1．傳統木桶理論
說到木桶理論，可謂眾所周知：一個由許多塊長短不同的木板箍成的木桶，決定其容水量大小的并非是其中最長的那塊木板或全部木板長度的平均值，而是取決于其中最短的那塊木板。要想提高木 桶整體效應，不是增加最長的那塊木板的長度，而是要下功夫補齊最短的那塊木板的長度。這個理論由誰提出，目前已經無從考究了，但是這個理論的應用范圍卻是十分廣泛，從經濟學、企業管理到人力資源到個人發展。
同樣這個理論也被引進了安全領域，在信息安全中，認為信息安全的防護強度取決于“馬奇諾防線”中最為薄弱的一環，因此出現的一個狀況是發現哪個安全問題嚴重就買什么樣的產品。這個理論意義在于使我們認識到整個安全防護中，最短木塊的巨大威脅，并針對最短木塊進行改進。
根據這個理論，我們會發現有些企業找出安全防護中的最短木塊，并買了很多安全產品進行防護：發現病毒對企業影響很大，就買了最好的反病毒軟件，發現邊界不安全，就用了最強的防火墻，發現有黑客入侵，就部署了最先進的IDS。這其實只是一種頭痛醫頭，腳痛醫腳的做法，是治標不治本的方法。所以實施后，安全問題還是很多，有人曾形象地說“洞照開，蟲照跑，毒照染”。
2．新木桶理論

根據我的分析，傳統的木桶理論存在一定的缺陷。實際上，我們可以看到一個木桶能不能容水，容多少水，除了看最短木板之外，還要看一些關鍵信息：1、這個木桶是否有堅實的底板，2、木板之間是否有縫隙。

一個完整的木桶，除了木桶中長板、短板，木桶還有底板。正是這誰也不太重視的底板，決定這只木桶能不能容水，能容多大重量的水。這只底板正是信息安全的基礎，即企業的信息安全架構（Information Security Architecture）、制度建設和流程管理。對于多數企業而言，目前還沒有整體的信息安全規劃和建設，也沒有制度和流程。信息安全還沒有從整體上進行考慮，隨意性相當強。這就需要對企業進行一次比較全面的安全評估，然后結合企業的業務需求和安全現狀來做安全信息架構和安全建設框架，制訂符合企業的安全制度和流程。

而在另外一些企業里，信息安全制度不是沒有，也不是不完備，最大的問題在于執行不力。前段時間曾和國內運營商中負責信息安全的人聊到，目前在大型企業和運營商中，安全的最大問題是無法貫徹執行企業的安全政策和流程。所以一位在運營商負責安全的朋友說：“安全是一把手工程，只有得到領導的強有力支持，才可能把安全策略進行推廣；安全是全民工程，只有全民參與，才能有效地貫徹安全策略和制度。”
同時需要注意的是，由于企業不斷發展，安全是動態變化的，因此也就需要我們不定期的檢查信息安全這個“木桶“的桶底是否堅實，一個迅速長大的企業，正如一只容納了相當水量的木桶，越來越大的水容量將構成木桶底板的巨大挑戰。特別是目前新技術，新產品發展迅速，WLAN、3G的出現和使用都可會增加對安全這個木桶底板的壓力，如果不時時關注底板，最后可能因為”不能承受之重“而導致所有的蓄水都丟失。
據說華為公司目前開發了一套企業安全策略認證系統，在客戶端聯網之前進行安全策略檢查，如果不符合企業的安全策略，則對該機器進行隔離；只有對符合企業策略的系統，才允許它聯網使用。這樣就能夠強制用戶執行企業安全策略。

木桶能否有效地容水，除了需要堅實的底板外，還取決于木板之間的縫隙，這個卻是大多數人不易看見的。對于一個安全防護體系而言，其不同產品之間的協作和聯動有如木板之間的縫隙，通常為我們所忽視，但其危害卻最深。安全產品之間的不協同工作有如木板之間的縫隙，將致使木桶不能容納一滴水！如果此時，企業還把注意力放在最短的木板上，豈非緣木求魚？
而桶箍的妙處就在于它能把一堆獨立的木條聯合起來，緊緊地排成一圈，同時它消除了木條與木條之間的縫隙，使木條之間形成協作關系，形成一個共同得目標，成為一個封閉的容器。如果沒有了箍，水桶就變成了一堆木條，成為不了容器；如果箍不緊，那木桶也就是千瘡百孔，縱有千升好水，能得幾天不停流？
在信息安全中，目前攻擊手法已經是融合了多種技術，比如蠕蟲就融合了緩沖區溢出技術、網絡掃描技術和病毒感染技術，這時候，如果我們的產品還卻還是孤軍作戰，防病毒軟件只能查殺病毒，卻不能有效地組織病毒地傳播；IDS可以檢查出蠕蟲在網絡上的播，卻不能清除蠕蟲；補丁管理可以防止蠕蟲的感染，卻不能查殺蠕蟲。各個安全產品單獨工作，無法有效地查殺病毒、無法組織病毒的傳播。而且更為嚴重的是，每個系統都會記錄這些安全日志，這些日志之間沒有合并，大量的日志將沖垮管理員，導致無法看到真正關心的日志。
如果是更為精密的黑客攻擊行為，可能出現的情況是每一個單獨的安全產品可能沒有識別出是一個攻擊行為，但是如果把這些攻擊日志結合在一起就發現是一次嚴重的攻擊行為。而事實目前的產品日志是沒有合并的，因此管理員很難發現這些攻擊行為。
目前出現的SOC產品可以說是木桶的桶箍，它能把各種安全技術、安全產品、安全策略、安全措施等各種目標等箍在一起，共同形成一個堅實的木桶，保護里面的水資源。SOC包含安全事件收集、事件分析、狀態監視、資產管理、配置管理、策略管理以及長期形成的知識中心，并通過流程優化、系統聯動、事件管理等方式減少木板與木板之間的縫隙，協調各方面資源，最高效率地處理安全問題，保護整體安全。
3．木桶理論引出的幾個思考

