李正东

摘 要 随着“互联网+”智慧能源的推进和“攻防对抗”的常态化，电力监控系统作为国家关键信息基础设施，“物理隔离”的防線可被跨网入侵，其网络安全防护重要性不言而喻。然而传统的防御技术存在其固有的被动防御缺陷，因此，类似于“蜜罐”这种主动防御技术受到越来越广泛的关注。文章将阐述“蜜罐”技术的工作原理并结合电站工控网络特点，分析“蜜罐”技术在电力监控系统安全防护中应用的可行性。

关键词 蜜罐技术;工控网络;电力监控系统;安全防护;应用

引言

近年来网络安全形势日益严峻，“物理隔离”的工控网络防线可被跨网入侵，电力调配指令可被恶意篡改，不出问题则已，一出就可能导致电力瘫痪，具有很大的破坏性和杀伤力。随着国家“互联网+”智慧能源的推进，电力监控系统作为国家关键信息基础设施，其安全防护与电网系统安全运行密切相关。然而由于安全意识薄弱及工控业务对实时性、可靠性、稳定性的极高要求，串联主动防御型工控网络安全产品在现阶段很难大规模部署。蜜罐技术凭借旁路部署、主动防御等特点，很快成为抵御恶意软件和防护网络安全的首选，并已取得了较好的应用效果。本文通过对蜜罐技术的分析和研究，探讨其在电力监控系统安全防护中的应用，提升能源互联网络和信息安全事件的主动监测、预警和应急处置能力。

1 蜜罐技术概述

蜜罐系统，在网络技术使用过程当中属于诱骗系统的范畴，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法及如何完成攻击活动。这样在后续工作开展过程中，能够有针对性选择一些防范办法，从而有效再次避免入侵者给网络系统带来的危害[1]。

2 蜜罐技术的优势

蜜罐技术在提高工控网络的安全防护能力和水平方面有着重要意义，主要有以下方面：①实现多种黑客入侵方法的主动防御和检测。蜜罐技术能够有效地解决入侵检测系统在运行过程中存在的漏报和误报风险。基于蜜罐技术特性，蜜罐上的所有活动都是可疑的，任何形式的蜜罐探测和攻击活动都会被及时准确地发现，弥补了入侵检测系统对黑客入侵和攻击新方法反应不灵敏的缺陷。②提高对黑客攻击的快速反应和保障能力。在复杂的工业网络安全防护体系中，蜜罐技术的应用能够通过占用和耗散黑客网络资源、计算资源延缓黑客攻破防护系统的节奏，为工控安全人员快速反应和应对提供宝贵时间，从而在一定程度上实现了对系统安全的保障。③增强了系统反追溯能力。工控系统网络安全区别于其他系统，独特的网络结构、差异化的软件环境和多系统耦合的运行特点会形成大量的漏洞隐患，通过蜜罐对工控系统的异常活动与正常活动精准区分，完整有效地采集黑客活动信息，并为追踪黑客提供了可能性[2]。

3 蜜罐技术在电力监控系统中的应用

（1）电站安全防护风险分析。针对电站分区隔离的环境，攻击者一般采用恶意软件攻击与跳板攻击相结合的方式。恶意软件攻击一般通过社会工程学、钓鱼邮件等方式将恶意软件植入管理大区主机，利用对控制大区系统进行升级、打补丁等机会，通过移动终端、移动存储将恶意软件带入生产控制大区主机，并以此主机为“据点”进行自动扫描、发现漏洞、自动传播，最终获取各工程师站、操作员站、监控站操控权限[3]。

（2）蜜罐的部署步骤。蜜罐系统以攻击链为参考模型，对应攻击者采取攻击的每一个步骤设计防护措施，主要由投放蜜饵、业务仿真、伪装漏洞、脱敏数据、记录行为五个步骤。投放蜜饵：在对外业务系统中投放指向蜜罐系统的蜜饵，引导攻击者对蜜罐系统发起攻击。业务仿真：在攻击者对电站进行踩点探测的时候，蜜罐系统模拟客户的真实业务，给予攻击者虚假的信息。伪装漏洞：在蜜罐系统仿真的业务上，预置好一定数量的常规漏洞，降低攻击者攻击蜜罐的难度，吸引攻击者持续性的对蜜罐系统发起攻击。脱敏数据：为仿真业务系统伪造配套的业务数据，增加蜜罐的真实性。记录痕迹：攻击者准备撤离犯罪现场，擦除攻击路径和入侵痕迹的时候，蜜罐系统已把攻击者记录下来形成了黑客画像，并且能够捕捉到攻击者的社交网络信息，方便电站进行威胁的溯源，蜜罐系统记录下来的日志是证明攻击者实施犯罪行为的有力证据。

（3）蜜罐的部署位置。结合电站工控网络的特点，通过蜜罐系统在网络层部署伪装代理、主机层部署多类型沙箱、应用层伪造漏洞、数据层部署诱饵，组成欺骗防御的蜜网，仿真各种不同类型的真实环境并全方位对黑客进行欺骗，混淆黑客的攻击目标，保护真实的业务系统，实现纵深的业务仿真。蜜罐系统在电力监控系统安全防护中有多种部署模式。第一种部署在信息外网防火墙与互联网出口之间，将大量的入侵攻击吸引到蜜罐系统当中，避免内部系统直接受到攻击。第二种部署在管理信息大区和生产控制大区之间，检测来自管理信息大区的攻击行为。第三种部署在生产控制大区内部，当生产控制大区内部存在病毒、木马等恶意软件攻击时，蜜罐系统能够诱补到攻击行为，并对攻击行为进行反向跟踪，进而实现对网络攻击的主动监测、预警[4]。

（4）蜜罐与第三方安全联动。蜜罐系统会详细记录攻击者执行的操作，可通过邮件告警系统进行实时报警，对每个攻击行为都可通过联动系统与SYSLOG 日志服务器进行无缝联动，方便管理分析。也可通过API接口与IPS、防火墙等安全阻断设备联动，实现安全联动，快速阻断，缩短黑客攻击时间，建立起一套有效保护业务系统安全性的纵深防御体系[5]。

4 结束语

综合上文，通过对蜜罐技术的技术优势分析，结合电站工控网络的特点，分析了蜜罐系统在电站电力监控系统安全防护中的应用思路和部署位置，实现延缓攻击进程、攻击溯源、主动防御效果，并通过与第三方安全联动，构建一套纵深防御的安全体系。

参考文献

[1] 何祥锋.浅谈蜜罐技术在网络安全中的应用[J].网络安全技术与应用，2018（1）：88-89.

[2] 孙中廷.蜜罐技术在网络安全系统中的应用与研究[J].计算机与网络，2018（17）：69-72.

[3] 姚东铌.分布式蜜罐技术在网络安全中的应用[J].电子测试，2019 （8）：134-136.

[4] 唐旭，陈蓓.蜜罐技术在校园网络安全中的作用分析[J].电脑与电信，2019（12）：55-57.

[5] 焦宏宇，何利文，黄俊.基于蜜场的Openstack安全系统[J].计算机技术与发展，2019，28（10）：99-103.