ICS35.020

CCSL70

團(tuán)體標(biāo)準(zhǔn)

T/CESXXX-XXXX

電力企業(yè)網(wǎng)絡(luò)安全蜜罐部署與管理技術(shù)

規(guī)范

TechnicalspecificationsfordeploymentandmanagementofElectric

powerenterprisenetworksecurityhoneypots

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中國(guó)電工技術(shù)學(xué)會(huì)發(fā)布

T/CESXXX—XXXX

目次

前言..........................................................................................................................................................III

1范圍.........................................................................................................................................................1

2規(guī)范性引用文件.....................................................................................................................................1

3術(shù)語(yǔ)和定義.............................................................................................................................................1

4符號(hào)和縮略語(yǔ).........................................................................................................................................2

5概述.........................................................................................................................................................2

5.1蜜罐分類.........................................................................................................................................2

5.2蜜罐變種.........................................................................................................................................3

5.3蜜罐應(yīng)用場(chǎng)景.................................................................................................................................4

6企業(yè)網(wǎng)絡(luò)蜜罐部署.................................................................................................................................4

6.1蜜罐部署類型.................................................................................................................................4

6.2蜜罐部署位置.................................................................................................................................5

6.3蜜罐部署功能選擇.........................................................................................................................6

6.4蜜罐部署配置.................................................................................................................................7

6.5蜜罐部署攻擊防范.........................................................................................................................8

6.6蜜罐部署合規(guī)性與隱私保護(hù).........................................................................................................8

6.7電力企業(yè)蜜罐部署.........................................................................................................................9

7企業(yè)網(wǎng)絡(luò)蜜罐管理.................................................................................................................................9

7.1維護(hù)更新.........................................................................................................................................9

7.2監(jiān)控分析.......................................................................................................................................11

7.3響應(yīng)處置.......................................................................................................................................11

7.4審查改進(jìn).......................................................................................................................................12

II

T/CESXXX—XXXX

電力企業(yè)網(wǎng)絡(luò)安全蜜罐部署與管理技術(shù)規(guī)范

1范圍

本文件規(guī)定了企業(yè)網(wǎng)絡(luò)安全蜜罐部署與管理的基本框架、部署策略以及管理流程要求等內(nèi)容。

本文件適用于企業(yè)網(wǎng)絡(luò)安全蜜罐技術(shù)的設(shè)計(jì)、部署、管理和應(yīng)用，旨在幫助企業(yè)有效應(yīng)對(duì)網(wǎng)絡(luò)安全威

脅，提升網(wǎng)絡(luò)安全防護(hù)水平和應(yīng)對(duì)潛在威脅感知能力。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用

于本文件。

GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

GB42250—2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求

GB/T37027—2018信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范

GB/T28458—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

蜜罐honeypot

一種網(wǎng)絡(luò)陷阱或誘餌，通過模擬或提供類似于真實(shí)系統(tǒng)或網(wǎng)絡(luò)服務(wù)的界面，用于引誘攻擊者遠(yuǎn)離真

正的企業(yè)資產(chǎn)，并學(xué)習(xí)攻擊者行為。

3.2

攻擊者attacker

故意利用技術(shù)和非技術(shù)安全控制的脆弱性,以竊取或損害信息系統(tǒng)和網(wǎng)絡(luò),或者損害合法用戶對(duì)信

息系統(tǒng)和網(wǎng)絡(luò)資源可用性為目的的任何人。

[來源：GB/T25069—2022，3.221]

3.3

網(wǎng)絡(luò)攻擊networkattack

通過計(jì)算機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，利用網(wǎng)絡(luò)中存在的漏洞和安全缺陷實(shí)施的一種行為，其目的在于

竊取、修改、破壞網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)男畔?或延緩、中斷網(wǎng)絡(luò)服務(wù);或破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

[來源：GB/T37027—2018，4.2]

3.4

網(wǎng)絡(luò)安全漏洞networksecurityvulnerability

1

T/CESXXX—XXXX

網(wǎng)絡(luò)安全漏洞是網(wǎng)絡(luò)產(chǎn)品或系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，無意或有意產(chǎn)生的缺

陷或薄弱點(diǎn)。這些缺陷或薄弱點(diǎn)以不同形式存在于網(wǎng)絡(luò)產(chǎn)品或系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中,一旦被惡意

主體所利用，就會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)品或系統(tǒng)的安全造成損害，從而影響其正常運(yùn)行。

[來源：GB/T28458—2020，3.1]

3.5

網(wǎng)絡(luò)安全專用產(chǎn)品specializedcybersecurityproducts

專門用于防范網(wǎng)絡(luò)攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)和信息系統(tǒng)處于穩(wěn)定

可靠、可控運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)完整性、保密性、可用性的硬件、軟件或系統(tǒng)。

[來源：GB42250—2022，3.1]

3.6

蜜罐部署honeypotdeployment

在網(wǎng)絡(luò)或系統(tǒng)中設(shè)置蜜罐的行為，以便最大程度地吸引攻擊者并收集攻擊數(shù)據(jù)的行為。

3.7

蜜罐管理honeypotmanagement

對(duì)部署在網(wǎng)絡(luò)或系統(tǒng)中的蜜罐進(jìn)行有效的監(jiān)控、維護(hù)和調(diào)整的過程，包括配置、監(jiān)視和維護(hù)蜜罐系

統(tǒng)，以確保其有效運(yùn)行并收集到有價(jià)值的攻擊數(shù)據(jù)。

4符號(hào)和縮略語(yǔ)

下列符號(hào)和縮略語(yǔ)適用于本文件。

APT:高級(jí)持續(xù)性威脅（advancedpersistentthreat）

CDN:內(nèi)容分發(fā)網(wǎng)絡(luò)（contentdistributionnetwork）

DMZ：隔離區(qū)(demilitarizedzone)

IP：互聯(lián)網(wǎng)協(xié)議（internetprotocol）

LAN：局域網(wǎng)（localareanetwork）

RDP：遠(yuǎn)程桌面協(xié)議（remotedesktopprotocol）

SCM:源代碼控制管理(sourcecodemanagement)

SOC：安全運(yùn)營(yíng)中心（securityoperationscenter）

SSH:安全外殼協(xié)議（secureshell）

SSL：安全套接層協(xié)議（securesocketslayer）

STIX：結(jié)構(gòu)化威脅信息表達(dá)語(yǔ)言（structuredthreatinformationexpression）

TAXII:情報(bào)信息的可信自動(dòng)化交換（trustedautomatedexchangeofindicatorinformation）

TCP：傳輸控制協(xié)議（transmissioncontrolprotocol）

TLS：傳輸層安全協(xié)議（transportlayersecurity）

VLAN:虛擬局域網(wǎng)(virtuallocalareanetwork)

WAN：廣域網(wǎng)（wideareanetwork）

5概述

5.1蜜罐分類

5.1.1按照學(xué)術(shù)

2

T/CESXXX—XXXX

蜜罐按照學(xué)術(shù)宜可分類為生產(chǎn)蜜罐與研究蜜罐兩類。

a)生產(chǎn)蜜罐：指被大型組織用作主動(dòng)防御的誘餌，旨在引導(dǎo)黑客遠(yuǎn)離主網(wǎng)絡(luò)。組織利用從這種“受

控”黑客行為中收集的數(shù)據(jù)，以消除其防御中的任何弱點(diǎn)，并更好地保護(hù)其真實(shí)網(wǎng)絡(luò)免受黑客攻擊。適用

于實(shí)際生產(chǎn)環(huán)境，用于實(shí)時(shí)監(jiān)控和防御針對(duì)企業(yè)網(wǎng)絡(luò)的真實(shí)攻擊的蜜罐系統(tǒng)；

b)研究蜜罐：通常由政府或大型網(wǎng)絡(luò)安全組織用來跟蹤高級(jí)持續(xù)威脅的發(fā)展并掌握不斷發(fā)展的黑客

技術(shù)。適用于學(xué)術(shù)機(jī)構(gòu)、研究實(shí)驗(yàn)室或?qū)I(yè)安全公司研究，用于網(wǎng)絡(luò)安全研究、威脅情報(bào)收集和攻擊行為

