木桶理論信息安全研究論文

時(shí)間:2022-06-23 08:30:00

導(dǎo)語(yǔ):木桶理論信息安全研究論文一文來(lái)源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

木桶理論信息安全研究論文

摘要:本文首先對(duì)傳統(tǒng)木桶理論和其在信息安全中的運(yùn)用作了簡(jiǎn)單的介紹,并結(jié)合作者在實(shí)際工作中對(duì)信息安全的理解,提出了對(duì)傳統(tǒng)木桶理論幾點(diǎn)思考,通過(guò)對(duì)幾點(diǎn)思考的闡述,指出了在信息安全工作中如何更好地結(jié)合木桶理論。

關(guān)鍵詞:木桶理論信息安全運(yùn)用

Abstract:Inthethesispaper,theauthorfirstgivesabriefintroductiontothetraditionalcasktheoryanditsapplicationininformationsecurity.Thenbasedontheunderstandingofinformationsecurityinpracticalwork,theauthorputforwardseveralviewsandsomethoughtsonthetraditionalcasktheory.Intheend,theauthorpointsoutthathowtoapplythecasktheorybetterintheinformationsecurityworkbyillustratingtheviewswhichhavementionedbefore.

Keywords:Casktheoryinformationsecurityapply

引言

說(shuō)到木桶理論,可謂眾所周知:一個(gè)由若干塊長(zhǎng)短不同的木板箍成的木桶,決定其容水量大小的并非是其中最長(zhǎng)的那塊木板或全部木板長(zhǎng)度的平均值,而是取決于其中最短的那塊木板。要想提高木桶的整體效應(yīng),不是增加最長(zhǎng)的那塊木板的長(zhǎng)度,而是要下功夫補(bǔ)齊最短的那塊木板的長(zhǎng)度。這個(gè)理論由誰(shuí)提出,目前已經(jīng)無(wú)從考究了,但這個(gè)理論的應(yīng)用范圍卻十分廣泛,從經(jīng)濟(jì)學(xué)、單位管理到人力資源,到個(gè)人發(fā)展。這個(gè)理論也被引進(jìn)了安全領(lǐng)域,在信息安全中,認(rèn)為信息安全的防護(hù)強(qiáng)度取決于安全體系最為薄弱的一環(huán),因此出現(xiàn)的一個(gè)狀況是發(fā)現(xiàn)哪個(gè)安全問(wèn)題嚴(yán)重就買什么樣的產(chǎn)品。這個(gè)理論的意義在于使我們認(rèn)識(shí)到整個(gè)安全防護(hù)中最短木塊的巨大威脅,并針對(duì)最短木塊進(jìn)行改進(jìn)。

根據(jù)這個(gè)理論,我們會(huì)發(fā)現(xiàn)有些單位找出安全防護(hù)中的最短木塊,并買了很多安全產(chǎn)品進(jìn)行防護(hù):發(fā)現(xiàn)病毒對(duì)單位影響很大,就買了最好的反病毒軟件;發(fā)現(xiàn)邊界不安全,就用了最強(qiáng)的防火墻;發(fā)現(xiàn)有黑客入侵,就部署了最先進(jìn)的入侵檢測(cè)系統(tǒng)。這其實(shí)只是一種頭痛醫(yī)頭,腳痛醫(yī)腳的做法,是治標(biāo)不治本的方法。

1.木桶理論新解

經(jīng)分析,傳統(tǒng)的木桶理論存在一定的缺陷,實(shí)際上一個(gè)木桶能不能容水,容多少水,除了看最短木板之外,還要看一些關(guān)鍵信息:這個(gè)木桶是否有堅(jiān)實(shí)的底板、木板之間是否有縫隙。

1.1木桶底板是木桶能否容水的基礎(chǔ)

