搭建OSSIM安全監控平臺

引言：有很多優秀的開源產品，可以滿足企業不同的管理需要，甚至在某些方面要強于商業軟件，但由于宣傳不足，不為用戶所熟知，OSSIM（開源安全信息管理系統）就是這樣一個包含了目前安全領域從事件預防到事件處理網絡安全的開源軟件。

企業完成了基礎架構的建設及應用系統的部署后，就會產生加強網絡管理和監控的需求，但傳統的網絡管理產品價格較高，部署時間長，很難適用于中小企業。OSSIM（開源安全信息管理系統）就是一個包含了目前安全領域從事件預防到事件處理網絡安全的開源軟件。

當今網絡威脅復雜程度越來越高。這就需要將各網絡安全子系統（包括防火墻、防病毒、入侵檢測系統、漏洞掃描系統、安全審計系統等）整合起來，在信息共享的基礎上建立一個集中的監控管理平臺，使各子系統既各司其職，又密切合作，從而形成統一、有機的網絡防御體系。OSSIM通過開源產品進行集成，提供一個能夠實現安全監控功能的基礎平臺。

如果曾使用過DEBIAN或烏班圖，會覺得其過程和OSSIM非常相像，主要區別在于要裝OSSIM組件插件以及初始化數據庫。

圖1 OSSIM界面

圖2 掃描配置界面

OSSIM系統安裝完畢并重啟后進入登錄界面，將顯示登錄IP，在瀏覽器上輸入https://ip/，就可登入OSSIM的登錄界面。

登錄到系統后即可看到OSSIM服務器的界面，其菜單主要為頂部的儀表盤、分析、工作平臺、報告、設置五部分組成，如圖1。

資產管理

在OSSIM中提體現的是一種以資產為核心，以安全時間管理為關鍵流程，基于安全域提供實時資產風險評估，事件關聯、安全預警及應急響應功能的統一安全信息管理平臺，所以管理的資產是核心任務之一。

要進行資產管理，比較合理的方式就是將服務器劃分為不同的群組，例 如Web組、FTP組等，在OSSIM中是通過ENVIRONMENT菜單下“GROUPS &NETWORK”中可以進行分組設置，然后通過ENVIRONMENT菜單“ASSETS”進行掃描，掃描配置界面如圖2所示。

在資產顯示界面中，可一目了然查看所有管理資產基本信息，如主機名稱、收到漏洞數量，告警數量、安全時間總數等，如圖3所示。

漏洞掃描部分

通常一次成功的網絡攻擊，首先要收集目標網絡系統的漏洞信息，然后才能進一步對目標實施有針對性的有效攻擊。主機漏洞掃描技術可以說是網絡安全技術中除了防火墻技術、入侵檢測技術、加密和認證之外的另一項重要的安全技術。不管攻擊者是從外部還是內部攻擊某一網絡系統，攻擊機會是利用該系統的已知的漏洞而得到的。對于系統管理員來說，漏洞掃描器是最好的助手，能夠主動發現Web服務器主機系統的漏洞，在主機系統安全保衛戰中做到“有的放矢”，及時修補漏洞，構筑堅固的“安全長城”。

OSSIM系統通過OPENVAS來進行漏洞掃描，它是一個開放式漏洞評估系統，經不斷研究調試，OSSIM實現了漏洞掃描功能，操作過程如下：

圖3 資產顯示界面

圖4 掃描后顯示結果

圖5 掃描報告結果

圖6 Ossim監視服務器的端口狀態

選 擇“Anaylysis——Vulnerabilities”，然后單擊“New scan job”按鈕，開始創建一個新的掃描任務。

從上到下一次輸入任務名稱，例如“Server1”，選擇關聯引擎，如果是分布系統就要選擇相應的傳感器，然后選擇掃描方式選項，包括立即執行，每天/每周執行，系統提供了詳細的計劃任務列表，建議不要掃描過多的主機。掃描后可看到主機的高中低漏洞情況，如圖4所示。

掃描報告還可對掃描出的每一臺服務器做出單獨報告，報告中詳細說明系統漏洞圖示情況，具體漏洞的明細情況，具體漏洞的具體服務、端口號、CVS版本的詳細情況說明，如圖5所示。

對服務器端口等情況的監控

同時，OSSIM還是一套可以監控服務器系統狀態的工具，可以監視服務器的端口狀態情況，如正常、宕機、服務異常，一旦發生問題，會及時發出報警，這樣哪怕管理上百臺計算機也不會手忙腳亂，如圖6所示。

結語

OSSIM通過將開源產品進行集成，從而提供一種能夠實現安全監控功能的基礎平臺，事實上OSSIM還支持日志管理、流量分析、風險評估、IDS等等的多項安全監控功能，可以方便地管理用戶的信息安全工作。