分析。

5.1.2按照交互級(jí)別

蜜罐按照交互級(jí)別宜可分類為純蜜罐、高交互蜜罐、低交互蜜罐三類。

a)純蜜罐：這種類型的蜜罐是最復(fù)雜且維護(hù)難度最高的，其配備了模擬敏感文檔和用戶數(shù)據(jù)，旨在

向潛在入侵者呈現(xiàn)最真實(shí)的環(huán)境。它是一種綜合操作系統(tǒng)，旨在提供最真實(shí)的外觀。適用于防范初級(jí)的、

自動(dòng)化的大規(guī)模掃描和探測(cè)行為，以及對(duì)特定IP地址、域名或端口的針對(duì)性攻擊。

b)高交互蜜罐：這種蜜罐類型非常復(fù)雜，允許黑客在模擬的基礎(chǔ)設(shè)施內(nèi)自由活動(dòng)，從而為安全分析

師提供大量關(guān)于網(wǎng)絡(luò)犯罪分子活動(dòng)的數(shù)據(jù)。然而，高交互蜜罐需要更多的維護(hù)工作，并且可能會(huì)帶來更高

的風(fēng)險(xiǎn)。適用于高度針對(duì)性、復(fù)雜且持久的攻擊場(chǎng)景，如高級(jí)持續(xù)性威脅（APT）的偵查階段，以及針對(duì)

特定服務(wù)（如Web服務(wù)器、數(shù)據(jù)庫(kù)等）的精細(xì)攻擊。

c)低交互蜜罐：這些誘餌不是模仿整個(gè)系統(tǒng)，而是代表公司系統(tǒng)和服務(wù)中對(duì)黑客最有吸引力的部分。

因此，它們提供的關(guān)于攻擊者的信息相對(duì)較少，但是可以更輕松地使用TCP/IP協(xié)議進(jìn)行設(shè)置。適用于快

速檢測(cè)網(wǎng)絡(luò)中的普遍掃描、弱口令攻擊、常見漏洞利用等常規(guī)威脅，以及對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行初步的威脅感知。

5.2蜜罐變種

5.2.1蜜幣誘餌

蜜幣是蜜罐技術(shù)中的一個(gè)子集，其設(shè)計(jì)與合法憑證或秘密密鑰泄露有關(guān)。當(dāng)攻擊者嘗試使用蜜幣時(shí)，

將立即觸發(fā)相應(yīng)的警報(bào)，使得企業(yè)安全運(yùn)營(yíng)中心（SOC）能夠根據(jù)警報(bào)信息（如IP地址、時(shí)間戳、用戶代

理以及蜜幣操作的日志）迅速采取行動(dòng)。在蜜幣技術(shù)中，誘餌即為憑證。在企業(yè)遭受入侵時(shí)，攻擊者通常

會(huì)尋找薄弱的企業(yè)資產(chǎn)進(jìn)行橫向移動(dòng)、提權(quán)或竊取敏感數(shù)據(jù)。在這種情況下，API密鑰等編程憑證是理想

的入侵目標(biāo)，因?yàn)槊荑€具有可識(shí)別的權(quán)限，并且通常包含攻擊者感興趣的企業(yè)信息。因此，它們是攻擊者

在違規(guī)期間搜索和利用的主要目標(biāo)，也是防御者最容易傳播的誘餌。

通過在多個(gè)位置放置蜜幣（例如托管在云資產(chǎn)、內(nèi)部服務(wù)器、第三方SaaS工具以及工作站或文件上），

企業(yè)SOC可以快速檢測(cè)到漏洞，增強(qiáng)軟件交付管道的安全性，防止?jié)撛诘娜肭?。蜜幣技術(shù)的簡(jiǎn)單性是一個(gè)

顯著的優(yōu)勢(shì)，企業(yè)可以輕松地在整個(gè)組織范圍內(nèi)創(chuàng)建、部署和管理蜜幣，同時(shí)保護(hù)數(shù)千個(gè)代碼存儲(chǔ)庫(kù)，以

實(shí)現(xiàn)"左移"入侵檢測(cè)的要求。

5.2.2面包屑

面包屑是蜜罐的一種變體，用于針對(duì)企業(yè)員工個(gè)人電腦被入侵的情況。通常，攻擊者會(huì)瀏覽注冊(cè)表和

瀏覽器歷史記錄，以確定用戶在哪里查找內(nèi)部服務(wù)器、打印機(jī)和其他設(shè)備。面包屑的作用是模擬這些設(shè)備

的地址作為誘餌。典型的面包屑用法是將這些誘餌的地址置于最終用戶設(shè)備上。如果設(shè)備受到威脅，攻擊

者可能會(huì)跟隨面包屑進(jìn)入誘餌，從而向企業(yè)運(yùn)營(yíng)人員發(fā)出入侵警報(bào)。面包屑作為蜜罐技術(shù)在特定場(chǎng)景下的

一種應(yīng)用，專門用于檢測(cè)針對(duì)企業(yè)員工個(gè)人電腦的入侵。

5.2.3蜜網(wǎng)

3

T/CESXXX—XXXX

蜜網(wǎng)由網(wǎng)絡(luò)上的兩個(gè)或多個(gè)蜜罐組成。擁有一個(gè)互連的蜜罐網(wǎng)絡(luò)對(duì)于溯源有著巨大的優(yōu)勢(shì)。蜜網(wǎng)使得

企業(yè)能夠?qū)崟r(shí)跟蹤攻擊者與一個(gè)資源或網(wǎng)絡(luò)點(diǎn)的交互過程，同時(shí)監(jiān)視入侵者在網(wǎng)絡(luò)上的移動(dòng)以及與多個(gè)點(diǎn)

交互的狀態(tài)。其目標(biāo)是讓攻擊者相信他們已經(jīng)成功突破了網(wǎng)絡(luò)，因此擁有更多虛假網(wǎng)絡(luò)目的地可以使蜜罐

設(shè)置更具說服力。

5.3蜜罐應(yīng)用場(chǎng)景

5.3.1電子郵件蜜罐

電子郵件蜜罐使用欺騙性電子郵件地址，僅通過使用自動(dòng)地址收集器等可疑方法才能被檢測(cè)到。這意

味著合法用戶無法直接找到該地址。因此，發(fā)送到該地址的所有電子郵件都被系統(tǒng)自動(dòng)歸類為垃圾郵件，

并且其發(fā)件人會(huì)立即被網(wǎng)絡(luò)阻止。這一舉措有助于互聯(lián)網(wǎng)服務(wù)提供商有效地阻止垃圾郵件。

5.3.2數(shù)據(jù)庫(kù)蜜罐

組織經(jīng)常建立含有虛假內(nèi)容的誘餌數(shù)據(jù)庫(kù)，旨在發(fā)現(xiàn)并消除系統(tǒng)漏洞。數(shù)據(jù)蜜罐能夠收集關(guān)于SQL注

入以及黑客用于訪問虛假數(shù)據(jù)庫(kù)的其他方法的信息。此外，它們還可用于分析攻擊過程中竊取的虛假數(shù)據(jù)

的傳播和使用情況。

5.3.3惡意軟件蜜罐

惡意軟件蜜罐是一種旨在通過模仿軟件應(yīng)用程序或API，吸引惡意軟件的技術(shù)。其目的在于創(chuàng)建一個(gè)

受控環(huán)境，使研究人員能夠安全地分析惡意軟件攻擊。隨后，所獲得的信息可用于制定更為復(fù)雜的惡意軟

件防御措施。

5.3.4蜘蛛蜜罐

網(wǎng)絡(luò)爬蟲，也稱為“蜘蛛”，是一類蜜罐陷阱的主要目標(biāo)。蜘蛛蜜罐旨在創(chuàng)建只允許自動(dòng)網(wǎng)絡(luò)爬蟲或

機(jī)器人訪問的網(wǎng)頁(yè)和鏈接，以便組織能夠深入了解其操作方式以及可能引發(fā)的任何潛在問題。

5.3.5客戶端蜜罐

傳統(tǒng)蜜罐是被動(dòng)等待攻擊的服務(wù)器端蜜罐。然而，客戶端蜜罐（或稱計(jì)算機(jī)蜜罐）是一種主動(dòng)安全機(jī)

