方案背景

高级可持续威胁（APT）检测和防御日益成为网络安全攻防博弈的焦点和热点。大部分APT组织越来越倾向于使用加密方式进行命令控制和信息回传。经过对接近10个国家/组织超过100个APT样本深度分析，北美、东欧、东亚等重要方向APT组织攻击行为加密通信占比几乎达到100%，南亚、东南亚等重要方向APT组织攻击行为加密通信占比也已接近或超过50%。

全球网络走向全面加密时代已经是大势所趋，目前国内政企网络整体加密流量占比已接近50%。流量加密的普及给安全检测也带来了挑战：首先，大量恶意软件转向加密通信。据统计，已有超过40%的恶意软件已转向加密通信，高级可持续威胁（APT）使用加密通信的比例更高；其次，恶意软件对流量进行加密的方式趋向于多样化。除标准TLS加密以外，TCP/UDP/HTTP自定义加密、DNS/ICMP/HTTP隧道加密和伪装TLS协议加密等加密方式层出不穷；最后，基于加密通信的黑客工具普及范围越来越广。CobaltStrike等黑客平台、冰蝎、哥斯拉等Webshell都可以方便快速的配置使用加密方式进行通信。这些新型加密威胁对政企网络的防护带来新的挑战。

加密业务是重要单位核心保密通信业务，承担了重要文件传输、重大命令下达、重要工作内容交互等任务，其安全性至关重要。《密码法》颁布后，国家针对各类密码的使用提出了细致、严格的规定。但是在现实场景中，各加密设备是否正常使用、安全使用、是否遭受攻击，一直缺乏相应的技术管理手段。现有流量产品、流量管理系统对加密业务的安全合规管理缺乏有效适用手段。密码业务管理或使用单位，需要一套对各加密设备及其业务进行长期安全监控的系统，以保障密码设备正常、合规运行。

加密业务治理监管是政企网络管理的痛点和难点问题之一。首先，加密协议、加密算法本身是否合规，是否存在漏洞、风险难以评估；其次，加密资产、加密设备是否有效、正常运行，加密节点的数据交互、通联关系是否出现异常缺乏有效监管；最后，载荷加密后难以通过传统方式进行审计，其业务类型、业务安全性难以检测。传统网络安全态势感知与监控平台由于缺乏针对加密流量精细化分类、分析、检测、呈现，导致针对加密流量安全、加密业务治理存在较大盲区。