文/翟传璞

木桶理论有两个版本。第一个版本是是由美国管理学家彼得提出的，描述的是由多块木板构成的木桶，其价值在于其盛水量的多少，但决定木桶盛水量多少的关键因素不是其最长的木板，而是最短的木板。而新的木桶理论认为，木桶的长久储水量，还取决于木桶各木板的配合紧密性，没有空隙。如果木板间的配合不好，出现缝隙，导致漏水，将失去木桶的价值。相对于旧的木桶理论，新的木桶理论更强调系统中各个部件之间的关联。

在信息安全领域，新木桶理论同样适用。经过多年的IT建设，在绝大多数企业都部署了或多或少的安全产品，但安全威胁和安全事件有增无减，那个传说中牢不可破的“木桶”似乎只能存在于想象之中。究其原因不难发现，这些企业将主要精力投入在增加和弥补所谓的短木板上，采用性能更高更快的防火墙、增加防病毒软件或上网行为管理的新设备，却忽略了一个更为重要的环节：这些设备是否能够构成一个完整的安全系统。当一个木桶存在很大的缝隙时，造成的后果比存在一两个短板要严重的多。因此，信息安全建设不能仅着眼于单一的安全产品采购，必须从整个系统的角度进行考量，而安全联动技术就是将各个安全产品组合成系统的关键技术。

安全联动技术存在于信息安全建设的各个环节。首先，我们来看看安全体系中最薄弱的环节――终端。终端——台式机和笔记本电脑——是企业实现大部分业务操作的工具。不幸的是，电脑终端面对安全威胁显得越来越脆弱。这些安全威胁包括钓鱼攻击，垃圾邮件，病毒，蠕虫和其它恶意软件。根据权威部门统计，有超过80％的信息安全问题源自于用户终端。为了解决终端安全问题，业界安全厂商推出了大量的管理软件：防病毒、终端防火墙、桌面管理、用户认证等等。但这些产品部署后，并没有真正解决终端的安全问题，究其原因，每个终端安全软件只是着眼于自己所负责的领域，各个软件之间没有配合，就像一堆简单堆砌的木板，而不是一个木桶。这样混乱的局面在终端准入技术出现后才有了真正的改观。终端准入技术借鉴了机场安检的成功经验，将整个终端接入管理流程分为“身份认证”、“安全检查”、“动态授权”等几个步骤，尤其在安全检查一步，通过安全联动技术，将防病毒、反间谍软件、防火墙和入侵防御等端点防护技术与基于网络的访问控制技术相结合，从而将安全防护的“木板”有机地结合在一起，为终端和网络提供最佳的安全性。

接下来，我们再看看对用户行为的管理。自从2006年公安部82号令实施后，企业纷纷在网络中部署行为审计系统。这些行为审计系统部署在网络的出口，对用户所访问的网站、发送的邮件甚至在论坛上发表的言论进行审计。但部署后往往发现，行为审计系统只能审计到IP地址，无法定位最终用户，特别是企业网络中采用DHCP技术和NAT技术时，如何定位最终用户更是难上加难。单一的审计系统只是一片木板，而不是能够解决问题的木桶。

要解决上述问题，一个很好的方法是实现AAA系统和行为审计系统联动。AAA系统记录终端登陆时的用户账号、MAC地址、IP地址等信息，而行为审计系统会记录访问行为的源IP地址和目的IP地址，通过两个系统的联动不仅可以定位访问行为的源IP地址，还可以直接定位终端用户。扩展开来，联动技术还可以将网络管理软件纳入系统，将终端用户信息在拓扑图上进行直观展示，并通过配置管理功能实现终端用户权限的精细化控制。

从整个企业信息安全系统的角度来分析，联动技术同样重要。一个企业的信息安全系统除了安全设备，还应包括网络设备和应用系统中的安全特性。但由于传统管理工具的局限，无法形成统一管理。同时，网络中每天会发生大量的安全事件，安全设备、网络设备会发送大量的日志信息，IT管理者很容易被海量信息淹没，即使管理员能够从海量日志中分析出攻击事件，但单一的安全管理系统却无法完成事件的快速诊断和攻击源定位问题，更不要说对威胁实施控制了。

要解决上述问题，需要两方面的着手。一方面，建立统一的管理中心，实现对网络设备、安全设备以及应用系统的管理，另一方面，建立安全事件分析中心，统一收集网络中的安全事件，进行汇总和分析。当网络中发生安全事件后，安全事件分析中心对日志进行分析和汇总，然后采用安全联动技术，将分析后的信息发送到管理中心，由管理中心实现对攻击源的定位和防控策略的下发。

 http://www.h3c.com.cn/res/200912/25/20091225_898199_image001_658979_30008_0.png

图1安全管理中心业务流程

经过对信息安全从终端到系统的分析，我们可以将整个信息安全管理业务流程抽象为配置、监控、分析、响应四个步骤，并根据这四个步骤系统的、全面的部署信息安全系统，如图2所示：

http://www.h3c.com.cn/res/200912/25/20091225_898200_image002_658979_30008_0.jpg

图2信息安全管理业务流程

• 配置管理阶段：根据企业的安全制度、安全流程，对安全响应策略进行预定义，管理员在此阶段完成对网络安全策略的规划、设计和部署，明确响应策略。
• 监控管理阶段：实现对各安全设备、安全方案产生的安全事件进行实时采集、查看，生成安全报表、法规遵从性报告，将安全事件转化为直观的可视化安全威胁信息。
• 分析管理阶段：对海量的安全事件进行降噪处理，将离散的数据整合成规则的安全事件信息，对安全事件进行深度查询、审计分析及安全威胁风险评估。
• 响应管理阶段：在获取海量信息事件、分析掌握全网安全状态的基础上，将危害严重的安全事件与管理系统结合，对攻击源进行定位，描绘攻击拓扑，并通过响应联动功能对攻击源进行控制、阻断、提醒。

企业安全系统的建设，绝不是单个模块和解决方案能够实现的，需要IT管理者主动思考，通过安全联动技术，将散落的木板修整并箍紧，才能真正实现企业安全的全面防护、统一管理、降低成本、强制安全等目标，而那个想象中牢不可破的“安全木桶”也才真正有可能成为现实。