针对加密流量攻击所带来的检测难题，以及电力网络信息系统所存在的密码风险，电网加密业务安全运营解决方案从三个场景解决加密流量安全威胁和密码风险问题。
1.电网加密业务安全运营：基于加密流量完成加密威胁、加密风险、加密应用、加密业务检测、识别与梳理，实现加密流量泛安全运营。同时依据《GB/T 39786信息系统密码应用基本要求》完成密码合规风险分析，协助完成密码合规改造。
2.实战对抗加密威胁检测：全面检测电网中各类黑灰产及商业木马、勒索窃密软件、非法应用产生的加密流量，监测全球重点方向40多个APT组织对电网发起的加密攻击。基于加密流量威胁检测结果，挖掘重要安全事件。
3.攻防演练加密威胁检测：自动检测攻防演练常用/特用的各类加密威胁、各种渗透工具所产生的加密威胁流量，增强防守方高级威胁防护能力。

电网加密业务安全运营解决方案分四层，分别是数据接入层、数据处理层、核心业务层以及展示呈现层，在该架构中，数据接入层主要负责实时流量数据和离线流量数据的采集；数据处理层主要是在对数据深入解析的基础，对各类数据进行提取和入库；核心业务层是在前期数据接入和数据处理的基础上，依托于各种数据库和知识库实现加密业务精细化分析、加密风险和加密威胁检测，其中加密业务精细化分析主要包括明密识别、加密协议识别及SSL加密业务细粒度分析，加密风险主要包括密码合规风险、加密证书风险、加密协议风险、加密通联风险及加密应用风险，加密威胁主要包括SSL加密威胁检测、加密通道攻击行为检测、自定义加密威胁检测、隐蔽隧道威胁检测、恶意加密应用识别；展示呈现层主要实现加密业务精细化分析的细致呈现以及各种不同加密威胁的多维度展示。

2.6.1. 加密类高级威胁检测与防御场景
大量APT组织的攻击行为转向基于加密通信。顶级APT组织攻击产生加密流量占比接近100%，重要APT组织攻击产生加密流量占比超过50%。本方案部署在汇聚网络出口接入分光或镜像的汇聚流量，从APT加密通信视角出发，基于机器学习、限定域指纹和加密特征分析提取技术，开发了基于流量监测的各类恶意加密流量检测引擎，可以精准检测识别APT特定家族的加密流量。
2.6.2. 加密类敏感应用监测与分析场景
翻墙VPN、境外APP、涉恐涉恐涉赌涉黄类、远程办公软件等敏感应用，是重点关注对象。本方案在汇聚网络出口接入分光或镜像的汇聚流量，从应用加密通信视角出发，基于规则识别、深度包检测、行为分析等技术，可以精准识别加密类敏感应用，进行持续监测、跟踪分析。
2.6.3. 日常运维加密流量检测场景
日常运维场景下，电网客户面对加密流量时经常会有安全风险以及威胁的挑战，本方案从互联网出口或各区域或核心交换位置，基于机器学习、密码分析、流量分析等技术，从流量和资产的角度进行加密风险监测和加密威胁检测，实现加密业务安全运营的闭环。
2.6.4. 攻防演练加密威胁检测场景
攻防演练中，高水平的攻击方大量采用加密通信手段隐藏攻击意图。本方案从互联网出口或重要靶标区域位置获取流量，基于多年的网络安全攻防经验以及对攻防演练中黑客工具的深入认知，利用人工智能、深度特征以及加密威胁情报等技术，在不解密的条件下，实现对攻防演练场景下恶意加密流量的精准检测，为客户构筑新的防线。