木桶理论信息安全研究论文

摘要:本文首先对传统木桶理论和其在信息安全中的运用作了简单的介绍,并结合作者在实际工作中对信息安全的理解,提出了对传统木桶理论几点思考,通过对几点思考的阐述,指出了在信息安全工作中如何更好地结合木桶理论。

关键词:木桶理论信息安全运用

Abstract:Inthethesispaper,theauthorfirstgivesabriefintroductiontothetraditionalcasktheoryanditsapplicationininformationsecurity.Thenbasedontheunderstandingofinformationsecurityinpracticalwork,theauthorputforwardseveralviewsandsomethoughtsonthetraditionalcasktheory.Intheend,theauthorpointsoutthathowtoapplythecasktheorybetterintheinformationsecurityworkbyillustratingtheviewswhichhavementionedbefore.

Keywords:Casktheoryinformationsecurityapply

引言

说到木桶理论,可谓众所周知:一个由若干块长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值,而是取决于其中最短的那块木板。要想提高木桶的整体效应,不是增加最长的那块木板的长度,而是要下功夫补齐最短的那块木板的长度。这个理论由谁提出,目前已经无从考究了,但这个理论的应用范围却十分广泛,从经济学、单位管理到人力资源,到个人发展。这个理论也被引进了安全领域,在信息安全中,认为信息安全的防护强度取决于安全体系最为薄弱的一环,因此出现的一个状况是发现哪个安全问题严重就买什么样的产品。这个理论的意义在于使我们认识到整个安全防护中最短木块的巨大威胁,并针对最短木块进行改进。

根据这个理论,我们会发现有些单位找出安全防护中的最短木块,并买了很多安全产品进行防护:发现病毒对单位影响很大,就买了最好的反病毒软件;发现边界不安全,就用了最强的防火墙;发现有黑客入侵,就部署了最先进的入侵检测系统。这其实只是一种头痛医头,脚痛医脚的做法,是治标不治本的方法。

1.木桶理论新解

经分析,传统的木桶理论存在一定的缺陷,实际上一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些关键信息:这个木桶是否有坚实的底板、木板之间是否有缝隙。

1.1木桶底板是木桶能否容水的基础

一个完整的木桶,除了木桶中长板、短板,木桶还有底板。正是这谁也不太重视的底板,决定了这只木桶能不能容水,能容多大重量的水。这只底板正是信息安全的基础,即单位的信息安全架构、安全管理制度和安全流程。对于多数单位而言,目前还没有整体的信息安全规划和建设,也没有完善的制度和流程。信息安全还没有从整体上进行考虑,随意性相当强。这就需要对单位进行一次比较全面的安全评估,然后结合单位的业务需求和安全现状来做安全信息架构和安全建设框架,制订符合单位的安全制度和流程。而在另外一些单位里,信息安全制度不是没有,也不是不完备,最大的问题在于执行不力。目前在大型单位和运营商中,安全的最大问题是无法贯彻执行单位的安全政策和流程。所以可以说:“安全是一把手工程,只有得到领导的强有力支持,才可能把安全策略进行推广;安全是全民工程,只有全民参与,才能有效地贯彻安全策略和制度。”同时需要注意的是,由于单位不断发展,安全是动态变化的,因此也就需要我们不定期的检查信息安全这个“木桶”的桶底是否坚实,一个迅速长大的单位,正如一只容纳了相当水量的木桶,越来越大的水容量将构成木桶底板的巨大挑战,如果不时关注底板,最后可能因为不能承受之重而导致所有的蓄水都丢失。

1.2木桶是否有缝隙是木桶能否容水的关键。

木桶能否有效地容水,除了需要坚实的底板外,还取决于木板之间的缝隙,这个是大多数人不易看见的。对于一个安全防护体系而言,其不同产品之间的协作和联动有如木板之间的缝隙,通常为我们所忽视,但其危害却最深。安全产品之间的不协同工作有如木板之间的缝隙,将致使木桶不能容纳一滴水!如果此时,单位还把注意力放在最短的木板上,岂非缘木求鱼?

