安全管理“八仙过海”

长期以来，网络与系统管理供应商的产品都是分门别类供应市场，现在他们清单上最引人注目的项目是安全信息管理。

本月初，Micromuse宣布已通过1620万美元收购了GuardedNet，业内观察者预测这次收购可能显示了单纯SIM厂商退出市场的开端。通过提供更为成熟的关联和报告工具，Micromuse的收购计划有望扩展这家公司的Netcool for Security Management。继Cisco于去年12月收购了SIM供应商Protego Networks，业内可能会再次形成一场收购风潮。

IDC资深分析家Stephen Elliot认为，系统管理和其他供应商将SIM看作是一个具有高增长潜力的区域，他们将会努力为已安装的机架出售集成的产品。CA这样的大型公司可以自己来做SIM，但对于其他供应商来说，收购的方式有助于获取杀入市场的最快时间。

收购并不是供应商提供SIM所采取的唯一方式。Cisco从netForensics获取SIM技术的特许来增强其网络安全计划；HP上个月宣布已经与ArcSight结成伙伴关系以提供OpenView 兼容的管理器产品；而存储领域的巨人EMC与SenSage的联合，促成了其Centera存储产品与SenSage事件日志收集与维护特性的联姻；CA和IBM Tivoli则分别提供具备SIM功能的独立或捆绑管理应用。

通过列举两种技术之间明显的协同作用，管理产品厂商能够解释为什么安全事件与网络事件应该一起受到管理，以达到最好的威胁防护能力和优化的网络性能。但是业内观察家认为，解决安全问题需要管理供应商所作的决不止是开发一个附加的软件模块。安全事件和网络事件之间的区别，要求厂商必须增强他们的事件关联、数据存储和存储性能。

安全信息应该与网络管理信息以常规工作流和数据库的形式结合到一起，这样市场也会统一。但是管理厂商所忽略的是，安全在涉及到的所有技术之中具备最大可能的创新能力。所以，处理SIM不仅能挑战网络管理厂商将其精力放到研究安全上来，还能促使他们改变自己产品的工作方式。SIM产品通常由软件、服务器和或从设备收集日志的探查工具组成，而与网络管理工具共同的部分也限于此。SIM工具包含更为智能化的安全事件细节，适合对持续的变化做出反应；而网络管理软件只对文件核准的变化有效，它会阻止对设备和软件配置不必要的更改。

大多数管理厂商认为安全只是管理的一个子集，网络和系统管理厂商的整体目标是应对改变、确保所有过程都有序进行并减少手工重复活动的开销。安全管理是相对的，它需要具有快速反应的能力应对持续的改变，在安全方面只有很少一部分工作是重复性的。

SIM厂商必须要找到一条扩展功能与企业应用范围的途径。SIM有助于简化安全事件的收集和分析，但是配置应用SIM确实需要相当数量的企业资源与人员，而这正是它的一个不利方面。

Yankee集团的研究估计，对于中等规模和大型的组织要使SIM能够正常展开工作，需要的软件、硬件和配置应用花费可能达到接近40万美元，这还不包括添加设备、运转维护和存储需求带来的开销。用户对于一个价格不断增长的小产品不会有任何兴趣，同样对于投入一整套管理框架，从自动事件收集、过滤和分析中收益的想法也是一样的。

网络管理产品的市场庞大而包罗万象，为使SIM投入市场并真正从中获得用户需要的东西将会花费很长时间。有些用户已经能够看到将安全和网络监控工具捆绑到一起的好处，但目前网络管理产品缺乏深层的安全知识和相关能力。如果管理供应商没有从根本上理解安全事件中需要寻找什么，那么所有的数据收集将会变成一种无用信息的输入和输出。