《XX学院网络安全运营数字沙盘项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX学院网络安全运营数字沙盘项目采购需求.docx(21页珍藏版)》请在第一文库网上搜索。
1、XX学院网络安全运营数字沙盘项目采购需求一、项目概况网络安全工作是“三分靠技术、七分靠管理”。安全管理流程的落地质量直接关系组织网络安全建设的效果;安全事件发生时,如果缺乏合理的流程,安全检测、安全分析、安全处置和应急响应工作流程不清晰和不系统最终对于组织业务不利。往往组织的安全运营工作缺乏可视化在线流程体系的支撑,工作经验和数据无法沉淀在系统中,使得组织的安全运营能力无法得到提升。因此需要通过本次项目打磨出适合组织的安全运营流程,能够让组织各部门协同起来,有条不紊应对各类网络安全事件,让安全运营工作在线流程系统上执行起来,不断沉淀经验、不断沉淀数据和不断优化流程,最终提升网络安全的建设效果。
2、XX学院管理与信息学院与国内一线安全厂商达成战略合作,结合学院数字安全专业群建设规划,校企双方共同重点打造数字安全产业学院。依托双方共建的产业学院平台,结合共建学校的发展规划和业务需求,发挥双方各自优势,实现校企资源共享,双方共同制定人才培养方案、合理设置教学计划和开发具有学校特色的实用课程,把产业学院打造成数字安全行业产教融合的新型育人平台、产业研究基地、学生创新创业实践基地,成为合作学校的人才培训中心和研究中心。网络安全教学靶场实训室能够满足信息安全应用技术学生日常教学和实训教学的需求,提升他们的专业技术能力。建设网络安全联合运营数字沙盘,有助于有机整合专家化运营能力、标准化操作流程、智能
3、化运营平台、场景化运营数据等资源,为学生提供模拟常态化的覆盖资产管理、风险检测、威胁监测、事件处置等服务,与用户协同构建持续、主动、闭环的网络安全运营体系模型环境,助力实现安全风险可控、安全能力提升、安全价值可视的三维学习实训环境。通过建设网络安全运营数字沙盘,结合优秀的培训教学教材,不断提升办学水平,对学校科研、教学的实现和完善具有重要意义;通过校企合作,促进产学研一体化、促进科研成果转化并最终成为生产力;通过平台提供的教学和实训,提高学校的竞争力和学生的实践能力;通过平台的搭建,响应国家的战略规划要求和政策,有利于提升学校的品牌。通过建设网络安全运营数字沙盘,通过专业、全面的教学资源辅助教
4、师教学,提升教师师资水平,提供课程自主创建的平台,利于教师进行课程开发、日常备课及授课;方便教师对学员实验过程进行把控,提升教学质量;提供教学管理,方便教师对学生进行管理,提高教学效率;通过平台统计分析系统,提升教师对学生能力的掌握度,更合理的为学生做后续学习规划。通过建设网络安全运营数字沙盘,可提供真实的网络环境,从基础运营服务入手,培养发掘网络安全人才,进行深度培养、复合型人才培养,专业学员组成本地安全专家池,建立区域/行业级网络安全托管运营数字沙盘,集中为区域/行业用户提供远程、持续的业务安全监控,并在过程中持续迭代服务知识库,全方位全天候监测预警网络安全风险,通报处置闭环网络安全事件,
5、最总形成产教学研用闭环的安全托管式运营数字沙盘团队;通过岗位化的培训,让学生提前接触不同岗位所需的课程和技能,为明确个人未来发展方向提供帮助;通过场景化的学习,真正提高了学生的信息安全技能和实战能力;使学生在毕业时扩大了择业的范围,可以从事网络技术工程师、网络管理员、信息安全工程师、安全管理员等网络技术类职业,提高学生的就业率。二、采购清单序号货物名称数量单位1平台软件1套三、技术需求(-)资产探测平台具备通过主动探测方式发现存活的资产,探测维度包括网站主域名钻取探测、IP/IP段扫描探测、Web探测,用户自定义探测周期及资产入库方式,入库方式包括自动入库和二次人工确认后入库;自定义配置资产探
