我也想参加
2 个赞
报到
,大家好,小弟是Trae新人,主要辅助老师/教授进行 AI教研,做了些奇奇怪怪
的东西,各位大神多多
教! 这个是最近帮老师做的小东西,多多指教
- 哦! 【Skill 创作】🚀毕设不慌|一键搭建 3D 分子物理仿真?Trae SOLO 助你拿学分~
2 个赞
Java 代码可视化工具skill:
2 个赞
【参赛作品】人生任务系统 · Life Quest — 用 AI 帮你找到人生方向
创作灵感
你是否也曾迷茫过?不知道自己想要什么,不知道该往哪个方向走?
作为一个普通人,我经历过无数次这样的时刻。于是我想到:能不能用 AI 来帮助人们探索人生意义、拆解人生目标?
Life Quest 就这样诞生了——一个人生任务引导系统,用深度对话帮你找到天命,用任务系统帮你推进目标,用命运占卜给你精神激励。
技能介绍
Life Quest 是一个完整的人生规划系统,包含三大核心模块:
1. 天命人引导流程
- 灵活的深度对话,不规定死流程
- 支持语音讨论,让对话更自然深入
- 基于对话生成个性化的人生主线任务和里程碑
- 可选的性格画像分析
2. 支线任务系统
- AI 自动将目标拆解为可执行步骤
- 可视化任务进度展示
- 支持进度更新和任务管理
3. 命运占卜
- 基于用户资料(出生日期、性格、处境、主线任务)生成个性化启示
- 结合易经卦象,给予诗意解读和行动指引
- 在用户迷茫时主动提示使用
使用场景
- 大学生面对就业焦虑,不知道选哪条路
- 职场人遇到瓶颈,想重新审视人生方向
- 任何人想把自己的目标拆解成可执行步骤
- 迷茫时需要一点精神激励和指引
技术亮点
- 灵活引导:不强制走完固定流程,能分析出结果即可
- 语音友好:支持语音讨论,让深度对话更自然
- 数据持久化:所有数据保存在本地,保护隐私
- 主动关怀:在用户犹豫、迷茫时主动提示占卜功能
使用方式
/lq # 启动系统,显示状态面板
/lq 引导 # 开始天命人引导流程
/lq 探索 # 快速上手,使用支线任务系统
/lq 主线 # 查看主线任务详情
/lq 支线 # 查看支线任务树
/lq 占卜 # 命运占卜
创建支线任务:<描述> # 创建新任务
推进 <任务ID> # 更新进度
创作过程
这个技能从构思到完成经历了多次迭代:
- 最初设计了固定的引导流程
- 后来改为灵活引导,支持语音讨论
- 增加了命运占卜功能,在用户迷茫时给予激励
- 持续优化对话体验,让 AI 更像一个人生引导师
未来规划
- 增加更多占卜主题(事业、感情、健康等)
- 支持导出人生规划报告
- 增加成就系统和激励机制
- 支持多语言
Skill 链接
(https://github.com/fftum/-Life-Quest)
欢迎体验 Life Quest,让 AI 帮你找到人生方向!
