網(wǎng)絡(luò)安全運(yùn)營(yíng)數(shù)字沙盤需求說明

網(wǎng)絡(luò)安全運(yùn)營(yíng)數(shù)字沙盤需求說明一、項(xiàng)目概況網(wǎng)絡(luò)安全工作是“三分靠技術(shù)、七分靠管理”。安全管理流程的落地質(zhì)量直接關(guān)系組織網(wǎng)絡(luò)安全建設(shè)的效果；安全事件發(fā)生時(shí)，如果缺乏合理的流程，安全檢測(cè)、安全分析、安全處置和應(yīng)急響應(yīng)工作流程不清晰和不系統(tǒng)最終對(duì)于組織業(yè)務(wù)不利。往往組織的安全運(yùn)營(yíng)工作缺乏可視化在線流程體系的支撐，工作經(jīng)驗(yàn)和數(shù)據(jù)無法沉淀在系統(tǒng)中，使得組織的安全運(yùn)營(yíng)能力無法得到提升。因此需要通過本次項(xiàng)目打磨出適合組織的安全運(yùn)營(yíng)流程，能夠讓組織各部門協(xié)同起來，有條不紊應(yīng)對(duì)各類網(wǎng)絡(luò)安全事件，讓安全運(yùn)營(yíng)工作在線流程系統(tǒng)上執(zhí)行起來，不斷沉淀經(jīng)驗(yàn)、不斷沉淀數(shù)據(jù)和不斷優(yōu)化流程，最終提升網(wǎng)絡(luò)安全的建設(shè)效果。建設(shè)網(wǎng)絡(luò)安全聯(lián)合運(yùn)營(yíng)數(shù)字沙盤，有助于有機(jī)整合專家化運(yùn)營(yíng)能力、標(biāo)準(zhǔn)化操作流程、智能化運(yùn)營(yíng)平臺(tái)、場(chǎng)景化運(yùn)營(yíng)數(shù)據(jù)等資源，為學(xué)生提供模擬常態(tài)化的覆蓋資產(chǎn)管理、風(fēng)險(xiǎn)檢測(cè)、威脅監(jiān)測(cè)、事件處置等服務(wù)，與用戶協(xié)同構(gòu)建持續(xù)、主動(dòng)、閉環(huán)的網(wǎng)絡(luò)安全運(yùn)營(yíng)體系模型環(huán)境，助力實(shí)現(xiàn)安全風(fēng)險(xiǎn)可控、安全能力提升、安全價(jià)值可視的三維學(xué)習(xí)實(shí)訓(xùn)環(huán)境。通過建設(shè)網(wǎng)絡(luò)安全運(yùn)營(yíng)數(shù)字沙盤，結(jié)合優(yōu)秀的培訓(xùn)教學(xué)教材，不斷提升辦學(xué)水平，對(duì)學(xué)校科研、教學(xué)的實(shí)現(xiàn)和完善具有重要意義；通過校企合作，促進(jìn)產(chǎn)學(xué)研一體化、促進(jìn)科研成果轉(zhuǎn)化并最終成為生產(chǎn)力；通過平臺(tái)提供的教學(xué)和實(shí)訓(xùn)，提高學(xué)校的競(jìng)爭(zhēng)力和學(xué)生的實(shí)踐能力；通過平臺(tái)的搭建，響應(yīng)國(guó)家的戰(zhàn)略規(guī)劃要求和政策，有利于提升學(xué)校的品牌。通過建設(shè)網(wǎng)絡(luò)安全運(yùn)營(yíng)數(shù)字沙盤，通過專業(yè)、全面的教學(xué)資源輔助教師教學(xué)，提升教師師資水平，提供課程自主創(chuàng)建的平臺(tái)，利于教師進(jìn)行課程開發(fā)、日常備課及授課；方便教師對(duì)學(xué)員實(shí)驗(yàn)過程進(jìn)行把控，提升教學(xué)質(zhì)量；提供教學(xué)管理，方便教師對(duì)學(xué)生進(jìn)行管理，提高教學(xué)效率；通過平臺(tái)統(tǒng)計(jì)分析系統(tǒng)，提升教師對(duì)學(xué)生能力的掌握度，更合理的為學(xué)生做后續(xù)學(xué)習(xí)規(guī)劃。通過建設(shè)網(wǎng)絡(luò)安全運(yùn)營(yíng)數(shù)字沙盤，可提供真實(shí)的網(wǎng)絡(luò)環(huán)境，從基礎(chǔ)運(yùn)營(yíng)服務(wù)入手，培養(yǎng)發(fā)掘網(wǎng)絡(luò)安全人才，進(jìn)行深度培養(yǎng)、復(fù)合型人才培養(yǎng)，專業(yè)學(xué)員組成本地安全專家池，建立區(qū)域/行業(yè)級(jí)網(wǎng)絡(luò)安全托管運(yùn)營(yíng)數(shù)字沙盤，集中為區(qū)域/行業(yè)用戶提供遠(yuǎn)程、持續(xù)的業(yè)務(wù)安全監(jiān)控，并在過程中持續(xù)迭代服務(wù)知識(shí)庫(kù)，全方位全天候監(jiān)測(cè)預(yù)警網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，通報(bào)處置閉環(huán)網(wǎng)絡(luò)安全事件，最總形成產(chǎn)教學(xué)研用閉環(huán)的安全托管式運(yùn)營(yíng)數(shù)字沙盤團(tuán)隊(duì)；通過崗位化的培訓(xùn)，讓學(xué)生提前接觸不同崗位所需的課程和技能，為明確個(gè)人未來發(fā)展方向提供幫助；通過場(chǎng)景化的學(xué)習(xí)，真正提高了學(xué)生的信息安全技能和實(shí)戰(zhàn)能力；使學(xué)生在畢業(yè)時(shí)擴(kuò)大了擇業(yè)的范圍，可以從事網(wǎng)絡(luò)技術(shù)工程師、網(wǎng)絡(luò)管理員、信息安全工程師、安全管理員等網(wǎng)絡(luò)技術(shù)類職業(yè)，提高學(xué)生的就業(yè)率。二、需求清單序號(hào)貨物名稱數(shù)量單位1平臺(tái)軟件1套三、技術(shù)需求1、資產(chǎn)探測(cè)平臺(tái)具備通過主動(dòng)探測(cè)方式發(fā)現(xiàn)存活的資產(chǎn)，探測(cè)維度包括網(wǎng)站主域名鉆取探測(cè)、IP/IP段掃描探測(cè)、Web探測(cè)，用戶自定義探測(cè)周期及資產(chǎn)入庫(kù)方式，入庫(kù)方式包括自動(dòng)入庫(kù)和二次人工確認(rèn)后入庫(kù)；自定義配置資產(chǎn)探測(cè)速率和探測(cè)端口范圍，設(shè)置全端口探測(cè)能力，系統(tǒng)內(nèi)置不少于3種常用端口標(biāo)準(zhǔn)模版供用戶自主選擇使用；探測(cè)資產(chǎn)指紋并提取相關(guān)信息，包括但不限于指紋名稱、供應(yīng)商、供應(yīng)商URL；探測(cè)資產(chǎn)狀態(tài)，對(duì)資產(chǎn)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，展示資產(chǎn)存活信息、web資產(chǎn)訪問狀態(tài)碼信息、主機(jī)資產(chǎn)在線情況信息；針對(duì)某一組織單位配置對(duì)應(yīng)的IP范圍，在該范圍內(nèi)掃描發(fā)現(xiàn)的資產(chǎn)自動(dòng)歸屬到該單位目錄下。