 
通過上面的分析，我們可以知道木桶的底板是基礎，桶箍是關鍵，而最短木板決定了能容水的最大容量。但是如何處理這塊最短木板，卻是大有學問：有的企業看準了企業的最短木板，并且花大力氣去提高，高投入的結果卻往往不能高產出。
其實這陷入了一種慣性思維，如果要提高木桶的容量，有時候不一定非要提高最短木板不可，只要那塊最短木板的范圍不是很寬，我們只要干脆去掉那個最短木板，然后重新用桶箍圍成桶，這個新桶的容量就有可能大于原來的舊桶。
這種做法其實在企業運作中經常會使用，對于一些非核心業務，一些企業領導往往會采用外包的方式來處理，自己做最擅長的事情。現代企業運作的一條金科玉律--“利潤最大化，成本最小化”。 為達到這一目標，管理學大師彼得?德魯克認為“任何企業中僅做后臺支持而不創造營業額的工作都應該外包出去，任何不提供向高級發展機會的活動與業務也應該采取外包形式。” 但是在信息安全領域，這塊目前做的并不夠，這其中的原因一部分可能是由于信息安全比較重要，要找一個可靠的外包供應商才可以，另外的原因也可能是還沒有意識到這個問題。目前越來越多的企業開始重視安全，都在建立自己的政策體系和人員隊伍，但是由于信息安全具有專業性強，知識面廣的特點，要建立一個完善的體系和隊伍是比較困難的。比如目前很多企業都買了大量的IDS，卻一直放在那當擺設，原因是分析IDS的數據是一個技術性要求比較高的工作，得有豐富的經驗積累，需要了解幾萬個漏洞的詳細信息以及常用的攻擊手法。以前曾和幾個朋友討論，想專門做IDS數據分析和事件處理的外包服務，聽說目前香港已經有一些公司開始做類似的服務了。

2003年27號文件《國家信息化領導小組關于加強信息安全保障工作的意見》中認為，不同的信息系統有著不同的安全需求，必須從實際出發，綜合平衡安全成本和風險，優化信息安全資源的配置，確保重點。要重點保護基礎信息網絡和關系信息安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南。
信息安全領域中，密級分類、等級保護就是把信息資產分為不同等級，根據信息資產不同的重要等級，采取不同的措施進行防護。它的出發點就是要突出重點，要突出重點要害部位，分級負責，分層實施。在企業的安全建設過程中，我們可以根據等級保護法，把系統分成幾個等級，不同等級采用不同的“木桶”來管理，然后對每一個木桶再進行安全評估和安全防護，這樣就可以在投入有限的情況下，確保重要信息的安全性。
 
如何在木桶有縫隙的情況下，還能保護桶里面的水呢？在和Glacier、wollf、coolc等的討論中，還提到下面一個思路：把水降溫變成冰塊，這樣即使有縫隙，水也不會馬上流走，可以為我們進一步修復木桶提供時間。對于系統來說，加固操作系統內核就是這個作用，比如在某個系統上發現了一個很嚴重的漏洞，但是如果內核是進行了加固的，那么就不容易被利用進行攻擊。
  

傳統的木桶理論在信息安全中的運用，讓我們了解了什么是當前最為嚴重的問題，但是如果只著眼于最短木板，而忽視了木桶的底板這個基礎，忘記了使木塊能成為木桶的桶箍的作用，那么信息安全這個木桶還是很不成熟、不完善的。
目前國家、政府、企業單位都十分重視信息安全的建設問題，但是如何有規劃、有系統的建設信息安全，如何建設一個可分級、可信任、可管理的安全系統，是我們大家都需要思考的問題。希望本文能引起大家一個思考。