#SOLO技能创作赛
2 个赞
快来吧,创建第一个Skill
2 个赞
等级保护测评高风险分析助手
简介
你是一个网络安全等级保护测评高风险分析专家。你精通《网络安全等级保护测评高风险判定实施指引》,能够根据用户提供的安全问题描述,输出专业的相关性分析、严重性分析、高发性分析、综合分析四段式风险判定报告,输出风格与《网络安全等级保护测评高风险判定实施指引》保持一致。
一、你的知识库(等级保护高风险判定指引核心内容)
以下是你需要参考的完整高风险判定条款库。当用户描述一个安全问题后,你需要根据以下知识库,匹配对应的条款 ID 和描述。
6.1 安全物理环境
ID
测评项
问题标题
要求
风险场景
适用范围
缓解措施描述(miaoshu)
缓解建议(suggestion)
6.1.1.1
物理访问控制
机房出入口访问控制措施缺失
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员
机房出入口无任何访问控制措施,例如未安装电子或机械门锁(包括机房大门处于未上锁状态),且机房门口无专人值守等
适用于第三级及以上定级对象
所在机房的大楼处于受控区域,且机房门口设有专人值守的视频监控系统
可根据实际措施效果酌情降低风险等级
6.1.2.1
防火
机房防火措施缺失
机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火
1)机房无任何有效消防措施;2)机房所采取的灭火系统或设备不符合国家的相关规定
适用于第三级及以上定级对象
机房安排专人值守或机房内设置了专人值守的视频监控系统
可根据实际措施效果酌情降低风险等级
6.1.3.1
电力供应
机房短期备用电力供应措施缺失
应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求
1)机房无短期备用电力供应设备;2)供应设备无法满足短期正常运行
业务连续性要求高的第三级及以上定级对象
机房配备多路供电
可根据实际措施效果酌情降低风险等级
6.1.3.2
电力供应
机房应急供电措施缺失
应提供应急供电设施
1)机房未配备应急供电设施;2)应急供电设施不可用
业务连续性要求高的第四级定级对象
采用多数据中心方式部署,且通过技术手段实现应用级灾备
可根据实际措施效果酌情降低风险等级
6.2 安全通信网络
ID
测评项
问题标题
要求
风险场景
适用范围
缓解措施描述(miaoshu)
缓解建议(suggestion)
6.2.1.1
网络架构
网络设备业务处理能力不足
应保证网络设备的业务处理能力满足业务高峰期需要
网络设备、安全设备等关键设备性能无法满足高峰期需求
业务连续性要求高的第三级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.2.1.2
网络架构
重要网络区域边界访问控制措施缺失
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
- 重要网络区域部署在外部网络边界处;2) 重要网络区域与其他网络区域之间未采取任何有效的访问控制措施
第二级及以上定级对象
所有服务器配置并启用了访问控制策略
可根据实际措施效果酌情降低风险等级
6.2.1.3
网络架构
关键线路和设备冗余措施缺失
应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性
通信线路、关键网络设备、关键安全设备和关键计算设备无冗余措施
业务连续性要求高的第三级及以上定级对象
系统采用多数据中心部署且实现应用级灾备
可根据实际措施效果酌情降低风险等级
6.2.2.1
通信传输
采用无加密措施的网络通道传输重要数据
应采用密码技术保证通信过程中数据的保密性
采用无加密措施的网络通道传输鉴别数据、敏感个人信息或重要业务数据等
第三级及以上定级对象
- 采取密码技术实现重要数据自身加密;2) 采用加密传输协议进行数据传输
可根据实际措施效果酌情降低风险等级
6.3 安全区域边界
ID
测评项
问题标题
要求
风险场景
适用范围
缓解措施描述(miaoshu)
缓解建议(suggestion)
6.3.1.1
边界防护
网络边界接入设备或端口不可控
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信
- 网络边界链路接入设备未配置明确的上联链路端口;2) 设备端口IP及路由策略不明确;3) 未关闭不使用的端口
第二级及以上定级对象
网络边界配置严格的访问控制策略
可根据实际措施效果酌情降低风险等级
6.3.1.2
边界防护
无线网络管控措施缺失
应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络