2、資產(chǎn)管理平臺(tái)資產(chǎn)導(dǎo)入、導(dǎo)出；對(duì)資產(chǎn)進(jìn)行標(biāo)定，標(biāo)定內(nèi)容包括：資產(chǎn)名稱、重要程度、資產(chǎn)類型、IP地址、是否互聯(lián)網(wǎng)暴露、資產(chǎn)類型；對(duì)資產(chǎn)進(jìn)行分組，可通過資產(chǎn)標(biāo)簽對(duì)資產(chǎn)劃分資產(chǎn)組；對(duì)資產(chǎn)進(jìn)行打標(biāo)，至少30種類掃描器標(biāo)簽的識(shí)別；可對(duì)資產(chǎn)增加自定義標(biāo)簽。根據(jù)Web資產(chǎn)、主機(jī)資產(chǎn)、域名資產(chǎn)和端口資產(chǎn)進(jìn)行分類，展示資產(chǎn)具體信息，包括但不限于資產(chǎn)名稱、資產(chǎn)類型、資產(chǎn)重要等級(jí)、資產(chǎn)等保級(jí)別、資產(chǎn)互聯(lián)網(wǎng)暴露情況、檢出時(shí)間等信息。管理資產(chǎn)歸屬信息，通過將資產(chǎn)與單位、人員、地域、業(yè)務(wù)系統(tǒng)進(jìn)行關(guān)聯(lián)，明確資產(chǎn)歸屬和管理責(zé)任。提供標(biāo)準(zhǔn)資產(chǎn)數(shù)據(jù)接口，將收集的資產(chǎn)信息同步至其他安全分析平臺(tái)進(jìn)行分析和展示。3、資產(chǎn)掃描器平臺(tái)資產(chǎn)掃描器的類型識(shí)別：（1）根據(jù)告警內(nèi)容，識(shí)別出掃描器的類型，什么掃描器；（2）在MSS告警中輸出掃描器的類型標(biāo)簽；（3）效果論證，影響論證，可落地驗(yàn)證。4、漏洞優(yōu)先級(jí)平臺(tái)根據(jù)漏洞的所在資產(chǎn)重要程度、資產(chǎn)互聯(lián)網(wǎng)暴露情況、漏洞利用難度、漏洞披露事件、漏洞利用后果、漏洞危險(xiǎn)等級(jí)綜合判定當(dāng)前漏洞優(yōu)先級(jí)得分。5、漏洞和弱口令管理Web漏洞掃描能力，對(duì)能力范圍內(nèi)的Web系統(tǒng)漏洞進(jìn)行掃描檢測(cè)，包括SQL注入漏洞、跨站腳本漏洞、開放能力漏洞、網(wǎng)站第三方應(yīng)用漏洞、隱藏字段、表單繞過、框架注入、0day漏洞等。大規(guī)模網(wǎng)站漏洞掃描能力。主機(jī)漏洞掃描能力，對(duì)能力范圍內(nèi)的主機(jī)進(jìn)行漏洞掃描檢測(cè)，掃描結(jié)果包括漏洞詳情、影響端口、影響能力、漏洞編號(hào)等信息并能提供漏洞的修復(fù)建議，漏洞知識(shí)庫(kù)需與國(guó)際CVE、國(guó)內(nèi)CNNVD漏洞庫(kù)標(biāo)準(zhǔn)兼容。弱口令掃描能力，對(duì)能力范圍內(nèi)的資產(chǎn)進(jìn)行弱口令檢測(cè)，對(duì)SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS等協(xié)議進(jìn)行弱口令掃描。提供安全事件監(jiān)測(cè)能力，對(duì)能力范圍內(nèi)的Web資產(chǎn)提供包括暗鏈、掛馬、黑頁(yè)、挖礦腳本、webshell、壞鏈在內(nèi)的安全事件監(jiān)測(cè)。內(nèi)容風(fēng)險(xiǎn)監(jiān)測(cè)能力，對(duì)能力范圍內(nèi)的web資產(chǎn)提供包括身份證信息、敏感內(nèi)容、錯(cuò)別字、不良信息在內(nèi)的內(nèi)容風(fēng)險(xiǎn)監(jiān)測(cè)。Nday漏洞掃描能力，對(duì)能力單位內(nèi)的資產(chǎn)進(jìn)行NDay漏洞掃描監(jiān)測(cè)。風(fēng)險(xiǎn)+V能力，自動(dòng)對(duì)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)進(jìn)行判斷，對(duì)高置信度的安全風(fēng)險(xiǎn)進(jìn)行+V標(biāo)記，減少判斷漏洞/事件需要的工作量。風(fēng)險(xiǎn)數(shù)據(jù)對(duì)接能力，通過能力平臺(tái)將發(fā)現(xiàn)的安全風(fēng)險(xiǎn)信息同步至其他安全分析平臺(tái)進(jìn)行分析和展示。自定義掃描參數(shù)和自定義掃描策略并生成固定的漏洞掃描模板；掃描黑名單配置，已配置黑名單的web資產(chǎn)和主機(jī)資產(chǎn)不會(huì)被掃描；對(duì)安全事件進(jìn)行掃描監(jiān)測(cè)并自定義設(shè)置掃描層數(shù)。6、威脅情報(bào)入站攻擊攻擊源威脅情報(bào)識(shí)別：“數(shù)據(jù)流向”為“外訪問內(nèi)”的告警，在“源IP”后打上威脅情報(bào)命中標(biāo)簽，點(diǎn)擊詳情可查看該IP的“威脅情報(bào)信息”，包含：威脅類型、威脅子類、確信度、威脅等級(jí)、標(biāo)簽、最早發(fā)現(xiàn)時(shí)間、最近更新時(shí)間。出站攻擊目標(biāo)IP或域名威脅情報(bào)識(shí)別：“數(shù)據(jù)流向”為“內(nèi)訪問外”的告警，在“源IP/域名”后打上威脅情報(bào)命中標(biāo)簽，點(diǎn)擊詳情，可查看該IP/域名的“威脅情報(bào)信息”，包含：威脅類型、威脅子類、確信度、威脅等級(jí)、標(biāo)簽、最早發(fā)現(xiàn)時(shí)間、最近更新時(shí)間。惡意文件威脅情報(bào)：對(duì)于惡意文件，根據(jù)文件哈希對(duì)文件進(jìn)行威脅識(shí)別，生成威脅情報(bào)信息，包含：威脅類型、威脅子類、確信度、威脅等級(jí)、標(biāo)簽、發(fā)現(xiàn)時(shí)間、更新時(shí)間。7、暴露面管理暴露面掃描功能；可查看域名、IP暴露面、攻擊面；可查看暴露面IP、端口、歸屬地、狀態(tài)碼、命中指紋、響應(yīng)報(bào)文；可查看、導(dǎo)出暴露面檢測(cè)報(bào)告；可檢查暴露面的POC命中數(shù)。子域名分析能力：子域名搜集模塊DNS暴力枚舉、多種引擎、威脅情報(bào)、DNS數(shù)據(jù)集、IP反查等能力進(jìn)行子域名的探測(cè)，返回子域名的結(jié)果信息。