网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　【IT168 资讯】嘉宾介绍：

　　李晨光，毕业于中国科学院研究生院，目前就职于世界500强企业，资深网络架构师、51CTO学院讲师、IBM精英讲师、UNIX/Linux系统安全专家，现任中国计算机学会(CCF)高级会员;在国内《计算机安全》、《程序员》、《计算机世界》、《网络运维与管理》、《黑客防线》等专业杂志发表论文六十余篇。曾独著畅销书《Linux企业应用案例精解》、《Linux企业应用案例精解第2版》，《Unix/Linux网络日志分析与流量监控》等经典学习教程，均被中科院图书馆、国内重点高校图书馆和国立台湾大学图书馆等200多家图书馆收藏。《Unix/Linux网络日志分析与流量监控》一书，于2015年获最受读者喜爱的本版类图书奖。

　　正文：

　　最开始我们公司采用清一色思科设备。网管工作站配置的是Ciscoworks2000。当时开源监控工具不多，主要还是配合商业软件使用。

　　随着设备增多，网络改造，扩建，这种设备蜂拥而至。异构网络环境的到来，给管理维护增加了难度。

　　很多事情，费力不讨好。尤其是网络安全隐患令人担忧。

　　我想安全孤岛是很多企业面临解决的问题。设备的堆积，还是无法解决现有的问题。

　　运维人员大部分时间和精力都用于处理简单、重复的问题，由于故障预警机制不完善，往往故障发生后才会进行处理，运维人员经常处于被动“救火”状态。

　　以前使用传统的商业工具也就成为了历史，之后我们尝试开源的MRTG、Nagios、Cacti、Zabbix、OpenNMS、Ganglia等工具。可是各系统彼此之间并无关联，需要人工去整合数据，数据分析中心还是“人脑"。

　　而且当查看各种监控系统时需要多次登录，查看繁多的界面，更新管理绝大多数工作主要是手工操作，即使一个简单的系统变更，需要运维人员逐一登录系统。

　　若遇到问题，管理员便会在各种平台间来回查询，或靠人肉方式搜索故障关键词，不断的重复着这种工作方式。

　　我想这或许是大多数朋友以前会遇到的问题。

　　接着我们开启了手工整合开源工具的时代。开源深似海，如何挑选好的工具呢?系统架构如何，数据如何存储，都是我们面临的问题。

　　在人工整合初期，主要依靠一些简单的Shell脚本完成一些基础工作。比如PHP+SSH等方式进行管理。

　　没头脑的安装了一些，认为好用的工具，而各种运维工具仍无法实现数据共享，此时整个防御体系面对网络威胁“反应迟钝”，每当故障来袭，总是“马后炮”，难以查找攻击者的踪迹，就好像一个人总被蚊子叮咬，想打蚊子可手眼又跟不上的感觉。

　　我们遇到的以下问题尤为突出：

　　安装时软件依赖问题难以解决。

各子系统界面重复验证和界面风格不统一。

各子系统之间数据无法共享。

无法实现数据之间关联分析。

无法生成统一格式的报表。

缺乏统一的仪表板以展示重要信息。

系统维护难度大。

　　尝试将资产管理模块、入侵检测模块、流量监控模块、漏洞扫描模块集成到一台服务器中进行统一管理的思路似乎是对的，但效果极为不利。

　　这时，我们停下来反思，这条路要不要继续走下去。干脆，自己开发一套全新的系统算了。但完全自己开发，谈何容易?网络随时可能有突发事件，可能你根本没由精力精下心来做这件事，逼近牵扯东西太多。

　　说起来，我和OSSIM还是挺有缘分。研究生时曾开发过开源统一安全管理平台项目，主要目标是将不同网络设备和服务器的日志，通过标准化转化为事件，然后统一进行日志分析与设备联动。

　　上学时研究的OSSIM 0.9版本，还有些感情。一日，拿出源码阅读，感觉它里面的思路非常好，是我们目前迫切面临需要解决的。最原始的版本可将不同网络设备和服务器的日志，通过标准化转化为事件，然后统一进行日志分析。就这一基本的功能也就差不多，随后开始了对0.9版 OSSIM进行深入分析。同时请开发组的同时帮忙。

　　那么，就说说这个OSSIM吧。我想既然来参加讨论的朋友，或多或少都搜索过OSSIM关键词，对其了解一二。