6、测速率和探测端口范围,设置全端口探测能力,系统内置不少于3种常用端口标准模版供用户自主选择使用;探测资产指纹并提取相关信息,包括但不限于指纹名称、供应商、供应商UR1;探测资产状态,对资产状态进行实时监控,展示资产存活信息、web资产访问状态码信息、主机资产在线情况信息;针对某一组织单位配置对应的IP范围,在该范围内扫描发现的资产自动归属到该单位目录下。(二)资产管理平台资产导入、导出;对资产进行标定,标定内容包括:资产名称、重要程度、资产类型、IP地址、是否互联网暴露、资产类型;对资产进行分组,可通过资产标签对资产划分资产组;对资产进行打标,至少30种类扫描器标签的识别;可对资产增加自定义标
7、签。根据Web资产、主机资产、域名资产和端口资产进行分类,展示资产具体信息,包括但不限于资产名称、资产类型、资产重要等级、资产等保级别、资产互联网暴露情况、检出时间等信息。管理资产归属信息,通过将资产与单位、人员、地域、业务系统进行关联,明确资产归属和管理责任。提供标准资产数据接口,将收集的资产信息同步至其他安全分析平台进行分析和展示。(三)资产扫描器平台资产扫描器的类型识别:(1)根据告警内容,识别出扫描器的类型,什么扫描器;(2)在MSS告警中输出扫描器的类型标签;(3)效果论证,影响论证,可落地验证。(四)漏洞优先级平台根据漏洞的所在资产重要程度、资产互联网暴露情况、漏洞利用难度、漏洞披
8、露事件、漏洞利用后果、漏洞危险等级综合判定当前漏洞优先级得分。(五)漏洞和弱口令管理Web漏洞扫描能力,对能力范围内的Web系统漏洞进行扫描检测,包括SQ1注入漏洞、跨站脚本漏洞、开放能力漏洞、网站第三方应用漏洞、隐藏字段、表单绕过、框架注入、Oday漏洞等。大规模网站漏洞扫描能力。主机漏洞扫描能力,对能力范围内的主机进行漏洞扫描检测,扫描结果包括漏洞详情、影响端口、影响能力、漏洞编号等信息并能提供漏洞的修复建议,漏洞知识库需与国际CVE、国内CNNVD漏洞库标准兼容。弱口令扫描能力,对能力范围内的资产进行弱口令检测,对SMB.RDP、SSH.TE1NET、FTP、SMTP、IMAP、PoP3
9、、MySQ1、MSSQ1、RED1S等协议进行弱口令扫描。提供安全事件监测能力,对能力范围内的Web资产提供包括暗链、挂马、黑页、挖矿脚本、WebShe11、坏链在内的安全事件监测。内容风险监测能力,对能力范围内的Web资产提供包括身份证信息、敏感内容、错别字、不良信息在内的内容风险监测。Nday漏洞扫描能力,对能力单位内的资产进行NDay漏洞扫描监测。风险+V能力,自动对发现的安全风险进行判断,对高置信度的安全风险进行+V标记,减少判断漏洞/事件需要的工作量。风险数据对接能力,通过能力平台将发现的安全风险信息同步至其他安全分析平台进行分析和展示。自定义扫描参数和自定义扫描策略并生成固定的漏洞
10、扫描模板;扫描黑名单配置,已配置黑名单的Web资产和主机资产不会被扫描;对安全事件进行扫描监测并自定义设置扫描层数。(六)威胁情报入站攻击攻击源威胁情报识别:“数据流向”为“外访问内”的告警,在“源IP”后打上威胁情报命中标签,点击详情可查看该IP的“威胁情报信息”,包含:威胁类型、威胁子类、确信度、威胁等级、标签、最早发现时间、最近更新时间。出站攻击目标IP或域名威胁情报识别:“数据流向”为“内访问外”的告警,在“源IP/域名”后打上威胁情报命中标签,点击详情,可查看该IP/域名的“威胁情报信息”,包含:威胁类型、威胁子类、确信度、威胁等级、标签、最早发现时间、最近更新时间。恶意文件威胁情报
11、:对于恶意文件,根据文件哈希对文件进行威胁识别,生成威胁情报信息,包含:威胁类型、威胁子类、确信度、威胁等级、标签、发现时间、更新时间。(七)暴露面管理暴露面扫描功能;可查看域名、IP暴露面、攻击面;可查看暴露面IP、端口、归属地、状态码、命中指纹、响应报文;可查看、导出暴露面检测报告;可检查暴露面的POC命中数。子域名分析能力:子域名搜集模块DNS暴力枚举、多种引擎、威胁情报、DNS数据集、IP反查等能力进行子域名的探测,返回子域名的结果信息。IP段分析:IP段探测,利用网络空间引擎,获取目标的IP段目标的资产、开放端口、服务、指纹信息、应用的暴露的互联网资产情况信息;敏感信息分析:对git
