善用矩阵式控制模式降低网络管理成本

ZDNet安全频道原创翻译 转载请注明作者以及出处

矩阵式控制是一个很好的办法，可以让你对过去三四年里的工作进行回顾和总结，在保证继续发展的同时加强对基础安全的控制。
-------------------------------------------------------------------------------------------

在过去几年里，我们已经制定了对威胁和漏洞进行控制和管理的策略。在很多情况下，管理层已经按照我们的要求在可能为我们的员工和客户提供保护的技术上花费了大量资金。来自媒体报道的数据充分显示了这一点。不过现在，行政经理（资金的提供者）开始产生疑问了，耗费的这些资金产生了什么效果？为什么要购买一个额外的控制设备或者取代现有的呢？在安全上花费了这么多资金，对于信息安全到底起了什么样的作用？为什么还是和实际情况有很大的差距？

当申请预算的时间，这些来自其它部门的问题都是很合理的。因此，安全经理怎样才能提供一个有效方法，让大家了解到实际情况？他或她如何对项目的进展进行评估、管理和报告，以及怎样消除不必要的冗余控制？我选择的办法是采用矩阵式控制。

矩阵式控制

在对控制和管理过程进行讨论的时间，我并没有完全抛弃古老的网络图。但是，网络图并不能提供足够详细的信息，显示各个部分的工作情况。覆盖程度、差距和不必要的冗余也很难发现和得到确认。而这些方面，则正是矩阵式控制所擅长的部分。

如图一所示的矩阵式控制图，可以让安全经理对安全战略意图的结果进行说明，并且展示怎样利用现有或者建议的控制方式满足安全方面的要求。在这个例子中，控制方式栏左下方列出的是以行政、基础和技术为代表的控制方式。总计栏中显示的是团队对如何满足全面控制功能的评估。

图一：矩阵式控制

这里有一个Excel 2007格式的矩阵式控制摸板可以下载。它包含了建议的控制功能，并且具体的内容可以根据环境的实际情况进行修改。

利用矩阵

现在我们要做的第一步就是从企业安全策略中找出需要的控制功能。（如果没有这样的策略的话，现在是时间创建一个了。）将所有这些信息列在第一栏中。其次，确保已有的控制措施已经到位了，并将它们分配到每一个栏目中。完成这些，就可以开始准备填写其余的空白部分了。

从第一种控制开始。每个栏目中的第一列下方是用来对该项措施符合控制策略的情况进行评估的。评估的符合程度有四种不同的等级。由于采用不同的颜色看起来最方便，所以我为每个等级选择了不同的颜色，具体的意义如下面所介绍的：
 
· 完全符合控制功能的要求：绿色
· 部分符合控制功能的要求：黄色
· 部分或完全满足控制功能的要求，但没有配置这样做：粉红
· 不符合任何控制功能的要求：无色

一条连续的红线说明的是没有任何控制措施满足预期战略的要求这样一个结果。

一旦完成了这样一个评估。通过栏目中的颜色，就可以发现你以前的努力达到了什么样的程度。

在某些情况下，两个或两个以上只能提供部分保护的控制措施，组合起来就可能满足所有控制功能的要求。在其他情况下，多个控制可能提供完整的保护。如果其它控制措施可以实现完整的覆盖的话，一个或者多个其它的控制措施就可以被撤消。进行评估的专家必须对所有类型的控制措施有着深刻的了解。只有这样，才能确保将每个控制措施的效力发挥到最大的程度。换句话说，只有这样才能保证商业利益的最大化。

当每一行评估完成的时间，总计栏下就会给出下一步的标识。绿色和其它颜色的区别显示出差距的存在。和我们在前面看到的一样，包含了多个绿色的栏说明了不必要的冗余存在的情况。

接下来的步骤

在根据矩阵显示的结果向管理层要求资金投入填补存在的空白之前，请确认你已经采取了措施对先前的投入进行了优化。去除不要的控制措施，与管理层进行讨论。了解如何更好地对剩余的控制措施进行优化，并且找出控制措施中的漏洞是哪些差距造成的。

利用安全网络图进行总体介绍，而矩阵将用来进行细节的说明。一定要让管理层了解，你已经尽了一切努力最大限度地控制支出，差距不是草率的配置管理造成的。这是一个好机会，可以让你获得他们的信任以及明年的预算。矩阵式控制项目是个好主意，而不仅仅是因为可以用来获得预算的缘故。

采用“点”解决方案的话，我们的技术团队很容易在确定漏洞的时间钻牛角尖走进死胡同。这样的结果往往造成只能针对具体威胁或漏洞利用一种控制措施进行单独的解决，矩阵式控制是一个很好的办法，可以让你对过去三四年里的工作进行回顾和总结，在保证继续发展的同时加强对基础安全的控制。