引言：有很多優(yōu)秀的開源產(chǎn)品，可以滿足企業(yè)不同的管理需要，甚至在某些方面要強于商業(yè)軟件，但由于宣傳不足，不為用戶所熟知，OSSIM（開源安全信息管理系統(tǒng)）就是這樣一個包含了目前安全領(lǐng)域從事件預(yù)防到事件處理網(wǎng)絡(luò)安全的開源軟件。

企業(yè)完成了基礎(chǔ)架構(gòu)的建設(shè)及應(yīng)用系統(tǒng)的部署后，就會產(chǎn)生加強網(wǎng)絡(luò)管理和監(jiān)控的需求，但傳統(tǒng)的網(wǎng)絡(luò)管理產(chǎn)品價格較高，部署時間長，很難適用于中小企業(yè)。OSSIM（開源安全信息管理系統(tǒng)）就是一個包含了目前安全領(lǐng)域從事件預(yù)防到事件處理網(wǎng)絡(luò)安全的開源軟件。

當今網(wǎng)絡(luò)威脅復雜程度越來越高。這就需要將各網(wǎng)絡(luò)安全子系統(tǒng)（包括防火墻、防病毒、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、安全審計系統(tǒng)等）整合起來，在信息共享的基礎(chǔ)上建立一個集中的監(jiān)控管理平臺，使各子系統(tǒng)既各司其職，又密切合作，從而形成統(tǒng)一、有機的網(wǎng)絡(luò)防御體系。OSSIM通過開源產(chǎn)品進行集成，提供一個能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺。

如果曾使用過DEBIAN或烏班圖，會覺得其過程和OSSIM非常相像，主要區(qū)別在于要裝OSSIM組件插件以及初始化數(shù)據(jù)庫。

圖1 OSSIM界面

圖2 掃描配置界面

OSSIM系統(tǒng)安裝完畢并重啟后進入登錄界面，將顯示登錄IP，在瀏覽器上輸入https://ip/，就可登入OSSIM的登錄界面。

登錄到系統(tǒng)后即可看到OSSIM服務(wù)器的界面，其菜單主要為頂部的儀表盤、分析、工作平臺、報告、設(shè)置五部分組成，如圖1。

資產(chǎn)管理

在OSSIM中提體現(xiàn)的是一種以資產(chǎn)為核心，以安全時間管理為關(guān)鍵流程，基于安全域提供實時資產(chǎn)風險評估，事件關(guān)聯(lián)、安全預(yù)警及應(yīng)急響應(yīng)功能的統(tǒng)一安全信息管理平臺，所以管理的資產(chǎn)是核心任務(wù)之一。

要進行資產(chǎn)管理，比較合理的方式就是將服務(wù)器劃分為不同的群組，例 如Web組、FTP組等，在OSSIM中是通過ENVIRONMENT菜單下“GROUPS &NETWORK”中可以進行分組設(shè)置，然后通過ENVIRONMENT菜單“ASSETS”進行掃描，掃描配置界面如圖2所示。

在資產(chǎn)顯示界面中，可一目了然查看所有管理資產(chǎn)基本信息，如主機名稱、收到漏洞數(shù)量，告警數(shù)量、安全時間總數(shù)等，如圖3所示。

漏洞掃描部分

通常一次成功的網(wǎng)絡(luò)攻擊，首先要收集目標網(wǎng)絡(luò)系統(tǒng)的漏洞信息，然后才能進一步對目標實施有針對性的有效攻擊。主機漏洞掃描技術(shù)可以說是網(wǎng)絡(luò)安全技術(shù)中除了防火墻技術(shù)、入侵檢測技術(shù)、加密和認證之外的另一項重要的安全技術(shù)。不管攻擊者是從外部還是內(nèi)部攻擊某一網(wǎng)絡(luò)系統(tǒng)，攻擊機會是利用該系統(tǒng)的已知的漏洞而得到的。對于系統(tǒng)管理員來說，漏洞掃描器是最好的助手，能夠主動發(fā)現(xiàn)Web服務(wù)器主機系統(tǒng)的漏洞，在主機系統(tǒng)安全保衛(wèi)戰(zhàn)中做到“有的放矢”，及時修補漏洞，構(gòu)筑堅固的“安全長城”。

OSSIM系統(tǒng)通過OPENVAS來進行漏洞掃描，它是一個開放式漏洞評估系統(tǒng)，經(jīng)不斷研究調(diào)試，OSSIM實現(xiàn)了漏洞掃描功能，操作過程如下：

圖3 資產(chǎn)顯示界面

圖4 掃描后顯示結(jié)果

圖5 掃描報告結(jié)果

圖6 Ossim監(jiān)視服務(wù)器的端口狀態(tài)

選 擇“Anaylysis——Vulnerabilities”，然后單擊“New scan job”按鈕，開始創(chuàng)建一個新的掃描任務(wù)。

從上到下一次輸入任務(wù)名稱，例如“Server1”，選擇關(guān)聯(lián)引擎，如果是分布系統(tǒng)就要選擇相應(yīng)的傳感器，然后選擇掃描方式選項，包括立即執(zhí)行，每天/每周執(zhí)行，系統(tǒng)提供了詳細的計劃任務(wù)列表，建議不要掃描過多的主機。掃描后可看到主機的高中低漏洞情況，如圖4所示。

掃描報告還可對掃描出的每一臺服務(wù)器做出單獨報告，報告中詳細說明系統(tǒng)漏洞圖示情況，具體漏洞的明細情況，具體漏洞的具體服務(wù)、端口號、CVS版本的詳細情況說明，如圖5所示。

對服務(wù)器端口等情況的監(jiān)控

同時，OSSIM還是一套可以監(jiān)控服務(wù)器系統(tǒng)狀態(tài)的工具，可以監(jiān)視服務(wù)器的端口狀態(tài)情況，如正常、宕機、服務(wù)異常，一旦發(fā)生問題，會及時發(fā)出報警，這樣哪怕管理上百臺計算機也不會手忙腳亂，如圖6所示。

結(jié)語

OSSIM通過將開源產(chǎn)品進行集成，從而提供一種能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺，事實上OSSIM還支持日志管理、流量分析、風險評估、IDS等等的多項安全監(jiān)控功能，可以方便地管理用戶的信息安全工作。