OSSIM的名词解释

OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)，是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。

OSSIM明确定位为一个集成解决方案，其目标并不是要开发一个新的功能，而是利用丰富的、强大的各种程序（包括Snort、Rrd、Nmap、 Nessus以及Ntop等开源系统安全软件）。在一个保留他们原有功能和作用的开放式架构体系环境下，将他们集成起来。而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息，同时进行相关功能的整合。由于开源OSSIM明确定位为一个集成解决方案，其目标并不是要开发一个新的功能，而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等开源系统安全软件)。在一个保留他们原有功能和作用的开放式架构体系环境下，将他们集成起来。

由于开源项目的优点，这些工具已经是久经考验，同时也经过全方位测试、是可靠的工具。项目的优点，这些工具已经是久经考验，同时也经过全方位测试、是可靠的工具。

实际上，从过程上考虑，安全可以分为评估、防护、检测、响应这四个步骤，现在已经有了不少优秀的开源软件与这四个步骤相对应。但是问题在于这四个步骤属于 一个动态、无缝过程，而所有的开源工具只是针对单一安全问题，如何将现有的安全工具进行综合利用并将他们无缝综合，OSSIM给出了很好的答案，那就是集成。

OSSIM由数据收集、监视、检测、审计以及控制台这五个模块构成。这5个模块包含了目前安全领域从事件预防到事件处理一个完整的过程，在目前的安全架构 中，OSSIM是最为完备的。这五个功能模块又被划分为三个层次，分别是高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控，各个层次提供不同功能，共同保证系统的安全运转。

在OSSIM中，整个过程处理被划分为两个阶段，这两个阶段反映的是一个事件从发生到处理的不同的历史时期，这两个阶段分别为预处理阶段，这一阶段的处理主要有监视器和探测器来共同完成，它们主要是为系统提供初步的安全控制;另一个事后处理阶段，这一阶段的处理更加集中，更多的是反映在事件发生之后系统安全策略的调整和整个系统的安全配置的改进。

在OSSIM的架构体系中，有三个部件比较引人注意，这是OSSIM中的三个策略数据库，是OSSIM事件分析和策略调整的信息来源，分别为以下三种数据库:

◆EDB(事件数据库):在三个数据库中，EDB无疑是最大的，它存储的是所有底层的探测器和监视器所捕捉到的所有的事件。

◆KDB(知识数据库):在知识数据库中，将系统的状态进行了参数化的定义，这些参数将为系统的安全管理提供详细的数据说明和定义。

◆UDB(用户数据库):在用户数据库中，存储的是用户的行为和其他与用户相关的事件。