制，其目標(biāo)在于尋找潛在攻擊者的服務(wù)器?？蛻舳嗣酃弈M客戶端設(shè)備，與服務(wù)器進(jìn)行交互，并調(diào)查是否

存在攻擊行為。

6企業(yè)網(wǎng)絡(luò)蜜罐部署

6.1蜜罐部署類型

企業(yè)在選擇蜜罐類型時(shí)，可以根據(jù)自身的安全需求、資源與技術(shù)能力以及定制化需求來決定。

a）安全需求：如果企業(yè)將蜜罐用于預(yù)警和統(tǒng)計(jì)威脅活動(dòng)，作為第一層防御，可以使用低交互蜜罐；

如果企業(yè)將蜜罐用于檢測(cè)和分析特定類型攻擊的行為模式，如SQL注入、遠(yuǎn)程代碼執(zhí)行等，同時(shí)可用于收

集攻擊者使用的命令和工具信息，可以使用高交互蜜罐；如果企業(yè)將蜜罐用于針對(duì)工業(yè)控制系統(tǒng)、數(shù)據(jù)庫(kù)

滲透、勒索軟件等復(fù)雜攻擊的檢測(cè)和分析，用于揭示攻擊者的目標(biāo)、戰(zhàn)術(shù)、技術(shù)和過程，可以使用純蜜罐；

b）資源與技術(shù)能力：如果企業(yè)資源有限，可以考慮使用低交互或高交互蜜罐，該類蜜罐維護(hù)成本較

低，對(duì)硬件和管理資源的需求較?。蝗绻髽I(yè)具備更高的技術(shù)能力和維護(hù)成本，可以使用純蜜罐提供更真

實(shí)的環(huán)境以吸引并分析攻擊者行為；

c）定制化需求：針對(duì)特定行業(yè)或企業(yè)的獨(dú)特安全需求，根據(jù)企業(yè)特定的IT環(huán)境或威脅模型定制開發(fā)，

可能包含特定應(yīng)用程序或服務(wù)的仿真，建議使用定制化蜜罐。

4

T/CESXXX—XXXX

6.2蜜罐部署位置

6.2.1企業(yè)內(nèi)部網(wǎng)絡(luò)

企業(yè)內(nèi)部網(wǎng)絡(luò)中，蜜罐應(yīng)該部署在關(guān)鍵信息節(jié)點(diǎn)，如核心區(qū)域的C類網(wǎng)段、VLANs或虛擬機(jī)中，有助

于監(jiān)測(cè)掃描探測(cè)行為并映射蜜罐服務(wù)至所部署網(wǎng)絡(luò)中。

a）核心區(qū)域的C類網(wǎng)段：C類網(wǎng)段通常包含256個(gè)IP地址，蜜罐可以模擬關(guān)鍵服務(wù)器或服務(wù)，如文

件服務(wù)器、郵件服務(wù)器或域控制器，以吸引潛在的內(nèi)部威脅，及時(shí)發(fā)現(xiàn)未經(jīng)授權(quán)的訪問嘗試和內(nèi)部攻擊行

為，從而快速響應(yīng)并采取措施；

b）VLANs（虛擬局域網(wǎng)）：蜜罐可以模擬VLAN內(nèi)的關(guān)鍵服務(wù)或數(shù)據(jù)，如財(cái)務(wù)系統(tǒng)、人力資源數(shù)據(jù)庫(kù)

或研發(fā)部門的網(wǎng)絡(luò)資源，可以幫助識(shí)別和阻止那些可能繞過外圍防御系統(tǒng)的內(nèi)部威脅。同時(shí)，還可以用于

檢測(cè)和分析潛在的內(nèi)部攻擊模式，為安全策略的制定提供數(shù)據(jù)支持；

c）虛擬機(jī)：蜜罐被配置為模擬易受攻擊的虛擬機(jī)，如運(yùn)行過時(shí)操作系統(tǒng)或已知漏洞的應(yīng)用程序，可

以檢測(cè)到針對(duì)虛擬機(jī)的攻擊，還可以評(píng)估攻擊者利用虛擬化技術(shù)進(jìn)行橫向移動(dòng)的潛在風(fēng)險(xiǎn)。此外，由于虛

擬機(jī)的靈活性和易于復(fù)制的特點(diǎn)，蜜罐可以快速部署和更新，以適應(yīng)不斷變化的威脅環(huán)境。

6.2.2企業(yè)外部網(wǎng)絡(luò)

企業(yè)外部網(wǎng)絡(luò)中，蜜罐應(yīng)該部署在互聯(lián)網(wǎng)區(qū)域重要業(yè)務(wù)系統(tǒng)側(cè)，如公有云環(huán)境、內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）

邊緣節(jié)點(diǎn)、合作伙伴網(wǎng)絡(luò)、租用的專用服務(wù)器或數(shù)據(jù)中心等。

a）公有云環(huán)境：企業(yè)使用的公有云服務(wù)商（如AWS、Azure、GoogleCloud等）內(nèi)，部署模擬企業(yè)

云服務(wù)（如Web應(yīng)用、數(shù)據(jù)庫(kù)、API接口等）的蜜罐，可以吸引并捕獲針對(duì)云環(huán)境的直接攻擊，同時(shí)利用

云服務(wù)的彈性與可擴(kuò)展性來應(yīng)對(duì)潛在的大規(guī)模攻擊；

b）內(nèi)容分發(fā)網(wǎng)絡(luò)邊緣節(jié)點(diǎn)：企業(yè)使用CDN服務(wù)加速對(duì)外內(nèi)容分發(fā)，可以在CDN的邊緣節(jié)點(diǎn)部署蜜罐，

模擬對(duì)外發(fā)布的靜態(tài)或動(dòng)態(tài)內(nèi)容。這樣可以提前攔截對(duì)CDN內(nèi)容的惡意探測(cè)和攻擊，同時(shí)由于CDN節(jié)點(diǎn)遍

布全球，能夠提供廣泛的地域覆蓋，更好地感知全球范圍內(nèi)的威脅；

c）合作伙伴網(wǎng)絡(luò)：在與企業(yè)有數(shù)據(jù)交換或業(yè)務(wù)合作的第三方網(wǎng)絡(luò)中，經(jīng)對(duì)方許可后，可以部署蜜罐

以監(jiān)控針對(duì)這些網(wǎng)絡(luò)的攻擊。例如，如果企業(yè)與供應(yīng)商、客戶之間存在API接口對(duì)接，可以在對(duì)接點(diǎn)附近

部署模擬接口的蜜罐，以檢測(cè)針對(duì)接口的惡意利用嘗試；

d）租用的專用服務(wù)器或數(shù)據(jù)中心：在企業(yè)租用的遠(yuǎn)程服務(wù)器或數(shù)據(jù)中心中部署蜜罐，模擬對(duì)外提供

服務(wù)的服務(wù)器集群。這些位置通常具有獨(dú)立的公網(wǎng)IP地址，可以直接暴露在互聯(lián)網(wǎng)上，吸引并捕獲針對(duì)

企業(yè)外部服務(wù)的攻擊。

6.2.3企業(yè)邊界網(wǎng)絡(luò)

企業(yè)邊界網(wǎng)絡(luò)（DMZ）中，蜜罐應(yīng)該部署在防火墻內(nèi)外兩側(cè)、負(fù)載均衡器后端、公共IP地址綁定等。

a）防火墻外部側(cè)（面向互聯(lián)網(wǎng)）：在防火墻的外部接口（WAN接口）之后部署蜜罐，模擬對(duì)外提供的

公共服務(wù)（如Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、遠(yuǎn)程訪問服務(wù)等），有助于吸引并捕獲試圖從互聯(lián)

網(wǎng)直接攻擊企業(yè)服務(wù)的惡意行為；

b）防火墻內(nèi)部側(cè)（面向LAN接口）：在防火墻的內(nèi)部接口之后部署蜜罐，模擬可能成為攻擊目標(biāo)的

內(nèi)部服務(wù)器或設(shè)備，有助于檢測(cè)內(nèi)部網(wǎng)絡(luò)中試圖穿透防火墻向外發(fā)起攻擊的異常流量，或者檢測(cè)那些已經(jīng)

突破防火墻但尚未到達(dá)真實(shí)目標(biāo)的攻擊；

c）負(fù)載均衡器后端：企業(yè)使用負(fù)載均衡器分配對(duì)外服務(wù)請(qǐng)求，可以在負(fù)載均衡器的后端服務(wù)器池中

混入蜜罐實(shí)例。當(dāng)攻擊者針對(duì)公開IP地址發(fā)起攻擊時(shí)，蜜罐會(huì)與真實(shí)服務(wù)器一同接收到請(qǐng)求，從而有效

