【摘要】:5.2.2 集中式安全审计系统体系结构集中式体系结构采用集中的方法,收集并分析数据源,所有的数据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎及安全审计引擎的工作,而部署在各受监视系统上的外围设备只是简单的数据采集设备,承担事件检测及数据采集引擎的作用。
5.2.2 集中式安全审计系统体系结构
集中式体系结构采用集中的方法,收集并分析数据源,所有的数据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎及安全审计引擎的工作,而部署在各受监视系统上的外围设备只是简单的数据采集设备,承担事件检测及数据采集引擎的作用。
集中式安全审计系统体系结构如图5-2所示,系统通过n个数据采集点收集数据,经过过滤和简化处理后的数据再通过网络传输到中央处理机,由于收集的数据全部由中央处理机汇总和处理,所以,系统存在一个通信和计算的瓶颈。
图5-2 集中式审计系统
对于小规模的局域网,集中式的审计体系结构已经可以满足要求。而随着分布式网络技术的广泛应用,集中式的审计体系结构越来越显示出其缺陷,主要表现在:
(1)由于事件信息的分析全部由中央处理机承担,势必造成CPU、I/O以及网络通信的负担,而且中心计算机往往容易发生单点故障(如针对中心分析系统的攻击)。另外,对现有的系统进行用户的增容(如网络的扩展、通信数据量的加大)是很困难的。
(2)由于数据的集中存储,在大规模的分布式网络中,有可能因为单个点的失败造成整个审计数据的不可用。
(3)集中式的体系结构,自适应能力差,不能根据环境变化自动更改配置。通常,配置的改变和增加是通过编辑配置文件来实现的,往往需要重新启动系统以使配置生效。因此,集中式的体系结构已不能适应高度分布的网络环境。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
