事件响应机制探讨:合并SIM系统和IAM系统

如果将SIM系统(安全信息管理系统)的实时监控和报告功能和IAM系统(身份和访问管理系统)的访问控制连接起来,可以提供更有用的控制和更高的安全性。但是,这两个系统都是封闭的环境,这意味着他们都有非常具体的切入点,而且他们最初是被设计成独立工作的,因此,没人清楚该如何将这两个功能合并起来,而且如果在这样的情况下,贸然地将他们集合在一起,将会造成两个系统同时失去有效性的风险出现。

SIM系统的功能是监控并报告安全漏洞及策略违反的情况,这些系统包括一个策略执行引擎,它的功能是将信息保护策略转换成一些可操作的行动,以便进行监控和评分,它和扫描及报告组件协同工作,扫描及报告组件会在某个违反组织保护策略的活动发生时,通知IT安全人员。同时,IAM管理用户访问和授权,以便用户进行活动。为了管理这样的访问,IAM系统使用RBAC(基于角色的访问控制)。RBAC允许IT管理员在一个高级别的用户管理模型下来管理用户访问,而此模型是基于普通用户的功能和责任的。它可以用来同时管理大量用户,相对于单独管理每个用户的访问要更加有效得多。

这两个系统的封闭环境意味着两者的整合是非常困难的,那么为什么一个组织会想要将他们合并起来呢?有一点是很重要的,必须要认识到SIM系统的工具是用来处理信息和系统的,而不是针对人。在很多情况下,当一个IT安全人员接到由SIM系统发出的事件报告而要去进行处理时,他或她并不知道是否某个人引发或造成了这个事件,但是他或她可以在IAM系统里查询哪个人曾经访问过这个信息,因此如果有IAM系统的信息可以查询将会非常有利于正确地将事件分类和及时处理。

因此,应该如何合理地将一个独立的SIM系统整合进一个独立的IAM系统呢?首先,要进行分级处理。在现实情况中,SIM系统仍然是唯一的用来处理安全漏洞和风险评估的控制系统,同样地,SIM系统保留它的***等级控制系统的角色,而IAM系统则必须扮演一个奉献的角色,因为在将一个IAM系统整合进一个SIM系统的时候,很重要的一点是不应该给SIM系统加重负担以免影响它执行自己的正常功能,这意味着IAM系统应该作为一个事件分类模块的一部分被整合进来,而不是作为监控和报告功能模块的一部分。

IAM系统存储了用户信息,帐户访问权限,角色和权利,因此就事件分类模块而言,这些信息应该象下面这样使用:

识别问题中的信息→查看当前的保护→确定受影响的组件→确定访问此信息的用户角色→确定用户在此角色中的权利→确定用户的物理和虚拟访问→确定此信息是否处于风险中。

SIM分类组件使用通常存储在目录中的用户信息,比如LDAP(轻量级目录访问协议)或活动目录;由于IAM系统在存储用户访问和权限时使用相同的位置,在整合两个系统时,首先要做的是允许SIM系统可以访问目录树中IAM的分支,这样可以允许SIM系统来查询用户角色和访问权限。

另外一个整合点是,SIM需要使用IAM系统的验证服务,这个服务是用来验证某个用户是否具有根据他或她的工作职能而被赋有的正确角色。SIM系统如果可以做到这点,那它将可以寻找出一些没有被验证服务发现的职责分离情况以及其它违反策略的情况,因为它可以从一个系统级别的访问问题来分析,而不只是在信息级别的访问问题。

两个系统都提供的一个特征是,他们具有在各自的领域进行监控的能力,很多组织都犯一个错误,即没有在一个使用通用数据或操作中心的情况下分享由这些系统提供的观点。就象美国政府遇到的情况一样,美国政府具有各种情报中心,但却没有共享他们的发现,通过各自独立地监控IT安全活动和其它IT活动,使美国政府只能对发生的实际活动一知半解。将IT和安全数据,以及操作中心布置在一起,那么两个系统都可以进行监控,以便提供一个整合的IT安全前沿。

***,将由SIM系统来确定安全漏洞将被最小化,以及所有违反组织安全策略的行为都将被捕获。当IAM技术提供有价值的服务来管理用户访问和授权时,他们仍在敏感信息保护中扮演了一个次要的角色。通过帮助SIM系统获知谁曾经访问过出问题的信息,IAM能够提供有价值的信息来增强SIM工具的有效性,而且SIM系统也会反过来向IAM系统提供有价值的反馈,以便IAM系统更好地管理用户。通过将此两个服务合并成一个功能,而不只是简单地分别使用此两个服务,组织会获得一个更好的解决方案。

【编辑推荐】

  1. 上网行为管理IAM系统具备大规模部署的条件
  2. IAM技术2010年发展趋势可配置技术成重点
  3. 企业IP网络安全管理系统探讨

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/131464.html<

(0)
管理的头像管理
上一篇2025-02-26 13:39
下一篇 2025-02-26 13:40

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注