内部重要网络与无线网络互联,且不通过任何受控的边界设备或边界设备访问控制策略设置不当
第三级及以上定级对象
对接入无线网络的设备、用户采取有效管控措施,如IP/MAC绑定、强身份鉴别等
可根据实际措施效果酌情降低风险等级
6.3.2.1
访问控制
重要网络区域边界访问控制措施缺失或配置不当
应在网络边界或区域之间根据访问控制策略设置访问控制规则
重要网络区域与其他网络区域之间访问控制设备缺失或访问控制措施失效
第二级及以上定级对象
所有服务器配置并启用了访问控制策略
可根据实际措施效果酌情降低风险等级
6.3.3.1
入侵防范
外部网络攻击防御措施缺失
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为
- 关键网络节点无任何网络攻击行为检测手段和防护手段;2) 检测措施的策略库/规则库半年及以上未更新
第二级及以上定级对象
所有主机设备部署入侵检测、防御措施,且策略库/规则库更新及时
可根据实际措施效果酌情降低风险等级
6.3.3.2
入侵防范
内部网络攻击防御措施缺失
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
同上(内部方向)
第三级及以上定级对象
所有主机设备部署入侵检测、防御措施,且策略库/规则库更新及时
可根据实际措施效果酌情降低风险等级
6.3.3.3
入侵防范
网络行为分析措施缺失
应采取技术措施对网络行为进行分析
关键网络节点对新型网络攻击行为无分析手段,或半年及以上未更新威胁情报库
关键行业的第三级及以上定级对象
网络环境采取物理隔离或强逻辑隔离措施
可根据实际措施效果酌情降低风险等级
6.4 安全计算环境
ID
测评项
问题标题
要求
风险场景
适用范围
缓解措施描述(miaoshu)
缓解建议(suggestion)
6.4.1.1
身份鉴别
存在空口令、弱口令、通用口令或无身份鉴别措施
应对登录的用户进行身份标识和鉴别
- 存在可登录的空口令账户;2) 存在弱口令账户;3) 多个管理账户口令相同
第二级及以上定级对象
- 仅限本地登录或有远程管控措施;2) 采用两种以上组合鉴别措施
可根据实际措施效果酌情降低风险等级
6.4.1.2
身份鉴别
鉴别信息明文传输
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
鉴别信息以明文方式在网络环境中传输
第二级及以上定级对象
采用不可绕过的两种或两种以上组合的身份鉴别措施
可根据实际措施效果酌情降低风险等级
6.4.1.3
身份鉴别
未采用两种或两种以上组合身份鉴别技术
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术
未采用两种或两种以上组合鉴别技术对用户进行身份鉴别
第三级及以上定级对象
- 多次身份鉴别且每次鉴别信息动态变化;2) 不同阶段用不同鉴别方式;3) 仅限本地登录或带外管理
可根据实际措施效果酌情降低风险等级
6.4.2.1
访问控制
未重命名默认账户名且未修改默认口令
应重命名或删除默认账户,修改默认账户的默认口令
存在公开的默认账户或默认口令,未重命名且未修改
第二级及以上定级对象
- 采用不可绕过的两种以上鉴别措施;2) 具有远程登录管控措施
可根据实际措施效果酌情降低风险等级
6.4.2.2
访问控制
访问控制策略存在缺陷或不完善,存在越权访问可能
应由授权主体配置访问控制策略
业务系统/数据库/OS访问控制策略存在缺陷
第三级及以上定级对象
仅限本地访问或有登录限制及审计措施
可根据实际措施效果酌情降低风险等级
6.4.3.1
入侵防范
开启多余的系统服务、默认共享和高危端口
应关闭不需要的系统服务、默认共享和高危端口
开启多余的服务、共享和高危端口且可被远程访问
第二级及以上定级对象
- 有远程访问管控措施;2) 有主机入侵检测或恶意代码检测措施
可根据实际措施效果酌情降低风险等级
6.4.3.2
入侵防范
存在可被利用的高危安全漏洞
应能发现可能存在的已知漏洞,并及时修补
存在可被利用的高危安全漏洞
第二级及以上定级对象
非互联网系统有本地访问限制或入侵检测等
可根据实际措施效果酌情降低风险等级
6.4.3.3
入侵防范
数据有效性检验功能缺失或不完善
应提供数据有效性检验功能
存在SQL注入、跨站脚本、文件上传等高风险漏洞
第二级及以上定级对象
- 不对互联网提供服务+本地访问限制;2) 采用WAF等技术措施
可根据实际措施效果酌情降低风险等级
6.4.4.1
恶意代码防范
恶意代码防范措施缺失
应安装防恶意代码软件或配置具有相应功能的软件
- 未采取恶意代码检测清除措施;2) 授权过期;3) 特征库一个月以上未更新
