1．傳統(tǒng)木桶理論
說到木桶理論，可謂眾所周知：一個由許多塊長短不同的木板箍成的木桶，決定其容水量大小的并非是其中最長的那塊木板或全部木板長度的平均值，而是取決于其中最短的那塊木板。要想提高木 桶整體效應，不是增加最長的那塊木板的長度，而是要下功夫補齊最短的那塊木板的長度。這個理論由誰提出，目前已經(jīng)無從考究了，但是這個理論的應用范圍卻是十分廣泛，從經(jīng)濟學、企業(yè)管理到人力資源到個人發(fā)展。
同樣這個理論也被引進了安全領域，在信息安全中，認為信息安全的防護強度取決于“馬奇諾防線”中最為薄弱的一環(huán)，因此出現(xiàn)的一個狀況是發(fā)現(xiàn)哪個安全問題嚴重就買什么樣的產(chǎn)品。這個理論意義在于使我們認識到整個安全防護中，最短木塊的巨大威脅，并針對最短木塊進行改進。
根據(jù)這個理論，我們會發(fā)現(xiàn)有些企業(yè)找出安全防護中的最短木塊，并買了很多安全產(chǎn)品進行防護：發(fā)現(xiàn)病毒對企業(yè)影響很大，就買了最好的反病毒軟件，發(fā)現(xiàn)邊界不安全，就用了最強的防火墻，發(fā)現(xiàn)有黑客入侵，就部署了最先進的IDS。這其實只是一種頭痛醫(yī)頭，腳痛醫(yī)腳的做法，是治標不治本的方法。所以實施后，安全問題還是很多，有人曾形象地說“洞照開，蟲照跑，毒照染”。
2．新木桶理論

根據(jù)我的分析，傳統(tǒng)的木桶理論存在一定的缺陷。實際上，我們可以看到一個木桶能不能容水，容多少水，除了看最短木板之外，還要看一些關鍵信息：1、這個木桶是否有堅實的底板，2、木板之間是否有縫隙。

一個完整的木桶，除了木桶中長板、短板，木桶還有底板。正是這誰也不太重視的底板，決定這只木桶能不能容水，能容多大重量的水。這只底板正是信息安全的基礎，即企業(yè)的信息安全架構（Information Security Architecture）、制度建設和流程管理。對于多數(shù)企業(yè)而言，目前還沒有整體的信息安全規(guī)劃和建設，也沒有制度和流程。信息安全還沒有從整體上進行考慮，隨意性相當強。這就需要對企業(yè)進行一次比較全面的安全評估，然后結合企業(yè)的業(yè)務需求和安全現(xiàn)狀來做安全信息架構和安全建設框架，制訂符合企業(yè)的安全制度和流程。

而在另外一些企業(yè)里，信息安全制度不是沒有，也不是不完備，最大的問題在于執(zhí)行不力。前段時間曾和國內(nèi)運營商中負責信息安全的人聊到，目前在大型企業(yè)和運營商中，安全的最大問題是無法貫徹執(zhí)行企業(yè)的安全政策和流程。所以一位在運營商負責安全的朋友說：“安全是一把手工程，只有得到領導的強有力支持，才可能把安全策略進行推廣；安全是全民工程，只有全民參與，才能有效地貫徹安全策略和制度。”
同時需要注意的是，由于企業(yè)不斷發(fā)展，安全是動態(tài)變化的，因此也就需要我們不定期的檢查信息安全這個“木桶“的桶底是否堅實，一個迅速長大的企業(yè)，正如一只容納了相當水量的木桶，越來越大的水容量將構成木桶底板的巨大挑戰(zhàn)。特別是目前新技術，新產(chǎn)品發(fā)展迅速，WLAN、3G的出現(xiàn)和使用都可會增加對安全這個木桶底板的壓力，如果不時時關注底板，最后可能因為”不能承受之重“而導致所有的蓄水都丟失。
據(jù)說華為公司目前開發(fā)了一套企業(yè)安全策略認證系統(tǒng)，在客戶端聯(lián)網(wǎng)之前進行安全策略檢查，如果不符合企業(yè)的安全策略，則對該機器進行隔離；只有對符合企業(yè)策略的系統(tǒng)，才允許它聯(lián)網(wǎng)使用。這樣就能夠強制用戶執(zhí)行企業(yè)安全策略。

