蜜罐技術在電站工控安全防護中的應用研究

李正東

摘 要 隨著“互聯網+”智慧能源的推進和“攻防對抗”的常態化，電力監控系統作為國家關鍵信息基礎設施，“物理隔離”的防線可被跨網入侵，其網絡安全防護重要性不言而喻。然而傳統的防御技術存在其固有的被動防御缺陷，因此，類似于“蜜罐”這種主動防御技術受到越來越廣泛的關注。文章將闡述“蜜罐”技術的工作原理并結合電站工控網絡特點，分析“蜜罐”技術在電力監控系統安全防護中應用的可行性。

關鍵詞 蜜罐技術;工控網絡;電力監控系統;安全防護;應用

引言

近年來網絡安全形勢日益嚴峻，“物理隔離”的工控網絡防線可被跨網入侵，電力調配指令可被惡意篡改，不出問題則已，一出就可能導致電力癱瘓，具有很大的破壞性和殺傷力。隨著國家“互聯網+”智慧能源的推進，電力監控系統作為國家關鍵信息基礎設施，其安全防護與電網系統安全運行密切相關。然而由于安全意識薄弱及工控業務對實時性、可靠性、穩定性的極高要求，串聯主動防御型工控網絡安全產品在現階段很難大規模部署。蜜罐技術憑借旁路部署、主動防御等特點，很快成為抵御惡意軟件和防護網絡安全的首選，并已取得了較好的應用效果。本文通過對蜜罐技術的分析和研究，探討其在電力監控系統安全防護中的應用，提升能源互聯網絡和信息安全事件的主動監測、預警和應急處置能力。

1 蜜罐技術概述

蜜罐系統，在網絡技術使用過程當中屬于誘騙系統的范疇，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法及如何完成攻擊活動。這樣在后續工作開展過程中，能夠有針對性選擇一些防范辦法，從而有效再次避免入侵者給網絡系統帶來的危害[1]。

2 蜜罐技術的優勢

蜜罐技術在提高工控網絡的安全防護能力和水平方面有著重要意義，主要有以下方面：①實現多種黑客入侵方法的主動防御和檢測。蜜罐技術能夠有效地解決入侵檢測系統在運行過程中存在的漏報和誤報風險?；诿酃藜夹g特性，蜜罐上的所有活動都是可疑的，任何形式的蜜罐探測和攻擊活動都會被及時準確地發現，彌補了入侵檢測系統對黑客入侵和攻擊新方法反應不靈敏的缺陷。②提高對黑客攻擊的快速反應和保障能力。在復雜的工業網絡安全防護體系中，蜜罐技術的應用能夠通過占用和耗散黑客網絡資源、計算資源延緩黑客攻破防護系統的節奏，為工控安全人員快速反應和應對提供寶貴時間，從而在一定程度上實現了對系統安全的保障。③增強了系統反追溯能力。工控系統網絡安全區別于其他系統，獨特的網絡結構、差異化的軟件環境和多系統耦合的運行特點會形成大量的漏洞隱患，通過蜜罐對工控系統的異?；顒优c正常活動精準區分，完整有效地采集黑客活動信息，并為追蹤黑客提供了可能性[2]。

3 蜜罐技術在電力監控系統中的應用

（1）電站安全防護風險分析。針對電站分區隔離的環境，攻擊者一般采用惡意軟件攻擊與跳板攻擊相結合的方式。惡意軟件攻擊一般通過社會工程學、釣魚郵件等方式將惡意軟件植入管理大區主機，利用對控制大區系統進行升級、打補丁等機會，通過移動終端、移動存儲將惡意軟件帶入生產控制大區主機，并以此主機為“據點”進行自動掃描、發現漏洞、自動傳播，最終獲取各工程師站、操作員站、監控站操控權限[3]。

（2）蜜罐的部署步驟。蜜罐系統以攻擊鏈為參考模型，對應攻擊者采取攻擊的每一個步驟設計防護措施，主要由投放蜜餌、業務仿真、偽裝漏洞、脫敏數據、記錄行為五個步驟。投放蜜餌：在對外業務系統中投放指向蜜罐系統的蜜餌，引導攻擊者對蜜罐系統發起攻擊。業務仿真：在攻擊者對電站進行踩點探測的時候，蜜罐系統模擬客戶的真實業務，給予攻擊者虛假的信息。偽裝漏洞：在蜜罐系統仿真的業務上，預置好一定數量的常規漏洞，降低攻擊者攻擊蜜罐的難度，吸引攻擊者持續性的對蜜罐系統發起攻擊。脫敏數據：為仿真業務系統偽造配套的業務數據，增加蜜罐的真實性。記錄痕跡：攻擊者準備撤離犯罪現場，擦除攻擊路徑和入侵痕跡的時候，蜜罐系統已把攻擊者記錄下來形成了黑客畫像，并且能夠捕捉到攻擊者的社交網絡信息，方便電站進行威脅的溯源，蜜罐系統記錄下來的日志是證明攻擊者實施犯罪行為的有力證據。

（3）蜜罐的部署位置。結合電站工控網絡的特點，通過蜜罐系統在網絡層部署偽裝代理、主機層部署多類型沙箱、應用層偽造漏洞、數據層部署誘餌，組成欺騙防御的蜜網，仿真各種不同類型的真實環境并全方位對黑客進行欺騙，混淆黑客的攻擊目標，保護真實的業務系統，實現縱深的業務仿真。蜜罐系統在電力監控系統安全防護中有多種部署模式。第一種部署在信息外網防火墻與互聯網出口之間，將大量的入侵攻擊吸引到蜜罐系統當中，避免內部系統直接受到攻擊。第二種部署在管理信息大區和生產控制大區之間，檢測來自管理信息大區的攻擊行為。第三種部署在生產控制大區內部，當生產控制大區內部存在病毒、木馬等惡意軟件攻擊時，蜜罐系統能夠誘補到攻擊行為，并對攻擊行為進行反向跟蹤，進而實現對網絡攻擊的主動監測、預警[4]。

（4）蜜罐與第三方安全聯動。蜜罐系統會詳細記錄攻擊者執行的操作，可通過郵件告警系統進行實時報警，對每個攻擊行為都可通過聯動系統與SYSLOG 日志服務器進行無縫聯動，方便管理分析。也可通過API接口與IPS、防火墻等安全阻斷設備聯動，實現安全聯動，快速阻斷，縮短黑客攻擊時間，建立起一套有效保護業務系統安全性的縱深防御體系[5]。

4 結束語

綜合上文，通過對蜜罐技術的技術優勢分析，結合電站工控網絡的特點，分析了蜜罐系統在電站電力監控系統安全防護中的應用思路和部署位置，實現延緩攻擊進程、攻擊溯源、主動防御效果，并通過與第三方安全聯動，構建一套縱深防御的安全體系。

參考文獻

[1] 何祥鋒.淺談蜜罐技術在網絡安全中的應用[J].網絡安全技術與應用，2018（1）：88-89.

[2] 孫中廷.蜜罐技術在網絡安全系統中的應用與研究[J].計算機與網絡，2018（17）：69-72.

[3] 姚東鈮.分布式蜜罐技術在網絡安全中的應用[J].電子測試，2019 （8）：134-136.

[4] 唐旭，陳蓓.蜜罐技術在校園網絡安全中的作用分析[J].電腦與電信，2019（12）：55-57.

[5] 焦宏宇，何利文，黃俊.基于蜜場的Openstack安全系統[J].計算機技術與發展，2019，28（10）：99-103.