产品详情

随着科技的发展和进步，信息技术在工业领域的应用更加广泛和深入，进入二十一世纪以后，工业互联网的兴起和发展为新工业革命带来了全方位、深层次的影响。作为新一代信息技术与制造业深度融合的产物，“互联网+先进制造业”成为科技社会进步和发展的重要基石。当前工业互联网逐步走向“人-机-物”全面互联，极大扩展了网络空间的边界和功能。万物互联也使 工业互联网打破了工业控制系统传统的封闭格局，使工业互联网控制层、设备层、网络层、平台层、数据层等安全问题大量暴露出来，线上线下安全风险交织叠加放大，安全形势更为复杂。目前网络安全风险不断向工业领域转移，安全形势愈加复杂，风险日益加大，工业互联网正在成为网络安全的主战场。

与传统网络安全事件不同，工业控制系统主要应用于关系国家安全、社会民生的关键领域，例如：城市燃气控制、电力、化工、供水等行业。一旦遭到攻击和破坏，将会对人民的生命财产造成重大损失，严重者还会危害国家安全。随着更多工控系统漏洞的发现和黑客攻击水平的提升，出现了更多有组织、有预谋的攻击行为，甚至于上升成国家间的对抗。近年来发生的一系列工控安全事件，越来越证明工控系统安全的重要性和紧迫性。2010 年 6 月，伊朗 Bushehr 核电站遭到震网病毒“STUXNET”攻击，造成大面积的离心机故障，伊朗被迫推迟其核计划；2015年乌克兰遭受网络攻击而导致大面积停电，30余个变电站出现故障，140余万人受到影响。2019年委内瑞拉古里水电站遭受电磁攻击继而引发了全国性大停电，交通瘫痪，通讯中断，影响极大。国内工控系统被攻击的事件也时有发生，2018年台积电WannaCry变种病毒，造成三大产线停摆三天，造成18亿损失。2019年，我国在水利、石油甲方、电力、钢铁、汽车制造以及其他关键制造业遭受到不同层次的WannaCry和挖矿病毒的攻击，大多数都导致了企业的工业主机出现蓝屏，反复重启、甚至数据被加密等。

通过对历年国内外安全事件的梳理不难发现，在电力、水利、天然气、石油甲方以及关键制造业等行业发生攻击的行为更多。因为这些行业属于国家关键信息基础设施，承载着重大的国家命脉，威胁着社会民生、国家安全。这些攻击中不单纯是简单的攻击，必然存在国家势力的因素参与其中。

工业控制系统本身存在着大量的漏洞和后门，因为工业控制系统在设计之初并没有考虑安全性，只考虑了系统的稳定性、实时性。一旦这些漏洞和后门被病毒、木马、勒索软件甚至黑客、敌对势力所利用必然导致安全事件。我国由于工业控制系统基础弱，大部分被国外垄断，国外厂商完全有能力、有手段对正在我国运行的工业控制系统进行远程操控，或者获取机密数据。

工控系统本身有着通信协议种类繁杂、厂家众多，许多的厂家都是自己开发的私有协议进行通信，同时工控系统的安全验证机制缺失或不完善、从业人员安全意识薄弱，导致系统暴露出更多的被攻击面。因此，工控系统面临的的攻击种类和方法更加灵活多样，难以发现和预测。很多高级持续攻击APT更加难以防御。对种类复杂多变、各种手段层出不穷的网络攻击，通过传统 的工业防火墙、入侵检测系统等被动的安全防御方式很难将所有攻击拦截。因此，建立基于主动防御的技术手段，构建多层次纵深防御体系，才能更好的降低被攻击风险。蜜罐作为一种典型的主动安全防御技术，对攻击方进行欺骗，通过引诱、监视和记录黑客与蜜罐进行交互的所有攻击行为数据。利用影子系统及虚拟仿真技术，模拟真实的工控系统，诱捕攻击者进行攻击，捕获和分析网络空间中针对工控设备的攻击流量数据，分析攻击者行为动机，溯源攻击者的真实身份，并了解攻击者的行为动机和目的，学习攻击者所使用的攻击方法和模式，从而达到主动防御攻击者的目的。

工控蜜罐系统是基于多年工控安全攻防经验打造的伪装诱捕类产品。蜜罐系统是基于蜜罐技术和动态取证分析技术，建立多层次的工业控制系统蜜罐/蜜网系统。系统采用虚实结合方式，可伪装模拟工控系统中的各类工业控制设备及协议，如PLC 、RTU、摄像头、SCADA等设备，支持多种通用IT协议及工控协议的高交互度通信。系统建立工业控制系统常用协议数据采集与分析模块，通过在攻击者入侵的关键路径上部署诱饵和陷阱，诱导攻击者进入与真实网络隔离的蜜罐/蜜网系统，让攻击者攻击“假”目标，同时捕捉针对工业控制系统的攻击行为并获取攻击数据。 工控蜜罐由自主研发，可实现各种诱捕节点的部署，支持多种通用IT协议和工控协议的伪装模拟，支持多种工控HMI/SCADA软件的伪装模拟、支持多种工业设备的伪装模拟；可对进入感知终端的流量进行全记录，对数据包进行深度解析，对攻击行为进行告警；用户可根据需要一键将工控蜜罐切换为不同的诱捕节点，以模拟所需的工控场景。

工控蜜罐系统适用于SCADA、DCS、PCS、PLC等工业控制系统，可以被广泛的应用到石油甲方、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政等关键基础设施控制系统，以及其他与国计民生紧密相关领域的工业控制系统。

工控蜜罐系统功能包含以下部分：工控设备层、仿真蜜罐层、地址虚拟层、应用分析层。系统具有虚实结合、高低交互、高甜度诱骗等特点，同时系统具备高度的仿真能力可扩展性及强大的处理能力扩展性。

产品功能架构图如下所示：

Ø 工控设备层

工控设备层包含了常见典型工业控制系统的物理硬件及相关软件系统，主要包括：PLC（可编程逻辑控制器）、DCS（分布式控制系统）、RTU（远程终端单元）、OPC Server（数据采集服务）、SCADA（数据采集与监控系统）、HMI（人机界面/人机交互）等。该层通过采用真实物理设备，提供了高交互度工控蜜罐的基础。

Ø 仿真蜜罐层

仿真蜜罐层主要提供除工控物理设备外的各类虚拟蜜罐系统和协议仿真，可提供大量虚假主机和虚假服务。主要模块包括：通用协议仿真蜜罐（如ftp、ssh、telnet、http等）、工控协议仿真蜜罐（如S7、Modbus、IEC104等）、病毒漏洞仿真模块（如永恒之蓝、典型应用中间件漏洞等）、蜜罐设置及网络配置模块。

Ø  地址虚拟层

地址虚拟层可虚拟仿真大量网络地址，将攻击流量转移与重定向到仿真蜜罐层指定的容器、系统、网络环境内。主要包括：流量转移重定向模块、IP地址仿真模块、KVM虚拟机系统模块、VLAN网络模块、异常流量采集过滤模块、虚拟交换机系统模块。

Ø  应用分析层

应用分析层集中了系统的主要应用和分析功能，包括流量采集、流量分析、日志采集、日志分析、攻击列表、事件告警、攻击行为分析、溯源取证等。