一個(gè)完整的木桶,除了木桶中長(zhǎng)板、短板,木桶還有底板。正是這誰(shuí)也不太重視的底板,決定了這只木桶能不能容水,能容多大重量的水。這只底板正是信息安全的基礎(chǔ),即單位的信息安全架構(gòu)、安全管理制度和安全流程。對(duì)于多數(shù)單位而言,目前還沒(méi)有整體的信息安全規(guī)劃和建設(shè),也沒(méi)有完善的制度和流程。信息安全還沒(méi)有從整體上進(jìn)行考慮,隨意性相當(dāng)強(qiáng)。這就需要對(duì)單位進(jìn)行一次比較全面的安全評(píng)估,然后結(jié)合單位的業(yè)務(wù)需求和安全現(xiàn)狀來(lái)做安全信息架構(gòu)和安全建設(shè)框架,制訂符合單位的安全制度和流程。而在另外一些單位里,信息安全制度不是沒(méi)有,也不是不完備,最大的問(wèn)題在于執(zhí)行不力。目前在大型單位和運(yùn)營(yíng)商中,安全的最大問(wèn)題是無(wú)法貫徹執(zhí)行單位的安全政策和流程。所以可以說(shuō):“安全是一把手工程,只有得到領(lǐng)導(dǎo)的強(qiáng)有力支持,才可能把安全策略進(jìn)行推廣;安全是全民工程,只有全民參與,才能有效地貫徹安全策略和制度?!蓖瑫r(shí)需要注意的是,由于單位不斷發(fā)展,安全是動(dòng)態(tài)變化的,因此也就需要我們不定期的檢查信息安全這個(gè)“木桶”的桶底是否堅(jiān)實(shí),一個(gè)迅速長(zhǎng)大的單位,正如一只容納了相當(dāng)水量的木桶,越來(lái)越大的水容量將構(gòu)成木桶底板的巨大挑戰(zhàn),如果不時(shí)關(guān)注底板,最后可能因?yàn)椴荒艹惺苤囟鴮?dǎo)致所有的蓄水都丟失。

1.2木桶是否有縫隙是木桶能否容水的關(guān)鍵。

木桶能否有效地容水,除了需要堅(jiān)實(shí)的底板外,還取決于木板之間的縫隙,這個(gè)是大多數(shù)人不易看見(jiàn)的。對(duì)于一個(gè)安全防護(hù)體系而言,其不同產(chǎn)品之間的協(xié)作和聯(lián)動(dòng)有如木板之間的縫隙,通常為我們所忽視,但其危害卻最深。安全產(chǎn)品之間的不協(xié)同工作有如木板之間的縫隙,將致使木桶不能容納一滴水!如果此時(shí),單位還把注意力放在最短的木板上,豈非緣木求魚?

在信息安全中,目前攻擊手法已經(jīng)是融合了多種技術(shù),比如蠕蟲就融合了緩沖區(qū)溢出技術(shù)、網(wǎng)絡(luò)掃描技術(shù)和病毒感染技術(shù),這時(shí)候,如果我們的產(chǎn)品還卻還是孤軍作戰(zhàn),防病毒軟件只能查殺病毒,卻不能有效地組織病毒地傳播;IDS可以檢查出蠕蟲在網(wǎng)絡(luò)上的播,卻不能清除蠕蟲;補(bǔ)丁管理可以防止蠕蟲的感染,卻不能查殺蠕蟲。各個(gè)安全產(chǎn)品單獨(dú)工作,無(wú)法有效地查殺病毒、無(wú)法組織病毒的傳播。而且更為嚴(yán)重的是,每個(gè)系統(tǒng)都會(huì)記錄這些安全日志,這些日志之間沒(méi)有合并和關(guān)聯(lián),大量的日志將沖垮管理員,導(dǎo)致無(wú)法看到真正關(guān)心的日志。

目前出現(xiàn)的SOC產(chǎn)品可以說(shuō)是木桶的桶箍,它能把各種安全技術(shù)、安全產(chǎn)品、安全策略、安全措施等各種目標(biāo)等箍在一起,共同形成一個(gè)堅(jiān)實(shí)的木桶,保護(hù)里面的水資源。SOC包含安全事件收集、事件分析、狀態(tài)監(jiān)視、資產(chǎn)管理、配置管理、策略管理以及長(zhǎng)期形成的知識(shí)中心,并通過(guò)流程優(yōu)化、系統(tǒng)聯(lián)動(dòng)、事件管理等方式減少木板與木板之間的縫隙,協(xié)調(diào)各方面資源,最高效率地處理安全問(wèn)題,保護(hù)整體安全。