捕獲攻擊活動(dòng)。為了避免正常的訪問也被重定向到蜜罐實(shí)例中，在負(fù)載均衡器中使用流量分析工具，對(duì)進(jìn)

5

T/CESXXX—XXXX

入的請(qǐng)求進(jìn)行初步分析，區(qū)分正常流量和可疑流量。根據(jù)分析結(jié)果，將正常流量轉(zhuǎn)發(fā)到真實(shí)服務(wù)器，可疑

流量轉(zhuǎn)發(fā)到蜜罐中；

d）公共IP地址綁定：將蜜罐綁定到面向互聯(lián)網(wǎng)的公共IP地址上，模擬對(duì)外服務(wù)，進(jìn)而可以直接接

收來自互聯(lián)網(wǎng)的連接請(qǐng)求，無需經(jīng)過復(fù)雜的網(wǎng)絡(luò)路由，能夠更直接地吸引并捕獲攻擊者。

6.3蜜罐部署功能選擇

6.3.1數(shù)據(jù)捕獲功能

蜜罐數(shù)據(jù)捕獲功能中，宜可關(guān)注攻擊者信息收集、攻擊模式記錄等功能。

a）攻擊者信息收集：蜜罐系統(tǒng)應(yīng)精準(zhǔn)記錄攻擊者的IP地址、源端口、地理位置等基礎(chǔ)信息，有助于

追蹤攻擊源頭，識(shí)別攻擊者可能的歸屬地、組織屬性或攻擊路徑。此外，蜜罐應(yīng)記錄攻擊者使用的工具、

腳本等技術(shù)細(xì)節(jié)，如掃描器類型、漏洞利用工具、惡意軟件樣本等，為分析攻擊者的技能水平、攻擊習(xí)慣

及可能的關(guān)聯(lián)攻擊活動(dòng)提供依據(jù)；

b）攻擊模式記錄：蜜罐詳細(xì)記錄攻擊者的操作序列、命令執(zhí)行、文件操作、系統(tǒng)調(diào)用等行為，揭示

其攻擊手法、策略和目標(biāo)，有助于理解攻擊者的意圖，如信息搜集、權(quán)限提升、橫向移動(dòng)、持久化等，為

構(gòu)建攻擊鏈、描繪攻擊畫像提供關(guān)鍵線索。

6.3.2監(jiān)控功能

蜜罐監(jiān)控功能中，宜可關(guān)注蜜罐狀態(tài)監(jiān)控、攻擊活動(dòng)監(jiān)控等功能。

a）蜜罐狀態(tài)監(jiān)控：蜜罐系統(tǒng)應(yīng)具備實(shí)時(shí)監(jiān)控蜜罐自身運(yùn)行狀態(tài)的能力，包括系統(tǒng)資源使用情況（CPU、

內(nèi)存、磁盤、網(wǎng)絡(luò)等）、服務(wù)狀態(tài)（端口監(jiān)聽、進(jìn)程活動(dòng)、系統(tǒng)日志等）、軟件版本及更新情況等。確保

蜜罐始終處于可用狀態(tài)，及時(shí)發(fā)現(xiàn)并排除可能導(dǎo)致蜜罐失效的故障或異常；

b）攻擊活動(dòng)監(jiān)控：蜜罐應(yīng)能夠?qū)崟r(shí)監(jiān)控攻擊者對(duì)蜜罐的訪問、交互行為，如登錄嘗試、命令執(zhí)行、

文件操作等，并通過可視化界面或API接口向安全團(tuán)隊(duì)呈現(xiàn)攻擊活動(dòng)的實(shí)時(shí)進(jìn)展，便于安全人員直觀了解

攻擊態(tài)勢(shì)，及時(shí)調(diào)整防御策略。

6.3.3報(bào)警功能

蜜罐報(bào)警功能中，宜可關(guān)注蜜罐可疑活動(dòng)識(shí)別、即時(shí)通知等功能。

a）可疑活動(dòng)識(shí)別：蜜罐系統(tǒng)應(yīng)內(nèi)置或?qū)又悄芊治鲆?，能夠識(shí)別出異常的、可能代表攻擊行為的

事件，如頻繁的暴力破解嘗試、特定漏洞利用跡象、敏感文件訪問、特定命令執(zhí)行等。這些識(shí)別規(guī)則應(yīng)可

根據(jù)威脅情報(bào)和企業(yè)安全策略動(dòng)態(tài)調(diào)整，以適應(yīng)不斷變化的威脅環(huán)境。

b）即時(shí)通知：一旦檢測(cè)到可疑活動(dòng)，蜜罐系統(tǒng)應(yīng)立即觸發(fā)報(bào)警，通過郵件、短信、即時(shí)消息等形式

通知安全團(tuán)隊(duì)。報(bào)警信息應(yīng)包含事件的嚴(yán)重程度、發(fā)生時(shí)間、涉及的蜜罐、攻擊者信息、事件詳情等關(guān)鍵

內(nèi)容，以便安全人員快速評(píng)估威脅并采取應(yīng)對(duì)措施。

6.3.4日志管理功能

蜜罐日志管理功能中，宜可關(guān)注蜜罐數(shù)據(jù)存儲(chǔ)、日志檢索、日志分析與可視化等功能。

a）數(shù)據(jù)存儲(chǔ)：蜜罐系統(tǒng)應(yīng)具備大容量、高可靠的數(shù)據(jù)存儲(chǔ)能力，能夠長(zhǎng)期保存捕獲的攻擊數(shù)據(jù),滿足

法規(guī)遵從、取證調(diào)查和歷史分析的需求。存儲(chǔ)方式可采用本地存儲(chǔ)、網(wǎng)絡(luò)存儲(chǔ)、云存儲(chǔ)等，確保數(shù)據(jù)的安

全性和可用性。

b）日志檢索：蜜罐系統(tǒng)應(yīng)提供高效的日志檢索接口和工具，支持按時(shí)間、攻擊者、事件類型、關(guān)鍵

字等維度進(jìn)行查詢，使得安全團(tuán)隊(duì)能夠快速定位特定事件、跟蹤攻擊者活動(dòng)軌跡或進(jìn)行關(guān)聯(lián)分析。高級(jí)的

日志管理系統(tǒng)還應(yīng)支持日志聚合、索引、過濾、排序等功能，以及日志導(dǎo)出、報(bào)告生成等增值服務(wù)。

6

T/CESXXX—XXXX

c）日志分析與可視化：蜜罐系統(tǒng)應(yīng)具備日志數(shù)據(jù)分析和可視化展示能力，能夠自動(dòng)提取日志中的關(guān)

鍵指標(biāo)、趨勢(shì)、模式等信息，通過圖表、儀表盤等形式直觀呈現(xiàn)給安全團(tuán)隊(duì)。分析結(jié)果有助于安全人員快

速理解攻擊概況、識(shí)別熱點(diǎn)問題、優(yōu)化防御策略。

6.4蜜罐部署配置

6.4.1環(huán)境適應(yīng)性配置

蜜罐環(huán)境適應(yīng)性配置中，宜可考慮蜜罐網(wǎng)絡(luò)環(huán)境匹配、虛擬化平臺(tái)兼容性、操作系統(tǒng)選擇、服務(wù)端口

配置、訪問控制設(shè)置等信息。

a）網(wǎng)絡(luò)環(huán)境匹配：確保蜜罐的網(wǎng)絡(luò)配置與所部署的環(huán)境相匹配，包括IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等參

數(shù)，以確保其能夠與其他網(wǎng)絡(luò)設(shè)備正常通信；

b）虛擬化平臺(tái)兼容性：如果蜜罐部署在虛擬化環(huán)境中，需確保其與所選虛擬化平臺(tái)兼容，并進(jìn)行相

應(yīng)的配置和優(yōu)化，以確保性能和可用性。

c）操作系統(tǒng)選擇：根據(jù)蜜罐的用途和功能選擇合適的操作系統(tǒng)，確保其具有所需的功能和安全性，

并及時(shí)更新和維護(hù)；

d）服務(wù)端口配置：針對(duì)蜜罐模擬的服務(wù)，配置相應(yīng)的端口，使其符合實(shí)際生產(chǎn)環(huán)境中的服務(wù)端口，

