教育省级安全管理平台.doc

《教育省级安全管理平台.doc》由会员分享，可在线阅读，更多相关《教育省级安全管理平台.doc（11页珍藏版）》请在咨信网上搜索。

1、(完整word)教育省级安全管理平台省级安全管理平台本系统是为省教育厅开展对高校、直属单位及地市教育局的安全管理平台,可以实现信息资产管理、网络安全监控、严重安全漏洞发现、安全通报、信息系统等级保护、安全检查、应急演练等工作的开展进行全面部署、工作过程监控及工作成果统计分析等。使得网络安全管理工作沟通渠道通畅、沟通效率提升，快速部署、快速反馈、快速响应，相关信息完备准确、数据更新及时、管理量化、规范化，同时为管理层在安全管理工作决策提供有力依据。1 网络信息资产管理系统1.1 信息资产管理发现、获取与维护内网环境信息资产，建立档案统一管理，记录、维护资产的基本信息，跟踪资产安全情况，为决策分析

2、提供数据支持.n 支持通过手工录入、被动监听两种方式获取资产信息；n 支持资产单条登记与批量导入,并提供资产导入模版；n 支持将资产按照信息设备、安全设备进行一级分类管理.信息设备下按照个人主机、服务器、打印机等，安全设备下按照PTD、IEP、IDS、防火墙等进行二级分类管理;n 支持将资产根据实际业务、归属单位等属性，按照从低到高1至5级进行分级管理;n 支持发现未登记资产，提供统一管理，支持手动登记；n 支持通过IP地址（段）、单位进行资产检索；n 支持单位信息管理；n 支持部门信息管理；n 支持绘制资产组织结构图，以资产拓扑的形式呈现。1.2 网站监测系统网站监测系统利用终端探针采集服务

3、日志,利用漏扫设备对网站的可用性、脆弱性、威胁性、篡改等方面进行安全检查。结合系统安全测评技术,实现网站的全面监测,及时发现网站存在的问题。n 对指定网站安全情况能够进行批量远程监测，检查内容包括：网页挂马监测、暗链监测、钓鱼监测、网页内容篡改监测、系统漏洞、web漏洞监测、弱口令监测、HTTP监测、DNS监测、PING监测、网站敏感词检测、内容篡改等.n 监控URL访问行为，并可阻断恶意URL访问行为。主要功能如下表所示：系统名称功能功能点网站监测系统监测日志列表呈现标签聚合图表统计人工标记手动告警统一告警告警生成多场景告警验证响应下发结果验证人工发现分析告警分析风险事项风险事项响应下发响应

4、设置响应信息管理响应跟踪结果验证人工标记报表报告告警综合统计风险事项统计响应处置统计用户工作统计安全报告网站管理网站信息管理重大安保重保信息管理任务管理日常监测任务重保监测任务验证任务任务配置运行管理运行状态管理运行环境管理监控设备管理1.3 安全情报系统安全情报系统的主要功能是对多种来源的安全情报进行收集、整理、管理以及存储。用户利用安全情报，同时结合平台其它系统功能，使得安全响应可以做到事先主动性的防御。事中可以及时发现及时阻断，减少损失。事后快速恢复业务，追踪攻击调查取证、清除攻击残留。主要功能如下表所示：系统名称功能项功能点安全情报系统情报收集多种来源采集多格式预处理数据标准化关键要素

5、提取安全情报融合情报管理情报信息管理情报监控、跟踪情报查询情报利用生成匹配规则生成资讯、预警历史威胁回溯编写处置方案2 网络安全监控与预警系统2.1 安全监测与分析安全监测与分析分为安全监测和数据分析两部分，安全监测模块负责威胁日志处理、脆弱性日志处理、系统安全状态画像、统一告警等功能.数据分析模块是系统安全分析能力的核心，是利用情报知识，对各类安全大数据开展人机结合的综合分析，以确定告警信息的受害范围、潜在受害范围、关键风险、处置策略、潜在风险以及关联事件或风险等.通过安全分析模块,还可以生成按需检测规则，最终实现同类威胁守候、已知威胁预防的安全分析作业，实现内网环境安全状态信息和安全事件状

