网友对ossim的介绍1

http://blog.sina.com.cn/s/blog_60c3194c0100dpdd.html

OSSIM确实功能比较强大，因为其定位与SIM，所以完全具备了PDRR，也包含了PDCA。内部集成了NM领域（Nagios，ntop），Security领域的HIDS（osiris，snare，ossec），NIDS（snort，acid），漏洞扫描（nessus），以及诸多ossim的插件（plugsin）。能与部分AV厂家日志融合（趋势、symantec），支持网络设备（cisco）；提供了简单的关联分析；提供了dashboard（简报面板）。可以这么说，目前世面上稍微稳定点的概念产品功能都集成了。
不过，它没有集成Hyperic HQ产品，所以数据库监控效率不高；集成的产品比较多，展示风格不太统一；为集成mrtg（未找到），所以无法调出交换机等的背板流量曲线（家里条件不具备）。
我个人认为，只要完成如下工作，就可以将其修改为一个非常友好的SOC。
1、增加C/S的网络安全拓扑图。不是我喜欢回到C/S时代，C/S在展示拓扑图上，确实有其优势，可以将图像生成放在客户端上，减轻服务端的负担，从而可以生成优美的拓扑界面，改变当前呆板的式样。Nagvis虽然可以生成美观的图像，但在IE里展示图像，目前还是无法与C/S媲美。
2、增加快速响应功能。目前ossim上的响应都是先配置一个action，然后再利用此action。这个是个优雅方法。但是，现场发生情况时，不能这么优雅。看到设备上新起了可疑进程、激活了可以用户时，最快速的方法不是在收到告警后去制定一个action，然后再下发该指令，让sensor去执行。这样太慢了。而应该是快速结束进程、中断用户session。最后才能为这类新事件添加一个action，等下次再发生时就能自动执行了（我一直怀疑自动执行，因为在某些时候，可能会非常滞后了）。
3、增加审计。ossim的审计功能我个人认为比较不尽人意，其报表只能满足简单要求（开源能做到这步已经非常好了）。如果要做成产品，必须增加典型场景自动审计（与用户业务环境耦合）；此外，需要增加手工审计功能。手工审计我希望能做成象google一样的搜索引擎，用户可以对中心日志文件（或日志库）进行任意检索，并作出自己的决定。
4、承3，需要增加一个日志中心服务，保留所有的日志，并完成搜索引擎功能。此外，还需要提供搜索结果转IDMEF格式xml的功能，互联是网络产品的出路，不能拒绝与别的产品互通。而IDMEF是标准化的攻击消息交换格式，可以直接给其他安全产品用（直接提供syslog格式也可以，不过太不专业了）。
5、增强关联分析。是的，ossim已经提供了简单关联分析（我认为还是有点简单），我们还需要增强。增加关联的力度，深度挖掘（用户在利用搜索引擎时积累下的经验，可以变换成关联规则，并被自动执行）。
6、增强资产管理。ossim的资产管理还是不好用。最大的缺陷是：你只能配置资产、或采集局部资产。而SOC应该以资产为基础核心，事件为其通信核心。所以SOC在配置了资产下去后，应该时刻关注设备上的所有资产。配置资产与采集资产不一致时，就是违规了。这点ossim没有实现（我认为是这样的，如果你找到了，请告诉我）。
7、增加文档管理。ossim集成了snare，可以有效管理文件的创建与访问，但是，文档也是企业的资产核心（另外一个是数据库）。需要增加文档拷贝、部分复制、外发等安全管理。真正做到文件生命周期管理：文件申请、授权、拷贝、销毁。
8、增加数据库管理。我未看到ossim的数据库管理亮点，所以才强调本点。数据库管理除了性能外，还包括数据库连接、访问、访问特定表的前后顺序管理。最好是在特定数据表访问前，将请求包都保存起来，用于自动审计、场景审计和手工审计。
9、增加主机/终端接口管理。ossim利用snare可以监控usb呢，真是棒极了。70％的信息泄漏是内部员工引起的，监控住了USB，就可以将这70％中的80％管住吧（80－20原理）。此外，蓝牙、CDRW、WiFi都可以泄漏、打印机也会泄漏。将通过这些接口外发的文件都监视起来，可以安全不少吧？
10、增加外发邮件管理。邮件管理可以集成邮件管理专用软件或插件来完成。
11、增加内容过滤、url过滤管理。我非常奇怪，ossim为何不增加这样的插件，至少给个提示也好呵，可它根本未涉及。难道它只关注os基本，不关注应用？SOC需要关注企业应用呢。
12、增加认证功能（CA最好）。包括节点认证、用户认证。ossec的客户端需要一个author码，nagios不要。要将ossim包装成一个可接受的产品，必须增加此功能。
13、集成ossim的客户端集合功能。ossim的客户端繁多，不修改直接来用，肯定会引起用户反感。需要对其进行整合，一键启动、一键停止。
14、增强用户终端管理功能。ossim的客户端都是瘦客户端，管理功能比较弱（因为其功能单一）。用户终端至少应该有环境检测、网络诊断、脚本执行功能吧？我希望增加防火墙功能、本地合归性检查功能（是否安装了非法软件、是否未升级补丁、到期的文档是否已经删除等）、简单防rootkit功能。同时，自身必须利用rootkit技术进行必要的数据隐藏，防止用户断线后进行的违规活动记录被清理，防止用户随意卸载。
15、增加与企业业务耦合的插件，为客户业务服务是SOC的宗旨。只有安全成为了一个关键业务因素时，用户才愿意为安全付费。在其未充分重视此点之前，SOC只能为业务服务。
16、增加知识库。ossim没有知识库概念。出于isms或soc的普通合规性，我们也要提供知识库，以便与用户共同进步。
市场开拓
1、为ossim是开源，所以适应将新增的功能做成plugsin，这样即使不公布源代码也未违法GPL。
2、整个产品做成一个box，收取硬件费用、施工费用、插件开发费用、培训费用、维护费用，ossim免费。
3、定制报表。为用户提供定制报表，定制报表收费。
4、OEM，如果哪个企业有开发或进入安全关联领域，可以联系我们