增加蜜罐的真實(shí)性和吸引力；

e）訪問控制設(shè)置：根據(jù)部署環(huán)境的安全需求，配置適當(dāng)?shù)脑L問控制策略，限制對(duì)蜜罐的訪問，并監(jiān)

控訪問行為，防止未經(jīng)授權(quán)的訪問。

6.4.2誘捕策略配置

蜜罐誘捕策略配置中，宜可確保真實(shí)的關(guān)鍵資產(chǎn)被妥善隱藏，明確誘捕目標(biāo)威脅，保證系統(tǒng)真實(shí)性，

并動(dòng)態(tài)調(diào)整響應(yīng)等信息。

a）在蜜罐部署時(shí)，需確保真實(shí)的關(guān)鍵資產(chǎn)被妥善隱藏，以免誤傷合法用戶或影響真實(shí)業(yè)務(wù)運(yùn)行，確

保蜜罐在網(wǎng)絡(luò)架構(gòu)中適當(dāng)隔離，避免成為攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的跳板；

b）在蜜罐部署時(shí)，需明確蜜罐要誘捕的目標(biāo)威脅，包括攻擊者類型（如腳本小子、APT組織、內(nèi)部威

脅等）、攻擊手段（如掃描、漏洞利用、社會(huì)工程等）、攻擊目標(biāo)（如特定服務(wù)、敏感數(shù)據(jù)等）。這有助

于設(shè)計(jì)與目標(biāo)威脅相匹配的誘餌和陷阱，提高攻擊者上鉤的可能性；

c）在蜜罐部署時(shí)，需確保蜜罐模擬的服務(wù)、系統(tǒng)、數(shù)據(jù)等具有高度的真實(shí)性，以降低攻擊者識(shí)別蜜

罐的可能性，包括但不限于使用真實(shí)的系統(tǒng)鏡像、配置正確的服務(wù)版本、模擬正常的服務(wù)響應(yīng)、填充有吸

引力且看似真實(shí)的誘餌數(shù)據(jù)等；

d）在蜜罐部署時(shí)，需配置蜜罐能夠根據(jù)攻擊者的行動(dòng)動(dòng)態(tài)調(diào)整響應(yīng)，如根據(jù)攻擊者嘗試的登錄憑據(jù)

提供不同的反饋、在特定條件下展示定制的錯(cuò)誤消息等，增強(qiáng)蜜罐的迷惑性。

6.4.3規(guī)則參數(shù)配置

蜜罐規(guī)則參數(shù)配置中，宜可考慮蜜罐透明度與真實(shí)性、監(jiān)測(cè)與記錄、靈活性與定制化、安全性保障、

性能與資源消耗、合規(guī)性與法律要求等信息。

a）透明度與真實(shí)性：確保蜜罐的配置參數(shù)和行為能夠與真實(shí)系統(tǒng)盡可能接近，以增加攻擊者被欺騙

的可能性，并提高威脅情報(bào)的質(zhì)量；

b）監(jiān)測(cè)與記錄：配置參數(shù)應(yīng)當(dāng)允許蜜罐系統(tǒng)全面監(jiān)測(cè)和記錄所有與其交互的活動(dòng)，包括網(wǎng)絡(luò)流量、

系統(tǒng)日志、攻擊嘗試等，以便后續(xù)分析和響應(yīng)；

c）靈活性與定制化：考慮到不同場(chǎng)景和需求，配置參數(shù)應(yīng)具有一定的靈活性和定制化能力，以滿足

不同蜜罐部署的需求；

7

T/CESXXX—XXXX

d）安全性保障：確保配置參數(shù)設(shè)置不會(huì)導(dǎo)致蜜罐系統(tǒng)本身成為攻擊目標(biāo)或被濫用，同時(shí)要加強(qiáng)對(duì)配

置參數(shù)的訪問控制和安全審計(jì)；

e）性能與資源消耗：配置蜜罐參數(shù)時(shí)要平衡系統(tǒng)的性能和資源消耗，確保蜜罐系統(tǒng)能夠正常運(yùn)行并

及時(shí)響應(yīng)攻擊，同時(shí)不至于影響到正常業(yè)務(wù)；

f）合規(guī)性與法律要求：配置蜜罐參數(shù)時(shí)應(yīng)遵循適用的法律法規(guī)和合規(guī)性要求，確保蜜罐部署和配置

符合法律規(guī)定，并保護(hù)個(gè)人隱私和數(shù)據(jù)安全。

6.5蜜罐部署攻擊防范

6.5.1加密算法

確保選擇安全可靠的加密算法，例如AES或RSA等，以保護(hù)蜜罐與外部控制端之間的通信。同時(shí)，密

鑰管理也是重要的一環(huán)，要確保密鑰的安全存儲(chǔ)和傳輸。

6.5.2通信協(xié)議

使用安全的通信協(xié)議，如SSH或SSL/TLS，以確保通信過程中的數(shù)據(jù)完整性和機(jī)密性。

6.5.3訪問權(quán)限

限制訪問權(quán)限，只允許經(jīng)過授權(quán)的用戶或系統(tǒng)訪問蜜罐，并通過強(qiáng)大的身份驗(yàn)證機(jī)制（如雙因素認(rèn)證）

來驗(yàn)證其身份。

6.5.4隱藏端口和服務(wù)

隱藏蜜罐的端口和服務(wù)，以減少暴露給攻擊者的攻擊面。這可以通過配置防火墻規(guī)則或使用端口偽裝

技術(shù)來實(shí)現(xiàn)。

6.6蜜罐部署合規(guī)性與隱私保護(hù)

6.6.1法律合規(guī)框架

蜜罐部署應(yīng)遵循法律合規(guī)框架，宜可考慮隱私法律、網(wǎng)絡(luò)安全法規(guī)、合規(guī)標(biāo)準(zhǔn)、通知和授權(quán)等信息。

a）隱私法律：確保蜜罐的部署和操作不會(huì)侵犯任何個(gè)人或組織的隱私權(quán)。在數(shù)據(jù)收集和監(jiān)控過程中，

需要遵循當(dāng)?shù)睾蛧?guó)際隱私法律法規(guī)，確保數(shù)據(jù)采集和處理符合法律要求；

b）網(wǎng)絡(luò)安全法規(guī)：遵守適用的網(wǎng)絡(luò)安全法規(guī)，包括但不限于數(shù)據(jù)保護(hù)法、網(wǎng)絡(luò)安全法等。確保蜜罐

的使用不會(huì)違反任何網(wǎng)絡(luò)安全法規(guī)，以免觸犯相關(guān)法律，造成法律責(zé)任和罰款；

c）合規(guī)標(biāo)準(zhǔn)：遵守行業(yè)相關(guān)的合規(guī)標(biāo)準(zhǔn)，根據(jù)組織所處行業(yè)和領(lǐng)域，確保蜜罐的部署和操作符合相

關(guān)的合規(guī)要求；

d）通知和授權(quán)：在部署蜜罐之前，必須獲得相關(guān)方的明確授權(quán)和通知，包括組織內(nèi)部的管理層、法

律顧問和安全團(tuán)隊(duì)。確保蜜罐的部署符合組織的政策和程序，并且得到相關(guān)部門的支持。

6.6.2蜜罐數(shù)據(jù)管理

蜜罐數(shù)據(jù)管理宜可考慮數(shù)據(jù)分類和標(biāo)記、數(shù)據(jù)最小化原則、加密存儲(chǔ)、訪問控制和權(quán)限管理、安全傳

輸?shù)刃畔ⅰ?/p>

a）數(shù)據(jù)分類和標(biāo)記：對(duì)蜜罐收集的數(shù)據(jù)進(jìn)行分類和標(biāo)記，明確哪些數(shù)據(jù)是敏感信息，如用戶憑證、

個(gè)人身份信息等；

b）數(shù)據(jù)最小化原則：僅收集必要的數(shù)據(jù)，并盡量減少敏感信息的存儲(chǔ)和處理，以降低潛在泄露的風(fēng)

險(xiǎn)；

8

T/CESXXX—XXXX

c）加密存儲(chǔ)：對(duì)于存儲(chǔ)在蜜罐中的敏感數(shù)據(jù)，采用適當(dāng)?shù)募用芗夹g(shù)進(jìn)行存儲(chǔ)，確保即使數(shù)據(jù)泄露，

