教育省级安全管理平台

2024年3月2日发(作者：跑出我人生电视剧)

省级安全管理平台

本系统是为省教育厅开展对高校、直属单位及地市教育局的安全管理平台，可以实现信息资产管理、网络安全监控、严重安全漏洞发现、安全通报、信息系统等级保护、安全检查、应急演练等工作的开展进行全面部署、工作过程监控及工作成果统计分析等。使得网络安全管理工作沟通渠道通畅、沟通效率提升，快速部署、快速反馈、快速响应，相关信息完备准确、数据更新及时、管理量化、规范化，同时为管理层在安全管理工作决策提供有力依据。

网络信息资产管理系统

1.1 信息资产管理

发现、获取与维护内网环境信息资产，建立档案统一管理，记录、维护资产的基本信息，跟踪资产安全情况，为决策分析提供数据支持。

 支持通过手工录入、被动监听两种方式获取资产信息；

 支持资产单条登记与批量导入，并提供资产导入模版；

 支持将资产按照信息设备、安全设备进行一级分类管理。信息设备下按照个人主机、服务器、打印机等，安全设备下按照PTD、IEP、IDS、防火墙等进行二级分类管理；

 支持将资产根据实际业务、归属单位等属性，按照从低到高1至5级进行分级管理；

 支持发现未登记资产，提供统一管理，支持手动登记；

 支持通过IP地址（段）、单位进行资产检索；

 支持单位信息管理；

 支持部门信息管理；

 支持绘制资产组织结构图，以资产拓扑的形式呈现。

1.2 网站监测系统

网站监测系统利用终端探针采集服务日志，利用漏扫设备对网站的可用性、脆弱性、威胁性、篡改等方面进行安全检查。结合系统安全测评技术，实现网站的全面监测，及时发现网站存在的问题。

 对指定网站安全情况能够进行批量远程监测，检查内容包括：网页挂

马监测、暗链监测、钓鱼监测、网页内容篡改监测、系统漏洞、web漏洞监测、弱口令监测、HTTP监测、DNS监测、PING监测、网站敏感词检测、内容篡改等。

 监控URL访问行为，并可阻断恶意URL访问行为。

主要功能如下表所示：

系统名称 功能 功能点

列表呈现

标签聚合

监测日志 图表统计

人工标记

手动告警

告警生成

多场景

告警验证

统一告警 响应下发

结果验证

人工发现分析

告警分析

风险事项

网站监测系统 风险事项

响应下发

响应信息管理

响应跟踪

响应设置

结果验证

人工标记

告警综合统计

风险事项统计

报表报告 响应处置统计

用户工作统计

安全报告

网站管理

重大安保

任务管理

网站信息管理

重保信息管理

日常监测任务

重保监测任务

验证任务

任务配置

运行状态管理

运行管理 运行环境管理

监控设备管理

1.3 安全情报系统

安全情报系统的主要功能是对多种来源的安全情报进行收集、整理、管理以及存储。用户利用安全情报，同时结合平台其它系统功能，使得安全响应可以做到事先主动性的防御。事中可以及时发现及时阻断，减少损失。事后快速恢复业务，追踪攻击调查取证、清除攻击残留。

主要功能如下表所示：

系统名称

安全情报系统

功能项

情报收集

功能点

多种来源采集

多格式

预处理 数据标准化

关键要素提取

安全情报融合

情报管理 情报信息管理

情报监控、跟踪

情报查询

情报利用 生成匹配规则

生成资讯、预警

历史威胁回溯

编写处置方案

网络安全监控与预警系统

2.1 安全监测与分析

安全监测与分析分为安全监测和数据分析两部分，安全监测模块负责威胁日志处理、脆弱性日志处理、系统安全状态画像、统一告警等功能。数据分析模块是系统安全分析能力的核心，是利用情报知识，对各类安全大数据开展人机结合的综合分析，以确定告警信息的受害范围、潜在受害范围、关键风险、处置策略、潜在风险以及关联事件或风险等。通过安全分析模块，还可以生成按需检测规则，最终实现同类威胁守候、已知威胁预防的安全分析作业，实现

