以下内容出自于《开源安全运维平台OSSIM最佳实践》前言
http://wenku.it168.com/d_001656004.shtml
媒体推荐
(排名不分先后)
认识晨光近十年,旁观了他网络管理实践水平的日臻高超,也见证了他多年来在知识及技能的整理与传播方面的坚持和硕果累累。晨光的文章和著作特点明显:结合实践、平实厚重、干货多多,也因此受到读者的爱戴。在本书发表之前,晨光已经发表了 OSSIM 的博文六十余篇,可想而知他为本书出版的积累之深。我相信,阅读此书,您一定收获满满!
杨文飞 51CTO 总编
李晨光老师是 51CTO 专家博主,也是 51CTO 学院知名讲师。他的文章深受同行关注和认可,荣获了多项殊荣,他的课程在学院深受学员喜爱。新书 《开源安全运维平台——OSSIM最佳实践》是李老师在OSSIM 领域长达 10 年开发应用实战经验的总结和凝练,书中的所有知识和实例均来自大型企业中复杂的生产环境,并针对各种难题给出解决方案,相信此书一定会深受广大读者的支持。
51CTO 社区、51CTO 学院
说来惭愧,身为机房装机工出身,竟然也是 Google 了半天才搞清楚什么叫 OSSIM。当年在机房苦哈哈地安装、调测 Nagios 和 Snort 的场景还历历在目,读起晨光老师的这本《开源安全运维平台——OSSIM 最佳实践》自然倍感亲切。
我的理解,OSSIM 是安全运维发展到一定阶段后体系化、工程化的成果,强调独立安全应用间的配合。这对使用者提出了很高的要求:不仅要熟悉系统中每个应用的用法,还要清楚安全信息在整个系统中的流转,以及出了问题后的准确定位。这不仅需要大量的实践,更需要经验的积累。这本书的内容,能更快地帮助你了解这个复杂的系统。更为难得的是,书中包含了很多最佳实践的分享,对于有一定经验的读者也有着很好的参考意义。
作者晨光老师在安全运维领域耕耘多年,书中的内容,都是在常年工作中总结出的实战经验之谈,是国内第一本系统阐述 OSSIM 理论和实践的作品,更是一个有追求的运维人员在成长路程上不可多得的资料。
然而让人觉得非常可惜的是,国内系统化安全运维的理念并不普及,提起 OSSIM 来,估计知其然的人就不多,更勿论知其所以然者。希望晨光老师的这本书能被更多的人了解和学习,能切切实实地帮到奋斗在一线的兄弟们。我想,这也是每一个 CSDN 人的愿望。
李申 CSDN 社区运营总监、CSDN 学院总监
多年来,李晨光老师一直是众多 IT 圈朋友的良师益友。文章素来结构清晰,布局平实,技术内容扎实,读后受益良多。欣闻李晨光老师将发新作,想来又是一次技术升华的历练旅程。在作者的描述下,OSSIM 这一还尚处于发端的全新安全运维架构扑面而来,读来不忍释手。原因有三:其一,信息安全市场历来与开源没有渊源,不管是 SIEM 还是 SOC,在国内普及和实践也有些时日,但一直不温不火,搭上开源是偶然还是必然,以求甚解;其二,诚如作者所言,“本书不是神功秘籍”,只为读者铺陈经验、答疑解惑。而信息安全之于企业是个平衡问题,安全运维如何在快速变化的动态中,找到最佳平衡支撑,恰恰需要兼容并蓄;其三,想来,数据驱动的浪潮或已不远,安全威胁的全息生态掌控,玩的正是数据、事件和风险的收集和分析,要主动出击还是被动防御,不难选择。作为先睹为快者,我只能谈一些浅见,是为序。
陈毅东 IT168 企业级副总编
晨光是 ChinaUnix专家博主,在 Unix/Linux 领域工作多年,在 ChinaUnix 发表了很多高质量的技术文章和 Linux 教学视频,深受广大网友喜爱。《开源安全运维平台——OSSIM最佳实践》一书是他多年研究成果的总结,也是业界第一本关于开源安全运维的著作,书中采用了大量实例生动地讲解了 OSSIM 的安装和使用过程,深入浅出地分析了 OSSIM 关联分析等核心技术,引入了作者多年对 OSSIM 技术的研究成果和实践经验,这对于开阔读者眼界,提高技术水平将大有裨益。如果你从事系统运维,对网络安全感兴趣,我们强烈推荐此书。
ChinaUnix 社区
安全信息与事件分析(SIEM)技术进入中国也有十几年了,但是就如同以 SIEM 为核心的安全运营中心(SOC)一样,由于顶着过于炫目的光环,在国内的发展始终喜忧并存。究其缘由,其中很重要的一点就在于 SIEM 是安全分析的集大成技术,涉及面广、复杂度高,对使用者要求也比较高,而国内信息安全产业的发展以及安全运维体系还未完全成熟。但是,安全事件分析作为安全运维的核心技术无可替代,是企业和组织信息安全建设以及安全运维的必然选择。在这种背景下,国内迫切需要一系列的相关书籍来传播和推广相关技术,本书无疑是国内安全事件分析技术领域的重要论著。
