电力、石化、钢铁、轨道交通等行业的工业控制系统是国家关键信息基础设施的重要组成部分，其运行状况可直接影响物理世界，比如在2015年12月乌克兰停电事件中，黑客攻击了该国电力公司的主控系统，导致7个110kV的变电站和23个35kV的变电站出现故障，使22.5万用户断电数小时。这是有史以来首次因网络攻击而造成的大规模停电事故。黑客能够通过重重防护措施直接影响国家重要基础设施，造成不可挽回的损失不得不引起我们的警觉。 

随着两化融合和“互联网+”的推进，工业企业在注重控制系统功能安全、环境安全的同时，工控网络安全也已成为工业领域无法回避的问题。但由于工控行业网络安全意识较弱以及工控业务对实时性、可靠性、连续性的极高要求，导致工控安全产品（尤其工业防火墙等串联设备）在现阶段无法大规模部署和使用。如何在不影响当前业务可靠性及网络结构的前提下，对工业网络进行工控安全检测与响应是当前工控安全厂商的研究热点。

虽然蜜罐技术诞生时间不长，但发展非常快，已经由蜜罐发展到蜜网，蜜网是蜜罐技术的延伸和发展，也可以认为是蜜罐的一种形式。蜜网是指采用了另外的技术的蜜罐，能以合理方式记录下黑客的行动，同时尽量减小或排除对网络上其他系统造成的风险。蜜网的系统结构一般是在其前端放置一个防火墙，所有的信息包将通过防火墙进来，防火墙能够对从蜜罐机器往外的每一个连接进行追踪，当该蜜罐外发的数量达到我们预先设定的上限时，防火墙便会阻塞那些信息包。这样可以最大程度保证我们的机器在不被滥用的前提下，允许入侵者做尽可能多的他们想做的事。从而避免了蜜罐成为入侵者扫描、探测及攻击的系统。

蜜罐技术在提高工控网络的安全防护能力和水平方面有着重要意义，主要有以下方面：

( 1 ) 实现多种黑客入侵方法的主动防御和检测。蜜罐技术能够有效地解决入侵检测系统在运行过程中存在的漏报和误报风险。基于蜜罐技术特性，蜜罐上的所有活动都是可疑的，任何形式的蜜罐探测和攻击活动都会被及时准确地发现，弥补了入侵检测系统对黑客入侵和攻击新方法反应不灵敏的缺陷。精准的检测能力提升了工控系统遭遇黑客或病毒破坏的抵抗能力。

( 2 ) 提高对黑客攻击的快速反应和保障能力。在复杂的工业网络安全防护体系中，蜜罐技术的应用能够通过占用和耗散黑客网络资源、计算资源延缓黑客攻破防护系统的节奏，为工控安全人员快速反应和应对提供宝贵时间，从而在一定程度上实现了对系统安全的保障。 

( 3 ) 增强了系统反追溯能力。工控系统网络安全区别于其他系统，独特的网络结构、差异化的软件环境和多系统耦合的运行特点会形成大量的漏洞隐患，蜜罐技术的应用一定程度保障了工控安全技术人员对黑客活动的追溯能力，通过蜜罐对工控系统的异常活动与正常活动精准区分，完整有效地采集黑客活动信息，并为追踪黑客提供了可能性。

蜜罐系统凭借其独立性以及对工控系统的无干扰性，可有效减小现阶段工控安全产品对工控网络、流量以及实时性的影响，解决无法在工控设备、工控主机、工控服务器内安装安全代理或安全探针的问题，有效提高安全检测的精度，降低误报率。 

工业企业网络架构一般可分为管理信息层、生产管理层、过程监控层、现场控制层以及现场设备层。管理信息层为传统信息网络，生产管理层、过程监控层、现场控制层以及现场设备层为工业生产网络。现阶段工业企业在管理信息网与工业生产网之间一般采用物理隔离或逻辑隔离的方式进行网络分层，针对每种隔离方式存在不同的攻击类型。

4.1 双网物理隔离环境 

针对管理信息网与生产网物理隔离的环境，攻击者一般采用恶意软件攻击与跳板攻击相结合的方式。恶意软件攻击一般借助社会工程学、水坑攻击、钓鱼邮件攻击等方式将恶意软件植入受害者办公主机内。此类工业企业由于在管理信息网与工业生产网络之间部署了物理隔离设备，导致恶意软件不能直接进入生产控制网络，此时恶意软件会借助移动终端、移动存储介质、第三方终端等方式进入工业生产网主机，并以此主机为“据点”进行后续攻击操作。此类恶意软件一般具有较高的自动化特性，可根据目标环境进行设备的自动识别、自动传播、自动攻击。 

4.2 双网逻辑隔离环境

此环境下，工业企业一般在管理信息网与工业生产网之间部署了防火墙等逻辑隔离设备，或采用单主机双方卡的形式实现逻辑隔离。由于逻辑隔离没有阻断网络层的连接，极容易导致攻击者绕过逻辑隔离设备进入生产网络。在此环境下，攻击者可以采用恶意软件以及内网反弹的方式直接获取内网主机的操控权限，此类攻击具有较强的灵活性。