内网环境安全状态信息和安全事件状态的综合展示。

主要功能如下表所示：

系统名称

安全监测

1、 支持恶意代码的自动发现，恶意代码类型包括木马、蠕虫、感染式病毒、黑客工具、风险软件、间谍软件、垃圾文件、测试文件八种，提供包含攻击类型、平台、家族及时发现网络环境中资产存在的威胁事件威胁发现 （如僵木蠕毒、C&C远控等）并定位到具体的资产

的病毒名称

2、 支持C&C远程控制的自动发现，能够确认控制时长，发现远程控制端地址

3、 支持网络入侵行为的自动发现，能够入侵时间，发现入侵来源与目标

4、 能够获取并还原网络传输或者终端发现的恶意代码原始样本并支持下载

5、 能够确定威胁事件的影响范围：具体资产或者组织结构

6、 支持漏洞的自动发现，包括系统漏洞和软件漏洞，并脆弱性发现

及时发现网络环境中资产存在漏洞

提供相应补丁的下载地址

7、 能够确定存在漏洞的资产及其对应的组织结构

8、 事件内容包括不限于发现时间、资产IP、漏洞名称、漏洞类型、补丁编号、补丁描述，以一句话描述方式呈现

异常发现

及时发现网络环境中资产存在的异常行为

1、 支持设备或主机违规接入资产的自动发现

1、 支持恶意代码类型告警

2、 支持C&C远程控制类型告警

3、 支持网络入侵类型告警

4、 支持漏洞类型告警

5、 支持违规接入类型告警

以资产为核心归并各类安全设备告警日志，统一分类分级标告警 准，生产高价值告警，实时提醒用户，同时提供告警详细信息

6、 支持违规外联类型告警

7、 支持手动提交事件到告警

8、 能够以资产为核心归并告警，具体资产下据信标归并威胁、脆弱性或者异常行为

9、 能够按照告警中包含的事件类型、攻击手段、攻击资源、攻击装备，以及告警的影响范围等因素综合评定，提供告警的危险等级，从高到低分为严重、高危、中危、低危、轻微共五级

10、 支持实时推送与用户关注的资产相关的告警

11、 告警内容包含不限于时间、资产IP、所属部门、事件类型、告警级别等

12、 支持对告警按照资产所属、时间、事件类型等条件进行筛选、搜索

数据分析

交互式分析

利用搜索、聚合、统1、 支持从威胁的角度关联事件，如存在相同的威胁行系统功能 功能描述

计等交互式分析手段，结合载荷深度分析能力，对事件进行深入分析，寻找独立事件间的关联关系，挖掘事件中包含的重要线索，还原攻击过程

为，具有相同的攻击来源，传输相同的恶意文件等

2、 支持从脆弱性的角度关联事件，如利用相同的漏洞等

3、 支持从异常的角度关联事件，如与相同的境外地址存在邮件通讯，非工作时间接入相同的移动设备等

4、 支持从资产的角度关联事件，如危害相同的资产，具有相同的等级等

5、 支持将分析过程中发现的可疑文件投放深度分析设备，同时建立文件深度分析任务，获取文件威胁检测结果与核心行为，作为后续深入分析的依据

6、 支持通过标签、信标对事件进行聚合，对聚合结果提供地图、饼图、柱图等常规统计图表呈现，支持选择图表保存

1、 支持资产组织结构拓扑文件导入和手动绘制

对平台管理的资产与安全数据进行交互式可视化管理，在三维可视化分析 空间展示组织结构拓扑，多图层标注资产威胁与隐患，并能够进行分析与响应操作

2、 支持可视化呈现资产告警情况

3、 支持可视化呈现资产终端防护软件安装情况

4、 支持可视化呈现资产响应情况，包括恶意代码清除、漏洞修复、文件全网追溯情况

5、 支持全局资产搜索与定位

6、 支持告警滚动提示，提供告警资产、原因，并能够开展研判操作

7、 支持可视化呈现告警资产详细信息、告警原因详细信息，并能够针对不同原因开展响应操作

2.2 预警系统

预警系统对已经损害资产的安全事件或者可能使其他同类资产受损的安全事件做出预警。安全事件定级后需要进行预警级别匹配，预警级别匹配后调用通报接口通报预警信息。

安全情报系统以及密网也作为预警系统的间接来源。由安全情报系统发现存在对信息资产存在安全威胁的恶意代码，经研判发现可能对信息资产存在安全威胁。从而为用户系统提高应对网络安全事件能力，预防和减少网络安全事件造成的损失和危害。对于不同级别的安全事件分别对应不同类型的预警流程，特别重大安全事件启动红色预警流程，重大安全事件启动橙色预警流程，较大安全事件启动黄色预警流程，一般安全事件启动蓝色预警流程。