木桶能否有效地容水，除了需要堅實的底板外，還取決于木板之間的縫隙，這個卻是大多數(shù)人不易看見的。對于一個安全防護體系而言，其不同產(chǎn)品之間的協(xié)作和聯(lián)動有如木板之間的縫隙，通常為我們所忽視，但其危害卻最深。安全產(chǎn)品之間的不協(xié)同工作有如木板之間的縫隙，將致使木桶不能容納一滴水！如果此時，企業(yè)還把注意力放在最短的木板上，豈非緣木求魚？
而桶箍的妙處就在于它能把一堆獨立的木條聯(lián)合起來，緊緊地排成一圈，同時它消除了木條與木條之間的縫隙，使木條之間形成協(xié)作關系，形成一個共同得目標，成為一個封閉的容器。如果沒有了箍，水桶就變成了一堆木條，成為不了容器；如果箍不緊，那木桶也就是千瘡百孔，縱有千升好水，能得幾天不停流？
在信息安全中，目前攻擊手法已經(jīng)是融合了多種技術，比如蠕蟲就融合了緩沖區(qū)溢出技術、網(wǎng)絡掃描技術和病毒感染技術，這時候，如果我們的產(chǎn)品還卻還是孤軍作戰(zhàn)，防病毒軟件只能查殺病毒，卻不能有效地組織病毒地傳播；IDS可以檢查出蠕蟲在網(wǎng)絡上的播，卻不能清除蠕蟲；補丁管理可以防止蠕蟲的感染，卻不能查殺蠕蟲。各個安全產(chǎn)品單獨工作，無法有效地查殺病毒、無法組織病毒的傳播。而且更為嚴重的是，每個系統(tǒng)都會記錄這些安全日志，這些日志之間沒有合并，大量的日志將沖垮管理員，導致無法看到真正關心的日志。
如果是更為精密的黑客攻擊行為，可能出現(xiàn)的情況是每一個單獨的安全產(chǎn)品可能沒有識別出是一個攻擊行為，但是如果把這些攻擊日志結合在一起就發(fā)現(xiàn)是一次嚴重的攻擊行為。而事實目前的產(chǎn)品日志是沒有合并的，因此管理員很難發(fā)現(xiàn)這些攻擊行為。
目前出現(xiàn)的SOC產(chǎn)品可以說是木桶的桶箍，它能把各種安全技術、安全產(chǎn)品、安全策略、安全措施等各種目標等箍在一起，共同形成一個堅實的木桶，保護里面的水資源。SOC包含安全事件收集、事件分析、狀態(tài)監(jiān)視、資產(chǎn)管理、配置管理、策略管理以及長期形成的知識中心，并通過流程優(yōu)化、系統(tǒng)聯(lián)動、事件管理等方式減少木板與木板之間的縫隙，協(xié)調(diào)各方面資源，最高效率地處理安全問題，保護整體安全。
3．木桶理論引出的幾個思考

 
通過上面的分析，我們可以知道木桶的底板是基礎，桶箍是關鍵，而最短木板決定了能容水的最大容量。但是如何處理這塊最短木板，卻是大有學問：有的企業(yè)看準了企業(yè)的最短木板，并且花大力氣去提高，高投入的結果卻往往不能高產(chǎn)出。
其實這陷入了一種慣性思維，如果要提高木桶的容量，有時候不一定非要提高最短木板不可，只要那塊最短木板的范圍不是很寬，我們只要干脆去掉那個最短木板，然后重新用桶箍圍成桶，這個新桶的容量就有可能大于原來的舊桶。
這種做法其實在企業(yè)運作中經(jīng)常會使用，對于一些非核心業(yè)務，一些企業(yè)領導往往會采用外包的方式來處理，自己做最擅長的事情。現(xiàn)代企業(yè)運作的一條金科玉律--“利潤最大化，成本最小化”。 為達到這一目標，管理學大師彼得?德魯克認為“任何企業(yè)中僅做后臺支持而不創(chuàng)造營業(yè)額的工作都應該外包出去，任何不提供向高級發(fā)展機會的活動與業(yè)務也應該采取外包形式。” 但是在信息安全領域，這塊目前做的并不夠，這其中的原因一部分可能是由于信息安全比較重要，要找一個可靠的外包供應商才可以，另外的原因也可能是還沒有意識到這個問題。目前越來越多的企業(yè)開始重視安全，都在建立自己的政策體系和人員隊伍，但是由于信息安全具有專業(yè)性強，知識面廣的特點，要建立一個完善的體系和隊伍是比較困難的。比如目前很多企業(yè)都買了大量的IDS，卻一直放在那當擺設，原因是分析IDS的數(shù)據(jù)是一個技術性要求比較高的工作，得有豐富的經(jīng)驗積累，需要了解幾萬個漏洞的詳細信息以及常用的攻擊手法。以前曾和幾個朋友討論，想專門做IDS數(shù)據(jù)分析和事件處理的外包服務，聽說目前香港已經(jīng)有一些公司開始做類似的服務了。

2003年27號文件《國家信息化領導小組關于加強信息安全保障工作的意見》中認為，不同的信息系統(tǒng)有著不同的安全需求，必須從實際出發(fā)，綜合平衡安全成本和風險，優(yōu)化信息安全資源的配置，確保重點。要重點保護基礎信息網(wǎng)絡和關系信息安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南。
信息安全領域中，密級分類、等級保護就是把信息資產(chǎn)分為不同等級，根據(jù)信息資產(chǎn)不同的重要等級，采取不同的措施進行防護。它的出發(fā)點就是要突出重點，要突出重點要害部位，分級負責，分層實施。在企業(yè)的安全建設過程中，我們可以根據(jù)等級保護法，把系統(tǒng)分成幾個等級，不同等級采用不同的“木桶”來管理，然后對每一個木桶再進行安全評估和安全防護，這樣就可以在投入有限的情況下，確保重要信息的安全性。
 
如何在木桶有縫隙的情況下，還能保護桶里面的水呢？在和Glacier、wollf、coolc等的討論中，還提到下面一個思路：把水降溫變成冰塊，這樣即使有縫隙，水也不會馬上流走，可以為我們進一步修復木桶提供時間。對于系統(tǒng)來說，加固操作系統(tǒng)內(nèi)核就是這個作用，比如在某個系統(tǒng)上發(fā)現(xiàn)了一個很嚴重的漏洞，但是如果內(nèi)核是進行了加固的，那么就不容易被利用進行攻擊。
  

傳統(tǒng)的木桶理論在信息安全中的運用，讓我們了解了什么是當前最為嚴重的問題，但是如果只著眼于最短木板，而忽視了木桶的底板這個基礎，忘記了使木塊能成為木桶的桶箍的作用，那么信息安全這個木桶還是很不成熟、不完善的。
目前國家、政府、企業(yè)單位都十分重視信息安全的建設問題，但是如何有規(guī)劃、有系統(tǒng)的建設信息安全，如何建設一個可分級、可信任、可管理的安全系統(tǒng)，是我們大家都需要思考的問題。希望本文能引起大家一個思考。