蜜罐技術(shù)在電站工控安全防護中的應(yīng)用研究

李正東

摘 要 隨著“互聯(lián)網(wǎng)+”智慧能源的推進和“攻防對抗”的常態(tài)化，電力監(jiān)控系統(tǒng)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施，“物理隔離”的防線可被跨網(wǎng)入侵，其網(wǎng)絡(luò)安全防護重要性不言而喻。然而傳統(tǒng)的防御技術(shù)存在其固有的被動防御缺陷，因此，類似于“蜜罐”這種主動防御技術(shù)受到越來越廣泛的關(guān)注。文章將闡述“蜜罐”技術(shù)的工作原理并結(jié)合電站工控網(wǎng)絡(luò)特點，分析“蜜罐”技術(shù)在電力監(jiān)控系統(tǒng)安全防護中應(yīng)用的可行性。

關(guān)鍵詞 蜜罐技術(shù);工控網(wǎng)絡(luò);電力監(jiān)控系統(tǒng);安全防護;應(yīng)用

引言

近年來網(wǎng)絡(luò)安全形勢日益嚴峻，“物理隔離”的工控網(wǎng)絡(luò)防線可被跨網(wǎng)入侵，電力調(diào)配指令可被惡意篡改，不出問題則已，一出就可能導(dǎo)致電力癱瘓，具有很大的破壞性和殺傷力。隨著國家“互聯(lián)網(wǎng)+”智慧能源的推進，電力監(jiān)控系統(tǒng)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施，其安全防護與電網(wǎng)系統(tǒng)安全運行密切相關(guān)。然而由于安全意識薄弱及工控業(yè)務(wù)對實時性、可靠性、穩(wěn)定性的極高要求，串聯(lián)主動防御型工控網(wǎng)絡(luò)安全產(chǎn)品在現(xiàn)階段很難大規(guī)模部署。蜜罐技術(shù)憑借旁路部署、主動防御等特點，很快成為抵御惡意軟件和防護網(wǎng)絡(luò)安全的首選，并已取得了較好的應(yīng)用效果。本文通過對蜜罐技術(shù)的分析和研究，探討其在電力監(jiān)控系統(tǒng)安全防護中的應(yīng)用，提升能源互聯(lián)網(wǎng)絡(luò)和信息安全事件的主動監(jiān)測、預(yù)警和應(yīng)急處置能力。

1 蜜罐技術(shù)概述

蜜罐系統(tǒng)，在網(wǎng)絡(luò)技術(shù)使用過程當中屬于誘騙系統(tǒng)的范疇，通過布置一些作為誘餌的主機、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法及如何完成攻擊活動。這樣在后續(xù)工作開展過程中，能夠有針對性選擇一些防范辦法，從而有效再次避免入侵者給網(wǎng)絡(luò)系統(tǒng)帶來的危害[1]。

2 蜜罐技術(shù)的優(yōu)勢

蜜罐技術(shù)在提高工控網(wǎng)絡(luò)的安全防護能力和水平方面有著重要意義，主要有以下方面：①實現(xiàn)多種黑客入侵方法的主動防御和檢測。蜜罐技術(shù)能夠有效地解決入侵檢測系統(tǒng)在運行過程中存在的漏報和誤報風險?；诿酃藜夹g(shù)特性，蜜罐上的所有活動都是可疑的，任何形式的蜜罐探測和攻擊活動都會被及時準確地發(fā)現(xiàn)，彌補了入侵檢測系統(tǒng)對黑客入侵和攻擊新方法反應(yīng)不靈敏的缺陷。②提高對黑客攻擊的快速反應(yīng)和保障能力。在復(fù)雜的工業(yè)網(wǎng)絡(luò)安全防護體系中，蜜罐技術(shù)的應(yīng)用能夠通過占用和耗散黑客網(wǎng)絡(luò)資源、計算資源延緩黑客攻破防護系統(tǒng)的節(jié)奏，為工控安全人員快速反應(yīng)和應(yīng)對提供寶貴時間，從而在一定程度上實現(xiàn)了對系統(tǒng)安全的保障。③增強了系統(tǒng)反追溯能力。工控系統(tǒng)網(wǎng)絡(luò)安全區(qū)別于其他系統(tǒng)，獨特的網(wǎng)絡(luò)結(jié)構(gòu)、差異化的軟件環(huán)境和多系統(tǒng)耦合的運行特點會形成大量的漏洞隱患，通過蜜罐對工控系統(tǒng)的異?；顒优c正?；顒泳珳蕝^(qū)分，完整有效地采集黑客活動信息，并為追蹤黑客提供了可能性[2]。

3 蜜罐技術(shù)在電力監(jiān)控系統(tǒng)中的應(yīng)用

（1）電站安全防護風險分析。針對電站分區(qū)隔離的環(huán)境，攻擊者一般采用惡意軟件攻擊與跳板攻擊相結(jié)合的方式。惡意軟件攻擊一般通過社會工程學、釣魚郵件等方式將惡意軟件植入管理大區(qū)主機，利用對控制大區(qū)系統(tǒng)進行升級、打補丁等機會，通過移動終端、移動存儲將惡意軟件帶入生產(chǎn)控制大區(qū)主機，并以此主機為“據(jù)點”進行自動掃描、發(fā)現(xiàn)漏洞、自動傳播，最終獲取各工程師站、操作員站、監(jiān)控站操控權(quán)限[3]。

