OSSIM安全資訊管理系統
阿新 • • 發佈:2020-10-10
OSSIM即開源安全資訊管理系統(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一個非常流行和完整的開源安全架構體系。OSSIM通過將開源產品進行整合,從而提供一種能夠實現安全監控功能的基礎平臺。 它的目的是提供一種集中式、有組織的,能夠更好地進行監測和顯示的框架式系統。
OSSIM明確定位為一個整合解決方案,其目標並不是要開發一個新的功能,而是利用豐富的、強大的各種程式(包括Snort、Rrd、Nmap、 Nessus以及Ntop等開源系統安全軟體)。在一個保留他們原有功能和作用的開放式架構體系環境下,將他們整合起來。而OSSIM專案的核心工作在於 負責整合和關聯各種產品提供的資訊,同時進行相關功能的整合。由於開源專案的優點,這些工具已經是久經考驗,同時也經過全方位測試、可靠的工具。
OSSIM結構體系
實際上,從過程上考慮,安全可以分為評估、防護、檢測、響應這四個步驟,現在已經有了不少優秀的開源軟體與這四個步驟相對應。但是問題在於這四個步驟屬於 一個動態、無縫過程,而所有的開源工具只是針對單一安全問題,如何將現有的安全工具進行綜合利用並將他們無縫綜合,OSSIM給出了很好的答案,那就是 ——整合。
OSSIM由資料收集、監視、檢測、審計以及控制檯這五個模組構成。這5個模組包含了目前安全領域從事件預防到事件處理一個完整的過程,在目前的安全架構 中,OSSIM是最為完備的。這五個功能模組又被劃分為三個層次,分別是高層的安全資訊顯示控制面板、中層的風險和活動監控以及底層的證據控制檯和網路監 控,各個層次提供不同功能,共同保證系統的安全運轉。
在OSSIM的架構體系中,有三個部件比較引人注意,這是OSSIM中的三個策略資料庫,是OSSIM事件分析和策略調整的資訊來源,分別為以下三種資料庫:
◆EDB(事件資料庫):在三個資料庫中,EDB無疑是最大的,它儲存的是所有底層的探測器和監視器所捕捉到的所有的事件。
◆UDB(使用者資料庫):在使用者資料庫中,儲存的是使用者的行為和其他與使用者相關的事件。
OSSIM功能架構
OSSIM的功能一共可以劃分為9個層次,各個層次之間是無逢連線的,底層的資料為上層的處理提供資訊來源。圖1就是OSSIM所提供的功能的層次結構圖。