ICS35.030CCSL803309IDB3309/T109—2024前言 2規(guī)范性引用文件 3術(shù)語和定義 4系統(tǒng)架構(gòu) 25功能要求 2主機(jī)威脅感知 2終端威脅感知 2威脅處置決策 2網(wǎng)絡(luò)橫向移動行為檢測 26系統(tǒng)部署 2部署類型 2部署步驟 3部署驗(yàn)證 37系統(tǒng)驗(yàn)收 3系統(tǒng)初驗(yàn) 4驗(yàn)收檔案 4附錄A（資料性）攻擊誘捕系統(tǒng)架構(gòu)圖 5DB3309/T109—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由舟山市公安局提出并歸口。本文件起草單位：舟山市公安局，北京元支點(diǎn)信息安全技術(shù)有限公司。本文件主要起草人：張艷波，王翹楚，張通漢，何淼楹，施翔，丁峰，楊丁源，楊柯，任俊博，林建偉，史晨偉，黃林。DB3309/T109—20241網(wǎng)絡(luò)攻擊誘捕系統(tǒng)建設(shè)規(guī)范本文件規(guī)定了網(wǎng)絡(luò)攻擊誘捕系統(tǒng)的系統(tǒng)架構(gòu)、功能要求、系統(tǒng)部署和系統(tǒng)驗(yàn)收要求。本文件適用于網(wǎng)絡(luò)攻擊誘捕系統(tǒng)的建設(shè)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022GB50052信息安全技術(shù)術(shù)語供配電系統(tǒng)設(shè)計(jì)規(guī)范3術(shù)語和定義GB/T25069—2022界定的以及下列術(shù)語和定義適用于本文件。蜜罐一種誘餌系統(tǒng)的通稱,用于欺騙、分散、轉(zhuǎn)移和鼓勵(lì)攻擊者,使其把時(shí)間花在看似很有價(jià)值但實(shí)際上是偽造的、合法用戶不會感興趣的信息上。[來源：GB/T25069—2022，定義3.420，有修改]蜜網(wǎng)蜜網(wǎng)是由多個(gè)蜜罐以及管理和分析這些蜜罐數(shù)據(jù)的組件組成的網(wǎng)絡(luò)，用于監(jiān)控和分析攻擊者在網(wǎng)絡(luò)中的行為。誘餌一種旨在通過放置偽造的信息或資源來迷惑和引導(dǎo)攻擊者，從而保護(hù)真實(shí)的系統(tǒng)和數(shù)據(jù)的技術(shù)。誘餌可以是文檔、網(wǎng)絡(luò)服務(wù)或賬戶等，通常作為安全策略的一部分。面包屑一種誘騙技術(shù)，通過在系統(tǒng)中放置虛假的信息或痕跡來引導(dǎo)攻擊者，從而達(dá)到保護(hù)真實(shí)目標(biāo)或跟蹤攻擊者的目的。虛假信息包括偽造的文件路徑、網(wǎng)絡(luò)連接等。誘捕探針一種網(wǎng)絡(luò)安全系統(tǒng)，該系統(tǒng)結(jié)合了誘捕技術(shù)和探針技術(shù)以發(fā)現(xiàn)、監(jiān)控和轉(zhuǎn)移網(wǎng)絡(luò)活動或攻擊行為，并試圖將識別到的攻擊行為重定向到蜜網(wǎng)。2網(wǎng)絡(luò)攻擊誘捕系統(tǒng)一種網(wǎng)絡(luò)安全系統(tǒng)，旨在通過創(chuàng)建虛假資源來吸引和誤導(dǎo)潛在攻擊者，從而檢測、延緩和分析攻擊4系統(tǒng)架構(gòu)4.1系統(tǒng)至少應(yīng)包含欺騙防御管理、主機(jī)和終端威脅感知、威脅決策處置等模塊。