|
|
|
|
移动端

1.1.2 安全信息和事件管理(SIEM)

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍安全信息和事件管理(SIEM)。

作者:李晨光来源:清华大学出版社|2016-01-14 16:01

开发者盛宴来袭!7月28日51CTO首届开发者大赛决赛带来技术创新分享

1.1.2 安全信息和事件管理(SIEM)

日志管理是网络安全的基础工作之一,通常情况下日志收集并不涉及数据分析与挖掘,它只是从不同类型的系统、设备上收集并保存好日志,这其中系统和设备涵盖了交换机、防火墙、路由器、服务器(基于UNIX/Linux/Windows平台),以及应用程序(数据库、客户关系管理系统等)。如图1-2所示。但日志收集不等于日志分析,收集工作仅为后期日志关联分析打下基础,日志分析实际上是日志消息的分析和处理,实践工作中需要将大量看似正常的日志中快速筛选出可疑的网络事件,以便进一步调查分析,例如寻找拒绝服务或者蠕虫病毒之类特定威胁等。

过去被称为安全事件管理(SEM)或者称之为安全信息管理(SIM),现在称为SIEM(Security Information and Event Management),它分为商业的解决方案和开源的两种,本章介绍的OSSIM系统就是安全信息与事件管理(SIEM)的开源解决方案。SIEM通过相关事件、用户、系统、数据、风险和准确状态对策信息,从而让用户及时将各个安全节点联系起来,及时定位攻击,准确了解全网的威胁态势。

OSSIM是开源的SIM,其核心仍依靠SIEM,主要优点是通过有关事件、数据、风险等信息,实时了解全球威胁态势。OSSIM为了适应在大型网络中整合与分析,从各种应用程序和设备收集日志,它一开始设计成分布式结构,通过对网络安全态势的充分了解,将各个监控节点联系起来,形成一个数据链,经过关联分析就能对黑客攻击进行分析,进而能发出预警。目前国内很多企业信息化部署的安全防线,在很大程度上仍属于"事已发而后知"的状况。

针对病毒、木马、网络攻击,基本都采用"兵来将挡、水来土掩"的方式。虽然在实施拦截、隔离、清除的具体方式方法上各有千秋,但受限于技术条件,这些安全领域的企业无法做到提起预警,更谈不上防患于未然。

SIEM的亮点是应对大数据时代的挑战。对于这一亮点应该比提前预警更容易理解,也更能够为客户企业所接受。无论是个人用户还是企业客户,在使用安全产品时几乎都遇到过相同的烦恼--对病毒库的频繁升级。在云时代未到来之前,这几乎是一道迈不过去的坎。如今,"云查杀"正在取代传统的单机病毒库,将数据及时反馈到云端服务器,利用更加全面的病毒库资源,更准确地提供解决方案并进一步扩充病毒数据库。OSSIM中提供的SIEM这一特点无疑体现出了云时代的一大特征,不仅能够每天处理企业中庞大的各类网络事件,而且能够将这些事件与威胁、对策和用户身份信息相关联,以提供准确的、切实可行的智能信息。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

SOA 原理•方法•实践

本书并不是关于Web服务的又一本开发手册,抑或是开发技术的宝典之类的读物。本书的作者来自于IBM软件开发中心的SOA技术中心,作为最早的一...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