工业安全态势感知平台之运维可视化
一、运维的背景及挑战
随着工业信息化产业的飞速发展,工业控制网络也随着生产规模的增长而发展,其核心资产工业控制系统、工业控制设备、网络设备、安全设备的数量激增,安全运维工作面临诸多挑战,主要体现在资产管不全、资产状态无感知、业务应用状态难断定、运维效率低、工作没量化、考核工作难扩展等。
面对如此复杂的运维场景,如何降低运维成本,简化运维工作量,聚焦于有价值的事件,使运维人员集中精力在溯源和分析上至关重要。传统的运维手段,需要安全运维人员每日在防火墙、IDS、IPS、服务器日志、漏洞报告中发现异常,再验证攻击是否已经发生。部署工业安全态势感知平台,则可以利用平台丰富的数据采集能力和资产运行态势分析模型,快速发现、定位异常状态资产,结合工单系统派发任务、跟踪处理进度结果,并根据结果优化分析模型、构建运维知识库,从而实现可视化极简运维。
二、工业资产运维指标的获取
在复杂的工业生产环境中,快速感知、定位业务资产异常状态是保障生产业务稳定运行的关键。业务资产异常无感知、故障难定位,会导致业务中断后无法快速恢复,从而带来严重损失,因此建立一套能够快速、准确掌握网络运行状态指标、工业控制系统状态指标的系统尤为重要。
威努特工业安全态势感知平台对业务资产运维指标的采集主要包括:
- 工业控制系统指标采集:通过拷贝工程师站上的组态软件日志,对工业控制系统PLC、SCADA、RTU等系统的业务指令、CPU使用率、内存使用率、网络接口连通性、电源状态、温度、湿度等指标进行采集;
- 网络设备:CPU使用率、内存使用率、接口流量、历史流量(阈值)、接口的错包率、网络传输时延;
- 安全设备:CPU使用率、分配内存数、剩余内存数、活动会话数、分配会话数、失败会话数、接口接收速率、发送速率、状态、接口输出丢包率、接口输入丢包率;
- Windows主机:CPU综合使用率、CPU详细使用率、硬盘使用率、硬盘剩余空间、硬盘总空间、物理内存使用率、物理内存剩余空间、物理内存总空间、进程个数;
- Linux主机:内存使用率、剩余内存容量、硬盘使用率、硬盘剩余空间、CPU使用率、运行进程数。
三、业务资产状态的可视化分析
在复杂的运维场景中,安全运维人员往往很难直观、清晰地快速定位故障,采用逐级排查的模式不仅耗时高、效率低,而且在 设备相对分散的工业控制环境中,通过地毯式的排查手段严重影响业务故障恢复的速度,从而造成业务损失。
针对以上问题,威努特工业安全态势感知平台凭借在工业控制环境中积累的先进技术和业务经验,打造业务运行状态态势监测能力,结合可视化技术直观地对业务资产的在线状态、离线状态、CPU负载状态、内存的负载状态、网口的状态、电源状态、主机\设备温度、业务指令状态、漏洞状态、受攻击状态等指标进行综合分析,并按照业务综合分析的状态 通过可视化方式进行大屏展示。
1、危险告警视角
危险告警视角主要从两个方面进行分析,一是从业务资产的漏洞角度出发,利用工业安全态势感知平台漏洞发现能力,快速、准确、高效地发现业务资产存在的漏洞,并按照漏洞的影响面自动匹配可视化算法,通过自动调整告警颜色的深浅来表明资产面临的风险;其次是从业务资产受到攻击角度出发,通过工业安全态势感知平台的网络攻击分析能力对业务受到的攻击事件综合分析,利用关联分析模型和攻击定性、定量算法,对一次完整的攻击会话进行分析,判断告警的紧急程度后产生告警。
2、异常告警视角
异常告警视角主要从业务资产的物理状态、关键组成部件的负载状态、业务时序逻辑的状态分析,对产生异常的事件告警。
- 电源的故障告警:冗余电源其中一个发生故障,无法供电问题;
- 网口故障:网络接口时down时up;
- 非法U盘使用:当工控主机上使用了非法U盘时,产生告警;
- CPU性能过载:当主机或工控系统的CPU使用率超过一定阈值时产生告警;
- 内存使用过载:当主机或工控系统的内存使用率超过一定阈值时产生告警;
- 网络接口转发性能状态:网络接口的丢包率、错误率超过一定阈值时产生告警;
- 异常指令的下发:下发指令的工控主机\设备、操作账号、周期、时间、值阈、功能码异常时产生告警。
3、业务资产的离线告警视角
业务资产离线告警视角主要从资产的工作状态正常与否来进行告警,通过对业务流量进行画像,从业务资产的流量趋势、流量有无进行分析,当趋势走向发生异常、工控业务主机没有业务流量时产生告警。
通过以上状态分析,运维人员可通过威努特工业安全态势感知平台的运行态势直观、清晰地发现问题,并结合工业安全态势感知平台的资产管理功能快速定位到资产位置信息,方便运维人员快速、高效地解决问题。
四、 总结
工业互联网的快速发展对工控业务网络的稳定性、安全性要求越来越高,致使安全运维工作面临更高的挑战。因此,需要通过工业安全态势感知大数据平台与管理手段相结合,来强化维护安全措施,同时结合新形势下的多项要求,从多角度出发,为工业网络的良性发展奠定坚实基础。
