管理和監控安全相關

OSSIM即開源安全資訊管理系統(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一個非常流行和完整的開源安全架構體系。OSSIM通過將開源產品進行整合,從而提供一種能夠實現安全監控功能的基礎平臺。 它的目的是提供一種集中式、有組織的,能夠更好地進行監測和顯示的框架式系統。

OSSIM明確定位為一個整合解決方案,其目標並不是要開發一個新的功能,而是利用豐富的、強大的各種程式(包括Snort、Rrd、Nmap、 Nessus以及Ntop等開源系統安全軟體)。在一個保留他們原有功能和作用的開放式架構體系環境下,將他們整合起來。而OSSIM專案的核心工作在於 負責整合和關聯各種產品提供的資訊,同時進行相關功能的整合。由於開源專案的優點,這些工具已經是久經考驗,同時也經過全方位測試、可靠的工具。

OSSIM結構體系

實際上,從過程上考慮,安全可以分為評估、防護、檢測、響應這四個步驟,現在已經有了不少優秀的開源軟體與這四個步驟相對應。但是問題在於這四個步驟屬於 一個動態、無縫過程,而所有的開源工具只是針對單一安全問題,如何將現有的安全工具進行綜合利用並將他們無縫綜合,OSSIM給出了很好的答案,那就是 ——整合。
OSSIM由資料收集、監視、檢測、審計以及控制檯這五個模組構成。這5個模組包含了目前安全領域從事件預防到事件處理一個完整的過程,在目前的安全架構 中,OSSIM是最為完備的。這五個功能模組又被劃分為三個層次,分別是高層的安全資訊顯示控制面板、中層的風險和活動監控以及底層的證據控制檯和網路監 控,各個層次提供不同功能,共同保證系統的安全運轉。
在OSSIM中,整個過程處理被劃分為兩個階段,這兩個階段反映的是一個事件從發生到處理的不同的歷史時期,這兩個階段分別為預處理階段,這一階段的處理 主要有監視器和探測器來共同完成,它們主要是為系統提供初步的安全控制;另一個事後處理階段,這一階段的處理更加集中,更多的是反映在事件發生之後系統安 全策略的調整和整個系統的安全配置的改進。
在OSSIM的架構體系中,有三個部件比較引人注意,這是OSSIM中的三個策略資料庫,是OSSIM事件分析和策略調整的資訊來源,分別為以下三種資料庫:
◆EDB(事件資料庫):在三個資料庫中,EDB無疑是最大的,它儲存的是所有底層的探測器和監視器所捕捉到的所有的事件。
◆KDB(知識資料庫):在知識資料庫中,將系統的狀態進行了引數化的定義,這些引數將為系統的安全管理提供詳細的資料說明和定義。
◆UDB(使用者資料庫):在使用者資料庫中,儲存的是使用者的行為和其他與使用者相關的事件。

OSSIM功能架構

OSSIM的功能一共可以劃分為9個層次,各個層次之間是無逢連線的,底層的資料為上層的處理提供資訊來源。圖1就是OSSIM所提供的功能的層次結構圖。

軟體首頁

軟體文件