也無法被輕易解讀；

d）訪問控制和權(quán)限管理：實(shí)施嚴(yán)格的訪問控制和權(quán)限管理機(jī)制，限制只有授權(quán)人員才能訪問蜜罐中

的數(shù)據(jù)，并確保數(shù)據(jù)僅用于授權(quán)目的；

e）安全傳輸：在數(shù)據(jù)傳輸過程中采用安全的通信協(xié)議和加密技術(shù)，防止數(shù)據(jù)在傳輸過程中被竊取或

篡改。

6.6.3部門協(xié)作整合策略

蜜罐部署宜可部門協(xié)作，應(yīng)考慮內(nèi)部網(wǎng)絡(luò)安全政策，涉及團(tuán)隊(duì)?wèi)?yīng)包括IT部門和系統(tǒng)管理員、網(wǎng)絡(luò)運(yùn)

營(yíng)團(tuán)隊(duì)、安全團(tuán)隊(duì)和響應(yīng)團(tuán)隊(duì)等。

a）內(nèi)部網(wǎng)絡(luò)安全政策：與內(nèi)部網(wǎng)絡(luò)安全團(tuán)隊(duì)溝通，確保蜜罐的部署符合內(nèi)部網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)。

這包括確保蜜罐不會(huì)對(duì)正常業(yè)務(wù)流量造成影響，同時(shí)確保蜜罐能夠有效地監(jiān)測(cè)和應(yīng)對(duì)潛在的安全威脅；

b）IT部門和系統(tǒng)管理員：與IT部門和系統(tǒng)管理員協(xié)調(diào)，確保蜜罐的部署與現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和系

統(tǒng)集成良好。這包括確保蜜罐與其他系統(tǒng)的兼容性，并確保蜜罐的部署不會(huì)對(duì)現(xiàn)有系統(tǒng)的正常運(yùn)行造成影

響；

c）網(wǎng)絡(luò)運(yùn)營(yíng)團(tuán)隊(duì)：與網(wǎng)絡(luò)運(yùn)營(yíng)團(tuán)隊(duì)溝通，確保蜜罐的部署不會(huì)對(duì)網(wǎng)絡(luò)性能和可用性造成不利影響。

這包括確保蜜罐的部署位置和網(wǎng)絡(luò)配置經(jīng)過仔細(xì)考慮，并與網(wǎng)絡(luò)運(yùn)營(yíng)團(tuán)隊(duì)共同制定相應(yīng)的應(yīng)急計(jì)劃；

d）安全團(tuán)隊(duì)和響應(yīng)團(tuán)隊(duì)：與安全團(tuán)隊(duì)和事件響應(yīng)團(tuán)隊(duì)緊密合作，確保蜜罐的部署能夠有效地輔助安

全監(jiān)控和事件響應(yīng)工作。這包括確定適當(dāng)?shù)木瘓?bào)和通知機(jī)制，以及確保安全團(tuán)隊(duì)能夠及時(shí)對(duì)蜜罐產(chǎn)生的警

報(bào)做出響應(yīng)并采取適當(dāng)?shù)男袆?dòng)。

6.7電力企業(yè)蜜罐部署

針對(duì)電力行業(yè)的特點(diǎn)和信息安全的要求，蜜罐的部署應(yīng)當(dāng)遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱

向認(rèn)證”的基本原則。宜可在非控制區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)部署蜜罐。

a）控制區(qū)：由于控制區(qū)涉及到實(shí)時(shí)監(jiān)控和控制，不建議在此區(qū)域部署蜜罐，以避免引入安全風(fēng)險(xiǎn)，

影響系統(tǒng)的穩(wěn)定性和可靠性。

b）非控制區(qū)：建議在此區(qū)域部署蜜罐，由于非控制區(qū)雖然對(duì)電力生產(chǎn)過程重要，但并不直接參與控

制。部署蜜罐可以用于監(jiān)測(cè)和防御潛在的攻擊，而不會(huì)對(duì)實(shí)時(shí)控制造成影響。

c）生產(chǎn)管理區(qū)和管理信息區(qū)：建議在此區(qū)域可以部署蜜罐來檢測(cè)和管理層面的安全威脅，但需要確

保蜜罐的部署不會(huì)對(duì)生產(chǎn)管理流程造成干擾。

7企業(yè)網(wǎng)絡(luò)蜜罐管理

7.1維護(hù)更新

7.1.1定期檢查

蜜罐應(yīng)定期檢查，宜可關(guān)注日志記錄的完整性、傳感器狀態(tài)的健康情況等信息。

a）日志記錄的完整性：確保蜜罐的日志記錄系統(tǒng)正常運(yùn)行，并定期審查日志以發(fā)現(xiàn)任何異?；顒?dòng)或

潛在的攻擊行為。檢查日志記錄是否包含了所有關(guān)鍵事件，如登錄嘗試、訪問請(qǐng)求等；

b）傳感器狀態(tài)的健康情況：定期檢查蜜罐中的傳感器或監(jiān)控設(shè)備的狀態(tài)，包括硬件和軟件方面的健

康狀況。確保傳感器正常運(yùn)行，能夠準(zhǔn)確地捕獲和記錄網(wǎng)絡(luò)流量、系統(tǒng)活動(dòng)等信息。

7.1.2軟件與系統(tǒng)的更新

9

T/CESXXX—XXXX

蜜罐應(yīng)針對(duì)軟件和系統(tǒng)進(jìn)行更新，宜可關(guān)注源信任和驗(yàn)證、備份和回滾策略、測(cè)試和驗(yàn)證、記錄和跟

蹤、漏洞報(bào)告等信息。

a）源信任和驗(yàn)證：確保從可信任的源獲取更新和補(bǔ)丁，并驗(yàn)證其真實(shí)性。避免從未經(jīng)驗(yàn)證的第三方

來源下載或安裝軟件，以免引入惡意代碼或后門；

b）備份和回滾策略：在安裝更新和補(bǔ)丁之前，確保對(duì)蜜罐系統(tǒng)進(jìn)行備份，并建立有效的回滾策略，

以防更新過程中出現(xiàn)意外情況；

c）測(cè)試和驗(yàn)證：在生產(chǎn)環(huán)境之前，先在測(cè)試環(huán)境中對(duì)更新和補(bǔ)丁進(jìn)行測(cè)試和驗(yàn)證，確保其不會(huì)影響

蜜罐系統(tǒng)的穩(wěn)定性和功能性；

d）記錄和跟蹤：記錄所有更新和補(bǔ)丁的安裝過程，并跟蹤其效果和影響。這有助于及時(shí)發(fā)現(xiàn)任何問

題并采取適當(dāng)?shù)募m正措施；

e）關(guān)注漏洞報(bào)告：密切關(guān)注安全廠商和供應(yīng)商發(fā)布的安全公告和漏洞報(bào)告，及時(shí)了解已知的安全漏

洞和威脅情報(bào)，以便及時(shí)采取措施應(yīng)對(duì)。

7.1.3配置與策略的調(diào)整

蜜罐應(yīng)針對(duì)配置與策略進(jìn)行實(shí)時(shí)調(diào)整，宜可關(guān)注蜜罐配置調(diào)整、端口和協(xié)議選擇、誘餌服務(wù)設(shè)置等信

息。

a）蜜罐配置調(diào)整：根據(jù)威脅情報(bào)中的信息，調(diào)整蜜罐的配置，包括監(jiān)聽的端口、誘餌服務(wù)的設(shè)置、

虛擬資產(chǎn)的模擬等，以更貼合當(dāng)前威脅環(huán)境；

b）端口和協(xié)議選擇：根據(jù)威脅情報(bào)中攻擊者常用的端口和協(xié)議，選擇蜜罐監(jiān)聽的端口和模擬的服務(wù)

類型。例如，如果威脅情報(bào)顯示攻擊者經(jīng)常利用SSH或RDP進(jìn)行入侵，則應(yīng)考慮配置蜜罐監(jiān)聽這些端口，

并模擬相應(yīng)的服務(wù)；

c）誘餌服務(wù)設(shè)置：根據(jù)攻擊者的偏好和技術(shù)特點(diǎn)，設(shè)置誘餌服務(wù)，吸引攻擊者進(jìn)行交互。這可能涉

