省级安全管理平台
本系统是为省教育厅开展对高校、直属单位及地市教育局的安全管理平台,可以实现信息资产管理、网络安全监控、严重安全漏洞发现、安全通报、信息系统等级保护、安全检查、应急演练等工作的开展进行全面部署、工作过程监控及工作成果统计分析等。使得网络安全管理工作沟通渠道通畅、沟通效率提升,快速部署、快速反馈、快速响应,相关信息完备准确、数据更新及时、管理量化、规范化,同时为管理层在安全管理工作决策提供有力依据。
1网络信息资产管理系统
1.1信息资产管理
发现、获取与维护内网环境信息资产,建立档案统一管理,记录、维护资产的基本信息,跟踪资产安全情况,为决策分析提供数据支持。
⏹支持通过手工录入、被动监听两种方式获取资产信息;
⏹支持资产单条登记与批量导入,并提供资产导入模版;
⏹支持将资产按照信息设备、安全设备进行一级分类管理。信息设备下按照个人主机、服务器、打印机等,安全设备下按照PTD、IEP、IDS、防火墙等进行二级分类管理;
⏹支持将资产根据实际业务、归属单位等属性,按照从低到高1至5级进行分级管理;
⏹支持发现未登记资产,提供统一管理,支持手动登记;
⏹支持通过IP地址(段)、单位进行资产检索;
⏹支持单位信息管理;
⏹支持部门信息管理;
⏹支持绘制资产组织结构图,以资产拓扑的形式呈现。
1.2网站监测系统
网站监测系统利用终端探针采集服务日志,利用漏扫设备对网站的可用性、脆弱性、威胁性、篡改等方面进行安全检查。结合系统安全测评技术,实现网站的全面监测,及时发现网站存在的问题。
⏹对指定网站安全情况能够进行批量远程监测,检查内容包括:网页挂马监测、暗链监测、钓鱼监测、网页内容篡改监测、系统漏洞、web漏洞监测、弱口令监测、HTTP监测、DNS监测、PING监测、网站敏感词检测、内容篡改等。
⏹监控URL访问行为,并可阻断恶意URL访问行为。
主要功能如下表所示:
系统名称 | 功能 | 功能点 |
网站监测系统 | 监测日志 | 列表呈现 |
标签聚合 | ||
图表统计 | ||
人工标记 | ||
手动告警 | ||
统一告警 | 告警生成 | |
多场景 | ||
告警验证 | ||
响应下发 | ||
结果验证 | ||
人工发现分析 | ||
告警分析 | ||
风险事项 | 风险事项 | |
响应下发 | ||
响应设置 | 响应信息管理 | |
响应跟踪 | ||
结果验证 | ||
人工标记 | ||
报表报告 | 告警综合统计 | |
风险事项统计 | ||
响应处置统计 | ||
用户工作统计 | ||
安全报告 | ||
网站管理 | 网站信息管理 | |
重大安保 | 重保信息管理 | |
任务管理 | 日常监测任务 | |
重保监测任务 | ||
验证任务 | ||
任务配置 | ||
运行管理 | 运行状态管理 | |
运行环境管理 | ||
监控设备管理 | ||
1.3安全情报系统
安全情报系统的主要功能是对多种来源的安全情报进行收集、整理、管理以及存储。用户利用安全情报,同时结合平台其它系统功能,使得安全响应可以做到事先主动性的防御。事中可以及时发现及时阻断,减少损失。事后快速恢复业务,追踪攻击调查取证、清除攻击残留。
主要功能如下表所示:
系统名称 | 功能项 | 功能点 |
安全情报系统 | 情报收集 | 多种来源采集 |
多格式 | ||
预处理 | 数据标准化 | |
关键要素提取 | ||
安全情报融合 | ||
情报管理 | 情报信息管理 | |
情报监控、跟踪 | ||
情报查询 | ||
情报利用 | 生成匹配规则 | |
生成资讯、预警 | ||
历史威胁回溯 | ||
编写处置方案 | ||
2网络安全监控与预警系统
2.1安全监测与分析