主要功能如下表所示：

系统名称 系统功能 功能描述

安全事件管理系统推送的事件级别包括特别重大网络安全事事件级别匹配

件、重大网络安全事件、较大网络安全事件、一般网络安全事件，与这些级别的事件对应的预警级别分别为红色预警、橙色预警、黄色预警、蓝色预警，同时能够支持手工录入信息。

预警预案库包括有害程序预案、网络攻击预案、信息破坏预预案、信息内容安全预案、设备设施故障预案、灾害性事件及灾编制预警信息

备预案、其他事件预案。根据预警事件的事件类型、预警级别（红色预警、橙色预警、黄色预警、蓝色预警）、事件名称、通报单位、通报人员、影响范围、通报范围等信息编制预警信息。

添加、删除预案

对于新建预案，添加到预案库中。也可从预案库中删除原有预案。

安全事件管理系统更新了安全事件的相关信息（事件级别等）并发送到预警系统，则需要根据反馈信息修改原有预案，可人工录修改预案

入也可系统自动更新预案中的相关信息。经过人工审核后将预案推送给通报系统，保证通报预案的实时性与正确性。

预案查询

信息录入

统计所有预案，根据预案的类型可对预案进行检索。

信息录入含有两个来源：包括安全事件管理系统的推送及手工录入。

根据录入的预警信息编制预警预案，在确认预案信息之前，需预警审核

要进行预警信息审核，预案审核可由人工完成。审核结束后，预案状态为“已审核预案”。若审核未通过，需要明确强制终止原因，进行信息终止或重新编制预案。

预警管理

预警信息的发布都需要由通报系统进行下发。在

事件风险得到控制，事件隐患已经消除 ；或已经采取了必要预防措施，事件不会再重复发生结合预警系统自身监控范围、平预警推送

台内的各系统监测范围及系统工具的检查情况，获取实时安全事件信息，判定安全事件是否仍然会对资产造成威胁，若不会再造成威胁则解除预警。解除预警信息再形成预案后推送给通报系统，由通报系统进行下发。预警发布部门或地区根据实际情况，确定是否解除预警，及时发布预警解除信息。

手工录入

预警信息变更

系统更新

手工录入预警信息，更新预警信息

在所能监控到的范围内实时监控事件情况，密切关注事态发展，进而更新预警信息，有关预警信息变更及时通知各单位。

在编制预案（包括在更新预案）

待审核预案

分类查询

统计查询

审核未通过需退回的预警事件

已经发布的事件预警但未解除预警

已经解除预警的安全事件

在预警解除后，根据预警过程中的使用的规范，预警等级的判反馈信息收集分析 断等处理流程总结经验教训，更新已有预警预案。在发布预警时，是否出现预警延迟、误报等问题。

预案管理

网络安全通报系统

针对具体安全事件和突发威胁提供通知、通报、预警等流程的建档、审

批、在线离线通知等功能。并提供向安全门户和app的消息同步功能。

 支持通报范围选择，范围包括：全部、行业、区域等；

 支持手机端APP、安全门户两种通报方式选择；

 支持根据通报时间、通报类型、通知单位、事件类型、反馈情况进行统计；

 制定通报时，支持相似历史通报提示（例：根据通报单位、相似事件类型等）；

 支持用户根据实际需求自定义通报模板；

 通报发布前，可根据实际情况指定审批人员对发布内容和发布范围进行审核；

 支持对通知下发的进度进行实时统计（进度：已反馈单位数量/通知单位总量）；

 系统实时更新通知反馈时间和通知反馈信息；

 支持通知过程全过程记录展示。

系统名称 系统功能 功能点

通报编辑

通报分类

通报导出

通报管理 通报范围选择

通报方式选择

通报统计

相似历史通报提示

通报预警系统

模板编辑

模板管理 自定义模板

模板推荐

通报审批 发布审批

下发进度跟踪

状态跟踪 反馈信息提示

通知轨迹

网络安全管理系统

4.1 安全检查系统

安全检查系统（或安全考核系统）帮助用户完成安全自检和抽查任务，功能包含方案管理，安全自查、安全抽查和系统管理。

检查辅助工具，通过制定自查任务模板，生成用于安全自查业务的自查结果填报工具，通过制定现场抽查任务模板，生成用于安全抽查业务的检查结果填报工具，可将安全自查填报结果和安全抽查填报结果批量导入安全检查系统操作，可将用户通过填报工具界面，以多表单形式填报检查结果等。

