企業安全新“木桶”

傳統的木桶理論已經遠遠不夠;企業應根據新木桶理論的指導，在信息安全建設上突出重點、保障關鍵應用、統一規劃、分級管理，構建一個可量化、可操控、可信任、可管理的信息安全體系。

木桶理論的缺陷

木桶理論可謂眾所周知:一個由許多塊長短不同的木板箍成的木桶，決定其容水量大小的，并非是其中最長的那塊木板、或全部木板長度的平均值，而是取決于其中最短的那塊木板。

將木桶理論應用于企業信息安全領域的重要意義在于，使企業認識到了企業整體信息安全防御能力的強度取決于信息安全體系中最脆弱的環節。根據木桶理論，很多企業都在努力發掘、克服信息安全中的短板，針對信息安全體系中存在的盲區、潛在風險、薄弱點等紛紛部署了不同功能、應用、規模的信息安全產品，例如:針對網絡病毒泛濫，在內網安裝部署中央控管防病毒系統進行病毒防御;針對互聯網非法入侵，在互聯網出口安裝防火墻、IPS、安全網關等工具進行安全防御。

然而，實踐已經證明，在企業信息安全領域應用木桶理論仍存在一定缺陷:缺乏系統、整體、科學的統籌規劃，導致企業在信息安全措施的運用上存在“據病就醫”的不合理現象，很難實現“標本兼治”。實際情況往往是隨著信息安全工具、平臺、系統越上越多，企業信息安全問題非但沒有減少，安全事件發生率、安全隱患、安全風險反而趨于增大，這個問題亟待解決。

新木桶理論

新木桶理論是這樣的:一個木桶能不能容水，能容多少水，除了看最短的那塊木板以外，還要看另外一些關鍵信息——一是這個木桶是否有堅實的底板、二是木板之間是否存在縫隙。

一個完整的木桶除了長板、短板之外，還有底板。正是這塊底板，構成了企業信息安全的基礎架構(Information Security Architecture)，其中包括信息安全工作相關的組織機構、管理策略、規章制度、操作流程、運維體系等。

木桶能否有效盛水，除了需要堅實的底板之外，木板之間的縫隙同樣至關重要。對于一個信息安全體系而言，不同功能、廠家、規格的信息安全產品之間的協作、聯動、集成有如木板之間的縫隙，很容易被忽視，這樣所導致的安全風險和危害往往是最嚴重的。

堅實的底板

擁有堅實的底板，是一個木桶能夠盛水的前提基礎。企業信息安全基礎架構就是信息安全體系的底板，它全面完整地反映了一個組織機構或系統對安全管理的要求，是對ISO17799安全管理體系的深刻詮釋。企業信息安全基礎架構由三要素(即資產管理、威脅管理、風險管理)和四個層次(即策略、組織、操作、技術)組成，現對四個層次的主要內容說明如下:

(1)策略層次:體現整個機構的信息安全方針、綱領、標準、制度、規范、參考文獻、指南等。

(2)組織層次:建立有效的信息安全組織，并賦予組織成員明確的角色和職責，普及安全知識，實施安全教育，提高全員的安全意識。

(3)操作層次:用戶管理、資產管理、環境安全管理，應用系統開發運維管理，業務操作規范等。

(4)技術層次:完整覆蓋信息安全體系各個基礎要素的技術標準、方案及其實現。

對部分企業而言，由于沒有進行過系統的信息安全建設需求調研、分析評估、整體規劃，在信息安全建設過程中存在一定的隨意性，將安全視為軟、硬件產品技術的簡單疊加，忽略制度建設，缺乏執行力，其后果可想而知。

針對以上問題，企業應該在具備專業信息安全認證資質的服務商的支持、協助下，運用先進的理念方法，在企業內部自上而下地組織進行一次全面、徹底、深入的信息安全評估，通過認真調研企業的信息安全現狀和安全需求，結合企業未來發展戰略規劃，制訂信息安全整體解決方案，分輕重、分緩急、分步驟地逐步予以實施。這里有兩個問題需要特別強調:一是執行力度，信息安全工程是典型的“一把手工程”、“全員參與工程”，沒有領導的重視和支持，沒有員工的普遍接受和參與，沒有切實可行的制度保障和考核體系支撐，安全就是一句空話;二是動態需求，信息安全工作只有起點，沒有終點，隨著企業對信息安全需求的動態變化，木桶的盛水量需求逐漸增大，木桶底板必須不斷提高堅實程度。

無縫是關鍵

桶箍的作用在于將一堆獨立的木條緊緊聯合起來，使木桶成為一個封閉無縫的容器。試想一下，如果沒有桶箍，或者箍得不緊，那么木桶仍然無法容水。企業信息安全體系的桶箍是企業信息安全技術、安全產品、安全策略、安全措施等各種對象的有機結合體，其中安全策略是最核心的，安全策略應該是系統的、長期的、整體的。企業應始終堅持應用系統建設與信息安全建設同步規劃、同步建設、協調發展的原則，將信息安全體系建設融入到信息化規劃、建設、管理和運維的全過程之中。

信息安全策略也叫信息安全方針，是企業對信息化相關全部資源(人、財、物、信息)進行管理、保護和分配的原則，是有關信息安全的行為規范。信息安全策略主要解決兩大問題:一是明確企業員工的信息資源訪問權限及流程(重點)，告訴員工在日常的工作中什么是可以做的、什么是必須做的、什么是允許做的、什么是禁止做的;二是清晰闡述針對各類信息資源的防御措施及流程(難點)，說明什么信息資源是需要保護的、安全保護等級是什么、保護措施是什么、保護措施的優先次序、保護措施之間的關聯關系等。企業應根據信息安全等級保護的原則，識別出各類潛在的信息安全風險，并制訂出詳盡的信息安全風險應對策略(包括風險避免、風險轉移、風險減輕、風險接受)。

近年來，計算機網絡病毒、攻擊手段、破壞方式經常是融合多種技術的，這就需要企業各信息安全子系統之間密切配合、協同工作、聯動整合、主動防御。例如:在2005年，防病毒軟件提供的主要功能是病毒的檢測、處置，功能相對單一;到了2010年，木馬、間諜軟件、灰色軟件、黑客軟件成為主流病毒，這些病毒很多都是利用了TCP/IP協議棧、網絡系統、操作系統的各種漏洞，單一憑借防病毒軟件很難徹底清除，所以防病毒軟件都不同程度地集成整合了防火墻、漏洞掃描、補丁更新管理、主動防御等功能，以滿足桌面安全管理的市場需要。企業在信息安全體系的構建上，應突出強調整體安全策略、全局安全措施、長期安全保障，各種安全措施和手段之間需要加強協作配合。

傳統的木桶理論讓企業在信息安全建設過程中意識到了要優先解決最嚴重的問題，但是一味強調克服“短板效應”，忽視木桶底板及桶箍的作用，勢必導致信息安全體系不健壯、不成熟、不完善。企業應根據信息安全等級保護的要求，在信息安全建設上突出重點、保障關鍵應用、統一規劃、分級管理，構建一個可量化、可操控、可信任、可管理的信息安全體系。