| 高投入的成果却往往不能高产出. |
|
[ 2011-8-20 12:56:00 | By: kingqmnh ] |
1、传统木桶理论
说到木桶理论,堪称家喻户晓:一个由很多块是非不同的木板箍成的木桶,决议其容水量大小的并非是其中最长的那块木板或全体木板长度的均匀值,而是取决于其中最短的那块木板.要想进步木桶整体效应,不是增添最长的那块木板的长度,而是要下工夫补齐最短的那块木板的长度.这个理论由谁提出,beijing massage,目前已经无从讲究了,但是这个理论的利用范畴却是非常普遍,从经济学、企业治理到人力资源到个人发展.
同样这个理论也被引进了安全范畴,在信息安全中,认为信息安全的防护强度取决于"马奇诺防线"中最为单薄的一环,因此涌现的一个状态是发明哪个安全问题严峻就买什么样的产品.这个理论意思在于使我们意识到全部安全防护中,最短木块的伟大要挟,并针对最短木块进行改良.
根据这个理论,我们会发现有些企业找出安全防护中的最短木块,并买了许多安全产品进行防护:发现病毒对企业影响很大,就买了最好的反病毒软件,发现边界不安全,就用了最强的防火墙,发现有黑客入侵,就安排了最进步的IDS.这其实只是一种头痛医头,脚痛医脚的做法,是治本不治标的方式.所以实行后,安全问题还是很多,有人曾形象地说"洞照开,虫照跑,毒照染".
2、新木桶理论
依据我的分析,传统的木桶理论存在一定的缺点.实际上,我们可以看到一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些要害信息:
(1)、这个木桶是否有坚实的底板;
(2)、木板之间是否有缝隙.
2.1木桶底板是木桶能否容水的基础
一个完全的木桶,除了木桶中长板、短板,木桶还有底板.恰是这谁也不太看重的底板,决定这只木桶能不能容水,能容多大分量的水.这只底板正是信息安全的基础,即企业的信息安全架构(Information Security Architecture)、制度建设和流程管理.对于多数企业而言,目前还没有整体的信息安全计划和建设,也没有制度和流程.信息安全还没有从整体长进行斟酌,随便性相称强.这就需要对企业进行一次比较全面的安全评估,然后联合企业的业务需乞降安全现状来做安全信息架构和安全建设框架,制定合乎企业的安全制度和流程.
而在另外一些企业里,信息安全制度不是没有,也不是不齐备,最大的问题在于履行不力.前段时间曾和海内运营商中负责信息安全的人聊到,目前在大型企业和经营商中,安全的最大问题是无奈贯彻执行企业的安全政策和流程.所以一位在运营商负责安全的朋友说:"安全是一把手工程,只有得到领导的强有力支持,才可能把安全策略进行推广;安全是全民工程,只有全民参加,才干有效地贯彻安全策略和制度."
同时须要留神的是,因为企业一直发展,安全是动态变更的,因而也就需要我们不按期的检讨信息安全这个"木桶"的桶底是否坚实,一个敏捷长大的企业,正如一只包容了相称水量的木桶,越来越大的水容量将形成木桶底板的宏大挑衅.特殊是目前新技巧,新产品发展迅速,WLAN、3G的呈现和应用都可会增长对安全这个木桶底板的压力,如果不断时关注底板,最后可能由于"不能蒙受之重"而导致所有的蓄水都丧失.
据说华为公司目前开发了一套企业安全策略认证系统,在客户端联网之前进行安全策略检查,如果不契合企业的安全策略,则对该机器进行隔离;只有对吻合企业策略的系统,才容许它联网使用.这样就可能强迫用户执行企业安全策略.
2.2 木桶是否有缝隙是木桶能否容水的关键
木桶是否有效地容水,除了需要坚实的底板外,还取决于木板之间的缝隙,这个却是大多数人不易看见的.对于一个安全防护体系而言,其不同产品之间的协作和联动有如木板之间的缝隙,通常为我们所忽视,但其迫害却最深.安全产品之间的不协同工作有如木板之间的缝隙,将以致木桶不能容纳一滴水!如果此时,企业还把注意力放在最短的木板上,难道刻舟求剑?
而桶箍的妙处就在于它能把一堆独破的木条结合起来,牢牢地排成一圈,同时它打消了木条与木条之间的缝隙,使木条之间构成合作关联,造成一个独特得目的,成为一个关闭的容器.如果不了箍,水桶就变成了一堆木条,成为不了容器;如果箍不紧,那木桶也就是千疮百孔,纵有千升好水,能得多少天不停流?
在信息安全中,目前攻击手段已经是融合了多种技术,比如蠕虫就融会了缓冲区溢出技术、网络扫描技术和病毒沾染技术,这时候,如果我们的产品还却还是孤军作战,防病毒软件只能查杀病毒,却不能有效地组织病毒地流传;IDS可以检查出蠕虫在网络上的播,却不能肃清蠕虫;补丁管理可以避免蠕虫的感染,却不能查杀蠕虫.各个安全产品单独工作,无法有效地查杀病毒、无法组织病毒的传布.而且更为严重的是,每个系统都会记载这些安全日志,这些日志之间没有合并,大量的日志将冲毁管理员,导致无法看到真正关怀的日志.