IP段分析：IP段探測(cè)，利用網(wǎng)絡(luò)空間引擎，獲取目標(biāo)的IP段目標(biāo)的資產(chǎn)、開放端口、服務(wù)、指紋信息、應(yīng)用的暴露的互聯(lián)網(wǎng)資產(chǎn)情況信息；敏感信息分析：對(duì)github泄露、微信資產(chǎn)探測(cè)分析，能對(duì)github的泄露代碼、移動(dòng)端開通的微信公眾號(hào)等進(jìn)行分析，發(fā)現(xiàn)這類暴露在互聯(lián)網(wǎng)的敏感信息。8、分析模型可創(chuàng)建威脅分析模型；可創(chuàng)建規(guī)則模型、統(tǒng)計(jì)模型、關(guān)聯(lián)模型；可設(shè)置全局分析模型和自定義分析模型；可設(shè)置學(xué)校白名單，通過白名單過濾相關(guān)告警。規(guī)則模型構(gòu)建：（1）定義規(guī)則條件：根據(jù)業(yè)務(wù)需求和安全要求，定義規(guī)則條件，例如特定的日志模式、關(guān)鍵詞匹配、異常事件等；（2）確定告警策略：定義租戶關(guān)注的規(guī)則組策略，確定租戶規(guī)則的優(yōu)先級(jí)高于全局規(guī)則；（3）置信度排序：為規(guī)則設(shè)定置信度評(píng)級(jí)，以便在告警時(shí)按照置信度對(duì)規(guī)則進(jìn)行排序。統(tǒng)計(jì)模型：（1）聚合數(shù)據(jù)分析：對(duì)收集到的數(shù)據(jù)進(jìn)行聚合，例如按時(shí)間、區(qū)域、用戶等進(jìn)行統(tǒng)計(jì)分析；（2）規(guī)則匹配：定義統(tǒng)計(jì)模型規(guī)則，對(duì)聚合數(shù)據(jù)進(jìn)行規(guī)則匹配，找出符合條件的統(tǒng)計(jì)結(jié)果；（3）告警輸出：將匹配結(jié)果進(jìn)行告警輸出，并根據(jù)需要修改原始數(shù)據(jù)中的alarmName，以標(biāo)識(shí)不同的統(tǒng)計(jì)模型。關(guān)聯(lián)模型：預(yù)定義事件關(guān)系：根據(jù)已知的事件關(guān)聯(lián)關(guān)系，建立預(yù)定義的關(guān)聯(lián)模型規(guī)則；事件匹配：根據(jù)關(guān)聯(lián)規(guī)則對(duì)收集到的事件數(shù)據(jù)進(jìn)行匹配，找出相關(guān)事件；告警處理：對(duì)匹配結(jié)果進(jìn)行告警輸出，以識(shí)別可能的關(guān)聯(lián)事件和潛在威脅。9、策略編排規(guī)則模型策略編排：（1）定義規(guī)則條件：根據(jù)安全需求和業(yè)務(wù)場(chǎng)景，建立規(guī)則條件，例如檢測(cè)異常登錄、敏感數(shù)據(jù)訪問等；（2）租戶關(guān)注規(guī)則組：允許租戶定義關(guān)注的規(guī)則組，這些規(guī)則組將優(yōu)先于全局規(guī)則進(jìn)行篩選；（3）置信度排序：為每個(gè)規(guī)則設(shè)定置信度評(píng)級(jí)，以便在告警時(shí)按照置信度排序，確保高置信度的規(guī)則優(yōu)先考慮。統(tǒng)計(jì)模型策略編排：（1）聚合數(shù)據(jù)分析：對(duì)日志數(shù)據(jù)進(jìn)行聚合分析，例如按時(shí)間窗口內(nèi)的登錄失敗次數(shù)、特定IP的訪問頻率等。（2）統(tǒng)計(jì)規(guī)則定義：制定統(tǒng)計(jì)模型規(guī)則，例如基于聚合數(shù)據(jù)匹配的異常訪問模式、異常請(qǐng)求量等。（3）告警輸出和標(biāo)識(shí)：將匹配的統(tǒng)計(jì)結(jié)果進(jìn)行告警輸出，并根據(jù)統(tǒng)計(jì)模型類型修改alarmName，以區(qū)分不同的統(tǒng)計(jì)模型告警。關(guān)聯(lián)模型策略編排：（1）預(yù)定義事件關(guān)系：建立預(yù)定義的事件關(guān)聯(lián)規(guī)則，例如識(shí)別賬號(hào)泄露、橫向移動(dòng)等。（2）事件匹配和分析：對(duì)事件日志進(jìn)行關(guān)聯(lián)匹配分析，找出與預(yù)定義關(guān)系相關(guān)的事件。（3）告警和響應(yīng)：對(duì)匹配的關(guān)聯(lián)事件進(jìn)行告警輸出，并采取相應(yīng)的安全響應(yīng)措施，例如阻斷訪問、重置密碼等。該數(shù)據(jù)安全策略方案結(jié)合規(guī)則模型、統(tǒng)計(jì)模型和關(guān)聯(lián)模型，能夠有效地檢測(cè)和應(yīng)對(duì)安全威脅。租戶關(guān)注的規(guī)則組、置信度排序以及告警輸出的標(biāo)識(shí)，提高了規(guī)則模型的靈活性和可定制性。統(tǒng)計(jì)模型通過聚合分析和告警輸出，能夠發(fā)現(xiàn)異常行為和模式。關(guān)聯(lián)模型則幫助識(shí)別事件之間的關(guān)系，及時(shí)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。整體策略方案有助于提升數(shù)據(jù)安全性，并快速響應(yīng)和處理安全事件。10、郵件安全監(jiān)測(cè)郵件內(nèi)容采集：郵件采集imap和kafka傳輸。郵件內(nèi)容采集開關(guān)和持久化存儲(chǔ)，郵件用MinIo將接收，解析后將郵件數(shù)據(jù)傳到kafka，經(jīng)規(guī)則模型分析后在輸出分析檢測(cè)結(jié)果。離線郵件檢測(cè)：離線郵件郵件eml文件用MinIo將接收，解析后將郵件數(shù)據(jù)傳到kafka，引擎檢測(cè)完成后由kafka回傳郵件檢測(cè)結(jié)果給學(xué)校。郵箱暴露面治理及弱口令賬戶識(shí)別：探測(cè)企業(yè)暴露的郵箱賬戶，被動(dòng)方式實(shí)現(xiàn)活躍郵箱賬戶的采集及暴露面管理。識(shí)別郵箱賬戶的弱口令、安全配置等防護(hù)弱點(diǎn)，進(jìn)行郵箱弱口令識(shí)別。郵件監(jiān)測(cè)算法：（1）行為算法識(shí)別仿冒用戶、仿冒域名等身份偽造行為，仿冒用戶、仿冒域名可信識(shí)別數(shù)占該算法檢出率的50%及以上；（2）特征算法：算法能有效識(shí)別郵件內(nèi)的惡意信息，識(shí)別準(zhǔn)確率90%以上。郵件威脅情報(bào)能力：郵件威脅情報(bào)包括但不限于URL、域名、惡意文件hash、郵箱地址、惡意QQ、惡意IP、惡意手機(jī)號(hào)、惡意圖片等信息，能夠?qū)又匈Y情報(bào)系統(tǒng)實(shí)現(xiàn)情報(bào)檢索和輸出。