（2）蜜罐的部署步驟。蜜罐系統(tǒng)以攻擊鏈為參考模型，對應(yīng)攻擊者采取攻擊的每一個步驟設(shè)計防護措施，主要由投放蜜餌、業(yè)務(wù)仿真、偽裝漏洞、脫敏數(shù)據(jù)、記錄行為五個步驟。投放蜜餌：在對外業(yè)務(wù)系統(tǒng)中投放指向蜜罐系統(tǒng)的蜜餌，引導(dǎo)攻擊者對蜜罐系統(tǒng)發(fā)起攻擊。業(yè)務(wù)仿真：在攻擊者對電站進行踩點探測的時候，蜜罐系統(tǒng)模擬客戶的真實業(yè)務(wù)，給予攻擊者虛假的信息。偽裝漏洞：在蜜罐系統(tǒng)仿真的業(yè)務(wù)上，預(yù)置好一定數(shù)量的常規(guī)漏洞，降低攻擊者攻擊蜜罐的難度，吸引攻擊者持續(xù)性的對蜜罐系統(tǒng)發(fā)起攻擊。脫敏數(shù)據(jù)：為仿真業(yè)務(wù)系統(tǒng)偽造配套的業(yè)務(wù)數(shù)據(jù)，增加蜜罐的真實性。記錄痕跡：攻擊者準備撤離犯罪現(xiàn)場，擦除攻擊路徑和入侵痕跡的時候，蜜罐系統(tǒng)已把攻擊者記錄下來形成了黑客畫像，并且能夠捕捉到攻擊者的社交網(wǎng)絡(luò)信息，方便電站進行威脅的溯源，蜜罐系統(tǒng)記錄下來的日志是證明攻擊者實施犯罪行為的有力證據(jù)。

（3）蜜罐的部署位置。結(jié)合電站工控網(wǎng)絡(luò)的特點，通過蜜罐系統(tǒng)在網(wǎng)絡(luò)層部署偽裝代理、主機層部署多類型沙箱、應(yīng)用層偽造漏洞、數(shù)據(jù)層部署誘餌，組成欺騙防御的蜜網(wǎng)，仿真各種不同類型的真實環(huán)境并全方位對黑客進行欺騙，混淆黑客的攻擊目標，保護真實的業(yè)務(wù)系統(tǒng)，實現(xiàn)縱深的業(yè)務(wù)仿真。蜜罐系統(tǒng)在電力監(jiān)控系統(tǒng)安全防護中有多種部署模式。第一種部署在信息外網(wǎng)防火墻與互聯(lián)網(wǎng)出口之間，將大量的入侵攻擊吸引到蜜罐系統(tǒng)當中，避免內(nèi)部系統(tǒng)直接受到攻擊。第二種部署在管理信息大區(qū)和生產(chǎn)控制大區(qū)之間，檢測來自管理信息大區(qū)的攻擊行為。第三種部署在生產(chǎn)控制大區(qū)內(nèi)部，當生產(chǎn)控制大區(qū)內(nèi)部存在病毒、木馬等惡意軟件攻擊時，蜜罐系統(tǒng)能夠誘補到攻擊行為，并對攻擊行為進行反向跟蹤，進而實現(xiàn)對網(wǎng)絡(luò)攻擊的主動監(jiān)測、預(yù)警[4]。

（4）蜜罐與第三方安全聯(lián)動。蜜罐系統(tǒng)會詳細記錄攻擊者執(zhí)行的操作，可通過郵件告警系統(tǒng)進行實時報警，對每個攻擊行為都可通過聯(lián)動系統(tǒng)與SYSLOG 日志服務(wù)器進行無縫聯(lián)動，方便管理分析。也可通過API接口與IPS、防火墻等安全阻斷設(shè)備聯(lián)動，實現(xiàn)安全聯(lián)動，快速阻斷，縮短黑客攻擊時間，建立起一套有效保護業(yè)務(wù)系統(tǒng)安全性的縱深防御體系[5]。

4 結(jié)束語

綜合上文，通過對蜜罐技術(shù)的技術(shù)優(yōu)勢分析，結(jié)合電站工控網(wǎng)絡(luò)的特點，分析了蜜罐系統(tǒng)在電站電力監(jiān)控系統(tǒng)安全防護中的應(yīng)用思路和部署位置，實現(xiàn)延緩攻擊進程、攻擊溯源、主動防御效果，并通過與第三方安全聯(lián)動，構(gòu)建一套縱深防御的安全體系。

參考文獻

[1] 何祥鋒.淺談蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（1）：88-89.

[2] 孫中廷.蜜罐技術(shù)在網(wǎng)絡(luò)安全系統(tǒng)中的應(yīng)用與研究[J].計算機與網(wǎng)絡(luò)，2018（17）：69-72.

[3] 姚東鈮.分布式蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].電子測試，2019 （8）：134-136.

[4] 唐旭，陳蓓.蜜罐技術(shù)在校園網(wǎng)絡(luò)安全中的作用分析[J].電腦與電信，2019（12）：55-57.

[5] 焦宏宇，何利文，黃俊.基于蜜場的Openstack安全系統(tǒng)[J].計算機技術(shù)與發(fā)展，2019，28（10）：99-103.