观成科技：证券行业加密业务安全风险监测与防御技术研究

摘要：为了解决证券行业加密流量的威胁以及加密流量的应用风险，我们对证券行业的实际流量内容进行了调查分析，分析了证券行业加密流量面临的合规风险。考虑加密协议和证书固有的风险和风险，以及外部加密流量的潜在威胁，制定防御策略和对策。

关键词：证券加密业务、加密应用、加密流量、商用密码安全评估、加密风险、加密威胁、监控与防御

一、概述

在数据爆炸式增长的数据技术（DT）时代，加密技术是保障数据传输安全的重要手段。随着互联网和企业流量场景加密趋势的快速增长，证券行业也面临着更加迫切的加密需求。证券行业开展的加密业务种类繁多，如何实现有效的安全运维、风险监控、威胁检测已成为亟待解决的问题。

根据Google 透明度报告统计，94% 的Google Chrome 流量都是加密的。据观城科技评估，企业内部加密流量比例也达到了80%。证券行业性质特殊，关系国家金融安全、客户个人隐私、财产安全，对加密的需求比其他业务场景更加突出和迫切。因此，证券行业流量加密的趋势更加明显。一般的。证券行业是一个复杂的行业，涉及用户认证、交易结算、资产管理等多种密码应用，而这些密码应用使用不同的加密协议和不同的加密算法，产生大量的加密流量。

从政策和监管角度来看，为保障国家商业秘密和数据安全，国家制定并颁布了一系列政策法规，包括《网络安全法》、《密码法》等。具体针对金融行业，2022年11月25日，中国人民银行宣布，《金融行业信息系统商用密码应用》系列金融行业标准正式发布。 -2022）和《金融行业信息系统商用密码应用 基本要求》（JR/T 0257—2022）。上述法律和行业标准对证券行业密码应用中密码的使用和加密传输作出了详细规定，为保护网络安全等级、评估商用密码的安全性提供了实施和监管要求。

鉴于网络安全的对抗性，安全风险管理和防御技术不可避免地会与相应的攻击技术交替出现。因此，除了等级保护和保密等级等严格要求外，证券行业还必须确保系统和业务的完整性、保密性、可用性以及可控和不可否认的额外风险所带来的其他风险。您可以在损坏成为问题之前预防它。此外，随着加密在证券业务中的应用越来越广泛，利用加密流量进行攻击、窃取机密信息、远程控制等各种恶意威胁也逐年增加。根据知名零信任供应商Zscaler 多年的统计，截至2022 年，超过85% 的网络攻击将使用加密，较2021 年增加20%。国外APT组织的攻击大多采用加密方式传输信息。各种加密协议还应用于扫描、暴力破解、漏洞利用、远程控制、代理转发等攻防训练场景中常用的工具。除了传统的明文检测能力之外，构建针对加密流量的密码威胁检测能力是证券行业需要立即解决的挑战之一。

• 几乎三分之二的流量是私有协议数据，包括私有加密流量。据估计，50%的私有协议数据被加密，加密流量约占总业务流量的60%。

3、TLS协议加密流量研究

应用分析

样本流量中的TLS协议数据约为540MB，总共包含27,824个加密会话，总共61个服务器名称指示符，其中大部分是公共网页。因此，样本流量中的TLS协议数据被确定为互联网浏览或操作系统和软件升级流量。 TLS协议数据识别了一系列加密资产，包括企业电子邮件服务、云计算平台、云开发平台和统一数据平台。我们还找到了一系列与各个证券行业相关的应用信息。证券分析应用、证券交易应用、证券信息平台等

风险分析

该研究还对TLS 流量的风险进行了初步评估。此评估主要关注TLS 证书和TLS 协议规范，评估传入和传出连接。

综合分析入站和出站TLS协议两类流量，TLS协议数据在当今业务流量中的主要风险有：

• 使用自签名证书：您可能会面临中间人攻击，因为无法验证您的身份。

•证书链验证失败：无法验证身份。浏览器报警。

•证书到期日期：无法验证身份。浏览器报警。

•证书即将到期：如不及时更新，证书将失效。

• 证书SAN 与客户端SNI 不匹配。证书颁发或服务器配置不正确。

•客户端支持弱密码套件。它使用过时的SSL 库，需要更新。

• 服务器选择较弱的密码套件。数据加密强度较弱，很容易被解密。

•客户端SNI泄露服务器IP：信息泄露风险。

• 密码套件和证书不匹配：TLS 协议实施或服务器配置错误。

从数据量来看，与自有资产相关的风险流量占入站流量的大部分，约为47%，而出站流量则异常低迷，约为7%。这种分布差异与企业内部网络服务器配置不规范、证书不规范等因素有关。通过风险评估，我们还首先识别了内部网络中存在的各种加密风险，为下一步降低风险奠定了正确的基础。

4. 研究概述

本研究对两家证券公司的部分业务流量进行了分析，首先明确了内网加密和非加密流量协议的类型和比例，并对TLS协议加密流量的用途和风险进行了初步分析。经过调查，我们发现以下情况：

证券行业对业务流量进行加密的趋势十分明显。被检查的流量包含大量标准和私有协议加密数据。组织加密流量的格式、性质和业务所有权对于确保其安全运行、维护和控制至关重要。