郵件內(nèi)容關(guān)聯(lián)分析檢索：（1）支撐安全運(yùn)營(yíng)。包括統(tǒng)計(jì)模型、關(guān)聯(lián)分析模型，主題相似度檢測(cè)聚合、異常域名相似度聚合檢測(cè)，相同主題不通收發(fā)件人的聚合統(tǒng)計(jì)模型；（2）行為算法和特征算法的關(guān)聯(lián)模型構(gòu)建，比如仿冒用戶名統(tǒng)計(jì)模型結(jié)果和郵件內(nèi)容里存在可能的惡意特征信息等進(jìn)行關(guān)聯(lián)分析。郵箱安全網(wǎng)關(guān)產(chǎn)出安全事件在數(shù)據(jù)中臺(tái)的接入：（1）對(duì)郵箱安全網(wǎng)關(guān)產(chǎn)出安全事件在數(shù)據(jù)中臺(tái)的解析接入；（2）實(shí)現(xiàn)對(duì)網(wǎng)關(guān)告警的原始郵件解析并檢測(cè)分析。11、托管方運(yùn)營(yíng)管理可查看告警運(yùn)營(yíng)臺(tái)賬、漏洞運(yùn)營(yíng)臺(tái)賬；臺(tái)賬包含歷史告警總數(shù)、研判告警總數(shù)、規(guī)則過濾告警總數(shù)；臺(tái)賬包含不同告警等級(jí)的告警數(shù)量；臺(tái)賬包含應(yīng)急響應(yīng)次數(shù)。查看每個(gè)項(xiàng)目所處理的節(jié)點(diǎn)；查看項(xiàng)目的交付全過程，包括調(diào)研、啟動(dòng)、實(shí)施、匯報(bào)等重要節(jié)點(diǎn)；創(chuàng)建學(xué)校和創(chuàng)建合同，并錄入學(xué)校和合同的詳細(xì)信息；為不同的項(xiàng)目指定相關(guān)的運(yùn)營(yíng)人員；對(duì)運(yùn)營(yíng)團(tuán)隊(duì)的管理；可創(chuàng)建多級(jí)運(yùn)營(yíng)中心；運(yùn)營(yíng)人員可查看其服務(wù)的學(xué)校端信息。12、報(bào)告管理可通過拖拽方式創(chuàng)建報(bào)告模板；可為租戶設(shè)置報(bào)告訂閱；可查看推送給學(xué)校的服務(wù)報(bào)告；可根據(jù)模板生成安全運(yùn)營(yíng)報(bào)告。學(xué)?？捎嗛喡┒磮?bào)告、攻防咨詢等威脅情報(bào)；可通過郵件、公眾號(hào)等方式推送威脅情報(bào)。可通過配置調(diào)整平臺(tái)菜單；可對(duì)不同的運(yùn)營(yíng)角色設(shè)置不同的平臺(tái)權(quán)限；可以新增不同的運(yùn)營(yíng)角色；多種消息模板的配置和推送，釘釘、短信、微信、郵件等服務(wù)消息推送方式；每個(gè)租戶有不同的密鑰進(jìn)行租戶數(shù)據(jù)加密；對(duì)平臺(tái)的各種操作通過審計(jì)日志進(jìn)行審計(jì)；可對(duì)平臺(tái)logo、名稱、報(bào)告logo進(jìn)行自定義配置。13、多端操作展示運(yùn)營(yíng)端、租戶端、移動(dòng)端信息展示。14、數(shù)據(jù)中臺(tái)數(shù)據(jù)源管理：ZooKeeper、MySQL、Kafka、SysLog、Clickhouse、ElasticSearch等數(shù)據(jù)源接入；可通過數(shù)據(jù)源名稱、地址查詢接入的數(shù)據(jù)源；可對(duì)數(shù)據(jù)袁進(jìn)行鏈接測(cè)試、數(shù)據(jù)表查詢；字典管理：對(duì)系統(tǒng)中使用到的各種字典數(shù)據(jù)進(jìn)行管理和維護(hù)的功能。包括字典的增刪改查操作，字典項(xiàng)的添加、編輯和刪除，以及字典數(shù)據(jù)的導(dǎo)入和導(dǎo)出等。通過字典管理，可以方便地管理系統(tǒng)中使用的靜態(tài)數(shù)據(jù)，如國(guó)家、地區(qū)、行業(yè)分類等，以及動(dòng)態(tài)數(shù)據(jù)，如配置項(xiàng)、參數(shù)等。集群管理：對(duì)系統(tǒng)中的集群資源進(jìn)行管理和監(jiān)控的功能。包括集群的創(chuàng)建、配置和擴(kuò)展，節(jié)點(diǎn)的添加和移除，資源的分配和調(diào)度，以及集群狀態(tài)的監(jiān)控和告警等。通過集群管理，可以有效地管理和利用集群資源，提高系統(tǒng)的可伸縮性和性能。插件管理：插件管理是指對(duì)系統(tǒng)中的插件或擴(kuò)展模塊進(jìn)行管理和配置的功能。包括插件的安裝、升級(jí)和卸載，插件參數(shù)的設(shè)置和調(diào)整，以及插件狀態(tài)的監(jiān)控和管理等。業(yè)務(wù)管理：對(duì)系統(tǒng)中的業(yè)務(wù)邏輯和業(yè)務(wù)流程進(jìn)行管理和配置的功能。包括業(yè)務(wù)流程的設(shè)計(jì)和定義，業(yè)務(wù)規(guī)則的配置和管理，以及業(yè)務(wù)數(shù)據(jù)的處理和分析等。通過業(yè)務(wù)管理，可以根據(jù)實(shí)際需求靈活配置系統(tǒng)的業(yè)務(wù)邏輯，實(shí)現(xiàn)定制化的業(yè)務(wù)流程和規(guī)則。任務(wù)調(diào)度：任務(wù)調(diào)度是指對(duì)系統(tǒng)中的各類任務(wù)進(jìn)行管理和調(diào)度的功能。包括任務(wù)的創(chuàng)建、配置和調(diào)度計(jì)劃的設(shè)置，任務(wù)執(zhí)行結(jié)果的監(jiān)控和報(bào)告，以及任務(wù)的停止和重新調(diào)度等。通過任務(wù)調(diào)度，可以自動(dòng)化地執(zhí)行和管理系統(tǒng)中的各種任務(wù)，提高工作效率和準(zhǔn)確性。數(shù)據(jù)服務(wù)管理：對(duì)系統(tǒng)中的數(shù)據(jù)服務(wù)進(jìn)行管理和配置的功能。包括數(shù)據(jù)服務(wù)的定義和注冊(cè)，數(shù)據(jù)服務(wù)的訪問權(quán)限和安全策略的配置，以及數(shù)據(jù)服務(wù)的監(jiān)控和性能優(yōu)化等。通過數(shù)據(jù)服務(wù)管理，可以提供統(tǒng)一的數(shù)據(jù)訪問接口和服務(wù)，保障數(shù)據(jù)的安全性和可靠性，提升數(shù)據(jù)服務(wù)的效率和性能。數(shù)據(jù)采集：包括原始日志、資產(chǎn)數(shù)據(jù)、漏洞掃描數(shù)據(jù)、全流量檢測(cè)告警日志、暴露面掃描數(shù)據(jù)、組織架構(gòu)數(shù)據(jù)等數(shù)據(jù)采集。