及模擬特定操作系統(tǒng)的漏洞服務(wù)、虛擬文件系統(tǒng)的創(chuàng)建等。

7.1.4數(shù)據(jù)的備份與清理

蜜罐應(yīng)針對(duì)數(shù)據(jù)進(jìn)行備份和清理，宜可關(guān)注蜜罐數(shù)據(jù)備份頻率、備份存儲(chǔ)位置、備份測(cè)試、備份策略

文檔化、數(shù)據(jù)保留期限、敏感信息處理、數(shù)據(jù)清理程序等信息。

a）備份頻率：確定備份頻率，根據(jù)蜜罐產(chǎn)生數(shù)據(jù)的速率和重要性來制定備份計(jì)劃。通常，密集活動(dòng)

的蜜罐可能需要更頻繁的備份；

b）備份存儲(chǔ)位置：選擇安全的備份存儲(chǔ)位置，確保備份數(shù)據(jù)不易受到未經(jīng)授權(quán)的訪問或損壞。使用

加密和訪問控制措施來保護(hù)備份數(shù)據(jù)的安全性；

c）備份測(cè)試：定期測(cè)試備份數(shù)據(jù)的完整性和可恢復(fù)性，以確保在需要時(shí)能夠成功恢復(fù)蜜罐系統(tǒng)和數(shù)

據(jù)；

d）備份策略文檔化：記錄備份策略和過程，包括備份的頻率、存儲(chǔ)位置、恢復(fù)過程等信息，以便在

需要時(shí)進(jìn)行參考和更新；

e）數(shù)據(jù)保留期限：確定數(shù)據(jù)保留期限，并根據(jù)安全合規(guī)性和業(yè)務(wù)需求來制定清理策略。一般而言，

過期數(shù)據(jù)應(yīng)及時(shí)清理，以避免不必要的存儲(chǔ)開銷和安全風(fēng)險(xiǎn)；

f）敏感信息處理：在清理數(shù)據(jù)之前，確保已采取適當(dāng)?shù)拇胧?duì)包含敏感信息的數(shù)據(jù)進(jìn)行保護(hù)，例如

加密或永久刪除；

g）數(shù)據(jù)清理程序：建立清理過程和程序，包括識(shí)別過期數(shù)據(jù)、驗(yàn)證數(shù)據(jù)有效性、執(zhí)行清理操作等步

驟，以確保清理過程的規(guī)范性和可靠性。

7.1.5硬件與網(wǎng)絡(luò)的維護(hù)

10

T/CESXXX—XXXX

蜜罐應(yīng)針對(duì)硬件與網(wǎng)絡(luò)進(jìn)行維護(hù)，宜可關(guān)注定期硬件檢查、網(wǎng)絡(luò)連接穩(wěn)定性、防火墻配置和策略等信

息。

a）定期硬件檢查：定期檢查蜜罐所在的硬件設(shè)備，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備等的運(yùn)行狀態(tài)。確保設(shè)備

的正常運(yùn)行，并及時(shí)發(fā)現(xiàn)并解決可能的硬件故障或性能問題；

b）網(wǎng)絡(luò)連接穩(wěn)定性：確保蜜罐與網(wǎng)絡(luò)的連接穩(wěn)定可靠。監(jiān)控網(wǎng)絡(luò)帶寬、延遲和丟包率等指標(biāo)，及時(shí)

調(diào)整網(wǎng)絡(luò)設(shè)備或優(yōu)化網(wǎng)絡(luò)配置，以保證蜜罐能夠正常運(yùn)行并與攻擊者進(jìn)行有效交互。

c）防火墻配置和策略：審查并定期更新防火墻等安全設(shè)備的配置和策略，確保蜜罐所在的網(wǎng)絡(luò)環(huán)境

能夠有效阻止惡意流量和攻擊。及時(shí)更新防火墻規(guī)則，加強(qiáng)對(duì)外部網(wǎng)絡(luò)的監(jiān)控和防御能力，以保護(hù)蜜罐和

整個(gè)網(wǎng)絡(luò)環(huán)境的安全。

7.2監(jiān)控分析

7.2.1部署監(jiān)控程序與工具

在蜜罐中安裝網(wǎng)絡(luò)嗅探器、進(jìn)程監(jiān)視器、系統(tǒng)日志等監(jiān)控程序和工具，這些工具能夠?qū)崟r(shí)記錄攻擊者

的行為和收集攻擊數(shù)據(jù)。例如，網(wǎng)絡(luò)嗅探器可以捕獲和分析網(wǎng)絡(luò)流量，進(jìn)程監(jiān)視器可以追蹤蜜罐中運(yùn)行的

進(jìn)程，而系統(tǒng)日志則可以記錄攻擊者的登錄、文件訪問等活動(dòng)。

7.2.2分析攻擊數(shù)據(jù)

蜜罐應(yīng)針對(duì)攻擊數(shù)據(jù)進(jìn)行分析，包括網(wǎng)絡(luò)流量的分析、異常行為的檢測(cè)、威脅情報(bào)的收集與分析等信

息。

a）網(wǎng)絡(luò)流量的分析：對(duì)蜜罐收集到的網(wǎng)絡(luò)流量進(jìn)行定期分析，以識(shí)別異常流量模式或潛在的攻擊行

為。關(guān)注流量的來源、目的地、協(xié)議類型等特征，發(fā)現(xiàn)任何與正常行為不符的跡象；

b）異常行為的檢測(cè)：針對(duì)蜜罐收集到的數(shù)據(jù)，特別關(guān)注是否存在異常行為，如未經(jīng)授權(quán)的訪問、異

常的系統(tǒng)活動(dòng)等。定期執(zhí)行行為分析和異常檢測(cè)，及時(shí)發(fā)現(xiàn)可能的威脅；

c）威脅情報(bào)的收集與分析：定期更新蜜罐的威脅情報(bào)庫(kù)，并對(duì)收集到的威脅情報(bào)進(jìn)行分析和評(píng)估。

識(shí)別與已知威脅情報(bào)相關(guān)聯(lián)的行為模式，并及時(shí)采取相應(yīng)的防御措施。

7.2.3制定應(yīng)對(duì)策略

根據(jù)攻擊數(shù)據(jù)的分析結(jié)果，制定相應(yīng)的應(yīng)對(duì)策略。這可能包括阻止攻擊者的IP地址、修復(fù)系統(tǒng)漏洞、

更新安全策略等。例如，如果發(fā)現(xiàn)某個(gè)IP地址頻繁發(fā)起攻擊，可以將其添加到黑名單中；如果蜜罐中的

某個(gè)服務(wù)存在漏洞，應(yīng)及時(shí)進(jìn)行修復(fù)。

7.2.4應(yīng)用策略并持續(xù)優(yōu)化

將制定的應(yīng)對(duì)策略應(yīng)用到真實(shí)系統(tǒng)和應(yīng)用程序中，以提高其安全性。同時(shí)，定期回顧和評(píng)估蜜罐的監(jiān)

控和分析結(jié)果，根據(jù)新的威脅情報(bào)和攻擊手段持續(xù)優(yōu)化蜜罐的配置和策略。

需要注意的是，蜜罐的監(jiān)控與分析是一個(gè)持續(xù)的過程，需要安全團(tuán)隊(duì)保持高度警惕和持續(xù)關(guān)注。此外，

隨著技術(shù)的不斷發(fā)展，新的攻擊手段和威脅情報(bào)也不斷涌現(xiàn)，因此安全團(tuán)隊(duì)需要不斷更新和優(yōu)化蜜罐的監(jiān)

控與分析策略。

7.3響應(yīng)處置

7.3.1分析攻擊數(shù)據(jù)