证券行业业务流程中存在一定的加密风险。这些风险可能是由内部应用程序开发和实施错误、密码服务配置错误以及密码基础设施过早更新等引起的，如果不及时检查和解决，可能会导致数据泄露等严重后果，应格外小心。因为可能会发生解密和解密。注意。

3、证券行业密码业务安全风险及对策

1. 合规加密风险

加密应用程序和服务的安全合规性评估在证券行业中非常重要。 “一法三规一规”（《金融行业信息系统商用密码应用 测评要求》、《金融行业信息系统商用密码应用 测评过程指南》、《密码法》、《国务院办公厅关于印发国家政务信息化项建设管理办法的通知》、《贯彻落实络安全等级保护制度和关键信息基础设施安全保护制度的指导意》）及国家标准GB/T39786-2021 :0简介0-30000促进了化学工业的发展。随着技术的发展，商用加密技术不断推陈出新，其普及度、普及度和应用范围也不断增加。密码使用的合规性、准确性和有效性已成为国家和企业关注的焦点。《关键信息基础设施安全保护条例（征求意稿）》 第二十七条规定，对于法律、行政法规和国家有关规定需要采用商用密码保护的关键信息基础设施，该关键信息基础设施的运营者必须自行或者委托销售商进行保护。必须使用商业密码。对商业密码应用程序进行安全评估的测试机构。商用密码应用安全评估（保密评估）评估采用商用密码技术、产品和服务构建的网络和信息系统中密码应用的合规性、准确性和有效性。

在加密应用方面，商用密码评估主要包括客户隐私加密、交易数据加密、金融数据加密等评估，确保核心业务加密合规。关于加密服务，商用密码的评估主要包括以下几点：

• 通信协议评估：确保业务通信的安全需要标准化满足密码评估要求的安全通信协议的使用。

•评估加密算法：您必须选择足够强大的加密算法来加密您的数据。例如，使用国家秘密算法是否符合相关法律法规的规定。

• 访问控制和安全审计评估：需要建立完善的访问控制机制，严格控制员工和客户的访问，并记录访问日志和操作记录，以便于对存在的安全事件进行审计和跟踪。商业密码评估需要评估访问控制和审核机制的可靠性和安全性，以确保其有效性和完整性。

如果将相关标准一一映射，则与加密资产评估要求对应的加密资产的评估点和评估方法如下图所示。

图1 密码安全评估方法

如果发现商业密码评估结果不合格，经纪公司必须及时采取措施修复密码，确保客户和公司数据的安全。此外，商用加密评估结果还可以帮助证券公司选择更安全可靠的加密技术和服务，有效保障业务的正常运营。

2.其他加密风险

如前所述，除了保密性和敏感性评估等严格要求外，证券行业还必须避免此类额外风险带来的系统和业务完整性、保密性、可用性和可控性。为此，还应考虑其他加密风险。你的事。为了将问题消灭在萌芽状态，它造成了不可否认的损害。这类额外的加密风险主要来自三个方面：

加密证书的安全风险

加密证书是PKI系统中最重要的组成部分，用于保护数据安全和隐私。证书通常由数字证书颁发机构颁发，用于验证证书持有者的身份并授予对受保护资源的访问权限。加密证书的安全风险主要包括以下几个方面：

有效性风险：指服务器或客户端证书的有效性异常。其中包括证书已过期、尚未生效、即将过期或有效期过长等风险。

信任链风险：指证书颁发过程中出现的异常情况，包括证书链验证失败、证书自签名、叶证书颁发等风险。

出站加密通信的特洛伊木马防护和检测通常使用人工智能技术和限制域指纹、多流行为模型和加密威胁情报等辅助手段的有机组合，以防止出站加密通信，并通过检测流量并向您发出警报来完成。对于TCP、UDP、HTTP等隐蔽隧道，可以设计1类方法来检测和发现自定义结构在自行设计的加密隧道的流量负载中的弱点。

五。结论

证券行业业务性质特殊，加密货币业务比其他行业更加复杂和波动，因此针对加密货币业务的安全风险和威胁检测是证券行业比其他行业更加迫切的需求。为了保护这些关键数据的安全传输，证券行业必须解决监控加密风险和检测加密威胁的挑战。

为了应对这些挑战，需要将加密业务按照资产和流量类型进行组织，了解各自的特点和应用场景。以此为基础，实现合规密码及其他密码风险的有效识别和防护。证券行业面临着证券行业密码业务可能涉及的多种攻击场景，比如攻防训练场景、APT对决场景等等，需要建立全面的检测体系。和出站连接。

综上所述，证券行业的加密业务的识别、监控和检测必须十分谨慎。通过全面梳理加密业务，建立完善的风险监控和威胁检测体系，有效提升数字时代证券行业的网络安全防护能力，防范各种安全风险和安全威胁。

参考

1. Zscaler 加密攻击报告(2022) ThreatLabz 2022 年加密攻击状况报告https://www.zscaler com /blog s/security – Research h/2 0 2 2 – en crypted – Attacks-report

2.谷歌透明度报告https://transparencyreport.google.com

本文转载自证券信息技术研究发展中心网络安全专刊（第1期）

作者：北京冠城科技有限公司、海通证券股份有限公司、华泰证券股份有限公司

以上#观城科技：证券行业加密业务安全风险监测与防御技术研究的信息来自相关内容来源网络，仅供参考。相关信息请参见官方公告。