4.2網(wǎng)絡(luò)攻擊誘捕系統(tǒng)架構(gòu)參考圖見附錄A。5功能要求5.1主機(jī)威脅感知應(yīng)能夠在真實(shí)業(yè)務(wù)主機(jī)(服務(wù)器)中部署多種類型誘餌、面包屑，用于發(fā)現(xiàn)入侵主機(jī)的惡意行為并將其誘騙至蜜網(wǎng)。5.2終端威脅感知應(yīng)能夠在各類智能聯(lián)網(wǎng)終端中部署多類型感知誘餌，用于發(fā)現(xiàn)入侵終端的惡意行為并進(jìn)行預(yù)警，形成對攻擊者的有效威懾。5.3威脅處置決策應(yīng)能收集相關(guān)威脅告警，并將匯聚的信息進(jìn)行統(tǒng)一智能分析，輸出可執(zhí)行的處置動作建議，為安全人員做出快速應(yīng)對安全威脅的關(guān)鍵決策提供有效信息支撐。5.4網(wǎng)絡(luò)橫向移動行為檢測應(yīng)能夠布設(shè)策略性虛假資源和服務(wù)，引誘并監(jiān)測非授權(quán)的橫向移動嘗試，實(shí)時(shí)識別和記錄此類攻擊行為并生成威脅警報(bào)。應(yīng)能進(jìn)行流量牽引，將攻擊行為引導(dǎo)至蜜網(wǎng)來進(jìn)行深度分析，實(shí)現(xiàn)對攻擊流量的轉(zhuǎn)移。6.1部署類型6.1.1誘捕探針部署應(yīng)在各業(yè)務(wù)區(qū)域部署高密度的誘捕探針，并構(gòu)建復(fù)雜的內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以實(shí)現(xiàn)對攻擊者的干擾和迷惑，增加其對攻擊目標(biāo)識別的難度，形成一種主動誘捕的網(wǎng)絡(luò)防御系統(tǒng)。應(yīng)在各業(yè)務(wù)系統(tǒng)主機(jī)安裝誘餌，用于失陷主機(jī)的檢測和異常行為監(jiān)控；應(yīng)在計(jì)算機(jī)和其他聯(lián)網(wǎng)泛終端中，投放多種類型威脅感知誘餌，用于發(fā)現(xiàn)被入侵的設(shè)備。3應(yīng)部署與實(shí)際業(yè)務(wù)環(huán)境相似的蜜網(wǎng)，用于對攻擊行為的延緩，為分析攻擊者的行為特征、技術(shù)、工具、意圖等提供環(huán)境，為安全團(tuán)隊(duì)贏得更多時(shí)進(jìn)行應(yīng)對準(zhǔn)備。在部署蜜網(wǎng)時(shí)，應(yīng)確保其與組織的生產(chǎn)網(wǎng)絡(luò)環(huán)境隔離，以防止?jié)撛诘墓舨暗綄?shí)際的業(yè)務(wù)系統(tǒng)。6.2部署步驟6.2.1現(xiàn)場勘查應(yīng)勘查現(xiàn)場，編寫現(xiàn)場勘查報(bào)告，內(nèi)容應(yīng)包括網(wǎng)絡(luò)的相關(guān)設(shè)置。6.2.2方案設(shè)計(jì)應(yīng)根據(jù)現(xiàn)場勘查報(bào)告，進(jìn)行設(shè)備的部署設(shè)計(jì)，編寫部署方案，部署方案應(yīng)至少包括IP地址規(guī)劃、路由策略規(guī)范、設(shè)備口令規(guī)劃。6.2.3安裝調(diào)試6.2.3.1應(yīng)按照安裝設(shè)計(jì)方案將所有硬件設(shè)備安裝到位，并對已安裝的所有產(chǎn)品進(jìn)行外表標(biāo)識，記錄每個(gè)模塊的產(chǎn)品序列號。