12、hub泄露、微信资产探测分析,能对github的泄露代码、移动端开通的微信公众号等进行分析,发现这类暴露在互联网的敏感信息。(八)分析模型可创建威胁分析模型;可创建规则模型、统计模型、关联模型;可设置全局分析模型和自定义分析模型;可设置学校白名单,通过白名单过滤相关告警。规则模型构建:(1)定义规则条件:根据业务需求和安全要求,定义规则条件,例如特定的日志模式、关键词匹配、异常事件等;(2)确定告警策略:定义租户关注的规则组策略,确定租户规则的优先级高于全局规则;(3)置信度排序:为规则设定置信度评级,以便在告警时按照置信度对规则进行排序。统计模型:(1)聚合数据分析:对收集到的数据进行聚合,
13、例如按时间、区域、用户等进行统计分析;(2)规则匹配:定义统计模型规则,对聚合数据进行规则匹配,找出符合条件的统计结果;(3)告警输出:将匹配结果进行告警输出,并根据需要修改原始数据中的a1armName,以标识不同的统计模型。关联模型:预定义事件关系:根据已知的事件关联关系,建立预定义的关联模型规则;事件匹配:根据关联规则对收集到的事件数据进行匹配,找出相关事件;告警处理:对匹配结果进行告警输出,以识别可能的关联事件和潜在威胁。(九)策略编排规则模型策略编排:(1)定义规则条件:根据安全需求和业务场景,建立规则条件,例如检测异常登录、敏感数据访问等;(2)租户关注规则组:允许租户定义关注的规
14、则组,这些规则组将优先于全局规则进行筛选;(3)置信度排序:为每个规则设定置信度评级,以便在告警时按照置信度排序,确保高置信度的规则优先考虑。统计模型策略编排:(1)聚合数据分析:对日志数据进行聚合分析,例如按时间窗口内的登录失败次数、特定IP的访问频率等。(2)统计规则定义:制定统计模型规则,例如基于聚合数据匹配的异常访问模式、异常请求量等。(3)告警输出和标识:将匹配的统计结果进行告警输出,并根据统计模型类型修改a1armName,以区分不同的统计模型告警。关联模型策略编排:(1)预定义事件关系:建立预定义的事件关联规则,例如识别账号泄露、横向移动等。(2)事件匹配和分析:对事件日志进行关
15、联匹配分析,找出与预定义关系相关的事件。(3)告警和响应:对匹配的关联事件进行告警输出,并采取相应的安全响应措施,例如阻断访问、重置密码等。该数据安全策略方案结合规则模型、统计模型和关联模型,能够有效地检测和应对安全威胁。租户关注的规则组、置信度排序以及告警输出的标识,提高了规则模型的灵活性和可定制性。统计模型通过聚合分析和告警输出,能够发现异常行为和模式。关联模型则帮助识别事件之间的关系,及时发现潜在的安全风险。整体策略方案有助于提升数据安全性,并快速响应和处理安全事件。(十)邮件安全监测邮件内容采集:邮件采集imap和kafka传输。邮件内容采集开关和持久化存储,邮件用Min1O将接收,解
16、析后将邮件数据传到kafka,经规则模型分析后在输出分析检测结果。离线邮件检测:离线邮件邮件em1文件用MinIo将接收,解析后将邮件数据传到kafka,引擎检测完成后由kafka回传邮件检测结果给学校。邮箱暴露面治理及弱口令账户识别:探测企业暴露的邮箱账户,被动方式实现活跃邮箱账户的采集及暴露面管理。识别邮箱账户的弱口令、安全配置等防护弱点,进行邮箱弱口令识别。邮件监测算法:(1)行为算法识别仿冒用户、仿冒域名等身份伪造行为,仿冒用户、仿冒域名可信识别数占该算法检出率的50%及以上;(2)特征算法:算法能有效识别邮件内的恶意信息,识别准确率90%以上。邮件威胁情报能力:邮件威胁情报包括但不限于UR1、域名、恶意文件hash、邮箱地址、恶意QQ、恶意IP、恶意手机号、恶意图片等信息,能够对接中资情报系统实现情报检索和输出。邮件内容关联