工控态势感知系统部署方法有哪些
工控态势感知系统部署方法有以下这些:
数据采集子系统部署:数据采集子系统通常采用分布式部署的方式,主要是根据被采集对象的种类、分布和采集方式决定的。常用的采集方式包括主动采集、被动采集和其他设备推送导入。主动采集的方式主要为部署流量探针采集局域网内流量信息,部署Agent监控设备运行、软硬件配置、检测出的恶意文件以及近期用户执行指令等。被动采集的方式包括通过外部威胁情报数据库获得脆弱性信息,通过日志采集器以标准接口查询形式获得网络中的主机设备、网络设备、安全设备、应用系统日志,以及通过高级威胁检测设备自动探测网络流量中可能涉及潜在入侵、攻击和滥用的行为。此外,还可以通过其他设备将网络安全态势感知系统可能需要的数据推送导入,满足后续的分析要求。
数据处理子系统部署:数据处理子系统的部署方式较为灵活,例如,如果数据采集子系统部署在大型企事业单位的下属机构,则可以在数据采集结束后先由分布式的数据处理子系统分别进行处理,再统一存储至数据存储子系统;也可以由集中式的数据处理子系统统一接收多个数据采集子系统采集的数据进行处理,再统一存储至数据存储子系统。以上两种方式通常都可以获得较好的效果,具体主要取决于本地计算和远程通信的成本和效率。
数据挖掘分析子系统部署:数据挖掘分析子系统可以采用集中分析的部署方式,也可以采用分布式分析的部署方式,主要取决于所要分析的数据量和分析能力。具体的挖掘分析算法适合采用哪种方式也是一个很重要的考虑因素。目前,很多计算架构同时支持分布式数据存储与并行的高性能计算,因此也可以将数据挖掘分析子系统与数据存储子系统合并部署。
数据存储子系统部署:对于数据量较少(尤其是需保存的历史数据量较少)的场景,数据存储子系统可以采用集中存储的部署方式。但鉴于目前网络安全态势感知的复杂性,大部分系统采用分布式存储的部署方式。
态势指标提取子系统部署:态势指标提取子系统的部署方式较为灵活,例如,可以采用集中提取的部署方式,直接将提取出的态势指标以可视化方式进行呈现;而对于一些需要分布式呈现或者通过不同层面呈现的场景,大多采用分布式提取的部署方式,可以实现更为灵活的功能。
策略设置子系统部署:策略设置子系统的部署方式根据使用方对策略管理的需要而设计,对于采用统一策略管理的单位,通常都是采用集中部署、统一管理的方式;对于下属机构相对独立或联盟性质的单位联合体,通常都是采用分布式部署的方式。此外,比较常见的还有总部统一进行策略设置,但将策略分布式下发到分支机构分别执行的方式,也可以看作统一策略管理的一个变形。
可视化展示子系统部署:可视化展示子系统可以根据呈现方式采用集中式部署或分布式部署方式。目前由总部统一管理的级联式单位采用集中式部署的方式较多,而针对行业或区域的联合体采用分布式部署的方式较多。
系统管理子系统部署:系统管理子系统采用集中式部署的方式较多,而对于不同批次部署或项目来源不同的子系统组成的联合体形式的网络安全态势感知系统,由于历史原因采用分布式系统管理子系统较多。