基于木桶理论多元化集团信息安全建设.docx

基于木桶理论多元化集团信息安全建设.docx基于木桶理论多元化集团信息安全建设【摘要】本文按照木桶理论,并遵循三分技术、七分管理的思路,从信息安全管理的组织及制度建设,到安全意识的提高,最后结合技术手段,建立较完备的信息安全体系,并结合盾安集团的实际情况,以较高的性价比,达到了非相关多元化跨区域企业的信息安全建设目标。【关键词】信息安全;多元化集团;木桶理论【中图分类号】TP309【文献标识码】A【文章编号】1672—5158(2012)10-0437-04一、木桶理论和信息安全木桶理论的来源上世纪40年代,美国通用汽车公司的汽车销量一度大幅下滑,当时的总裁阿佛雷特•小斯隆调查发现问题出现在销售上面,业务员们的个人销售状况有很大的差异,于是他决定对销售业绩最好的的那些业务员进行重点培训,有一位加拿大留学生也成为了被重点培养的其中一员。一天,这位加拿大留学生却对阿佛雷特•小斯隆说,培训那些业绩差的业务员要比培训这些成绩好的业务员效果更明显,并且搬来了一个木桶为其进行演示。受到这位年轻人的启发,阿佛雷特•小斯隆做出了一个新决定:让业绩最少的那一部分业务员接受最好的培训。两个月以后,公司的汽车销量不仅很快得到回升,甚至大大超过了原来的水平。这位加拿大留学生,就是后来成为美国著名管理学家的劳伦斯•彼得,而当初他向通用汽车提出''加长最短的板”的建议,就是后来他最具代表性的管理学说之一的“木桶理论”。"木桶理论”也称为木桶效应或短板理论,英文名称为Bucketseffect或者CannikinLawo它的核心内容是指一只木桶想盛满水,必须每块木板都一样平齐且无破损,否则这只桶就无法盛满水。这也就是说一只水桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。自“木桶理论”诞生以来,它影响着无数人的思维方式。(二)木桶理论的演化在传统的木桶理论基础上,又有新的见解提出,比较典型的有:一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些关键信息:这个木桶是否有坚实的底板、木板之间是否有缝隙。1) 木桶底板是木桶能否容水的基础一个完整的木桶,除了木桶中长板、短板,木桶还有底板。正是这谁也不太重视的底板,决定了这只木桶能不能容水,能容多大重量的水。2) 木桶是否有缝隙是木桶能否容水的关键。木桶能否有效地容水,除了需要坚实的底板外,取决于各块板之间的配合程度,即板与板之间的缝隙大小。若有了缝隙,木桶中的水将会慢慢的渗出,直至不能容纳一滴水。(三)信息安全的定义什么是信息?信息可以理解为消息、情报、数据或知识,它可以以多种形式存在,可以是组织中信息设施中存储与处理的数据、程序,可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也可以显示在胶片上或表达在会话中消息。信息是一种重要的无形资产,像其他重要的业务资产一样,对组织具有很高价值,因此需要妥善保护。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全是指信息系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。信息安全的特征是为了保证信息的保密性、完整性和可用性。信息系统安全保障是以风险和策略为核心,在信息系统运行环境的整个生命周期中提供包括技术、管理、人员和工程过程在内的综合安全保障,在信息系统中保障信息的这些安全特征,并实现组织的使命。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真卖性和可控性的相关技术和理论都是信息安全的研究领域。广义的计算机系统安全的范围很广,它不仅包括计算机系统本身,还包括自然灾害(如雷电、地震、火灾等),物理损坏(如硬盘损坏、设备使用寿命到期等),设备故障(如停电、电磁干扰等),意外事故等。狭义的系统安全包括计算机主机系统和网络系统上的主机、网络设备和某些终端设备的安全问题,主要针对对这些系统的攻击、侦听、欺骗等非法手段的防护。国际互联网络()是跨越时空的,所以安全问题也是跨越时空的。虽然我们国家的网络还不是很发达,但是我们遭到的安全危险却是同国外一样的,这是一个很严重的问题。的不安全因素,来自几个方面。一方面,作为一种技术,是面向所有用户的,所有资源均通过网络共享;另一方面,过去主要用于科研和学术,现在已发展为商用阶段,但是它的技术基础是不安全的。在不同的行业,所遭受的攻击因行业和网络服务的不同而不同。在电信或者ICP市场,进攻服务系统比较多;而在银行业,对数据系统的进攻相对更频繁。(四)木桶理论在信息安全建设领域的应用把企业的信息资产比喻为木桶的水,则信息安全保障建设就是木桶本身。将木桶理论应用于企业信息安全领域的重要意义在于,使企业认识到了企业整体信息安全防御能力的强度取决于信息安全体系中最脆弱的环节。根据木桶