安全监测与分析分为安全监测和数据分析两部分,安全监测模块负责威胁日志处理、脆弱性日志处理、系统安全状态画像、统一告警等功能。数据分析模块是系统安全分析能力的核心,是利用情报知识,对各类安全大数据开展人机结合的综合分析,以确定告警信息的受害范围、潜在受害范围、关键风险、处置策略、潜在风险以及关联事件或风险等。通过安全分析模块,还可以生成按需检测规则,最终实现同类威胁守候、已知威胁预防的安全分析作业,实现内网环境安全状态信息和安全事件状态的综合展示。
主要功能如下表所示:
系统名称 | 系统功能 | 功能描述 |
安全监测 | ||
威胁发现 | 及时发现网络环境中资产存在的威胁事件(如僵木蠕毒、C&C远控等)并定位到具体的资产 | 1、 支持恶意代码的自动发现,恶意代码类型包括木马、蠕虫、感染式病毒、黑客工具、风险软件、间谍软件、垃圾文件、测试文件八种,提供包含攻击类型、平台、家族的病毒名称 2、 支持C&C远程控制的自动发现,能够确认控制时长,发现远程控制端地址 3、 支持网络入侵行为的自动发现,能够入侵时间,发现入侵来源与目标 4、 能够获取并还原网络传输或者终端发现的恶意代码原始样本并支持下载 5、 能够确定威胁事件的影响范围:具体资产或者组织结构 |
脆弱性发现 | 及时发现网络环境中资产存在漏洞 | 6、 支持漏洞的自动发现,包括系统漏洞和软件漏洞,并提供相应补丁的下载地址 7、 能够确定存在漏洞的资产及其对应的组织结构 8、 事件内容包括不限于发现时间、资产IP、漏洞名称、漏洞类型、补丁编号、补丁描述,以一句话描述方式呈现 |
异常发现 | 及时发现网络环境中资产存在的异常行为 | 1、 支持设备或主机违规接入资产的自动发现 |
告警 | 以资产为核心归并各类安全设备告警日志,统一分类分级标准,生产高价值告警,实时提醒用户,同时提供告警详细信息 | 1、 支持恶意代码类型告警 2、 支持C&C远程控制类型告警 3、 支持网络入侵类型告警 4、 支持漏洞类型告警 5、 支持违规接入类型告警 6、 支持违规外联类型告警 7、 支持手动提交事件到告警 8、 能够以资产为核心归并告警,具体资产下据信标归并威胁、脆弱性或者异常行为 9、 能够按照告警中包含的事件类型、攻击手段、攻击资源、攻击装备,以及告警的影响范围等因素综合评定,提供告警的危险等级,从高到低分为严重、高危、中危、低危、轻微共五级 10、 支持实时推送与用户关注的资产相关的告警 11、 告警内容包含不限于时间、资产IP、所属部门、事件类型、告警级别等 12、 支持对告警按照资产所属、时间、事件类型等条件进行筛选、搜索 |
数据分析 | ||
交互式分析 | 利用搜索、聚合、统计等交互式分析手段,结合载荷深度分析能力,对事件进行深入分析,寻独立事件间的关联关系,挖掘事件中包含的重要线索,还原攻击过程 | 1、 支持从威胁的角度关联事件,如存在相同的威胁行为,具有相同的攻击来源,传输相同的恶意文件等 2、 支持从脆弱性的角度关联事件,如利用相同的漏洞等 3、 支持从异常的角度关联事件,如与相同的地址存在邮件通讯,非工作时间接入相同的移动设备等 4、 支持从资产的角度关联事件,如危害相同的资产,具有相同的等级等 5、 支持将分析过程中发现的可疑文件投放深度分析设备,同时建立文件深度分析任务,获取文件威胁检测结果与核心行为,作为后续深入分析的依据 6、 支持通过标签、信标对事件进行聚合,对聚合结果提供地图、饼图、柱图等常规统计图表呈现,支持选择图表保存 |
可视化分析 | 对平台管理的资产与安全数据进行交互式可视化管理,在三维空间展示组织结构拓扑,多图层标注资产威胁与隐患,并能够进行分析与响应操作 | 1、 支持资产组织结构拓扑文件导入和手动绘制 2、 支持可视化呈现资产告警情况 3、 支持可视化呈现资产终端防护软件安装情况 4、 支持可视化呈现资产响应情况,包括恶意代码清除、漏洞修复、文件全网追溯情况 5、 宁夏安全教育平台支持全局资产搜索与定位 6、 支持告警滚动提示,提供告警资产、原因,并能够开展研判操作 7、 支持可视化呈现告警资产详细信息、告警原因详细信息,并能够针对不同原因开展响应操作 |
2.2预警系统
发布评论