6.2.3.2硬件設(shè)備安裝完成之后，應(yīng)對所提供的電力供應(yīng)進(jìn)行檢查，電力供應(yīng)應(yīng)符合GB50052和硬件設(shè)備的要求。6.2.3.3對硬件設(shè)備進(jìn)行加電啟動，對軟硬件設(shè)備進(jìn)行安裝、調(diào)試。6.2.3.4有多個(gè)節(jié)點(diǎn)時(shí)，應(yīng)從中心到邊緣的所有節(jié)點(diǎn)逐個(gè)進(jìn)行設(shè)備安裝及加電調(diào)測。6.2.3.5在完成所有軟硬件設(shè)備安裝及調(diào)測之后，應(yīng)對整個(gè)系統(tǒng)進(jìn)行調(diào)測，并編寫系統(tǒng)整體調(diào)測報(bào)告。6.3部署驗(yàn)證6.3.1誘捕探針部署驗(yàn)證誘捕探針數(shù)量應(yīng)不低于業(yè)務(wù)主機(jī)數(shù)量的2倍，或能夠覆蓋所有主機(jī)，且應(yīng)覆蓋全部業(yè)務(wù)系統(tǒng)所在網(wǎng)絡(luò)區(qū)域，并能將各網(wǎng)絡(luò)隔離區(qū)域的攻擊流量轉(zhuǎn)發(fā)至蜜網(wǎng)。6.3.2誘餌部署驗(yàn)證應(yīng)在計(jì)算機(jī)和泛終端關(guān)鍵位置部署異常行為感知誘餌，用于對外部攻擊者或內(nèi)部人員的異常行為檢測，迷惑攻擊者并將其引導(dǎo)至蜜網(wǎng)。6.3.3蜜網(wǎng)部署驗(yàn)證6.3.3.1蜜網(wǎng)應(yīng)支持常見的系統(tǒng)服務(wù)的偽裝，根據(jù)不同業(yè)務(wù)場景配置符合場景相似度的蜜罐。6.3.3.2蜜網(wǎng)支持的系統(tǒng)服務(wù)應(yīng)至少包含以下服務(wù)。a)操作系統(tǒng)層服務(wù)：b)應(yīng)用層服務(wù)：7系統(tǒng)驗(yàn)收DB3309/T109—20244系統(tǒng)初驗(yàn)實(shí)施驗(yàn)收前應(yīng)制定驗(yàn)收計(jì)劃，對整個(gè)系統(tǒng)進(jìn)行單點(diǎn)初驗(yàn)測試與系統(tǒng)初驗(yàn)測試，并形成相應(yīng)測試報(bào)告。7.1.1驗(yàn)收計(jì)劃應(yīng)制定系統(tǒng)初驗(yàn)計(jì)劃，組織有關(guān)部門和人員對系統(tǒng)的功能、性能、使用等進(jìn)行初驗(yàn)測試，依據(jù)測試結(jié)果判定是否通過系統(tǒng)初驗(yàn)，并形成系統(tǒng)初驗(yàn)報(bào)告。7.1.2系統(tǒng)試運(yùn)行應(yīng)制定系統(tǒng)試運(yùn)行計(jì)劃，審批通過后開始系統(tǒng)試運(yùn)行工作，試運(yùn)行期間應(yīng)解決初驗(yàn)時(shí)的問題。試運(yùn)行結(jié)束前，形成系統(tǒng)試運(yùn)行報(bào)告。7.1.3系統(tǒng)終驗(yàn)應(yīng)制定系統(tǒng)終驗(yàn)計(jì)劃，組織有關(guān)部門和人員對系統(tǒng)的功能、性能、使用等進(jìn)行終驗(yàn)測試，對終驗(yàn)過程中出現(xiàn)的問題應(yīng)進(jìn)行記錄，形成問題缺陷管理報(bào)告與系統(tǒng)終驗(yàn)報(bào)告。驗(yàn)收檔案驗(yàn)收相關(guān)文檔應(yīng)