科创中国

本成果项目是针对工业控制系统安全性问题进行的研究，提供了有效的针对工业控制系统安全防御策略，保障工业控制系统信息安全。成果主要包括蜜罐搭建、情报取证分析、主动防御系统搭建三部分内容。 通过在工业生产网络中构建蜜罐系统，让未经授权的用户检测并攻击它，所有访问蜜罐的尝试都被视为可疑，任何连接蜜罐的尝试行为都可以视为潜在的攻击，蜜罐的核心价值是监视、检测和分析这些攻击。蜜罐作为一种主动防御技术，不能被其它安全策略所取代。 通过在工业生产网、数据中心、隔离区部署蜜罐工具，能够模拟虚拟的操作系统和网络服务并对黑客的攻击行为做出回应，从而欺骗黑客。我们使用真实的主机、操作系统和应用程序搭建蜜罐，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得网络安全人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。 昊天工控蜜罐适用于SCADA、DCS、PCS、PLC等工业控制系统，可以被广泛的应用到石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政等关键基础设施控制系统，以及其他与国计民生紧密相关领域的工业控制系统。

（1）基于能源行业的工业控制系统蜜罐的研发 研究电力、石油等行业工业控制系统体系结构，解决工业控制系统蜜罐结构问题，通过实现数据捕获、数据分析、数据控制等功能，最大限度地获取漏洞信息以及攻击方法，建立具有工业控制系统体系结构特点的孪生系统和仿真蜜罐模型。 （2）基于行为特征库下的定位判定技术 对蜜罐捕获到的数据进行分析，收集单点入侵行为特征；研究分布式蜜网数据多点关联行为模型，提取多点关联行为的特征，发现工控设备及系统中存在的漏洞及其被利用途径和方法，构建多点入侵行为特征库。通过将工控系统中的异常行为与行为特征库比，识别和应对工控网络中存在的潜在威胁。 （3）基于蜜网+沙箱的工业协同式主动防御系统 现有的工控安全防护装置无法满足实际用户的需求，无法实现未知威胁的准确、高效检测和完全主动防御。 （4）基于工业自动化孪生系统的威胁情报分析平台 针对石油石化行业工业控制系统进行分析与建模对其定制孪生系统，将入侵孪生系统的流量备份并发送到威胁预警平台，建立行为特征库，实时对入侵行为进行分析和和预警，来确保目标工业控制系统的安全性。

昊天工控蜜罐适用于SCADA、DCS、PCS、PLC等工业控制系统，可以被广泛的应用到石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政等关键基础设施控制系统，以及其他与国计民生紧密相关领域的工业控制系统。

目前已在油田企业、煤矿企业、能源企业重点部署工控物理蜜罐和虚拟蜜罐，搭建基于工业蜜罐的主动防御系统，达到对攻击者行为的准确分析和判定，对真实系统起到保护作用，保障生产系统安全生产。

拥有一支技术实力雄厚、队伍稳定的研发团队，截止2022年12月31日，公司专职研发人员总数62名，占公司人员比例为34.44%，其中全部具有大专以上学历。2022年度研发投入占主营业务收入的比例为20.77%，并不断增大研发投入及股权激励。先后承担了国家档案局科技项目计划、山东省重点研发计划（重大科技创新工程）、历下区科技发展计划等多项重点项目建设，具备了承担国家部委、省、市级科研项目的科研攻关能力和技术人才储备。团队核心成员有董事长兼总裁李峰，工控安全产线副总裁孙晓鹏，安全运营产线总经理袁俊杰，工控安全产线总经理孙瑞勇，工控安全产线技术总监卢鹏程等人。

1、经济效益

（1）东港股份有限公司，项目金额320万元，为用户部署4台昊天工控蜜罐系统，并进行相应的策略设置和运行测试，经验收合格，为用户的工控安全提供了很好的安全监测与防护，得到用户广泛认可。