數(shù)據(jù)處理：包括元數(shù)據(jù)管理、數(shù)據(jù)清洗、數(shù)據(jù)標(biāo)準(zhǔn)化、數(shù)據(jù)降噪、數(shù)據(jù)關(guān)聯(lián)分析能力。數(shù)據(jù)存儲(chǔ)：包括關(guān)系型數(shù)據(jù)庫(kù)存儲(chǔ)、分布式文件存儲(chǔ)和對(duì)象存儲(chǔ)。包含安全運(yùn)營(yíng)數(shù)據(jù)流程庫(kù)、業(yè)務(wù)庫(kù)、知識(shí)庫(kù)、基礎(chǔ)庫(kù)的構(gòu)建。數(shù)據(jù)處理：對(duì)安全告警等數(shù)據(jù)進(jìn)行數(shù)據(jù)進(jìn)行規(guī)范化處理，使其符合平臺(tái)既定的數(shù)據(jù)結(jié)構(gòu)。數(shù)據(jù)清洗：對(duì)數(shù)據(jù)一致性、無效值和缺失值進(jìn)行數(shù)據(jù)清晰。通過清洗規(guī)則對(duì)這些數(shù)據(jù)進(jìn)行清洗，提升分析結(jié)果的準(zhǔn)確性。離線數(shù)倉(cāng)：匯聚安全核心數(shù)據(jù)，南向定義標(biāo)準(zhǔn)的數(shù)據(jù)接入接口，北向向上層安全服務(wù)開發(fā)平臺(tái)提供核心數(shù)據(jù)。在數(shù)倉(cāng)中主要包括兩塊內(nèi)容，一部分是平臺(tái)核心業(yè)務(wù)的標(biāo)準(zhǔn)化數(shù)據(jù)，需要通過標(biāo)準(zhǔn)的數(shù)據(jù)格式與接口進(jìn)行提交；另外一種基于應(yīng)用注冊(cè)的標(biāo)準(zhǔn)數(shù)據(jù)格式，進(jìn)行應(yīng)用數(shù)據(jù)標(biāo)準(zhǔn)化存儲(chǔ)。全文檢索：對(duì)數(shù)據(jù)倉(cāng)庫(kù)的檢索服務(wù)，用于支撐應(yīng)用平臺(tái)對(duì)數(shù)據(jù)的查詢操作模塊數(shù)據(jù)分析：包括安全事件分析、資產(chǎn)風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)指標(biāo)分析、多維數(shù)據(jù)關(guān)聯(lián)分析等。15、安全中臺(tái)各類安全設(shè)備如態(tài)勢(shì)感知、主機(jī)安全、流量探針、漏洞掃描、資產(chǎn)掃描、暴露面掃描等安全設(shè)備的接入和托管；對(duì)接威脅情報(bào)平臺(tái)，將威脅情報(bào)同告警日志進(jìn)行聚合分析，分析安全事件；威脅分析引擎：以安全事件分析引擎為核心，以各設(shè)備安全日志接入為輸入，綜合分析安全態(tài)勢(shì)和安全事件；作為安全運(yùn)營(yíng)流程的核心引擎，對(duì)項(xiàng)目管理、運(yùn)營(yíng)管理、服務(wù)管理流程進(jìn)行可視化編排。16、業(yè)務(wù)中臺(tái)提供API網(wǎng)關(guān)、產(chǎn)品管理、消息中心、日志中心、流程中心、服務(wù)治理、計(jì)劃任務(wù)調(diào)度、用戶體系等業(yè)務(wù)中臺(tái)能力。17、能力中臺(tái)暴露面檢測(cè)能力：對(duì)授權(quán)資產(chǎn)域名在互聯(lián)網(wǎng)上暴露的開放的包括但不限于子域名、IP段、高危漏洞指紋信息、高危POC探測(cè)等資產(chǎn)等敏感信息進(jìn)行搜集和梳理，并將暴露面信息整理后發(fā)送至學(xué)校。資產(chǎn)探測(cè)能力：互聯(lián)網(wǎng)暴露面檢測(cè)、原有臺(tái)賬核對(duì)、用戶自主上報(bào)、其他安全工具掃描等方式對(duì)資產(chǎn)進(jìn)行全面的探測(cè)與識(shí)別與梳理，協(xié)助建立資產(chǎn)管理臺(tái)賬，用戶可持續(xù)更新資產(chǎn)責(zé)任人信息威脅監(jiān)測(cè)能力：可監(jiān)測(cè)網(wǎng)絡(luò)安全狀態(tài)，持續(xù)分析檢測(cè)接收到的信息和行為并進(jìn)行保存，從各個(gè)維度的信息中發(fā)現(xiàn)漏洞、弱密碼等安全風(fēng)險(xiǎn)和Webshell寫入行為、異常登錄行為、異常網(wǎng)絡(luò)連接行為、異常命令調(diào)用等異常行為，并可通過微信、釘釘、郵件等方式告知用戶。事件處置能力：安全事件后，主動(dòng)通知獲取學(xué)校授權(quán)后立刻采取行動(dòng)，借助本地或遠(yuǎn)程部署的相關(guān)安全工具完成查殺、封鎖等處置。對(duì)于服務(wù)套餐外的資產(chǎn)，提供查殺方法和處置建議。漏洞管理能力：通過自動(dòng)化掃描工具，對(duì)目標(biāo)網(wǎng)站服務(wù)器、系統(tǒng)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行自動(dòng)化安全掃描進(jìn)行漏洞掃描、軟件漏洞掃描、端口及服務(wù)探測(cè)、弱口令掃描等，提前發(fā)現(xiàn)系統(tǒng)可能存在的各類安全風(fēng)險(xiǎn)，可協(xié)助對(duì)相關(guān)責(zé)任人進(jìn)行通報(bào)，并提供修復(fù)建議，并定期跟進(jìn)修復(fù)情況，實(shí)現(xiàn)漏洞全生命周期管理策略分析能力：對(duì)安全工具上的安全策略進(jìn)行優(yōu)化，確保安全工具上的安全策略始能夠發(fā)揮出最佳防護(hù)效果應(yīng)急響應(yīng)管理：通過遠(yuǎn)程和現(xiàn)場(chǎng)的形式協(xié)助學(xué)校對(duì)遇到的突發(fā)性安全事件進(jìn)行緊急分析和處理。主要工作內(nèi)容包括：突發(fā)事件相關(guān)信息的收集、事件的分析、報(bào)告提交、問題解決建議等。緊急事件主要包括：勒索病毒、病毒和蠕蟲事件、黑客入侵事件、數(shù)據(jù)泄露、挖礦事件等。18、分析中心藍(lán)隊(duì)視角攻擊點(diǎn)分析模型：（1）可通過數(shù)據(jù)和攻擊網(wǎng)絡(luò)方式呈現(xiàn)被攻擊資產(chǎn)，被攻擊資產(chǎn)風(fēng)險(xiǎn)評(píng)分，對(duì)應(yīng)的告警時(shí)間，相關(guān)資產(chǎn)的重要程度、是否內(nèi)網(wǎng)資產(chǎn)，以及本節(jié)點(diǎn)對(duì)應(yīng)的關(guān)聯(lián)IP數(shù)量；（2）可查詢攻擊點(diǎn)受攻擊的告警類型、告警子類型、告警數(shù)、事件數(shù)、關(guān)聯(lián)IP和告警詳情；（3）通過攻擊網(wǎng)絡(luò)視圖呈現(xiàn)攻擊者、受害者之間的攻擊路徑，關(guān)聯(lián)節(jié)點(diǎn)，以及對(duì)應(yīng)節(jié)點(diǎn)的告警時(shí)段、資產(chǎn)名稱、威脅評(píng)分、威脅等級(jí)、告警類型、告警數(shù)量、SLA響應(yīng)等級(jí)、關(guān)聯(lián)IP地址數(shù)、攻擊結(jié)果；（4）可通過IP檢索被攻擊者的網(wǎng)絡(luò)拓?fù)?