检查管理，通过界面将自查任务下发至指定单位，支持对检查单位进行分组管理，分组条件包括：地市分组、行业分组、单位分组。通过界面录入任务分配信息、抽查人员信息、抽查队伍信息、被检查单位联系方式信息、抽查结果信息。通过界面查看方案接收情况、自查表格填报情况、现场抽查完成情况，地区或具体单位检查工作完成情况。进度情况以进度条、环形图等图表方式在系统界面呈现。将检查发现的问题、报送数据发现的问题通过平台的预警通报系统，发送给责任单位等。

检查结果分析，提供以图表形式展示单位安全隐患数量、高危漏洞排序。通过界面选择查询条件和分组条件，并对查询结果以报表的方式进行在线查看和文件导出等。

主要功能如下表所示：

系统名称 系统功能 功能点

自查信息管理

方案导出

任务创建

安全自查

任务下发

进度跟踪

安全检查系统

消息提醒

问题通报

抽查信息管理

安全抽查

方案导出

任务创建

任务执行

进度跟踪

消息提醒

问题通报

填报工具

离线填报工具

在线填报

模板管理

信息管理 方案管理

单位管理

信息审批 发布审批

单位威胁情况展示

检查结果分析 自定义报表统计

问题整改统计

4.2 安全管理系统

安全管理系统通过协调人力与系统，对“重保”（重大活动保障工作或重要时刻保卫工作）过程进行专有管理，实行对重保全过程实时监测，紧急高危漏洞及时监测和防护，保障重要过程时期网络空间安全。并在“重保”过程结束后，支撑用户根据过程信息形成总结报告。

主要功能如下表所示：

系统名称 系统功能 功能点

任务时间范围选择

参与人员分工

重要任务制定

重保级别确定

关注资产范围选择

动态轨迹展示

重保过程管理

安全管理系统

轨迹导出

总结报告素材管理

总结报告编辑

总结报告管理

总结报告上传

总结报告导出

统计展示

轨迹编辑

4.3 攻防系统

网络安全攻防子平台的建设以虚拟化技术为基础，以课程内容为核心，集

知识培训、技能训练、仿真演练、渗透测试、管理评价等业务功能于一体，为用户提供一个完整的，一体化的实训平台。在用户使用和学习过程中遇到问题时，安天将提供现场技术支持服务，及时解决用户遇到的各类问题，保证实训效果，切实提升学习人员的技术能力。

主要功能如下表所示：

系统名称

攻防系统

系统功能

总览

功能点

任务统计

列表展示

列表任务筛选

查看任务详情

实战任务管理 实战任务统计

实战任务展示

新建实战任务

修改任务详情

删除实战任务

实战任务导出

研究任务管理 研究任务统计

研究任务展示

新建研究任务

修改研究详情

删除实战任务

研究任务导出

课程学习 我的课程

课程检索

课程列表排序

课件浏览

实验环境启动

实验结果提交

课程管理 课程分类维护

课程概括统计

课程检索

课程列表排序

课程状态设置

课程预览

课程维护

4.4 信息知识库

创建、扩充网络安全工作相关信息知识库。信息知识库类别包括：各部门组织机构与人员结构库、法律法规库、备品备件库、处置工具库、信息系统

库、技术专家库、案例库、应急预案库、威胁情报库等。利用信息知识库更好地支撑平台对于威胁的深度分析与综合研判，更加有效地实现基础资源的合理调动。

主要功能如下表所示：

系统名称 系统功能 功能点

属性编辑

新增属性

视图管理 属性编辑

新增属性

数据导入

各部门组织机构库

信息知识库系统 法律与标准库

备品备件库

初始信息库

信息系统库

技术专家库

案例库

应急预案库

处置工具库