1、传统木桶理论 说到木桶理论,可谓众所周知:一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值,而是取决于其中最短的那块木板。要想提高木桶整体效应,不是增加最长的那块木板的长度,而是要下功夫补齐最短的那块木板的长度。这个理论由谁提出,目前已经无从考究了,但是这个理论的应用范围却是十分广泛,从经济学、企业管理到人力资源到个人发展。
同样这个理论也被引进了安全领域,在信息安全中,认为信息安全的防护强度取决于“马奇诺防线”中最为薄弱的一环,因此出现的一个状况是发现哪个安全
问题严重就买什么样的产品。这个理论意义在于使我们认识到整个安全防护中,最短木块的巨大威胁,并针对最短木块进行改进。
根据这个理论,我们会发现有些企业找出安全防护中的最短木块,并买了很多安全产品进行防护:发现病毒对企业影响很大,就买了最好的反病毒软件,发现边界不安全,就用了最强的防火墙,发现有黑客入侵,就部署了最先进的IDS。这其实只是一种头痛医头,脚痛医脚的做法,是治标不治本的方法。所以实施后,安全问题还是很多,有人曾形象地说“洞照开,虫照跑,毒照染”。
2、新木桶理论 根据我的分析,传统的木桶理论存在一定的缺陷。实际上,我们可以看到一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些关键信息:1、这个木桶是否有坚实的底板,2、木板之间是否有缝隙。
2.1木桶底板是木桶能否容水的基础
一个完整的木桶,除了木桶中长板、短板,木桶还有底板。正是这谁也不太重视的底板,决定这只木桶能不能容水,能容多大重量的水。这只底板正是信息安全的基础,即企业的信息安全架构(Information Security Architecture)、制度建设和流程管理。对于多数企业而言,目前还没有整体的信息安全规划和建设,也没有制度和流程。信息安全还没有从整体上进行考虑,随意性相当强。这就需要对企业进行一次比较全面的安全评估,然后结合企业的业务需求和安全现状来做安全信息架构和安全建设框架,制订符合企业的安全制度和流程。
本新闻共4页,当前在第1页 1 2 3 4