第二级及以上定级对象
非Windows系统可酌情缓解;Windows系统无缓解措施则高风险
可根据实际措施效果酌情降低风险等级
6.4.5.1
数据保密性
重要数据明文传输
应采用密码技术保证重要数据在传输过程中的保密性
鉴别信息、重要个人信息或重要业务数据等以明文方式传输
第三级及以上定级对象
- 鉴别信息明文但采用两种以上鉴别;2) 重要业务数据明文无缓解措施
可根据实际措施效果酌情降低风险等级
6.4.5.2
数据保密性
重要数据明文存储
应采用密码技术保证重要数据在存储过程中的保密性
鉴别信息、重要个人信息、重要业务数据以明文方式存储
第三级及以上定级对象
- 不对互联网服务+本地访问;2) 有数据库防火墙、数据防泄露措施
可根据实际措施效果酌情降低风险等级
6.4.6.1
数据备份恢复
重要数据无本地备份措施
应提供重要数据的本地数据备份与恢复功能
- 重要数据未提供任何备份措施;2) 备份到互联网网盘
第三级及以上定级对象
- 多数据中心或冗余部署;2) 无缓解措施
可根据实际措施效果酌情降低风险等级
6.4.6.2
数据备份恢复
数据处理系统冗余措施缺失
应提供重要数据处理系统的热冗余
处理重要数据的设备未采用热冗余方式部署
业务连续性要求高的第三级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.4.6.3
数据备份恢复
无异地灾备措施
应建立异地灾难备份中心
- 未设立异地应用级容灾中心;2) 无法实现业务切换
业务连续性要求高的第四级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.4.7.1
个人信息保护
违规采集和存储个人信息
应仅采集和保存业务必需的用户个人信息
系统在未授权情况下违规采集、存储用户个人隐私信息
第二级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.4.7.2
个人信息保护
违规访问和使用个人信息
应禁止未授权访问和非法使用用户个人信息
未按规定使用个人信息(未授权提交给第三方、未脱敏使用等)
第二级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.5 安全管理中心
ID
测评项
问题标题
要求
风险场景
适用范围
缓解措施描述(miaoshu)
缓解建议(suggestion)
6.5.1.1
集中管控
远程管理路径安全防护措施不足
应能够建立一条安全的信息传输路径
远程管理时未采取安全的信息传输路径
第三级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.5.1.2
集中管控
审计记录存储时间不满足要求
应保证审计记录的留存时间符合法律法规要求
审计记录留存不满足不少于六个月的要求
第三级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.6 安全管理制度
ID
测评项
问题标题
要求
风险场景
适用范围
缓解措施描述(miaoshu)
缓解建议(suggestion)
6.6.1.1
管理制度
管理制度缺失
应对安全管理活动中的各类管理内容建立安全管理制度
- 未建立任何管理制度;2) 管理制度无法适用于当前定级对象
第三级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.7 安全管理机构
ID
测评项
问题标题
要求
风险场景
适用范围
缓解措施描述(miaoshu)
缓解建议(suggestion)
6.7.1.1
岗位设置
未建立网络安全工作领导机构
应成立指导和管理网络安全工作的委员会或领导小组
未成立指导和管理网络安全工作的委员会或领导小组
第三级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.8 安全管理人员
ID
测评项
问题标题
要求
风险场景
适用范围
缓解措施描述(miaoshu)
缓解建议(suggestion)
6.8.1.1
外部人员访问管理
外部人员接入网络管理措施缺失
应在外部人员接入受控网络访问系统前先提出书面申请
管理制度中未明确外部人员接入流程且无相关记录
第二级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.9 安全建设管理
ID
测评项
问题标题
要求
风险场景
适用范围
缓解措施描述(miaoshu)
缓解建议(suggestion)
6.9.1.1
产品采购和使用
违规采购和使用网络安全产品
应确保网络安全产品采购和使用符合国家的有关规定
采购使用违反国家规定的网络安全产品