2.木桶理論與信息安全的幾點(diǎn)闡述

2.1如何處理木桶中的最短木板

通過(guò)上面的分析,我們可以知道木桶的底板是基礎(chǔ),桶箍是關(guān)鍵,而最短木板決定了能容水的最大容量。但是如何處理這塊最短木板,通常做法是看準(zhǔn)了單位的最短木板,并且花大力氣去提高,但效果往往不明顯。其實(shí)這陷入了一種慣性思維,如果要提高木桶的容量,有時(shí)候不一定非要提高最短木板不可,只要那塊最短木板的范圍不是很寬,我們只要干脆去掉那個(gè)最短木板,然后重新用桶箍圍成桶,這個(gè)新桶的容量就有可能大于原來(lái)的舊桶。

這種做法其實(shí)在單位運(yùn)作中經(jīng)常會(huì)使用,對(duì)于一些非核心業(yè)務(wù),一些單位領(lǐng)導(dǎo)往往會(huì)采用外包的方式來(lái)處理,自己做最擅長(zhǎng)的事情。但是在信息安全領(lǐng)域,這塊目前做的并不夠,這其中的原因一部分可能是由于信息安全比較重要,要找一個(gè)可靠的外包供應(yīng)商才可以,另外的原因也可能是還沒(méi)有意識(shí)到這個(gè)問(wèn)題。目前越來(lái)越多的單位開(kāi)始重視安全,都在建立自己的政策體系和人員隊(duì)伍,但是由于信息安全具有專業(yè)性強(qiáng),知識(shí)面廣的特點(diǎn),要建立一個(gè)完善的體系和隊(duì)伍是比較困難的。

2.2木桶理論與安全等級(jí)保護(hù)法

《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》中認(rèn)為,不同的信息系統(tǒng)有著不同的安全需求,必須從實(shí)際出發(fā),綜合平衡安全成本和風(fēng)險(xiǎn),優(yōu)化信息安全資源的配置,確保重點(diǎn),要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系信息安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級(jí)保護(hù)制度,制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南。

信息安全領(lǐng)域中,密級(jí)分類、等級(jí)保護(hù)就是把信息資產(chǎn)分為不同等級(jí),根據(jù)信息資產(chǎn)不同的重要等級(jí),采取不同的措施進(jìn)行防護(hù)。它的出發(fā)點(diǎn)就是要突出重點(diǎn),要突出重點(diǎn)要害部位,分級(jí)負(fù)責(zé),分層實(shí)施。在單位的安全建設(shè)過(guò)程中,我們可以根據(jù)等級(jí)保護(hù)法,把系統(tǒng)分成幾個(gè)等級(jí),不同等級(jí)采用不同的“木桶”來(lái)管理,然后對(duì)每一個(gè)木桶再進(jìn)行安全評(píng)估和安全防護(hù),這樣就可以在投入有限的情況下,確保重要信息的安全性。

2.3木桶理論與內(nèi)核加固

如何在木桶有縫隙的情況下,還能保護(hù)桶里面的水嗎?有一個(gè)一個(gè)思路:把水降溫變成冰塊,這樣即使有縫隙,水也不會(huì)馬上流走,可以為我們進(jìn)一步修復(fù)木桶提供時(shí)間。對(duì)于系統(tǒng)來(lái)說(shuō),加固操作系統(tǒng)內(nèi)核就是這個(gè)作用,比如在某個(gè)系統(tǒng)上發(fā)現(xiàn)了一個(gè)很嚴(yán)重的漏洞,但是如果內(nèi)核是進(jìn)行了加固的,那么就不容易被利用進(jìn)行攻擊。

3.總結(jié)

傳統(tǒng)的木桶理論在信息安全中的運(yùn)用,讓我們了解了什么是當(dāng)前最為嚴(yán)重的問(wèn)題,但是如果只著眼于最短木板,而忽視了木桶的底板這個(gè)基礎(chǔ),忘記了使木塊能成為木桶的桶箍的作用,那么信息安全這個(gè)木桶還是很不成熟、不完善的。

參考文獻(xiàn)

<1>HaroldF.TiptonInformationSecurityManagementHandbook

<2>RnaldL.Krutz.TheCisspPrepGuide