在信息安全中,目前攻击手法已经是融合了多种技术,比如蠕虫就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术,这时候,如果我们的产品还却还是孤军作战,防病毒软件只能查杀病毒,却不能有效地组织病毒地传播;IDS可以检查出蠕虫在网络上的播,却不能清除蠕虫;补丁管理可以防止蠕虫的感染,却不能查杀蠕虫。各个安全产品单独工作,无法有效地查杀病毒、无法组织病毒的传播。而且更为严重的是,每个系统都会记录这些安全日志,这些日志之间没有合并和关联,大量的日志将冲垮管理员,导致无法看到真正关心的日志。

目前出现的SOC产品可以说是木桶的桶箍,它能把各种安全技术、安全产品、安全策略、安全措施等各种目标等箍在一起,共同形成一个坚实的木桶,保护里面的水资源。SOC包含安全事件收集、事件分析、状态监视、资产管理、配置管理、策略管理以及长期形成的知识中心,并通过流程优化、系统联动、事件管理等方式减少木板与木板之间的缝隙,协调各方面资源,最高效率地处理安全问题,保护整体安全。

2.木桶理论与信息安全的几点阐述

2.1如何处理木桶中的最短木板

通过上面的分析,我们可以知道木桶的底板是基础,桶箍是关键,而最短木板决定了能容水的最大容量。但是如何处理这块最短木板,通常做法是看准了单位的最短木板,并且花大力气去提高,但效果往往不明显。其实这陷入了一种惯性思维,如果要提高木桶的容量,有时候不一定非要提高最短木板不可,只要那块最短木板的范围不是很宽,我们只要干脆去掉那个最短木板,然后重新用桶箍围成桶,这个新桶的容量就有可能大于原来的旧桶。

这种做法其实在单位运作中经常会使用,对于一些非核心业务,一些单位领导往往会采用外包的方式来处理,自己做最擅长的事情。但是在信息安全领域,这块目前做的并不够,这其中的原因一部分可能是由于信息安全比较重要,要找一个可靠的外包供应商才可以,另外的原因也可能是还没有意识到这个问题。目前越来越多的单位开始重视安全,都在建立自己的政策体系和人员队伍,但是由于信息安全具有专业性强,知识面广的特点,要建立一个完善的体系和队伍是比较困难的。

2.2木桶理论与安全等级保护法

《国家信息化领导小组关于加强信息安全保障工作的意见》中认为,不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点,要重点保护基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。

信息安全领域中,密级分类、等级保护就是把信息资产分为不同等级,根据信息资产不同的重要等级,采取不同的措施进行防护。它的出发点就是要突出重点,要突出重点要害部位,分级负责,分层实施。在单位的安全建设过程中,我们可以根据等级保护法,把系统分成几个等级,不同等级采用不同的“木桶”来管理,然后对每一个木桶再进行安全评估和安全防护,这样就可以在投入有限的情况下,确保重要信息的安全性。

2.3木桶理论与内核加固

如何在木桶有缝隙的情况下,还能保护桶里面的水吗?有一个一个思路:把水降温变成冰块,这样即使有缝隙,水也不会马上流走,可以为我们进一步修复木桶提供时间。对于系统来说,加固操作系统内核就是这个作用,比如在某个系统上发现了一个很严重的漏洞,但是如果内核是进行了加固的,那么就不容易被利用进行攻击。

3.总结

传统的木桶理论在信息安全中的运用,让我们了解了什么是当前最为严重的问题,但是如果只着眼于最短木板,而忽视了木桶的底板这个基础,忘记了使木块能成为木桶的桶箍的作用,那么信息安全这个木桶还是很不成熟、不完善的。

参考文献

<1>HaroldF.TiptonInformationSecurityManagementHandbook

<2>RnaldL.Krutz.TheCisspPrepGuide