通常情况下，IT组织在公司内部通过它们管理的身份管理进程和技术来管理用户访问和授权，与此同时，IT安全组织已经通过自己的一系列策略、流程以及技术来降低风险。组织通过将这两个功能合并在一起来增加它们的有效性，以达到1+1>2的效果。

　　IT安全部门已经开始在组织内部部署安全信息和事件管理系统（SIM），用它来监控和报告信息资产漏洞。通过分布在组织各处的扫描器，搜集违反信息策略的情况数据，然后使用一个可管理的计分软件来对整体的漏洞情况做一个风险定义和报告，然后由SIM补救这些风险。虽然它变得越来越有效，但这些技术只是作为一个早期预警雷达系统，它会在一个严重的策略违反活动发生时识别此类事件，然后由一个分类流程来验证并对该问题进行补救。

　　目前的大多数SIM系统仅被设置成关注识别事件，即敏感信息试图从授权渠道流出公司域的事件。这样的报告对任何组织都很重要，但经理们还是期待SIM系统可以提供更主动的信息资产漏洞管理和控制功能，而不仅仅是报告事件，来减少欺诈活动。但是这项功能只能在人这个安全因素与现在的SIM工具提供的信息相结合之后才能实现。

　　当安全经理们在组织内部寻找有用的用户授权和角色信息来和他们的SIM系统数据相结合时，他们发现最完整的信息并不是来自传统的人力资源（HR）系统，而是来自IT部门的IAM系统。与HR工具不同，这些系统是用来识别用户在组织内部扮演的角色或责任的，这样可以使用户有正确的系统和信息访问权限，方便他们履行职责。

　　在过去，这样的访问是通过管理一系列权限，比较粗放的访问权利来实现的，但现在的趋势是将多种权限集中于一个基于单一角色的访问控制（RBAC）定义，这样有利于一致性和方便管理。举个例子，如果所有的WEB开发工程师都需要在相同的10个系统里拥有相同的20项权限才能完成他们的工作，相对于要管理200个权限（10个系统各有20项权限）来说，如果将所有这些权限放在一个RBAC对象上来进行控制的话，就会很方便，比如一个叫“WEB工程师”的对象，只要在帐户配置过程中使用这个单一的值来赋予或去除他们的帐号即可。通过在一个RBAC模型上使用用户身份识别和访问控制，IT人员处理用户帐号的入职、变更、离职就会更加快速，流程也极大地简化，而且会更加有效。

　　如何合并SIM和IAM系统以降低企业风险（中）

　　如何合并SIM和IAM系统以降低企业风险（下）