一、解决方案简介

本方案通过对金融网络中的加密业务进行梳理、对加密流量中的风险持续监测、对加密流量中的威胁识别分析，让加密流量可视、可管、可控，从而实现加密业务安全运营的闭环。

主要实现以下三方面能力建设：

1.梳理加密流量中的协议和业务构成。形成加密业务基线，实现加密业务可视化。

2.持续监测加密流量的风险。监测密码合规、加密证书风险、加密协议风险、加密通联风险及加密应用风险等五大维度的加密风险，实现加密流量可管。

3.监测网络中的恶意加密威胁。识别恶意家族、加密攻击、隐蔽隧道、APT加密通信、黑客工具等维度的加密威胁，实现加密流量可控。

二、应用场景痛点简介

1.通过本项目可以解决如下关键问题及难点

①金融业务趋于加密化，日常运营工作中如何有效检测正常加密业务流量和恶意加密流量，传统基于明文规则的检测体系已经失效，需要构建新的检测及运营手段。

②金融业务系统逐步改造至国密算法，助力国密改造过程中对密码算法的脆弱性评估，确保网络安全及合规。

③攻防演练场景中高水平攻击给防守方带来的挑战急需新技术进行应对，通过本项目的建设可以提高攻防演练场景的重要威胁事件的检测发现能力。大量APT组织的攻击行为也转向基于加密通信，金融行业客户需要建立APT加密攻击的监测手段。

④提升重大安全事件的响应速度。过去加密流量存在不可视、分析困难的问题，通过本项目建设，基于加密威胁的关联分析和可视化研判的能力，可以帮助安全运营人员发现、研判和处置加密类重大安全事件。

⑤构建体系化加密业务态势感知能力。通过对业务或场景梳理，建设加密资产梳理和监测能力、加密流量行为画像能力、加密流量风险及合规性监测能力、加密流量威胁检测能力。

2.本方案系系统在金融行业典型的应用场景如下

①互联网场景

银行网银、手机银行、在线业务、证券交易、线上保险等场景；

银行、证券及保险机构等远程访问和办公系统场景；

②外联网场景

往银联、网联、人行、国结、清算机构等方向链路场景；

③分支（广域内联）场景

银行、证券及保险机构等各地分支机构；

④内网场景

银行网银、柜面、清算等关键业务系统场景；

各测试区域场景（监测在攻防演练中靶标处恶意加密流量）；

⑤云服务场景

在云化及云原生架构下的业务场景。

三、解决方案亮点介绍

1.方案能力体现

①建立识别加密流量所属协议能力

由于加密流量隐蔽性特点往往成为网络攻击的载体，识别加密流量是异常恶意流量检测的重中之重。本方案建设能够对加密流量进行分析和识别，首先实现协议识别，其目的是识别出已知的、标准的协议和未知的、自定义的协议。将关注重点就可以放在未知的和自定义的协议分析上，去分析研判是否存在异常流量，是否会给软件系统带来安全隐患，可以较为直观的判断出该加密会话的安全属性，针对恶意加密流量可以更为清晰的了解攻击者的意图和目标。

②建立加密流量风险监测的能力

在金融行业数字化转型及国密算法应用和金融行业商用密码应用的推动下，加密流量加密资产中潜在为威胁问题越来越突出，本系统方案通过DPI、密码分析以及人工智能等技术的应用，能够精细化分分析SSL加密的业务以及使用私有加密协议加密的业务，从密码合规、加密证书、加密协议、加密通联及加密应用等五大维度的全面体系化的监测加密风险，提前发现加密业务的脆弱面以及时加固，实现加密流量加密业务可视、可控与可观，建设加密业务风险监测体系。

③建立加密流量威胁检测能力

在全球网络逐渐走向全面加密的大环境下，日常运维和攻防演练场景下，攻击队会大量使用加密通信方式进行攻击，加密的协议或种类也越来越多样化，除标准SSL、SSH、RDP加密协议以外，还包括TCP/UDP自定义加密、HTTP自定义加密、DNS隧道加密、ICMP隧道、伪装SSL加密、利用社交网络加密等，本方案能够实现在对加密协议进行识别解析的基础上具备对加密流量威胁检测的能力。

本方案系统能够建立针对隐蔽隧道攻击威胁检测能力，通过网络层或应用层标识字段的特征检测、合法性检测等方式，检测识别网络出口流量中可疑隐蔽隧道通信行为，如：HTTP、DNS、ICMP、TCP、UDP等协议的隐蔽隧道检测，并能够检测出隐蔽隧道构建工具，如DNSCat2、HTTPTunnel等。同时，本方案系统通过可视化方式展示隐蔽隧道检测结果，展示内容可包括：五元组信息，告警名称、事件原因等，支持以折线图、饼图、表格等可视化方式查看网络流量信息、系统配置信息、接口状态信息和硬件信息等。

2.方案价值体现

①密码合规应用

金融行业在商用密码不断推进使用过程中，通过对加密业务的梳理分析，遵循国家相关政策要求，实现密码应用合规监测。

②加密业务安全运营

在日常运维场景下，面对加密流量，可有效持续监测流量和资产中存在的各类风险及威胁并实时告警，精准提早发现威胁与漏洞风险，同时在界面上提供“鱼骨图”与威胁标签等可视化分析研判方式，大幅提升安全运营能力，节省安全运维团队人员投入，缓解安全靠堆人的局面。

③赋能攻防演练提升加密威胁防护能力

在攻防演练场景下，针对高水平加密通信的攻击行为，如常用的上百款黑客工具、同源变种及未知威胁，基于机器学习检测引擎以及深度指纹技术，能够对加密威胁精准检测，通过演练切实有效提升加密威胁防护水平。

④检测高级APT威胁

金融行业中拥有众多关键信息基础设施，是APT重点攻击的领域之一，基于包含AI在内的限定域指纹和加密特征开发出的各类加密流量检测引擎，可以精准检测识别APT特定家族的加密流量，监测APT加密攻击，保障行业内关基设施安全。

综上总结，本方案致力于守护金融行业的业务安全的后一道防线，也是守护广大人民财产的一道护盾，更是保障国家金融系统安全的一道屏障。

四、金融行业客户名单

国有银行、股份制银行、证券公司。

五、客户评价

观成科技的产品技术思路新颖，解决了其它产品无法解决的问题。目前在使用过程中，也发挥了较大的应用价值。