从SIEM与IAM的应用系统集成看SOC与4A的整合 - 产品和技术 - 赛迪网

　　默认分类2011-03-18 13:43:52阅读0评论0 字号：大中小 订阅 2009年9月1日Gartner发布了一份报告，叫做《SIEM与IAM技术集成》（SIEM and IAM Technology Integration）。（注释：SIEM即Security Information and Event Management，安全信息和事件管理；IAM即Identity and Access Management，身份和访问管理）在这份报告中，Gartner指出，“集成IAM和SIEM将有助于IAM的用户和角色管理能力，发挥SIEM的异常监视功能，提供比IAM自身更强大的审计能力。”Gartner一直将用户行为监视（User Activity Monitoring）作为SIEM的主要驱动因素。Gartner认为“用户行为监视对于威胁管理和合规管理都是十分重要的”。

　　这份报告列举了如下一些发现和观点：

　　1)IEM提供用户行为和资源访问监视功能，补充了IAM的审计能力。SIEM还能对超出组织中当前部署的IAM范围之外的应用和平台进行身份审计。

　　2)IEM需要IAM提供基本的策略上下文以提供有效的异常监视。如果缺乏IAM和SIEM的集成，组织需要手工地将IAM的策略与SIEM关联起来，当然这样会花费更多的部署和维护成本。

　　3)AM可以利用SIEM的事件数据来驱动用户和角色生命周期管理，并使得异常恢复实现自动化。

　　4)IEM和IAM的厂家提供了一些集成方案，而第三方的SIEM厂家则不具备。

　　5)IEM厂家而言，将SIEM与特定的第三方IAM产品集成出现较少，依然是由大客户的需求驱动。大部分SIEM产品仅仅与微软的AD或者主流的网络认证服务集成。

　　在这份报告中，详细分析了SIEM和如何与IAM结合到一起的。最重要的就是两点：

　　1)IEM在进行用户行为监视、分析与审计的时候需要IAM提供从IP到自然人的信息，从IP到资源的信息映射。如果缺乏这个输入，那么SIEM的分析结果就可能缺乏责任认定的有效性。在SIEM与IAM集成之前，也有一些尝试，例如手工地将IP与人进行对应，但是工作量巨大，并且一旦变更，又要牵涉大量的变更，缺乏可行性。而将SIEM与IAM集成，则可以改善这方面的问题。

　　2)IEM的用户行为审计结果可以被IAM所利用。因为SIEM的审计告警（预警）信息能够告诉IAM在当前的帐号（身份）和访问策略之下，谁违规了。根据SIEM提供的违规信息，IAM能够通过帐号或策略变更进行安全调整与改进。

　　对于SIEM与IAM的集成，Gartner其实很早就注意到了。在2005年，Gartner发布了一个《Security and Identity Management Auditing Converge》的报告，明确指出了SIEM可以作为IAM日志审计的工具。

　　（二）说说国内的4A

　　回到国内，当前始于中国移动针对业务支撑系统提出的4A管理平台，可以看作是将传统的3A（Account、Authentication、Authorization）与审计（Audit）结合的具体实践。其中，3A的核心我们可以对应为IAM和附加的认证管理（PKI/PKM、SSO等）。根据中国移动的规划，4A管理平台的建设能够保障用户合法、安全、方便使用业务支撑系统的特定资源。既有效地保障了合法用户的权益，又能有效地保障业务支撑系统安全可靠地运行。

　　中国移动业务支撑网4A管理平台的建设目的是将业务支撑系统中的帐号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit) 整合成集中、统一的安全服务系统，简称4A管理平台或4A平台。通过4A管理平台提供统一的基础安全服务技术架构，使新的应用可以很容易的集成到管理平台中。通过该平台对业务支撑系统各种IT资源（包括应用和系统）进行集中管理，为各个业务系统提供集中4A安全服务，提升业务支撑系统安全性和可管理能力。

　　受到中国移动4A的启发，以及IAM在国内的日益接受，在移动、电信领域之外，也逐渐开始了4A的实践活动。包括金融、保险、证券等行业和一些信息化水平较高的大企业都开始了自身的4A实践。这些行业的4A与中国移动的4A不尽相同，主要是体现在前面的3A上。有的将3A设计的较为完善，也较为复杂，有的则结合行业实际进行了简化。在3A中，IAM――即身份（也就是帐号）和访问控制得到了最多的认可和实施。而SSO则由于牵涉到对现有业务系统的改造，一般都被放到了未来规划之中。

　　除了前面的3A，最后一个A（审计）也在很多行业得到了极大的认可。独立的审计系统在4A之前就已经存在，而在4A中，审计被赋予了更多的内涵，最关键的一个就是通过对自然人的行为进行监视、分析和审计，实现有效地责任认定，并且，这个审计系统应该由SIEM或者相当的综合性审计系统来承担。这也就是本文开篇引用Gartner的报告的原因所在。

　　（三）SIEM、SOC、SOC2.0

　　SIEM这个词在国内提及不多，更多地是听到安全管理平台、SOC（Security Operations Center）这个词。但是我们已经知道，SIEM是SOC的核心。在以前，我们也分析过，未来，综合性安全审计将逐步与SOC融合。这也就是说，未来，SOC将以SIEM为核心承担对全网IT资源的综合审计功能。这个综合审计既包括各类异构的审计对象，例如主机、网络、应用、用户、数据等；也包括各种审计目标，例如行为审计、内容审计、合规审计等。我们不妨将这个未来的SOC称作SOC2.0。

　　（四）SOC2.0与4A的关系

　　那么，未来的SOC与4A是什么关系呢？当前，我们已经知道首先提出4A概念的中国移动也有了SOC的概念和规范。并且，在当前的中国移动整体IT安全蓝图中，4A与SOC之间的关系是松耦合、甚至是极弱相关的。我认为，未来，SOC将与4A依然是松耦合的，但是会发生更多的关联。