引言

INTRODUCTION

由国能数智科技开发（北京）有限公司和长亭科技联合申报的项目《网络攻防实战背景下的国家能源集团主动攻击诱捕防御体系建设》获得了《中国煤炭工业协会2021-2022年度煤炭行业两化深度融合优秀项目征集》——重点推荐优秀项目。

国家能源集团拥有煤炭、火电、新能源、水电、运输、化工、科技环保、金融等8个产业板块，是全球最大的煤炭生产公司、火力发电公司、风力发电公司和煤制油煤化工公司。

随着国家的重大战略规划和集团业务的大规模推进，基础设施智能化迅速发展，国家能源集团这艘信息化的巨轮，在前行的汪洋之海中，面对的将是更加凶险且未知的风险。

复杂度越高的系统，防护的难度绝不仅仅是线性的增长，作为国家关键基础设施，APT级别的攻击是国家能源集团防守的重中之重，但只等着被打绝对不是我们的风格，建立主动防御体系才是国家能源集团的目标。

国家能源集团网络安全纵深防御体系建设已初具规模，从最外层的边界到最内层终端，对于常规网络攻击事件具备较强的防御能力，已实现全面的检测和拦截手段。在构建攻防实战背景下的主动攻击诱捕体系的技术选型中，与长亭科技合作的基于欺骗技术的蜜网方案有了雏形。

为达到主动防御的终极目标，建设也将按照三个阶段铺陈向前，业务仿真蜜罐的设置，内网的最大范围监听，运营剧本的定制与落地，合理配置不同类型的欺骗节点来为客户铺设“高甜蜜网”！

部署示意图

能源企业资产相对比较分散，为了能够覆盖尽可能多的网络资产，采用全量端口被动监测技术，蜜罐探针能感知1-65535端口的TCP/UDP探测流量，所有节点共同组成一道“警戒线”，让攻击者无所遁形。当发现异常访问时，将异常访问流量经过探针重定向至与探针关联的蜜罐服务中，蜜罐系统位于管理平台的隔离容器中，保证了入侵流量不会蔓延至业务资产上。

蜜罐威胁感知能力的技术逻辑简示

部分伪装服务示例

煤炭企业门户网站和Web业务众多，全部人工制作耗费时间较长，且不利于快速上线的要求。蜜罐智学习技术可以智能化的学习被访问的业务系统，自动创建模拟的仿真系统，并内置热点漏洞吸引攻击者，学习的系统具备访问，交互的能力。当攻击者访问此类网站时，可自动捕获攻击人员的社交账号信息，包括但不限于百度账号、携程、58网站、csdn、163邮箱、新浪微博等等身份信息，为取证溯源带来有利保障。

智学习流程

能源，是不断前进的动力。实干、奉献、创新、争先，是国家能源集团的企业精神。在与国能数智联手推进主动防御建设的过程中，我们深切的感受到了这份创新与争先。

主动防御体系的建设为企业带来的是更具弹性的安全策略，和更具威慑力的安全手段，在提供服务的过程中，我们曾捕捉到多次攻击行为，完整的还原了攻击路径，并成功的反制攻击者。

在安全能力的护航中，国家能源集团在全面打造“世界一流清洁低碳能源领军企业”的新征程上继续乘风破浪，扬帆远航。