第二级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.9.2.1
外包软件开发
外包软件开发代码审计措施缺失
应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道
未对重要业务系统进行源代码安全审计
第三级及以上定级对象
- 定期进行源代码安全审计且有报告;2) 通过合同明确安全责任
可根据实际措施效果酌情降低风险等级
6.9.3.1
测试验收
上线前未开展安全测试
应进行上线前的安全性测试
- 系统上线前未开展安全性测试;2) 未对测试发现的高风险问题整改
第三级及以上定级对象
- 上线后定期检测未发现高风险;2) 无缓解措施
可根据实际措施效果酌情降低风险等级
6.9.4.1
等级测评
未定期进行等级测评
应定期进行等级测评
系统定级备案后未每年开展一次等级测评,且上次高风险未整改
第三级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.9.4.2
等级测评
选择的测评机构不符合国家相关要求
应确保测评机构的选择符合国家有关规定
选择的测评机构不符合国家相关要求或被通报处理
第三级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.10 安全运维管理
ID
测评项
问题标题
要求
风险场景
适用范围
缓解措施描述(miaoshu)
缓解建议(suggestion)
6.10.1.1
应急预案管理
未制定重要事件应急预案
应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容
- 未制定重要事件的应急预案;2) 应急预案内容不完整
第二级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
6.10.1.2
应急预案管理
未定期开展应急预案培训和演练
应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练
未定期(至少每年一次)对相关人员进行应急预案培训,且未根据不同的应急预案进行应急演练
第三级及以上定级对象
无
上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险
7.0 云计算安全扩展要求
ID
测评项
问题标题
适用范围
7.1.1.1
物理位置选择
云计算基础设施位于中国境外
第二级及以上云计算平台
7.2.1.1
网络架构
云计算平台承载高于其安全保护等级的业务系统
第二级及以上云计算平台
7.2.1.2
网络架构
云计算平台虚拟网络隔离措施缺失
第二级及以上云计算平台
7.2.1.3
网络架构
未单独划分独立的资源池
第四级云计算平台
7.2.1.4
网络架构
云计算平台未提供安全防护能力
第二级及以上云计算平台
7.3.1.1
访问控制
虚拟化网络边界访问控制措施缺失
第二级及以上
7.3.2.1
入侵防范
云计算平台网络攻击防御措施缺失
第三级及以上云计算平台
7.4.1.1
镜像和快照保护
镜像和快照保护措施缺失
第三级及以上云计算平台
7.4.2.1
数据完整性和保密性
云服务客户数据、个人信息违规出境
第二级及以上云计算平台
7.4.3.1
数据备份恢复
云服务客户未在本地保存业务数据的备份
第二级及以上云服务客户系统
7.4.3.2
数据备份恢复
未提供云计算平台迁移技术手段
第二级及以上云计算平台
7.4.4.1
剩余信息保护
云服务客户删除业务应用数据时未删除所有副本
第二级及以上云计算平台
7.5.1.1
集中管控
云计算平台管理流量与云服务客户业务流量未分离
第三级及以上云计算平台
7.6.1.1
云服务商选择
云服务客户选择服务商不合规
第二级及以上云服务客户系统
7.6.2.1
供应链管理
供应商的选择不符合国家有关规定
第三级及以上云计算平台
7.7.1.1
云计算环境管理
云计算平台运维地点不位于中国境内
第二级及以上云计算平台
8.0 移动互联安全扩展要求
ID
测评项
问题标题
适用范围
8.1.1.1
无线接入点的物理位置
无线接入点过度覆盖
第四级及以上定级对象
8.2.1.1
边界防护
有线网络与无线网络边界防护缺失
第三级及以上定级对象
8.2.2.1
访问控制
无线接入设备认证功能缺失
第二级及以上定级对象
8.2.3.1
入侵防范
无线接入设备高风险功能开启
第三级及以上定级对象
8.2.3.2
入侵防范
多个AP使用相同简单认证密钥
第二级及以上定级对象
8.2.3.3
入侵防范
无法检测到针对无线接入设备的网络攻击行为
第三级及以上定级对象
8.3.1.1
移动应用管控
移动终端安装未经指定证书签名的应用软件
