木桶效应是指一只木桶想盛满水

木桶理论即木桶效应。木桶效应是指一只木桶想盛满水，必须每块木板都一样平齐且无破损，如果这只桶的木板中有一块不齐或者某块木板下面有破洞，这只桶就无法盛满水。是说一只木桶能盛多少水，并不取决于最长的那块木板，而是取决于最短的那块木板。也可称为短板效应。

而现今的网络安全防护或者说更大范围的信息安全防护就是十分符合这个理论。信息安全由于信息技术和互联网的发展牵涉的范围和领域正变得越来越多，这其中虽然有很多新颖的方面，却也存在很多技术的短版，而当他们需要为某个信息安全防护工作一同“发力”的时候，那个传说中的短版往往会成为致命的关键。如何消除信息安全的短板，保护个人、企业甚至国家的信息安全，就让在信息安全领域有十几年防护经验的山丽网安来告诉您吧。

网络安全防护大局观 消除短板势在必行

在当前的互联网领域，网络安全威胁是企业共同面临的挑战之一，不管是大型企业，还是中小型企业，在网络技术快速发展，设备快速更迭的今天，网络安全管理都在威胁对抗中变得越来越复杂。

为了确保企业网络的安全稳定，就需要制定多样化、有针对性的安全防护策略，否则即使看似固若金汤的网络，也可能由于网络设备或业务上的不当应用而引发出新的安全漏洞，而这恰恰容易成为黑客探测或攻击的入口。

我们常常听到企业网受到黑客攻击的事件，而其中更不乏一些菜鸟级黑客。记得就曾经有一位技术并不高超的黑客，利用网上购买的黑客软件侵入了国内某通信公司充值中心数据库，修改窃取充值卡数据密码并向他人进行销售，在半年时间里造成了数以百万计的资金损失。

而这样案例在IT安全领域，不得不说是引人深思的：在长达半年的时间里面，耗费千万巨资，由多台防火墙、IDS、防病毒系统构成的网络安全架构，竟然连一条报警信息都没有发出过。

对于运营商这样的大型企业用户，他们的网络安全措施无疑应该是比较完善的。不过也应看到，由于网络技术的不断演进，传统的安全防护手段还主要停留在保障网络设备底层安全的层面上。一些安全措施在具体的应用层上还没有实施监控，用户与应用资源之间，以及整个访问过程和行为还都有不受控制的隐患。

对一些特定行业用户的安全需求来说，传统的安全手段已无法满足控制人的操作行为，只能依靠应用系统自身携带的安全功能。但许多企业的网络安全部署，虽然利用了身份认证及粗粒度的权限控制措施，却没有考虑到访问过程和访问行为的安全。因此，只依赖传统安全设备，或是应用系统自带防护功能，都不能满足用户对业务应用系统防护的高安全等级要求，更难符合信息安全等级保护的更高要求。

为了排除网络中的各个隐患，是不是需要为每套新上线的业务系统都单独配备安全防护？或是对已经部署的业务系统来一次安全代码大换血呢？当然，如果你的企业有足够的时间和资金的话，是可以展开这项浩大工程的。不过，最好的方式是在业务系统和访问者之间增加一名守门员，来阻止非法用户的侵入，保护企业赖以生存的核心数据资料。

那么具体如何实现呢？针对应用层威胁的特点，并确保行业用户可以遵循国家信息安全等级保护的要求，可以部署满足用户应用安全防护要求的上网行为管理设备。如现在就有通过前置主机的方式，采用应用业务逻辑与安全防护逻辑分离的设计思路，在应用服务器前以透明接入方式部署的上网行为管理网关等设备的方案推出。

其最大优势是在不改变现有应用的前提下，通过身份认证、访问控制、安全审计、安全传输、防攻击等功能和技术，在应用层实现对业务应用系统访问的全过程、系统化的安全管理控制。

值得一提的是，山丽的防水墙的上网行为管理模块和网际档案产品能很好的满足以上的防护需求。

因此，可以部署这样的网关便于进行系统故障隔离，保证业务应用人员和应用软件专注于业务处理上，全面提高了企业的工作效率。另外，如果该系统支持针对使用第三方CA证书的行业用户，提供数字证书、用户名/口令字、IP地址及USB KEY等多因子身份认证方式，就更加丰富了防护的手段了。

在具体使用过程中，管理员可以利用实现基于角色（岗位）的访问控制，以及基于SSL协议的安全加密传输通道，确保存取访问和传输过程的安全。在易用性方面，通过为用户提供细致的权限分工及透明的应用，实现了用户应用流程不变、操作习惯不变。而如果该设备支持特有的知识库自学习功能，则可进一步辅助系统安全管理员制定安全策略，减少安全运维管理的工作负担。

网络防护背后 不要让数据本源的防护成“致命”短板

虽然互联网时代，网络安全防护相当重要，但我们也必须清晰的认识到网络防护背后数据安全防护的重要性。因为不管是何种形式的防护，在信息时代，保护敏感信息和数据的安全是最终的目标。而为了不使数据本源的防护成为信息安全“致命”的短板，采用灵活且具有针对性的多模加密技术进行防护是最好的选择。

多模加密技术采用对称算法和非对称算法相结合的技术，在确保加密质量的同时，其多模的特性能让用户自主地选择加密模式从而更灵活地应对各种防护需求和安全环境。同时作为这项技术使用的典型代表山丽防水墙的多模加密模块还采用了基于系统内核的透明加密技术，从而进一步确保了加密防护的便利性和完整性（加密与格式无关）。

在网络安全甚至信息安全的大环境下，由于信息技术和网络环境的多样化，或许在整个防护的过程中会存在很多短板，我们必须找出并解决这些“短板”问题才能达到最好的防护效果。而这其中，数据本源的短板问题必须得到解决，而采用灵活且具有针对性的加密软件进行防护则是最好的方法。