从全球范围来看,SIEM 技术发展已趋于成熟,2014 年市场规模接近 17 亿美元,商业公司占据了大部分的市场。其中,OSSIM 是唯一成功的开源 SIEM。从 2003 年发布第一个版本至今, OSSIM 已经发展了 12 年,足见其强大的生命力。而以 OSSIM 为基础成立的 AlienVault公司也已经成为 SIEM 领域的知名公司。
OSSIM 作为一个开源安全运维和安全事件分析平台,较好地集成了各种开源的安全工具,并能够与大量商业化的安全产品进行对接,同时还具备很强的扩展能力,真正成为一个安全运维的开放式平台。李晨光先生是国内 OSSIM 领域的权威人士,对安全运维有深刻的理解,拥有丰富的实战经验,书中汇集了他多年的实践成果,十分难得。跟随晨光学习 OSSIM,不仅能够提升自身的安全运维实战能力,也有助于理解安全运维体系和安全事件分析运作原理。
叶蓬 启明星辰泰合 SOC 产品总监、SOC 布道师
从 2011 年起,我就在电信系统从事网络安全方面的工作,期间接触了不少企业客户,有央企、也有中小型公司。发现很多时候,企业在应对信息化普及所带来的变化时有些力不从心。较大的企业,其企业信息化也比较完善,除了大量的服务器、终端计算机、网络设备之外,也有各种网络安全方面的专用设备和软件,但是,随着规模的扩大设备的管理、信息的归集会越来越步入低效,往往导致各种设备资产并不能及时有效地发挥作用。面对企业的大量的 IT 设备管理包括多个方面,从资产管理、网络监控、漏洞管理、***检测等都有各种管理规范和相应的软硬件设备,那么增加这些管理系统是否又进一步加剧了信息臃肿呢?过去的做法是,针对每个细分都有一套乃至几套系统来管理,而这些系统之间并不能互相协调、信息共享,往往导致自相矛盾,让管理人员无所适从。当时,似乎并没有一个可以全面地、可靠地解决这些问题的方案。
举个例子,某国有大型银行,其为了应对网络安全风险,除了防火墙之外,还专门部署了 IDS 和 IPS 设备,但是随后发现各种事件、消息如洪水般涌来,将真正有价值的信息都淹没在了各种信息噪音之中。由于并不能针对企业实际的情况有效地降低无关或常规信息的干扰,导致每天发送的例行报告,也就真的成为了“例行”,从而只是增加了收件箱中的某个文件夹的未读邮件的数字而已。
那么,如何从纷杂的信息中及时准确地将重点的信息撷取出来?如何将各个设备、功能从各个方面,一致而完整地联系起来?有幸认识了晨光老师,听他深入浅出地介绍了 OSSIM 系统,才发现这样的一套开源解决方案,恰恰满足了大部分企业在这方面的需求。OSSIM 是开源软件,在没有接触 OSSIM之前,很多人会对它抱有一些疑虑,担心它的健壮性不足,担心它的功能不够全面,甚至担心它一如很多开源软件那样丑陋。但是 OSSIM 让我一个在开源圈混迹了多年的老兵也很吃惊,其表现绝对可以令人眼前一亮。那么具体 OSSIM 是怎么样的呢?这个问题可不是一两句话能说明白的,想详尽了解 OSSIM 的读者,请阅读这本晨光老师的力作吧!
王兴宇 Linux 中国(https://linux.cn/)创始人、前中国电信高级专家
接到晨光让我为他的新作写序的邀请后,我诚惶诚恐,尽管已经在技术圈里瞎混了十几载。但是运维对我来说既熟悉又陌生,虽然做开发,但几乎天天都要接触运维的工作,从服务器安装、应用环境安装到应用部署,以及后期的维护、扩容和安全等等方面,特别一开始做开源中国网站时,更是事无巨细、亲力亲为;但是跟晨光接触两年来,深感自己所做的这些是多么的微不足道。
从自己的从业经验来看,运维着实是一件非常专业的工作,而且要求经验必须非常丰富,才能从各种五花八门的现象中进行问题定位,从海量日志中分析问题,从而制定行之有效的解决问题的方案。当一个系统规模不断扩大的过程中,运维工作日趋重要。
在开源领域中有大量跟运维相关的开源软件,光开源中国网站就收录了运维相关的工具源安全架构体系。OSSIM 通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。晨光的这本书从 OSSIM 的架构原理、安装部署,再到内部架构、高性能部署以及应用场景的实战等方面进行非常详细的讲解,不仅对软件的初学者适用,而且对经验丰富的工程师都有非常高的参考价值。
从此书的篇幅便知运维工作之复杂,唯有孜孜以求方能在强手之林有立锥之地,与君共勉。
红薯 开源中国办公室