6、态的综合展示。主要功能如下表所示：系统名称系统功能功能描述安全监测威胁发现及时发现网络环境中资产存在的威胁事件（如僵木蠕毒、C&C远控等)并定位到具体的资产1、 支持恶意代码的自动发现,恶意代码类型包括木马、蠕虫、感染式病毒、黑客工具、风险软件、间谍软件、垃圾文件、测试文件八种，提供包含攻击类型、平台、家族的病毒名称2、 支持CC远程控制的自动发现，能够确认控制时长,发现远程控制端地址3、 支持网络入侵行为的自动发现，能够入侵时间，发现入侵来源与目标4、 能够获取并还原网络传输或者终端发现的恶意代码原始样本并支持下载5、 能够确定威胁事件的影响范围：具体资产或者组织结构脆弱性发现及时发现网络环

7、境中资产存在漏洞6、 支持漏洞的自动发现，包括系统漏洞和软件漏洞，并提供相应补丁的下载地址7、 能够确定存在漏洞的资产及其对应的组织结构8、 事件内容包括不限于发现时间、资产IP、漏洞名称、漏洞类型、补丁编号、补丁描述,以一句话描述方式呈现异常发现及时发现网络环境中资产存在的异常行为1、 支持设备或主机违规接入资产的自动发现告警以资产为核心归并各类安全设备告警日志,统一分类分级标准，生产高价值告警，实时提醒用户，同时提供告警详细信息1、 支持恶意代码类型告警2、 支持C&C远程控制类型告警3、 支持网络入侵类型告警4、 支持漏洞类型告警5、 支持违规接入类型告警6、 支持违规外联类型告警7、

8、支持手动提交事件到告警8、 能够以资产为核心归并告警,具体资产下据信标归并威胁、脆弱性或者异常行为9、 能够按照告警中包含的事件类型、攻击手段、攻击资源、攻击装备，以及告警的影响范围等因素综合评定，提供告警的危险等级,从高到低分为严重、高危、中危、低危、轻微共五级10、 支持实时推送与用户关注的资产相关的告警11、 告警内容包含不限于时间、资产IP、所属部门、事件类型、告警级别等12、 支持对告警按照资产所属、时间、事件类型等条件进行筛选、搜索数据分析交互式分析利用搜索、聚合、统计等交互式分析手段,结合载荷深度分析能力,对事件进行深入分析，寻找独立事件间的关联关系,挖掘事件中包含的重要线索，还

9、原攻击过程1、 支持从威胁的角度关联事件，如存在相同的威胁行为,具有相同的攻击来源，传输相同的恶意文件等2、 支持从脆弱性的角度关联事件，如利用相同的漏洞等3、 支持从异常的角度关联事件,如与相同的境外地址存在邮件通讯,非工作时间接入相同的移动设备等4、 支持从资产的角度关联事件，如危害相同的资产，具有相同的等级等5、 支持将分析过程中发现的可疑文件投放深度分析设备,同时建立文件深度分析任务,获取文件威胁检测结果与核心行为,作为后续深入分析的依据6、 支持通过标签、信标对事件进行聚合,对聚合结果提供地图、饼图、柱图等常规统计图表呈现，支持选择图表保存可视化分析对平台管理的资产与安全数据进行交互

10、式可视化管理，在三维空间展示组织结构拓扑，多图层标注资产威胁与隐患,并能够进行分析与响应操作1、 支持资产组织结构拓扑文件导入和手动绘制2、 支持可视化呈现资产告警情况3、 支持可视化呈现资产终端防护软件安装情况4、 支持可视化呈现资产响应情况，包括恶意代码清除、漏洞修复、文件全网追溯情况5、 支持全局资产搜索与定位6、 支持告警滚动提示，提供告警资产、原因,并能够开展研判操作7、 支持可视化呈现告警资产详细信息、告警原因详细信息，并能够针对不同原因开展响应操作2.2 预警系统预警系统对已经损害资产的安全事件或者可能使其他同类资产受损的安全事件做出预警.安全事件定级后需要进行预警级别匹配，预警