目前的网络攻击方式大多基于IT架构，因此工业生产网络内的各工程师站、操作员站、监控站必然成为恶意软件以及攻击者进行“下一步”攻击的“落脚点”。以蠕虫病毒为例，其攻击步骤可分为感染主机→自动扫描→发现漏洞→自动传播。由于蜜罐系统的开放性以及自身存在较多安全漏洞，再配合良好的部署位置，很容易成为攻击者绝佳的“落脚点”，蜜罐系统通过精心构造的安全攻击与行为跟踪检测功能，可以对攻击行为进行精确记录、告警，同时与其他安全平台联动，从而实现网络攻击的快速检测、响应，为工业企业调查取证提供依据。

5.1 安全缓冲区 

在管理信息网与工业生产网络之间设置安全缓冲区，在此区内设置蜜罐系统，对来自管理信息网的操作行为进行检测分析。此处部署的蜜罐系统作用类似于入侵检测系统。它可以更详细地发现并记录攻击者的攻击行为与日志记录。

网络防火墙与入侵检测系统（IDS）均部署在安全缓冲区处，即防火墙与入侵检测系统所阻挡是外网用户对系统的入侵，但是对于内网用户来说，内部网络是公开的，所有的安全依赖于操作系统本身的安全保障措施提供。对一般的用户来讲，内网通常是安全的，即这种设计对于内网的用户应该是可信赖的。但是在工业网络环境中，存在U盘绕过边界防护而将病毒带入内网的情况，使这道安全防护可靠性大大降低。

另一方面，网络中设置防火墙与入侵检测系统并不能从根本上解决网络的安全问题，只能对网络攻击者形成一定的阻碍并延长其侵入时间。操作者只要有足够的耐心并掌握一定的攻击技术，这些安全设施终有倒塌的可能。

因此，可以在边界缓冲区部署蜜罐系统来最大可能地延长入侵者攻击网络的时间，在入侵虽已发生但尚未造成损失时及时发现入侵并保留入侵者的证据，将其提交有关部门。 

5.2 生产网络

在生产网络内部署蜜罐系统，由于工业生产业务相对固定，蜜罐系统在正常网络流量下不会被访问操作，但当出现病毒、木马、黑客攻击等操作时，蜜罐系统会表现出攻击特征，并发出告警。 

( 1 ) 由于蜜罐并没有向外界提供真正有价值的服务，正常情况下蜜罐系统不被访问，因此所有对其链接的尝试都将被视为可疑操作，这样蜜罐对网络常见扫描、入侵的反应灵敏度大大提高，有利于对入侵的检测。 

( 2 ) 蜜罐的另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。蜜罐会增加入侵者入侵的目标，当黑客或者病毒入侵生产系统，会降低攻击真正生产系统的概率。同时，由于蜜罐的漏洞多于正常服务器，必将更加容易吸引攻击者注意，让其首先将时间花在攻击蜜罐服务器上。蜜罐服务器灵敏地检测并及时报警，这样可以使网络管理员及时发现有攻击者入侵并及时采取措施，从而使最初可能受攻击的目标得到了保护，真正有价值的内容没有受到侵犯。 

( 3 ) 蜜罐服务器上安装了入侵检测系统，因此它可以及时记录攻击者对服务器的访问，从而能准确地为追踪攻击者提供有用的线索，为起诉攻击者搜集有效的证据。从这个意义上说，蜜罐就是“诱捕”攻击者的一个陷阱。 

5.3 工业防火墙之前

将蜜罐放置在防火墙之前，会消除由于向内部网加入不安全设备引起的安全隐患。由于蜜罐位于防火墙外部，可能吸引到大量的入侵者来对其进行扫描和入侵，而防火墙和内部网络的入侵检测系统却不会对这些入侵事件进行记录，也不会产生相应的报警信号。如果将蜜罐放置在外部网，那么大量的入侵事件就会导致工业防火墙和入侵检测系统产生大量的报警信号。此外，蜜罐部署在工业防火墙之外能减少配置工业防火墙和入侵检测系统策略的次数与时间。因为这种网络分布会将蜜罐系统看作局部区域网络或者生产网之外的网络设备，这样就可以在网络更简单的前提下运行蜜罐系统。 

5.4 工业防火墙之后 

将蜜罐放置于工业防火墙之后可能会给内部引入新的安全问题以及网络部署问题。尤其是当蜜罐系统没有同生产网安全隔离开的时候，蜜罐系统的引入将有可能影响其他网络设备的安全。但是将蜜罐系统部署在工业防火墙之后也能够用来检测源于网络内部的攻击，利于分析生产网络安全态势。在正确安装部署蜜罐系统的前提下，同时也能够用来检测工业防火墙策略的配置安全性。