；攻擊線性關(guān)系分析模型：（1）可通過數(shù)據(jù)和攻擊網(wǎng)絡(luò)方式呈現(xiàn)被攻擊資產(chǎn)、受害者之間的關(guān)聯(lián)關(guān)系，被攻擊資產(chǎn)風(fēng)險(xiǎn)評(píng)分，對(duì)應(yīng)的告警時(shí)間，相關(guān)資產(chǎn)的重要程度、是否內(nèi)網(wǎng)資產(chǎn)，以及本節(jié)點(diǎn)對(duì)應(yīng)的關(guān)聯(lián)IP數(shù)量；（2）可查詢攻擊者-受害者之間的關(guān)系：攻擊者、受害者、告警數(shù)量、一級(jí)威脅、二級(jí)威脅、三級(jí)威脅、攻擊成功次數(shù)、攻擊嘗試次數(shù)、攻擊失敗次數(shù)、告警數(shù)量；（3）通過攻擊網(wǎng)絡(luò)視圖呈現(xiàn)攻擊者-受害者之間的攻擊路線，關(guān)聯(lián)節(jié)點(diǎn)、攻擊鏈，以及對(duì)應(yīng)節(jié)點(diǎn)的告警時(shí)段、資產(chǎn)名稱、威脅評(píng)分、威脅等級(jí)、告警類型、告警數(shù)量、SLA響應(yīng)等級(jí)、攻擊結(jié)果；（4）可通過IP檢索被攻擊者的網(wǎng)絡(luò)拓?fù)?；攻擊網(wǎng)分析：（1）可以一個(gè)受害資產(chǎn)為中心，構(gòu)建全息的攻擊網(wǎng)絡(luò)信息；（2）通過全息攻擊網(wǎng)絡(luò)信息，可查看資產(chǎn)的攻擊路線圖；（3）通過攻擊網(wǎng)，可以圖形方式呈現(xiàn)被攻擊節(jié)點(diǎn)和網(wǎng)絡(luò)內(nèi)所有關(guān)聯(lián)節(jié)點(diǎn)之間的攻擊鏈，以及對(duì)應(yīng)節(jié)點(diǎn)的告警時(shí)段、資產(chǎn)名稱、威脅評(píng)分、威脅等級(jí)、告警類型、告警數(shù)量、SLA響應(yīng)等級(jí)、攻擊結(jié)果；攻擊手段分析：可對(duì)學(xué)校各類資產(chǎn)被攻擊的手段進(jìn)行統(tǒng)計(jì)分析，不少于50種攻擊手段的分析。攻擊路徑分析：通過受害者IP，可快速檢索出，受害資產(chǎn)的攻擊網(wǎng)絡(luò)及攻擊詳情。藍(lán)方視角分析配置：通過配置告警類型和權(quán)重，對(duì)攻擊點(diǎn)、攻擊線、攻擊網(wǎng)關(guān)聯(lián)分析模型進(jìn)行參數(shù)調(diào)整和模型調(diào)優(yōu)。19、分析中心紅隊(duì)視角攻擊點(diǎn)分析模型：（1）可通過數(shù)據(jù)和攻擊網(wǎng)絡(luò)方式呈現(xiàn)攻擊者信息，攻擊者風(fēng)險(xiǎn)評(píng)分，對(duì)應(yīng)的告警時(shí)間，相關(guān)資產(chǎn)的重要程度、是否內(nèi)網(wǎng)資產(chǎn)，以及本節(jié)點(diǎn)對(duì)應(yīng)的關(guān)聯(lián)IP數(shù)量；（2）可查詢攻擊者的告警類型、告警子類型、告警數(shù)、事件數(shù)、關(guān)聯(lián)IP和告警詳情；（3）通過攻擊網(wǎng)絡(luò)視圖呈現(xiàn)攻擊者、受害者之間的攻擊路徑，關(guān)聯(lián)節(jié)點(diǎn)，以及對(duì)應(yīng)節(jié)點(diǎn)的告警時(shí)段、資產(chǎn)名稱、威脅評(píng)分、威脅等級(jí)、告警類型、告警數(shù)量、SLA響應(yīng)等級(jí)、關(guān)聯(lián)IP地址數(shù)、攻擊結(jié)果；（4）可通過IP檢索被攻擊者的網(wǎng)絡(luò)拓?fù)?；攻擊線性關(guān)系分析模型：（1）可通過數(shù)據(jù)和攻擊網(wǎng)絡(luò)方式呈現(xiàn)攻擊者、受害者之間的關(guān)聯(lián)關(guān)系，對(duì)應(yīng)的告警時(shí)間，相關(guān)資產(chǎn)的重要程度、是否內(nèi)網(wǎng)資產(chǎn)，以及本節(jié)點(diǎn)對(duì)應(yīng)的關(guān)聯(lián)IP數(shù)量；（2）可查詢攻擊者-受害者之間的關(guān)系：攻擊者、受害者、告警數(shù)量、一級(jí)威脅、二級(jí)威脅、三級(jí)威脅、SLA總分、威脅總分、SLA均值、威脅均值、是否高危/中危/低危攻擊者；（3）通過攻擊網(wǎng)絡(luò)視圖呈現(xiàn)攻擊者-受害者之間的攻擊路線，關(guān)聯(lián)節(jié)點(diǎn)、攻擊鏈，以及對(duì)應(yīng)節(jié)點(diǎn)的告警時(shí)間、資產(chǎn)重要程度、告警數(shù)量、SLA響應(yīng)等級(jí)、攻擊結(jié)果、攻擊者威脅總分；（4）可通過IP檢索攻擊者的網(wǎng)絡(luò)拓?fù)洌还艟W(wǎng)分析模型：（1）可以一個(gè)攻擊者為中心，構(gòu)建全息的攻擊網(wǎng)絡(luò)信息；（2）通過全息攻擊網(wǎng)絡(luò)信息，可查看資產(chǎn)的攻擊路線圖；（3）通過攻擊網(wǎng)，可以圖形方式呈現(xiàn)被攻擊節(jié)點(diǎn)和網(wǎng)絡(luò)內(nèi)所有關(guān)聯(lián)節(jié)點(diǎn)之間的攻擊鏈，以及對(duì)應(yīng)節(jié)點(diǎn)的告警時(shí)段、資產(chǎn)名稱、威脅評(píng)分、威脅等級(jí)、告警類型、告警數(shù)量、SLA響應(yīng)等級(jí)、攻擊結(jié)果；攻擊手段分析：可攻擊者的攻擊的手段進(jìn)行統(tǒng)計(jì)分析，不少于50種攻擊手段的分析。攻擊路徑分析：通過攻擊者IP，可快速檢索出，所攻擊資產(chǎn)的攻擊網(wǎng)絡(luò)及攻擊詳情。紅方視角分析配置：通過配置告警類型和權(quán)重，對(duì)攻擊點(diǎn)、攻擊線、攻擊網(wǎng)關(guān)聯(lián)分析模型進(jìn)行參數(shù)調(diào)整和模型調(diào)優(yōu)。