（2）东营瑞驰新能源有限公司安全设备销售项目，项目金额846万元，为用户部署安装25台昊天工控蜜罐系统，为用户的工业互联网安全有效防护，得到用户的广泛认可。

（3）山东润能环保科技有限公司安全设备销售项目，项目总金额金额536万元，为用户部署安装多台相关安全防护类设备，并进行相应的策略设置和运行测试，创新地将物理安全、传输安全、数据安全融合到一台设备中，不再需要在被保护主机中安装管理软件，也不需要在防护器中存储需要传输和检查的数据文件，实现与被保护主机和数据的最小耦合，最大程度地保护了用户业务和数据的安全。

（4）浪潮云信息技术有限公司安全设备销售项目，项目总金额金额682万元，为用户部署安装1台昊天工控蜜罐系统，为用户的工业互联网安全有效防护，得到用户的广泛认可。

2、社会效益：

（1）保障工业互联网系统安全，降低国民经济损失。

目前，我国绝大多数工业APP在防护措施薄弱的情况下暴露于互联网，且含有系统漏洞，能够轻易被远程操控，面临巨大安全风险。通过本项目，构建一整套行之有效的工业APP安全防护技术及应用服务体系，减少由于网络攻击带来的经济损失。

（2）维护经济的稳定运行，保障社会稳定

工控系统产品越来越多地采用通用协议、通用硬件和通用软件，且其接入的范围不仅仅局限在企业网，而是扩展到了互联网，使工业控制系统处于开放状态，不再是一个独立运行的系统，“传统网络威胁”与“新兴安全挑战”相融交叠，使工业控制系统、工业互联网平台等关键信息系统面临日益严峻的安全威胁。通过本项目的实施，有效保障了工业控制系统的安全运行，保障了国家政治稳定、社会稳定。

（3）本项目是国内第一个基于高交互蜜罐和低交互蜜罐专用于工业控制系统的主动防御系统，是物理蜜罐和虚拟蜜罐结合搭建蜜网的工业控制系统信息安全项目，具有较高的先进性和开创性，为企业探索一条新的工业控制系统信息安全解决方案提供了一种新的思路和模式，也为以后的安全解决方案完成部分的数据信息积累，具有较强的实际经济价值和社会效益。

该成果是云天安全自行投资实施转化，由研发部门研发相关成果后，进行生产销售，获得市场回报。

将突破的主要技术方向：基于行为特征库下的定位判定技术、基于工业自动化系统孪生系统的威胁情报分析平台、基于工业自动化系统孪生系统的威胁情报分析平台、基于行为感知的动态分区技术、全天候全方位态势感知、自主可控独立物理隔离技术、、主动无损式探查等技术的研发及升级。

项目完成后，预计将累计申请发明专利8项，申请软件著作权20项，项目成果将依托中原油田、胜利油田等油田企业及工业企业，全真模拟真实工业环境，根据真实的工业环境，使用真实的PLC\HMI等组件，隐藏真实生产设备，通过蜜罐仿真箱将真实生产设备进行遮掩，仿真箱内置大量漏洞引诱黑客渗透，攻击；高强度诱捕，记录黑客入侵系统的所有行为，仿真箱中资产，漏洞信息均为真实的，让黑客误以为成功渗透到了真实工控系统中，实现高强度诱捕功能。通过对工业企业的安全监测与态势感知、关键资源全生命周期管理等相关安全技术、产品的研制，形成工业信息共享、组件复用、按岗定制的应用服务体系、标准化软件研发体系，并在油田行业的典型代表——胜利油田进行示范应用，形成成熟的解决方案后逐步推广到其它工业企业，一方面创新性的解决了工业企业系统众多、难以精确定位、业务协同难、只监测不处置，对外协同性差等问题，另一方面可以消除黑客及国内外敌对势力对工业互联网内终端、网络、接入各环节、基础硬件、操作系统、应用软件各要素的攻击、渗透，有利于保障国家工业安全，维护社会稳定。