基于OSSIM 的開源安全運維平臺

基于OSSIM 的開源安全運維平臺

一個安全運維平臺能否有效就要看收集數據的能力,如果數據源都有缺失,那上層的關聯分析很可能會產生偏差。對于網絡安全設備而言,主要采集其安全日志(包括報警)和設備運行狀態信息。這本OSSIM最佳實踐向您展示了其基于插件的強大數據采集和處理能力。然而目前市場上的安全設備的輸出信息隨著設備種類和生產廠家的不同都有所不同,并且沒有一個統一的標準來格式化所有的安全日志。因此,同時收集多源異構安全設備的數據,除了OSSIM之外的各類開源工具都是一個復雜而艱難的過程。OSSIM連續4年進入Gartner信息安全與事件管理（SIEM）魔力象限也是有他的道理。

1.安全運維平臺基本功能

網絡管理的功能組成包括:、配置管理、性能管理、變更管理、安全管理、故障管理等。從網管角度來說,最根本的需求就是在一個統一的界面中監控網絡中所有安全設備的實時運行狀態,將其產生的所有報警及日志信息進行統一收集、集中分析和定時審計;并且能在一個平臺中完成安全產品的更新升級、***事件的報警、響應處理等功能。在你沒有體驗過OSSIM之前，這些功能只是夢想。為了實現這個夢想，你會搭建一大堆開源系統，數據分散在各個平臺之上。很多人會把他們視為“自動化運維系統”。

當你使用過OSSIM之后，能感覺到這種系統將處于不同安全設備、不同管理系統中無序并分散的海量安全事件進行收集、過濾、關聯分析,得出全局視角的安全風險分析結果,再依據專家庫的知識庫里的經驗經過安全策略,及時響應處理會造成損失的安全威脅事件,以保障企業網絡環境的整味安全性。網絡安全管理平臺的主要組成部分包括安全事件采集、安全事件管理、安全設備監控等。

注意：安全事件管理主要是將事件釆集提供的所有事件進行關聯分析、風險評估等分析處理。

2.安全運維平臺管理體系

安全運維不只是在技術層面進行企業的信息安全管理,針對傳統安全管理的局限性,安全運維體系建設分兩個層面

1）技術保障體系:以安全運維平臺為工具,通過監控、定位、告警、決策、處置、反饋等手段為保障業務系統正常運行提供有力支持。

2）管理保障體系:規范組織結構管理,完善機構人員及第三方服務人員管理,完善安全策略及制度建設,引入規范的業務處理流程,形成一套完善的安全管理體系。

OSSIM平臺依據安全管理技術的研宄及質量管理體系的要求,開發了一套較為完整的信息安全運維保障體系框，但遺憾的是目前還沒有完善工單處理系統，需要將OSSIM和itop組合起來應用。

SIEM管理的核心是資產，資產管理的對象是劃分的安全域內的各業務信息系統及設備,主要包括:網絡設備(如:路由器,交換機等)、主機設備如服務器等、安全設備(如IDS,防火墻等)、業務信息系統、數據庫、中間件。

安全分析中心的核心工作是將收集到的IT資源的狀態信息、性能指標和可用性指標等數據進行關聯分析,發現外部***,識別內部違規。監控中心負責收集全網IT資源的運行狀態信息、性能指標和可用性指標。在OSSIM框架下的運維中心可幫助運維人員建立一套例行化、常態化的風險管理機制。

下面就讓《開源安全運維平臺OSSIM最佳實踐》這本書來為您講解以資產為核心的SIEM系統吧。