论文部分内容阅读
1.传统木桶理论
说到木桶理论,可谓众所周知:一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值,而是取决于其中最短的那块木板。
要想提高木桶整体效应,不是增加最长的那块木板的长度,而是要下功夫补齐最短的那块木板的长度。这个理论由谁提出,目前已经无从考究了,但是这个理论的应用范围却是十分广泛的,从经济学、企业管理到人力资源到个人发展。
同样这个理论也被引进了安全领域,在信息安全中,认为信息安全的防护强度取决于“马奇诺防线”中最为薄弱的一环,因此出现的一个状况是发现哪个安全问题严重就买什么样的产品。这个理论意义在于使我们认识到整个安全防护中,最短木块的巨大威胁,并针对最短木块进行改进。
根据这个理论,我们会发现有些企业找出安全防护中的最短木块,并买了很多安全产品进行防护:发现病毒对企业影响很大,就买了最好的反病毒软件,发现边界不安全,就用了最强的防火墙,发现有黑客入侵,就部署了最先进的IDS。这其实只是一种头痛医头,脚痛医脚的做法,是治标不治本的方法。所以实施后,安全问题还是很多,有人曾形象地说“洞照开,虫照跑,毒照染”。
2.新木桶理论
根据我的分析,传统的木桶理论存在一定的缺陷。实际上,我们可以看到一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些关键信息:①这个木桶是否有坚实的底板,②木板之间是否有缝隙。
(1)木桶底板是木桶能否容水的基础
一个完整的木桶,除了木桶中长板、短板,木桶还有底板。正是这谁也不太重视的底板,决定这只木桶能不能容水,能容多大重量的水。这只底板正是信息安全的基础,即企业的信息安全架构(Information Security Architecture)、制度建设和流程管理。对于多数企业而言,目前还没有整体的信息安全规划和建设,也没有制度和流程。信息安全还没有从整体上进行考虑,随意性相当强。这就需要对企业进行一次比较全面的安全评估,然后结合企业的业务需求和安全现状来做安全信息架构和安全建设框架,制订符合企业的安全制度和流程。
而在另外一些企业里,信息安全制度不是没有,也不是不完备,最大的问题在于执行不力。前段时间曾和国内运营商中负责信息安全的人聊到,目前在大型企业和运营商中,安全的最大问题是无法贯彻执行企业的安全政策和流程。所以一位在运营商负责安全的朋友说:“安全是一把手工程,只有得到领导的强有力支持,才可能把安全策略进行推广;安全是全民工程,只有全民参与,才能有效地贯彻安全策略和制度。”
同时需要注意的是,由于企业不断发展,安全是动态变化的,因此也就需要我们不定期地检查信息安全这个“木桶“的桶底是否坚实,一个迅速长大的企业,正如一只容纳了相当水量的木桶,越来越大的水容量将构成木桶底板的巨大挑战。特别是目前新技术,新产品发展迅速,WLAN、3G的出现和使用都可能会增加对安全这个木桶底板的压力,如果不时时关注底板,最后可能因为”不能承受之重“而导致所有的蓄水都丢失。
据说华为公司目前开发了一套企业安全策略认证系统,在客户端联网之前进行安全策略检查,如果不符合企业的安全策略,则对该机器进行隔离;只有对符合企业策略的系统,才允许它联网使用。这样就能够强制用户执行企业安全策略。
(2)木桶是否有缝隙是木桶能否容水的关键
木桶能否有效地容水,除了需要坚实的底板外,还取决于木板之间的缝隙,这个却是大多数人不易看见的。对于一个安全防护体系而言,其不同产品之间的协作和联动有如木板之间的缝隙,通常为我们所忽视,但其危害却最深。安全产品之间的不协同工作有如木板之间的缝隙,将致使木桶不能容纳一滴水!如果此时,企业还把注意力放在最短的木板上,岂非缘木求鱼?
而桶箍的妙处就在于它能把一堆独立的木条联合起来,紧紧地排成一圈,同时它消除了木条与木条之间的缝隙,使木条之间形成协作关系,形成一个共同的目标,成为一个封闭的容器。如果没有了箍,水桶就变成了一堆木条,成为不了容器;如果箍不紧,那木桶也就是千疮百孔,纵有千升好水,能得几天不停流?
