网络安全新木桶理论与信息安全
3.1 如何处理木桶中的最短木板
通过上面的分析,我们可以知道木桶的底板是基础,桶箍是关键,而最短木板决定了能容水的最大容量。但是如何处理这块最短木板,却是大有学问:有的企业看准了企业的最短木板,并且花大力气去提高,高投入的结果却往往不能高产出。
其实这陷入了一种惯性思维,如果要提高木桶的容量,有时候不一定非要提高最短木板不可,只要那块最短木板的范围不是很宽,我们只要干脆去掉那个最短木板,然后重新用桶箍围成桶,这个新桶的容量就有可能大于原来的旧桶。
这种做法其实在企业运作中经常会使用,对于一些非核心业务,一些企业领导往往会采用外包的方式来处理,自己做最擅长的事情。现代企业运作的一条金科玉律--“利润最大化,成本最小化”。 为达到这一目标,管理学大师彼得•德鲁克认为“任何企业中仅做后台支持而不创造营业额的工作都应该外包出去,任何不提供向高级发展机会的活动与业务也应该采取外包形式。” 但是在信息安全领域,这块目前做的并不够,这其中的原因一部分可能是由于信息安全比较重要,要找一个可靠的外包供应商才可以,另外的原因也可能是还没有意识到这个问题。目前越来越多的企业开始重视安全,都在建立自己的政策体系和人员队伍,但是由于信息安全具有专业性强,知识面广的特点,要建立一个完善的体系和队伍是比较困难的。比如目前很多企业都买了大量的IDS,却一直放在那当摆设,原因是分析IDS的数据是一个技术性要求比较高的工作,得有丰富的经验积累,需要了解几万个漏洞的详细信息以及常用的攻击手法。以前曾和几个朋友讨论,想专门做IDS数据分析和事件处理的外包服务,听说目前香港已经有一些公司开始做类似的服务了。
3.2 木桶理论与等级保护法
2003年27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》中认为,不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,
确保重点。要重点保护基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
信息安全领域中,密级分类、等级保护就是把信息资产分为不同等级,根据信息资产不同的重要等级,采取不同的措施进行防护。它的出发点就是要突出重点,要突出重点要害部位,分级负责,分层实施。在企业的安全建设过程中,我们可以根据等级保护法,把系统分成几个等级,不同等级采用不同的“木桶”来管理,然后对每一个木桶再进行安全评估和安全防护,这样就可以在投入有限的情况下,确保重要信息的安全性。
3.3木桶理论与内核加固
如何在木桶有缝隙的情况下,还能保护桶里面的水呢?在和Glacier、wollf、coolc等的讨论中,还提到下面一个思路:把水降温变成冰块,这样即使有缝隙,水也不会马上流走,可以为我们进一步修复木桶提供时间。对于系统来说,加固操作系统内核就是这个作用,比如在某个系统上发现了一个很严重的漏洞,但是如果内核是进行了加固的,那么就不容易被利用进行攻击。
4、总结
传统的木桶理论在信息安全中的运用,让我们了解了什么是当前最为严重的问题,但是如果只着眼于最短木板,而忽视了木桶的底板这个基础,忘记了使木块能成为木桶的桶箍的作用,那么信息安全这个木桶还是很不成熟、不完善的。
目前国家、政府、企业单位都十分重视信息安全的建设问题,但是如何有规划、有系统的建设信息安全,如何建设一个可分级、可信任、可管理的安全系统,是我们大家都需要思考的问题。希望本文能引起大家一个思考。
Tags:
作者:无从考证评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论