当为两个以上策略对象分别制定策略文档时,在实际写第一个简略策略文档以前,最好准备一个“覆盖矩阵表”。通过为身份已确认的对象制定单独的详细总纲,就可以获得这种矩阵表。覆盖矩阵( coverage ma'uixs)只是一个组织工具,它确保把所有适当的安全策略信息提供给相应的策略对象。它着眼予以后的工作,并可使复杂的策略制定过程变得有序。一旦交流的主题被识别清楚,且写入覆盖矩阵表中,则策略文档的准备工作就会相对容易一些。
覆盖矩阵表最简单的形式是一个二维表。例如,它把主要的对象作为表的行标识符,而用策略分类作为列标题。这些策略分类就是前面所提到的高级总纲中的主要部分。矩阵中间的单元格应当填写参考数据,每个参考数据从该指南或其他地方的策略中查阅。
由于矩阵表可能有许多列但却只有几行,所以作为一个标准的覆盖矩阵表, 最好是把行标题用于填写各种对象,空白列标题填写策略分类,中间的单元格用来填写具体的策略。那么这种覆盖矩阵表模板可被复制许多次。这样,创建矩阵表时,就可以节约大量的时间。如果在任何时刻可以只看矩阵表的一部分,并且使用电子制表软件创建和操作矩阵表,那么就会极大提高效率。电子制表软件的使用,也使看起来较专业的拷贝更容易。
通常只需要2-3个不同策略对象。两种可能的对象一般是最终用户和会计计算机的技术员工。使用另一种方法,3种可能的对象是最终用户、管理层和计算机支持方。在大量的实际例子中,传送给这些对象的消息会有大量的重叠。在认识到需要多个组来接受不同信息的同时,应尽量减少对象的数量。
文章来源:Charles Cresson Wood.Information Security Policies Made Easy.
NetIQ Corporation ,2003. htp://www.netiq.com/proucts/pul/ispme.asp.
图4-11给出了一个可制作的矩阵表的例子。表中的策略号只是一个占位符, 并不是分析的结果。每个机构需要制定它自己的覆盖矩阵表,把策略号码插入相关的单元格中,每个单元格反应了各自惟一的业务和信息系统环境。
如果认为制定这种类型的矩阵表太费时,那么可以使用分类范围更宽的一种类似的表(正如指南内容中出现的那种类型)。
另一种可选的办法是,在单一策略与分离策略之间为不同对象提供一个中间策略。对于这种情况,一个覆盖更宽范围的策略可以适用于所有员工,而分离的专门策略文档可适用于诸如信息拥有者、系统开发人员、远程工作者和其他特定的对象。这种分离策略既适合于一般对象,也适合于特定对象。在一些拥有企业内部网的大型机构中,这种方法越来越常见。
为了节约时间,一些人通常假设只有一个策略对象。这种以一概全的方法也许适用于一个机构最初策略声明较少的情况。但是,信息安全工作越复杂,这种方法就会越不适用。如果从制定策略一开始是针对不同的对象,而不是采用改进一个以一概全的策略(该策略最初打算满足多种对象的需要),那么这样将节省大量的时间。策略对象也趋向于使用分离的文档。如果采用分离文档,他们就不会重复通知改变信息,在大多数情形下,这些改变信息与他们都没多大关系。使用分离文档可以采用不同的方式对待各种策略对象,而且不会产生混淆。例如,如果是第三方人员来访问机构的信息系统,则其访问规则就不同于固定员工的访问规则。