蜜罐應(yīng)確保數(shù)據(jù)完整性、保密性，并具備攻擊行為理解的能力。

a）數(shù)據(jù)完整性：確保蜜罐記錄的數(shù)據(jù)是完整的、準(zhǔn)確的，沒有遺漏或失真的情況，以便進(jìn)行準(zhǔn)確的

分析和推斷；

11

T/CESXXX—XXXX

b）數(shù)據(jù)保密性：蜜罐記錄的數(shù)據(jù)可能包含敏感信息，例如攻擊者的身份、攻擊方法等。因此，安全

團(tuán)隊(duì)需要確保這些數(shù)據(jù)的保密性，防止泄露給未經(jīng)授權(quán)的人員或組織；

c）攻擊行為理解：了解攻擊者的行為模式和攻擊手段，能夠分析攻擊者的動(dòng)機(jī)、目標(biāo)和攻擊策略，

有助于制定更有效的防御和響應(yīng)策略。

7.3.2阻斷攻擊源

一旦確認(rèn)攻擊源是惡意的，應(yīng)立即采取措施阻斷其進(jìn)一步攻擊。這可以通過封鎖攻擊者的IP地址、

限制其訪問權(quán)限或啟用防火墻規(guī)則等方式實(shí)現(xiàn)。阻斷攻擊源可以防止攻擊者繼續(xù)對(duì)系統(tǒng)造成損害。

7.3.3修復(fù)安全漏洞

蜜罐監(jiān)測(cè)到的惡意行為往往暴露出系統(tǒng)中的安全漏洞。安全團(tuán)隊(duì)需要及時(shí)修復(fù)這些漏洞，以防止攻擊

者利用它們進(jìn)行進(jìn)一步的攻擊。修復(fù)漏洞包括更新軟件補(bǔ)丁、調(diào)整系統(tǒng)配置或加固網(wǎng)絡(luò)安全設(shè)施等。

7.3.4更新安全策略

根據(jù)蜜罐監(jiān)測(cè)到的惡意行為分析結(jié)果，安全團(tuán)隊(duì)需要更新和完善安全策略。這可能包括加強(qiáng)訪問控制、

提升數(shù)據(jù)加密級(jí)別、定期進(jìn)行安全審計(jì)等。更新安全策略有助于提高系統(tǒng)的整體安全性，降低未來遭受攻

擊的風(fēng)險(xiǎn)。

7.3.5加強(qiáng)安全意識(shí)和培訓(xùn)

蜜罐監(jiān)測(cè)到的惡意行為也提醒我們加強(qiáng)員工的安全意識(shí)和培訓(xùn)。通過定期的安全培訓(xùn)和教育，使員工

了解常見的網(wǎng)絡(luò)攻擊手段和防御方法，提高他們識(shí)別和應(yīng)對(duì)惡意行為的能力。

7.4審查改進(jìn)

7.4.1捕獲攻擊數(shù)據(jù)

蜜罐應(yīng)確保捕獲攻擊數(shù)據(jù)過程的頻率和時(shí)效性、攻擊類型、攻擊來源、蜜罐吸引力和有效性等信息。

a）頻率和時(shí)效性：確保按計(jì)劃定期查看蜜罐記錄，以及盡快處理任何發(fā)現(xiàn)的異常活動(dòng)。攻擊者的活

動(dòng)可能隨時(shí)發(fā)生變化，及時(shí)的分析可以幫助及早發(fā)現(xiàn)和應(yīng)對(duì)威脅；

b）攻擊類型：分析攻擊的類型，包括掃描、嘗試登錄、漏洞利用等，以了解攻擊者的策略和技術(shù)手

段。這有助于調(diào)整防御策略，并加強(qiáng)對(duì)已知攻擊方式的防范；

c）攻擊來源：了解攻擊的來源地理位置和IP地址范圍，有助于識(shí)別可能的攻擊者，評(píng)估威脅的嚴(yán)重

程度，并采取相應(yīng)的防御措施，例如封鎖惡意IP地址或國(guó)家；

d）蜜罐吸引力和有效性：分析攻擊的頻率和性質(zhì)，評(píng)估蜜罐的吸引力和有效性。如果蜜罐長(zhǎng)時(shí)間沒

有受到攻擊，可能需要調(diào)整蜜罐的設(shè)置或重新評(píng)估其部署位置。

7.4.2蜜罐的交互級(jí)別

蜜罐應(yīng)根據(jù)實(shí)際情況和需求，宜可考慮防御需求匹配、攻擊者吸引力、風(fēng)險(xiǎn)管理、實(shí)際情況進(jìn)行調(diào)整。

a）防御需求匹配：確保蜜罐的交互級(jí)別與當(dāng)前的防御需求相匹配。如果防御需求是早期偵測(cè)和警告，

則低交互蜜罐可能更適合；如果需要模擬復(fù)雜攻擊場(chǎng)景，則可能需要高交互蜜罐；

b）攻擊者吸引力：評(píng)估蜜罐的交互級(jí)別是否足以吸引攻擊者。如果交互級(jí)別過低，可能無法引起攻

擊者的興趣，從而無法收集到有效的威脅情報(bào)；

c）風(fēng)險(xiǎn)管理：注意蜜罐交互級(jí)別過低可能帶來的風(fēng)險(xiǎn)，如無法吸引足夠的攻擊者或無法提供足夠的

威脅情報(bào)；同時(shí)，交互級(jí)別過高可能導(dǎo)致被真實(shí)攻擊者識(shí)別的風(fēng)險(xiǎn)增加，從而影響真實(shí)環(huán)境的安全性；

d）實(shí)際情況調(diào)整：根據(jù)實(shí)際情況和需求，靈活調(diào)整蜜罐的交互級(jí)別?？梢愿鶕?jù)網(wǎng)絡(luò)環(huán)境、攻擊趨勢(shì)

和安全目標(biāo)等因素來調(diào)整蜜罐的交互級(jí)別，以確保其有效性和可靠性。

12

T/CESXXX—XXXX

7.4.3安全工具集成

蜜罐并不是孤立的安全工具，它需要與其他安全解決方案如防火墻、入侵檢測(cè)系統(tǒng)、安全信息和事件

管理系統(tǒng)等協(xié)同工作。通過集成，蜜罐可以作為誘餌，吸引攻擊者，同時(shí)將收集到的信息傳遞給其他安全

工具，以便進(jìn)行更深入的分析和響應(yīng)。這種集成可以提高整體的安全防護(hù)能力，形成一道多層次的防御體

系。

a）通信協(xié)議：

1）使用廣泛認(rèn)可和標(biāo)準(zhǔn)化的通信協(xié)議，如安全信息和事件管理(SIEM)系統(tǒng)常用的Syslog協(xié)議，

或者用于威脅情報(bào)共享的STIX/TAXII格式，可以提高兼容性和互操作性；

2）通信協(xié)議應(yīng)支持實(shí)時(shí)數(shù)據(jù)傳輸。低延遲和高吞吐量的通信協(xié)議對(duì)于及時(shí)響應(yīng)安全事件至關(guān)重

要;

3）通信協(xié)議應(yīng)確保即使在網(wǎng)絡(luò)條件不佳或受到攻擊的情況下，數(shù)據(jù)也能成功送達(dá)；

4）通信協(xié)議本身應(yīng)是安全的，能夠抵御常見的網(wǎng)絡(luò)攻擊，如中間人攻擊、數(shù)據(jù)泄露等。使用加

密通道（如TLS/SSL）可以提高數(shù)據(jù)傳輸?shù)陌踩裕?/p>

5）通信協(xié)議應(yīng)具備可擴(kuò)展性，能夠適應(yīng)更多的設(shè)備和服務(wù)，以便于未來的擴(kuò)展。

b）數(shù)據(jù)完整性：確保傳輸?shù)臄?shù)據(jù)未被篡改，可以通過使用數(shù)字簽名或加密技術(shù)來實(shí)現(xiàn)，保證數(shù)據(jù)的

完整性和真實(shí)性；

c）兼容性：蜜罐和安全工具之間的兼容性應(yīng)確保它們能夠無縫交換數(shù)據(jù)，涉及到對(duì)不同廠商設(shè)備的

支持，或者對(duì)特定操作系統(tǒng)的兼容性。

7.4.4用戶反饋建議

建立和維護(hù)蜜罐系統(tǒng)時(shí)，宜可關(guān)注用戶體驗(yàn)和反饋，包括開放性和透明性、積極回應(yīng)、持續(xù)改進(jìn)以及

教育培訓(xùn)等方面。

a）開放性和透明性：確保溝通渠道的開放性和透明性，讓用戶感到他們可以自由表達(dá)意見和建議，

而不必?fù)?dān)心受到限制或批評(píng)；

b）積極回應(yīng)：對(duì)用戶的反饋進(jìn)行積極回應(yīng)，及時(shí)處理和解決他們提出的問題和建議。這樣可以增強(qiáng)

用戶對(duì)蜜罐系統(tǒng)的信任和滿意度；

c）持續(xù)改進(jìn)：將用戶的反饋視為改進(jìn)的