如果是更为精细的黑客攻击行为,可能出现的情况是每一个独自的安全产品可能没有辨认出是一个攻击行为,但是如果把这些攻击日志结合在一起就发现是一次严重的攻击行动.而事实目前的产品日志是没有合并的,因此管理员很难发现这些攻击行为.
目前出现的SOC产品可以说是木桶的桶箍,它能把各种安全技术、安全产品、安全策略、安全办法等各种目标等箍在一起,共同形成一个坚实的木桶,保护里面的水资源.SOC包括安全事件收集、事件分析、状况监督、资产管理、配置管理、策略管理以及长期形成的知识核心,并通过流程优化、系统联动、事件管理等方式减少木板与木板之间的缝隙,和谐各方面资源,最高效力地处理安全问题,保护整体安全.
3、木桶理论引出的几个思考
3.1 如何处置木桶中的最短木板
通过上面的分析,我们可以晓得木桶的底板是基础,桶箍是症结,而最短木板决定了能容水的最大容量.但是如何处理这块最短木板,却是大有学识:有的企业看准了企业的最短木板,并且花鼎力气去提高,高投入的成果却往往不能高产出.
实在这陷入了一种惯性思维,hangzhou escort,如果要提高木桶的容量,hangzhou massage,有时候不必定非要提高最短木板不可,只要那块最短木板的规模不是很宽,我们只有罗唆去掉那个最短木板,而后从新用桶箍围成桶,这个新桶的容量就有可能大于本来的旧桶.
这种做法其切实企业运作中常常会使用,对于一些非中心业务,一些企业领导往往会采取外包的方法来处理,自己做最善于的事件.古代企业运作的一条清规戒律--"利润最大化,成本最小化". 为到达这一目标,管理学巨匠彼得?德鲁克认为"任何企业中仅做后盾支撑而不发明营业额的工作都应当外包出去,任何不提供向高等发展机遇的运动与业务也应该采用外包情势." 但是在信息安全领域,这块目前做的并不够,这其中的起因一局部可能是因为信息安全比较主要,要找一个牢靠的外包供给商才可以,另外的原因也可能是还没有意识到这个问题.目前越来越多的企业开始器重安全,都在树立本人的政策体制和职员队伍,但是由于信息安全存在专业性强,常识面广的特色,要建立一个完善的系统和步队是比拟艰苦的.好比目前良多企业都买了大批的IDS,却始终放在那当陈设,原因是剖析IDS的数据是一个技术性请求比较高的工作,得有丰盛的教训积聚,需要了解几万个漏洞的具体信息以及常用的袭击伎俩.以前曾和几个友人讨论,想专门做IDS数据分析和事件处理的外包服务,据说目前香港已经有一些公司开端做相似的服务了.
3.2 木桶理论与等级保护法
2003年27号文件《国度信息化引导小组对于增强信息安全保障工作的看法》中以为,不同的信息体系有着不同的安全需要,必需从实际动身,综合均衡安全本钱跟危险,优化信息安全资源的配置,
确珍重点.要重点保护基础信息网络和关系信息安全、经济命根子、社会稳固等方面的重要信息系统,放松建立信息安全等级掩护轨制,制订信息安全等级保护的管理措施和技术指南.
信息安全领域中,密级分类、等级保护就是把信息资产分为不平等级,根据信息资产不同的重要等级,采取不同的措施进行防护.它的起点就是要凸起重点,要突出重点关键部位,分级负责,分层实施.在企业的安全建设进程中,我们可以根据等级保护法,把系统分成几个等级,不等同级采用不同的"木桶"来管理,然后对每一个木桶再进行安全评估和安全防护,这样就可以在投入有限的情况下,确保重要信息的安全性.
3.3 木桶理论与内核加固
如何在木桶有缝隙的情形下,还能维护桶里面的水呢?在和Glacier、wollf、coolc等的探讨中,还提到下面一个思路:把水降温变成冰块,这样即便有缝隙,beijing escort,水也不会立刻流走,能够为我们进一步修复木桶供给时光.对系统来说,加固操作系统内核就是这个作用,比方在某个系统上发现了一个很严峻的破绽,但是如果内核是进行了加固的,那么就不轻易被应用进行攻打.
4、总结
传统的木桶实践在信息平安中的应用,让咱们懂得了什么是当前最为重大的问题,然而假如只着眼于最短木板,而疏忽了木桶的底板这个基本,忘却了使木块能成为木桶的桶箍的作用,那么信息保险这个木桶仍是很不成熟、不完美的.
目前国家、政府、企业单位都十分重视信息安全的建设问题,但是如何有规划、有系统的建设信息安全,如何建设一个可分级、可托任、可管理的安全系统,是我们大家都需要思考的问题.盼望本文能引起大家一个思考.
|
|
| | |
|
