信息安全策略制定简化方法之制定一个覆盖矩阵二

当为两个以上策略对象分别制定策略文档时，在实际写第一个简略策略文档以前，最好准备一个“覆盖矩阵表”。通过为身份已确认的对象制定单独的详细总纲，就可以获得这种矩阵表。覆盖矩阵( coverage ma'uixs)只是一个组织工具，它确保把所有适当的安全策略信息提供给相应的策略对象。它着眼予以后的工作，并可使复杂的策略制定过程变得有序。一旦交流的主题被识别清楚，且写入覆盖矩阵表中，则策略文档的准备工作就会相对容易一些。

覆盖矩阵表最简单的形式是一个二维表。例如，它把主要的对象作为表的行标识符，而用策略分类作为列标题。这些策略分类就是前面所提到的高级总纲中的主要部分。矩阵中间的单元格应当填写参考数据，每个参考数据从该指南或其他地方的策略中查阅。

由于矩阵表可能有许多列但却只有几行，所以作为一个标准的覆盖矩阵表， 最好是把行标题用于填写各种对象，空白列标题填写策略分类，中间的单元格用来填写具体的策略。那么这种覆盖矩阵表模板可被复制许多次。这样，创建矩阵表时，就可以节约大量的时间。如果在任何时刻可以只看矩阵表的一部分，并且使用电子制表软件创建和操作矩阵表，那么就会极大提高效率。电子制表软件的使用，也使看起来较专业的拷贝更容易。

通常只需要2-3个不同策略对象。两种可能的对象一般是最终用户和会计计算机的技术员工。使用另一种方法，3种可能的对象是最终用户、管理层和计算机支持方。在大量的实际例子中，传送给这些对象的消息会有大量的重叠。在认识到需要多个组来接受不同信息的同时，应尽量减少对象的数量。

文章来源：Charles Cresson Wood.Information Security Policies Made Easy.

NetIQ Corporation ,2003. htp://www.netiq.com/proucts／pul/ispme.asp.

图4-11给出了一个可制作的矩阵表的例子。表中的策略号只是一个占位符， 并不是分析的结果。每个机构需要制定它自己的覆盖矩阵表，把策略号码插入相关的单元格中，每个单元格反应了各自惟一的业务和信息系统环境。

如果认为制定这种类型的矩阵表太费时，那么可以使用分类范围更宽的一种类似的表（正如指南内容中出现的那种类型）。

另一种可选的办法是，在单一策略与分离策略之间为不同对象提供一个中间策略。对于这种情况，一个覆盖更宽范围的策略可以适用于所有员工，而分离的专门策略文档可适用于诸如信息拥有者、系统开发人员、远程工作者和其他特定的对象。这种分离策略既适合于一般对象，也适合于特定对象。在一些拥有企业内部网的大型机构中，这种方法越来越常见。

为了节约时间，一些人通常假设只有一个策略对象。这种以一概全的方法也许适用于一个机构最初策略声明较少的情况。但是，信息安全工作越复杂，这种方法就会越不适用。如果从制定策略一开始是针对不同的对象，而不是采用改进一个以一概全的策略（该策略最初打算满足多种对象的需要），那么这样将节省大量的时间。策略对象也趋向于使用分离的文档。如果采用分离文档，他们就不会重复通知改变信息，在大多数情形下，这些改变信息与他们都没多大关系。使用分离文档可以采用不同的方式对待各种策略对象，而且不会产生混淆。例如，如果是第三方人员来访问机构的信息系统，则其访问规则就不同于固定员工的访问规则。