11、级别匹配后调用通报接口通报预警信息。安全情报系统以及密网也作为预警系统的间接来源.由安全情报系统发现存在对信息资产存在安全威胁的恶意代码，经研判发现可能对信息资产存在安全威胁.从而为用户系统提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害。对于不同级别的安全事件分别对应不同类型的预警流程，特别重大安全事件启动红色预警流程，重大安全事件启动橙色预警流程，较大安全事件启动黄色预警流程，一般安全事件启动蓝色预警流程.主要功能如下表所示：系统名称系统功能功能描述事件级别匹配安全事件管理系统推送的事件级别包括特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件，与这

12、些级别的事件对应的预警级别分别为红色预警、橙色预警、黄色预警、蓝色预警，同时能够支持手工录入信息。预案管理编制预警信息预警预案库包括有害程序预案、网络攻击预案、信息破坏预预案、信息内容安全预案、设备设施故障预案、灾害性事件及灾备预案、其他事件预案。根据预警事件的事件类型、预警级别（红色预警、橙色预警、黄色预警、蓝色预警）、事件名称、通报单位、通报人员、影响范围、通报范围等信息编制预警信息。添加、删除预案对于新建预案，添加到预案库中。也可从预案库中删除原有预案。修改预案安全事件管理系统更新了安全事件的相关信息(事件级别等）并发送到预警系统，则需要根据反馈信息修改原有预案，可人工录入也可系统自动更

13、新预案中的相关信息。经过人工审核后将预案推送给通报系统，保证通报预案的实时性与正确性。预案查询统计所有预案，根据预案的类型可对预案进行检索。预警管理信息录入信息录入含有两个来源：包括安全事件管理系统的推送及手工录入。预警审核根据录入的预警信息编制预警预案，在确认预案信息之前，需要进行预警信息审核，预案审核可由人工完成.审核结束后，预案状态为“已审核预案”。若审核未通过,需要明确强制终止原因，进行信息终止或重新编制预案。预警推送预警信息的发布都需要由通报系统进行下发。在事件风险得到控制，事件隐患已经消除 ；或已经采取了必要预防措施，事件不会再重复发生结合预警系统自身监控范围、平台内的各系统监测范

14、围及系统工具的检查情况，获取实时安全事件信息,判定安全事件是否仍然会对资产造成威胁，若不会再造成威胁则解除预警。解除预警信息再形成预案后推送给通报系统，由通报系统进行下发。预警发布部门或地区根据实际情况，确定是否解除预警，及时发布预警解除信息。预警信息变更手工录入手工录入预警信息，更新预警信息系统更新在所能监控到的范围内实时监控事件情况,密切关注事态发展，进而更新预警信息，有关预警信息变更及时通知各单位.统计查询分类查询在编制预案（包括在更新预案）待审核预案审核未通过需退回的预警事件已经发布的事件预警但未解除预警已经解除预警的安全事件反馈信息收集分析在预警解除后，根据预警过程中的使用的规范,预

15、警等级的判断等处理流程总结经验教训，更新已有预警预案.在发布预警时，是否出现预警延迟、误报等问题。3 网络安全通报系统针对具体安全事件和突发威胁提供通知、通报、预警等流程的建档、审批、在线离线通知等功能。并提供向安全门户和app的消息同步功能。n 支持通报范围选择,范围包括:全部、行业、区域等;n 支持手机端APP、安全门户两种通报方式选择;n 支持根据通报时间、通报类型、通知单位、事件类型、反馈情况进行统计；n 制定通报时,支持相似历史通报提示(例:根据通报单位、相似事件类型等）;n 支持用户根据实际需求自定义通报模板；n 通报发布前，可根据实际情况指定审批人员对发布内容和发布范围进行审核；