四、技術(shù)指標(biāo)序號(hào)技術(shù)指標(biāo)指標(biāo)內(nèi)容1資產(chǎn)管理模塊1、支持資產(chǎn)導(dǎo)入、導(dǎo)出；2、支持對(duì)資產(chǎn)進(jìn)行標(biāo)定，標(biāo)定內(nèi)容包括：資產(chǎn)名稱、重要程度、資產(chǎn)類型、IP地址、是否互聯(lián)網(wǎng)暴露、資產(chǎn)類型；3、支持對(duì)資產(chǎn)進(jìn)行分組，可通過資產(chǎn)標(biāo)簽對(duì)資產(chǎn)劃分資產(chǎn)組；4、支持對(duì)資產(chǎn)進(jìn)行打標(biāo)，支持至少30種類掃描器標(biāo)簽的識(shí)別；5、可對(duì)資產(chǎn)增加自定義標(biāo)簽。2漏洞管理模塊1、支持web漏洞、主機(jī)漏洞管理；2、支持漏洞詳情查看、漏洞CVE、CVND編號(hào)；3、支持對(duì)漏洞給出修復(fù)建議；4、支持查看漏洞POC和數(shù)據(jù)包。3暴露面管理模塊1、支持暴露面掃描功能；2、可查看域名、IP暴露面、攻擊面；3、可查看暴露面IP、端口、歸屬地、狀態(tài)碼、命中指紋、響應(yīng)報(bào)文；4、可查看、導(dǎo)出暴露面檢測(cè)報(bào)告；5、可檢查暴露面的POC命中數(shù)。4分析模型模塊1、可創(chuàng)建威脅分析模型；2、可創(chuàng)建規(guī)則模型、統(tǒng)計(jì)模型、關(guān)聯(lián)模型；3、可設(shè)置全局分析模型和自定義分析模型；4、可設(shè)置學(xué)校白名單，通過白名單過濾相關(guān)告警。5策略編排模塊1、可設(shè)置全局策略和自定義策略；2、可設(shè)置告警策略和白名單策略；3、可設(shè)置策略對(duì)應(yīng)的告警等級(jí)；4、可調(diào)整策略相關(guān)置信度；5、可根據(jù)MSS場(chǎng)景設(shè)置不同的策略組；6、可定義全局策略組、自定義策略組。6托管方管理模塊1、支持查看每個(gè)項(xiàng)目所處理的節(jié)點(diǎn)；2、支持查看項(xiàng)目的交付全過程，包括調(diào)研、啟動(dòng)、實(shí)施、匯報(bào)等重要節(jié)點(diǎn)；3、支持創(chuàng)建學(xué)校和創(chuàng)建合同，并錄入學(xué)校和合同的詳細(xì)信息；4、支持為不同的項(xiàng)目指定相關(guān)的運(yùn)營(yíng)人員；5、支持對(duì)運(yùn)營(yíng)團(tuán)隊(duì)的管理；6、可創(chuàng)建多級(jí)運(yùn)營(yíng)中心；7、運(yùn)營(yíng)人員可查看其服務(wù)的學(xué)校端信息。7報(bào)告管理模塊1、可通過拖拽方式創(chuàng)建報(bào)告模板；2、可為租戶設(shè)置報(bào)告訂閱；3、可查看推送給學(xué)校的服務(wù)報(bào)告；4、可根據(jù)模板生成安全運(yùn)營(yíng)報(bào)告。8情報(bào)訂閱模塊1、學(xué)?？捎嗛喡┒磮?bào)告、攻防咨詢等威脅情報(bào)；2、可通過郵件、公眾號(hào)等方式推送威脅情報(bào)。9系統(tǒng)管理模塊1、可通過配置調(diào)整平臺(tái)菜單；2、可對(duì)不同的運(yùn)營(yíng)角色設(shè)置不同的平臺(tái)權(quán)限；3、可以新增不同的運(yùn)營(yíng)角色；4、支持多種消息模板的配置和推送，支持釘釘、短信、微信、郵件等服務(wù)消息推送方式；5、每個(gè)租戶有不同的密鑰進(jìn)行租戶數(shù)據(jù)加密；6、對(duì)平臺(tái)的各種操作通過審計(jì)日志進(jìn)行審計(jì)；7、可對(duì)平臺(tái)logo、名稱、報(bào)告logo進(jìn)行自定義配置。10多端展示模塊支持運(yùn)營(yíng)端、租戶端、移動(dòng)端信息展示11統(tǒng)一集中管控模塊數(shù)據(jù)采集：包括原始日志、資產(chǎn)數(shù)據(jù)、漏洞掃描數(shù)據(jù)、全流量檢測(cè)告警日志、暴露面掃描數(shù)據(jù)、組織架構(gòu)數(shù)據(jù)等數(shù)據(jù)采集。數(shù)據(jù)處理：包括元數(shù)據(jù)管理、數(shù)據(jù)清洗、數(shù)據(jù)標(biāo)準(zhǔn)化、數(shù)據(jù)降噪、數(shù)據(jù)關(guān)聯(lián)分析能力。數(shù)據(jù)存儲(chǔ)：包括關(guān)系型數(shù)據(jù)庫(kù)存儲(chǔ)、分布式文件存儲(chǔ)和對(duì)象存儲(chǔ)。包含安全運(yùn)營(yíng)數(shù)據(jù)流程庫(kù)、業(yè)務(wù)庫(kù)、知識(shí)庫(kù)、基礎(chǔ)庫(kù)的構(gòu)建。離線數(shù)倉(cāng)：匯聚安全核心數(shù)據(jù)，南向定義標(biāo)準(zhǔn)的數(shù)據(jù)接入接口，北向向上層安全服務(wù)開發(fā)平臺(tái)提供核心數(shù)據(jù)。在數(shù)倉(cāng)中主要包括兩塊內(nèi)容，一部分是平臺(tái)核心業(yè)務(wù)的標(biāo)準(zhǔn)化數(shù)據(jù)，需要通過標(biāo)準(zhǔn)的數(shù)據(jù)格式與接口進(jìn)行提交；另外一種基于應(yīng)用注冊(cè)的標(biāo)準(zhǔn)數(shù)據(jù)格式，進(jìn)行應(yīng)用數(shù)據(jù)標(biāo)準(zhǔn)化存儲(chǔ)。全文檢索：對(duì)數(shù)據(jù)倉(cāng)庫(kù)的檢索服務(wù)，用于支撐應(yīng)用平臺(tái)對(duì)數(shù)據(jù)的查詢操作模塊；數(shù)據(jù)分析：包括安全事件分析、資產(chǎn)風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)指標(biāo)分析、多維數(shù)據(jù)關(guān)聯(lián)分析等；安全設(shè)備管理：各類安全設(shè)備如態(tài)勢(shì)感知、主機(jī)安全、流量探針、漏洞掃描、資產(chǎn)掃描、暴露面掃描等安全設(shè)備的接入和托管；威脅情報(bào)管理：對(duì)接威脅情報(bào)平臺(tái)，將威脅情報(bào)同告警日志進(jìn)行聚合分析，分析安全事件；威脅分析引擎：以安全事件分析引擎為核心，以各設(shè)備安全日志接入為輸入，綜合分析安全態(tài)勢(shì)和安全事件；流程編排管理：作為安全運(yùn)營(yíng)流程的核心引擎，對(duì)項(xiàng)目管理、運(yùn)營(yíng)管理、服務(wù)管理流程進(jìn)行可視化編排。