在信息安全中,目前攻击手法已经是融合了多种技术,比如蠕虫就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术,这时候,如果我们的产品却还是孤军作战,防病毒软件只能查杀病毒,却不能有效地组织病毒的传播;IDS可以检查出蠕虫在网络上的传播,却不能清除蠕虫;补丁管理可以防止蠕虫的感染,却不能查杀蠕虫。各个安全产品单独工作,无法有效地查杀病毒、无法阻止病毒的传播。而且更为严重的是,每个系统都会记录这些安全日志,这些日志之间没有合并,大量的日志将冲垮管理员,导致无法看到真正关心的日志。
如果是更为精密的黑客攻击行为,可能出现的情况是每一个单独的安全产品可能没有识别出是一个攻击行为,但是如果把这些攻击日志结合在一起就发现是一次严重的攻击行为。而事实目前的产品日志是没有合并的,因此管理员很难发现这些攻击行为。
目前出现的SOC产品可以说是木桶的桶箍,它能把各种安全技术、安全产品、安全策略、安全措施等各种目标等箍在一起,共同形成一个坚实的木桶,保护里面的水资源。SOC包含安全事件收集、事件分析、状态监视、资产管理、配置管理、策略管理以及长期形成的知识中心,并通过流程优化、系统联动、事件管理等方式减少木板与木板之间的缝隙,协调各方面资源,最高效率地处理安全问题,保护整体安全。
说到木桶理论,可谓众所周知:一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值,而是取决于其中最短的那块木板。
要想提高木桶整体效应,不是增加最长的那块木板的长度,而是要下功夫补齐最短的那块木板的长度。这个理论由谁提出,目前已经无从考究了,但是这个理论的应用范围却是十分广泛的,从经济学、企业管理到人力资源到个人发展。
同样这个理论也被引进了安全领域,在信息安全中,认为信息安全的防护强度取决于“马奇诺防线”中最为薄弱的一环,因此出现的一个状况是发现哪个安全问题严重就买什么样的产品。这个理论意义在于使我们认识到整个安全防护中,最短木块的巨大威胁,并针对最短木块进行改进。
根据这个理论,我们会发现有些企业找出安全防护中的最短木块,并买了很多安全产品进行防护:发现病毒对企业影响很大,就买了最好的反病毒软件,发现边界不安全,就用了最强的防火墙,发现有黑客入侵,就部署了最先进的IDS。这其实只是一种头痛医头,脚痛医脚的做法,是治标不治本的方法。所以实施后,安全问题还是很多,有人曾形象地说“洞照开,虫照跑,毒照染”。
2.新木桶理论
根据我的分析,传统的木桶理论存在一定的缺陷。实际上,我们可以看到一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些关键信息:①这个木桶是否有坚实的底板,②木板之间是否有缝隙。
(1)木桶底板是木桶能否容水的基础
一个完整的木桶,除了木桶中长板、短板,木桶还有底板。正是这谁也不太重视的底板,决定这只木桶能不能容水,能容多大重量的水。这只底板正是信息安全的基础,即企业的信息安全架构(Information Security Architecture)、制度建设和流程管理。对于多数企业而言,目前还没有整体的信息安全规划和建设,也没有制度和流程。信息安全还没有从整体上进行考虑,随意性相当强。这就需要对企业进行一次比较全面的安全评估,然后结合企业的业务需求和安全现状来做安全信息架构和安全建设框架,制订符合企业的安全制度和流程。
而在另外一些企业里,信息安全制度不是没有,也不是不完备,最大的问题在于执行不力。前段时间曾和国内运营商中负责信息安全的人聊到,目前在大型企业和运营商中,安全的最大问题是无法贯彻执行企业的安全政策和流程。所以一位在运营商负责安全的朋友说:“安全是一把手工程,只有得到领导的强有力支持,才可能把安全策略进行推广;安全是全民工程,只有全民参与,才能有效地贯彻安全策略和制度。”
同时需要注意的是,由于企业不断发展,安全是动态变化的,因此也就需要我们不定期地检查信息安全这个“木桶“的桶底是否坚实,一个迅速长大的企业,正如一只容纳了相当水量的木桶,越来越大的水容量将构成木桶底板的巨大挑战。特别是目前新技术,新产品发展迅速,WLAN、3G的出现和使用都可能会增加对安全这个木桶底板的压力,如果不时时关注底板,最后可能因为”不能承受之重“而导致所有的蓄水都丢失。
据说华为公司目前开发了一套企业安全策略认证系统,在客户端联网之前进行安全策略检查,如果不符合企业的安全策略,则对该机器进行隔离;只有对符合企业策略的系统,才允许它联网使用。这样就能够强制用户执行企业安全策略。
(2)木桶是否有缝隙是木桶能否容水的关键
木桶能否有效地容水,除了需要坚实的底板外,还取决于木板之间的缝隙,这个却是大多数人不易看见的。对于一个安全防护体系而言,其不同产品之间的协作和联动有如木板之间的缝隙,通常为我们所忽视,但其危害却最深。安全产品之间的不协同工作有如木板之间的缝隙,将致使木桶不能容纳一滴水!如果此时,企业还把注意力放在最短的木板上,岂非缘木求鱼?
而桶箍的妙处就在于它能把一堆独立的木条联合起来,紧紧地排成一圈,同时它消除了木条与木条之间的缝隙,使木条之间形成协作关系,形成一个共同的目标,成为一个封闭的容器。如果没有了箍,水桶就变成了一堆木条,成为不了容器;如果箍不紧,那木桶也就是千疮百孔,纵有千升好水,能得几天不停流?
在信息安全中,目前攻击手法已经是融合了多种技术,比如蠕虫就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术,这时候,如果我们的产品却还是孤军作战,防病毒软件只能查杀病毒,却不能有效地组织病毒的传播;IDS可以检查出蠕虫在网络上的传播,却不能清除蠕虫;补丁管理可以防止蠕虫的感染,却不能查杀蠕虫。各个安全产品单独工作,无法有效地查杀病毒、无法阻止病毒的传播。而且更为严重的是,每个系统都会记录这些安全日志,这些日志之间没有合并,大量的日志将冲垮管理员,导致无法看到真正关心的日志。
如果是更为精密的黑客攻击行为,可能出现的情况是每一个单独的安全产品可能没有识别出是一个攻击行为,但是如果把这些攻击日志结合在一起就发现是一次严重的攻击行为。而事实目前的产品日志是没有合并的,因此管理员很难发现这些攻击行为。
目前出现的SOC产品可以说是木桶的桶箍,它能把各种安全技术、安全产品、安全策略、安全措施等各种目标等箍在一起,共同形成一个坚实的木桶,保护里面的水资源。SOC包含安全事件收集、事件分析、状态监视、资产管理、配置管理、策略管理以及长期形成的知识中心,并通过流程优化、系统联动、事件管理等方式减少木板与木板之间的缝隙,协调各方面资源,最高效率地处理安全问题,保护整体安全。