16、n 支持对通知下发的进度进行实时统计（进度：已反馈单位数量/通知单位总量）；n 系统实时更新通知反馈时间和通知反馈信息;n 支持通知过程全过程记录展示。系统名称系统功能功能点通报预警系统通报管理通报编辑通报分类通报导出通报范围选择通报方式选择通报统计相似历史通报提示模板管理模板编辑自定义模板模板推荐通报审批发布审批状态跟踪下发进度跟踪反馈信息提示通知轨迹4 网络安全管理系统4.1 安全检查系统安全检查系统(或安全考核系统）帮助用户完成安全自检和抽查任务，功能包含方案管理，安全自查、安全抽查和系统管理。检查辅助工具，通过制定自查任务模板，生成用于安全自查业务的自查结果填报工具，通过制定现场抽查任

17、务模板，生成用于安全抽查业务的检查结果填报工具,可将安全自查填报结果和安全抽查填报结果批量导入安全检查系统操作，可将用户通过填报工具界面，以多表单形式填报检查结果等。检查管理，通过界面将自查任务下发至指定单位,支持对检查单位进行分组管理，分组条件包括:地市分组、行业分组、单位分组。通过界面录入任务分配信息、抽查人员信息、抽查队伍信息、被检查单位联系方式信息、抽查结果信息.通过界面查看方案接收情况、自查表格填报情况、现场抽查完成情况，地区或具体单位检查工作完成情况。进度情况以进度条、环形图等图表方式在系统界面呈现。将检查发现的问题、报送数据发现的问题通过平台的预警通报系统,发送给责任单位等。检查

18、结果分析，提供以图表形式展示单位安全隐患数量、高危漏洞排序。通过界面选择查询条件和分组条件，并对查询结果以报表的方式进行在线查看和文件导出等.主要功能如下表所示:系统名称系统功能功能点安全检查系统安全自查自查信息管理方案导出任务创建任务下发进度跟踪消息提醒问题通报安全抽查抽查信息管理方案导出任务创建任务执行进度跟踪消息提醒问题通报填报工具离线填报工具在线填报信息管理模板管理方案管理单位管理信息审批发布审批检查结果分析单位威胁情况展示自定义报表统计问题整改统计4.2 安全管理系统安全管理系统通过协调人力与系统，对“重保(重大活动保障工作或重要时刻保卫工作)过程进行专有管理，实行对重保全过程实时监

19、测，紧急高危漏洞及时监测和防护，保障重要过程时期网络空间安全。并在“重保”过程结束后，支撑用户根据过程信息形成总结报告。主要功能如下表所示:系统名称系统功能功能点安全管理系统重要任务制定任务时间范围选择参与人员分工重保级别确定关注资产范围选择重保过程管理动态轨迹展示轨迹编辑轨迹导出总结报告管理总结报告素材管理总结报告编辑总结报告上传总结报告导出统计展示4.3 攻防系统网络安全攻防子平台的建设以虚拟化技术为基础,以课程内容为核心，集知识培训、技能训练、仿真演练、渗透测试、管理评价等业务功能于一体，为用户提供一个完整的，一体化的实训平台.在用户使用和学习过程中遇到问题时，安天将提供现场技术支持服务

20、，及时解决用户遇到的各类问题，保证实训效果，切实提升学习人员的技术能力。主要功能如下表所示：系统名称系统功能功能点攻防系统总览任务统计列表展示列表任务筛选查看任务详情实战任务管理实战任务统计实战任务展示新建实战任务修改任务详情删除实战任务实战任务导出研究任务管理研究任务统计研究任务展示新建研究任务修改研究详情删除实战任务研究任务导出课程学习我的课程课程检索课程列表排序课件浏览实验环境启动实验结果提交课程管理课程分类维护课程概括统计课程检索课程列表排序课程状态设置课程预览课程维护4.4 信息知识库创建、扩充网络安全工作相关信息知识库。信息知识库类别包括：各部门组织机构与人员结构库、法律法规库、备品备件库、处置工具库、信息系统库、技术专家库、案例库、应急预案库、威胁情报库等。利用信息知识库更好地支撑平台对于威胁的深度分析与综合研判，更加有效地实现基础资源的合理调动。主要功能如下表所示：系统名称系统功能功能点信息知识库系统视图管理属性编辑新增属性属性编辑新增属性数据导入初始信息库各部门组织机构库法律与标准库备品备件库信息系统库技术专家库案例库应急预案库处置工具库