工業安全態勢感知平臺之運維可視化
一、運維的背景及挑戰
隨著工業信息化產業的飛速發展,工業控制網絡也隨著生產規模的增長而發展,其核心資產工業控制系統、工業控制設備、網絡設備、安全設備的數量激增,安全運維工作面臨諸多挑戰,主要體現在資產管不全、資產狀態無感知、業務應用狀態難斷定、運維效率低、工作沒量化、考核工作難擴展等。
面對如此復雜的運維場景,如何降低運維成本,簡化運維工作量,聚焦于有價值的事件,使運維人員集中精力在溯源和分析上至關重要。傳統的運維手段,需要安全運維人員每日在防火墻、IDS、IPS、服務器日志、漏洞報告中發現異常,再驗證攻擊是否已經發生。部署工業安全態勢感知平臺,則可以利用平臺豐富的數據采集能力和資產運行態勢分析模型,快速發現、定位異常狀態資產,結合工單系統派發任務、跟蹤處理進度結果,并根據結果優化分析模型、構建運維知識庫,從而實現可視化極簡運維。
二、工業資產運維指標的獲取
在復雜的工業生產環境中,快速感知、定位業務資產異常狀態是保障生產業務穩定運行的關鍵。業務資產異常無感知、故障難定位,會導致業務中斷后無法快速恢復,從而帶來嚴重損失,因此建立一套能夠快速、準確掌握網絡運行狀態指標、工業控制系統狀態指標的系統尤為重要。
威努特工業安全態勢感知平臺對業務資產運維指標的采集主要包括:
- 工業控制系統指標采集:通過拷貝工程師站上的組態軟件日志,對工業控制系統PLC、SCADA、RTU等系統的業務指令、CPU使用率、內存使用率、網絡接口連通性、電源狀態、溫度、濕度等指標進行采集;
- 網絡設備:CPU使用率、內存使用率、接口流量、歷史流量(閾值)、接口的錯包率、網絡傳輸時延;
- 安全設備:CPU使用率、分配內存數、剩余內存數、活動會話數、分配會話數、失敗會話數、接口接收速率、發送速率、狀態、接口輸出丟包率、接口輸入丟包率;
- Windows主機:CPU綜合使用率、CPU詳細使用率、硬盤使用率、硬盤剩余空間、硬盤總空間、物理內存使用率、物理內存剩余空間、物理內存總空間、進程個數;
- Linux主機:內存使用率、剩余內存容量、硬盤使用率、硬盤剩余空間、CPU使用率、運行進程數。
三、業務資產狀態的可視化分析
在復雜的運維場景中,安全運維人員往往很難直觀、清晰地快速定位故障,采用逐級排查的模式不僅耗時高、效率低,而且在 設備相對分散的工業控制環境中,通過地毯式的排查手段嚴重影響業務故障恢復的速度,從而造成業務損失。
針對以上問題,威努特工業安全態勢感知平臺憑借在工業控制環境中積累的先進技術和業務經驗,打造業務運行狀態態勢監測能力,結合可視化技術直觀地對業務資產的在線狀態、離線狀態、CPU負載狀態、內存的負載狀態、網口的狀態、電源狀態、主機\設備溫度、業務指令狀態、漏洞狀態、受攻擊狀態等指標進行綜合分析,并按照業務綜合分析的狀態 通過可視化方式進行大屏展示。
1、危險告警視角
危險告警視角主要從兩個方面進行分析,一是從業務資產的漏洞角度出發,利用工業安全態勢感知平臺漏洞發現能力,快速、準確、高效地發現業務資產存在的漏洞,并按照漏洞的影響面自動匹配可視化算法,通過自動調整告警顏色的深淺來表明資產面臨的風險;其次是從業務資產受到攻擊角度出發,通過工業安全態勢感知平臺的網絡攻擊分析能力對業務受到的攻擊事件綜合分析,利用關聯分析模型和攻擊定性、定量算法,對一次完整的攻擊會話進行分析,判斷告警的緊急程度后產生告警。
2、異常告警視角
異常告警視角主要從業務資產的物理狀態、關鍵組成部件的負載狀態、業務時序邏輯的狀態分析,對產生異常的事件告警。
- 電源的故障告警:冗余電源其中一個發生故障,無法供電問題;
- 網口故障:網絡接口時down時up;
- 非法U盤使用:當工控主機上使用了非法U盤時,產生告警;
- CPU性能過載:當主機或工控系統的CPU使用率超過一定閾值時產生告警;
- 內存使用過載:當主機或工控系統的內存使用率超過一定閾值時產生告警;
- 網絡接口轉發性能狀態:網絡接口的丟包率、錯誤率超過一定閾值時產生告警;
- 異常指令的下發:下發指令的工控主機\設備、操作賬號、周期、時間、值閾、功能碼異常時產生告警。
3、業務資產的離線告警視角
業務資產離線告警視角主要從資產的工作狀態正常與否來進行告警,通過對業務流量進行畫像,從業務資產的流量趨勢、流量有無進行分析,當趨勢走向發生異常、工控業務主機沒有業務流量時產生告警。
通過以上狀態分析,運維人員可通過威努特工業安全態勢感知平臺的運行態勢直觀、清晰地發現問題,并結合工業安全態勢感知平臺的資產管理功能快速定位到資產位置信息,方便運維人員快速、高效地解決問題。
四、 總結
工業互聯網的快速發展對工控業務網絡的穩定性、安全性要求越來越高,致使安全運維工作面臨更高的挑戰。因此,需要通過工業安全態勢感知大數據平臺與管理手段相結合,來強化維護安全措施,同時結合新形勢下的多項要求,從多角度出發,為工業網絡的良性發展奠定堅實基礎。
