cmaddocks-uk/cyber-response

GitHub: cmaddocks-uk/cyber-response

面向英国教育机构的免费浏览器端网络事件响应计划生成工具,提供准备度评估与合规计划文档输出。

Stars: 0 | Forks: 0

# 网络事件响应规划器 — 面向英国中小学与学院 [![安全策略](https://img.shields.io/badge/security-policy-green)](SECURITY.md) **当前版本:** 1.1.6 — 请参阅[应用内更新日志](https://cmaddocks-uk.github.io/cyber-response/#changelog)。 一款面向英国中小学与学院的免费、单文件、基于浏览器的规划工具。它可评估网络响应准备情况,并生成量身定制的**网络事件响应计划**,该计划与 NCSC、DfE 2030 数字标准、DfE 风险保护安排 (RPA) 以及 Ofsted 检查工具包(针对网络响应与保障及领导力相关的部分)相对应。 🌐 **在线工具:** [cmaddocks-uk.github.io/cyber-response](https://cmaddocks-uk.github.io/cyber-response) [DfE 2030 数字标准 — 自我评估工具](https://cmaddocks-uk.github.io/digital-standards-2030/)的配套工具。 ## 功能说明 1. **准备情况检查** — 针对您当前事件响应能力的 12 个 RAG 评分问题,与 NCSC、DfE 和 RPA 的期望标准相对应。 2. **计划构建器** — 涵盖响应团队、外部联系人、严重程度分级、上报权限、操作手册、沟通、恢复以及事件后审查的 10 个结构化部分。 3. **计划输出** — 生成可打印的、适合提交给校董会的网络事件响应计划,其中已预置针对勒索软件、数据泄露、账户被盗、网络钓鱼、拒绝服务攻击和内部威胁的通用操作手册。 ## 隐私说明 - 完全在您的浏览器中运行。计划数据绝不会离开您的设备。 - 数据仅保存在浏览器会话中。关闭标签页即会清除数据。 - 当您需要保存进度以便长期保留时,可将其保存为本地 JSON 文件(并支持日后重新导入)。 - 通过 [GoatCounter](https://www.goatcounter.com/help/gdpr) 进行匿名页面浏览统计 — 注重隐私、符合 GDPR、不使用 Cookie、不进行指纹追踪、无广告跟踪器。 ## 安全性 该工具已针对常见的单页应用风险进行了加固:内容安全策略 (CSP) 锁定了远程内容(仅允许 GoatCounter 分析端点;阻止其他所有内容),JSON 导入会根据模式进行验证(防止原型污染和类型混淆),所有用户输入在渲染前均经过 HTML 转义,并且外部链接使用了 `rel="noopener noreferrer"`。 有关威胁模型及问题报告方式,请参阅 [SECURITY.md](SECURITY.md)。自动化的安全测试套件 (`security-test.js`) 涵盖了 XSS 注入、原型污染、模式验证和链接加固 — 可以使用 `node security-test.js` 运行它。 ## 本地开发 它是一个单一的 HTML 文件。在浏览器中打开 `index.html`,或使用任何静态服务器提供服务: ``` python3 -m http.server 8000 # 然后打开 http://localhost:8000 ``` ## 部署 该仓库已配置为使用 GitHub Pages。推送到 `main` 分支后,站点将部署在 `cmaddocks-uk.github.io/cyber-response`。 ## 参考框架 - [NCSC 事件管理集合](https://www.ncsc.gov.uk/collection/incident-management) - [DfE 网络安全核心标准](https://www.gov.uk/guidance/meeting-digital-and-technology-standards-in-schools-and-colleges/cyber-security-standards-for-schools-and-colleges) — 到 2030 年的六项数字与技术核心标准之一 - DfE 风险保护安排 (RPA) 网络响应计划模板 ## 免责声明 本工具按“原样”提供,不作任何担保。它不构成法律、监管或保险建议。在依赖该计划之前,请务必与您的 IT 支持团队、DPO、SLT 和保险公司进行核实。本工具不隶属于 DfE、NCSC、RPA 或任何政府机构。 ## 许可证 MIT — 详见 [LICENSE](LICENSE)。 ## 作者 Christopher Maddocks(前 ANME 大使)。作为对英国教育社区的贡献而开发。
标签:CSP策略, DfE Digital Standards 2030, GDPR合规, GitHub Advanced Security, NCSC, Ofsted, RPA, 事件响应计划, 内部威胁, 勒索软件响应, 单页应用(SPA), 合规检查工具, 后端开发, 多模态安全, 学校网络安全规划, 安全加固, 安全合规评估, 安全策略生成, 应急响应准备度, 打印输出, 拒绝服务攻击, 教育行业信息安全, 数据可视化, 数据泄露处理, 数据隐私保护, 无Cookie分析, 本地存储, 灾难恢复规划, 离线计算, 纯前端无服务端, 网络保险, 网络安全, 英国国家网络安全中心标准, 账号被盗恢复, 钓鱼攻击防御, 隐私保护, 风险评估工具