API網(wǎng)關(guān)：實(shí)現(xiàn)API的路由和流量管理。產(chǎn)品管理：服務(wù)上架的產(chǎn)品注冊(cè)、統(tǒng)一管理和配置。消息中心：短信消息、郵件發(fā)送、微信公眾號(hào)、釘釘及推送等統(tǒng)一消息服務(wù)。日志中心：平臺(tái)服務(wù)日志、操作日志、日系統(tǒng)日志管理。流程中心：工作流模板、工作流編輯器、工作流引擎。服務(wù)治理：服務(wù)注冊(cè)、服務(wù)網(wǎng)關(guān)、調(diào)用鏈監(jiān)控和服務(wù)熔斷等。計(jì)劃任務(wù)調(diào)度（計(jì)劃執(zhí)行器）：工作流中的任務(wù)調(diào)度，包括任務(wù)的創(chuàng)建、任務(wù)觸發(fā)和任務(wù)狀態(tài)維護(hù)和流轉(zhuǎn)。用戶體系：平臺(tái)用戶、角色及權(quán)限管理和配置。暴露面檢測(cè)能力：對(duì)授權(quán)資產(chǎn)域名在互聯(lián)網(wǎng)上暴露的開放的包括但不限于子域名、IP段、高危漏洞指紋信息、高危POC探測(cè)等資產(chǎn)等敏感信息進(jìn)行搜集和梳理，并將暴露面信息整理后發(fā)送至學(xué)校。資產(chǎn)探測(cè)能力：互聯(lián)網(wǎng)暴露面檢測(cè)、原有臺(tái)賬核對(duì)、用戶自主上報(bào)、其他安全工具掃描等方式對(duì)資產(chǎn)進(jìn)行全面的探測(cè)與識(shí)別與梳理，協(xié)助建立資產(chǎn)管理臺(tái)賬，用戶可持續(xù)更新資產(chǎn)責(zé)任人信息。威脅監(jiān)測(cè)能力：可監(jiān)測(cè)網(wǎng)絡(luò)安全狀態(tài)，持續(xù)分析檢測(cè)接收到的信息和行為并進(jìn)行保存，從各個(gè)維度的信息中發(fā)現(xiàn)漏洞、弱密碼等安全風(fēng)險(xiǎn)和Webshell寫入行為、異常登錄行為、異常網(wǎng)絡(luò)連接行為、異常命令調(diào)用等異常行為，并可通過微信、釘釘、郵件等方式告知用戶。事件處置能力：安全事件后，主動(dòng)通知獲取學(xué)校授權(quán)后立刻采取行動(dòng)，借助本地或遠(yuǎn)程部署的相關(guān)安全工具完成查殺、封鎖等處置。對(duì)于服務(wù)套餐外的資產(chǎn)，提供查殺方法和處置建議。漏洞管理能力：通過自動(dòng)化掃描工具，對(duì)目標(biāo)網(wǎng)站服務(wù)器、系統(tǒng)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行自動(dòng)化安全掃描進(jìn)行漏洞掃描、軟件漏洞掃描、端口及服務(wù)探測(cè)、弱口令掃描等，提前發(fā)現(xiàn)系統(tǒng)可能存在的各類安全風(fēng)險(xiǎn)，可協(xié)助對(duì)相關(guān)責(zé)任人進(jìn)行通報(bào)，并提供修復(fù)建議，并定期跟進(jìn)修復(fù)情況，實(shí)現(xiàn)漏洞全生命周期管理。策略分析能力：對(duì)安全工具上的安全策略進(jìn)行優(yōu)化，確保安全工具上的安全策略始能夠發(fā)揮出最佳防護(hù)效果。應(yīng)急響應(yīng)管理：通過遠(yuǎn)程和現(xiàn)場(chǎng)支持的形式協(xié)助學(xué)校對(duì)遇到的突發(fā)性安全事件進(jìn)行緊急分析和處理。主要工作內(nèi)容包括：突發(fā)事件相關(guān)信息的收集、事件的分析、報(bào)告提交、問題解決建議等。緊急事件主要包括：勒索病毒、病毒和蠕蟲事件、黑客入侵事件、數(shù)據(jù)泄露、挖礦事件等。默認(rèn)包含2次上門應(yīng)急響應(yīng)服務(wù)。12攻防演練模塊（分析中心）-藍(lán)隊(duì)視角TOP10受害者目標(biāo)事件分析：通過可視化攻擊圖譜展示TOP10受害目標(biāo)事件分布，分析受害者IP、對(duì)應(yīng)攻擊類型和攻擊者IP安全告警趨勢(shì)分析：通過可視化方式呈現(xiàn)所選擇范圍內(nèi)的告警趨勢(shì)。受害者告警量TOP10分析：通過分析引擎分析所運(yùn)營(yíng)學(xué)校受害者TOP10的資產(chǎn)，可查看資產(chǎn)IP、被攻擊告警數(shù)量和攻擊占比。攻擊點(diǎn)分析模型：1、可通過數(shù)據(jù)和攻擊網(wǎng)絡(luò)方式呈現(xiàn)被攻擊資產(chǎn)，被攻擊資產(chǎn)風(fēng)險(xiǎn)評(píng)分，對(duì)應(yīng)的告警時(shí)間，相關(guān)資產(chǎn)的重要程度、是否內(nèi)網(wǎng)資產(chǎn)，以及本節(jié)點(diǎn)對(duì)應(yīng)的關(guān)聯(lián)IP數(shù)量；2、可查詢攻擊點(diǎn)受攻擊的告警類型、告警子類型、告警數(shù)、事件數(shù)、關(guān)聯(lián)IP和告警詳情；3、通過攻擊網(wǎng)絡(luò)視圖呈現(xiàn)攻擊者、受害者之間的攻擊路徑，關(guān)聯(lián)節(jié)點(diǎn)，以及對(duì)應(yīng)節(jié)點(diǎn)的告警時(shí)段、資產(chǎn)名稱、威脅評(píng)分、威脅等級(jí)、告警類型、告警數(shù)量、SLA響應(yīng)等級(jí)、關(guān)聯(lián)IP地址數(shù)、攻擊結(jié)果；4、可通過IP檢索被攻擊者的網(wǎng)絡(luò)拓?fù)?。攻擊線性關(guān)系分析模型：1、可通過數(shù)據(jù)和攻擊網(wǎng)絡(luò)方式呈現(xiàn)被攻擊資產(chǎn)、受害者之間的關(guān)聯(lián)關(guān)系，被攻擊資產(chǎn)風(fēng)險(xiǎn)評(píng)分，對(duì)應(yīng)的告警時(shí)間，相關(guān)資產(chǎn)的重要程度、是否內(nèi)網(wǎng)資產(chǎn)，以及本節(jié)點(diǎn)對(duì)應(yīng)的關(guān)聯(lián)IP數(shù)量；2、可查詢攻擊者-受害者之間的關(guān)系：攻擊者、受害者、告警數(shù)量、一級(jí)威脅、二級(jí)威脅、三級(jí)威脅、攻擊成功次數(shù)、攻擊嘗試次數(shù)、攻擊失敗次數(shù)、告警數(shù)量；3、通過攻擊網(wǎng)絡(luò)視圖呈現(xiàn)攻擊者-受害者之間的攻擊路線，關(guān)聯(lián)節(jié)點(diǎn)、攻擊鏈，以及對(duì)應(yīng)節(jié)點(diǎn)的告警時(shí)段、資產(chǎn)名稱、威脅評(píng)分、威脅等級(jí)、告