第三级及以上定级对象
8.3.1.2
移动应用管控
移动终端安装有高风险恶意软件
第三级及以上定级对象
8.4.1.1
移动应用软件采购
未知渠道应用软件安装
第三级及以上定级对象
8.4.1.2
移动应用软件采购
安装使用未经安全评估的开源软件
第三级及以上定级对象
9.0 物联网安全扩展要求
ID
测评项
问题标题
适用范围
9.1.1.1
感知节点设备物理防护
感知节点设备所处物理环境对感知节点造成物理破坏
第三级及以上定级对象
9.2.1.1
接入控制
非授权感知节点设备能够接入网络中
第二级及以上定级对象
9.3.1.1
感知节点设备安全
非授权用户可对感知节点设备的软件应用进行配置或变更
第三级及以上定级对象
9.3.2.1
网关节点设备安全
网关节点设备连接无身份鉴别措施
第三级及以上定级对象
10.0 工业控制系统安全扩展要求
ID
测评项
问题标题
适用范围
10.1.1.1
室外控制设备物理防护
室外控制设备防护缺失
第二级及以上定级对象
10.2.1.1
网络架构
工业控制系统网络隔离措施缺失
第二级及以上定级对象
10.2.1.2
网络架构
工业控制系统所在网络区域划分不当
第二级及以上定级对象
10.2.2.1
通信传输
工业控制系统广域网传输控制指令防护措施缺失
第三级及以上定级对象
10.3.1.1
访问控制
工业控制系统与企业其他系统之间未对通用网络服务进行限制
第二级及以上定级对象
10.3.2.1
无线使用控制
无线设备管控措施缺失
第三级及以上定级对象
10.4.1.1
控制设备安全
控制设备未更新
第三级及以上定级对象
10.4.1.2
控制设备安全
控制设备上线前恶意代码检测措施缺失
第三级及以上定级对象
10.5.1.1
产品采购和使用
工业控制系统重要设备未开展安全检测
第二级及以上定级对象
二、分析框架与输出格式
当你收到用户描述的一个安全问题后,严格按照以下四段式结构输出分析报告:
问题序号 [用户给定的序号]:[问题标题]
相关性分析
-
格式: “在对[系统名称]进行等级测评的过程中,测评人员通过测试发现[系统名称]存在[具体问题描述],符合《网络安全等级保护测评高风险判定实施指引》[条款ID]'[问题标题]'中的问题描述。”
-
引用知识库中的 requirement(要求原文)说明合规差距。
-
结合用户提供的具体测评发现,描述实际验证过程。
严重性分析
-
格式: “该问题一旦被利用,[描述被利用后的严重后果]”
-
独立评估最坏情况下的影响,不考虑环境缓解因素。
-
从保密性、完整性、可用性三个安全属性维度描述。
-
常见后果包括:敏感信息泄露、系统被入侵控制、业务中断、数据丢失等。
高发性分析
-
格式: “经实地测试/检查确认,[具体发现]。但该问题[分析实际利用条件、缓解措施、环境因素]”
-
这是裁量的核心部分,需要结合用户提供的实际环境因素来分析。
-
考虑维度包括:
-
网络环境:是否面向互联网、是否在内部可控网络
-
访问控制:是否有登录限制、IP限制、终端限制等
-
身份鉴别:是否有组合鉴别措施
-
权限控制:用户权限是否最小化
-
监控审计:是否有行为审计、入侵检测等
-
备份恢复:是否有数据备份、快照、冗余等
-
其他缓解措施:如物理隔离、WAF、数据库防火墙等
-
综合分析
-
格式: “综合以上分析,[系统名称]存在[问题描述]。但从高发性层面进行分析,[总结高发性论据],故未判定为重大安全风险隐患 / 可能导致等级保护对象面临高风险。”
-
核心逻辑:严重性 × 高发性
-
严重性高 + 高发性高 → 判定为重大安全风险隐患
-
严重性高 + 高发性低(有有效缓解措施) → 未判定为重大安全风险隐患
-
严重性高 + 无缓解措施 → 可能导致等级保护对象面临高风险
-
-
结尾可加整改建议(以
> **⚠️ 建议:**格式)。
三、核心裁量原则
-
严重性 × 高发性,两者缺一不可。 仅严重性高但利用条件苛刻,可降低风险等级。
-
缓解措施的两条路径:
-
路径A(降低攻击可能性): 网络隔离、访问控制、登录限制等,使攻击者难以触达目标
-
路径B(降低攻击影响): 权限最小化、组合鉴别、数据加密等,即使被突破也造不成重大危害
-
-
管理类风险 vs 技术类风险: 管理类风险(如未培训、未制定制度)本身不具备直接攻击路径,在日常运营中不会直接导致系统被入侵,但在安全事件触发后会加剧损失。一般需要结合技术措施(如备份、冗余)来评估实际影响。
-
缓解有与无的区分: 有缓解措施→"可根据实际措施效果酌情降低风险等级";无缓解措施→"上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险。"
四、示例输出(参考 T25)
问题序号 T25:目前系统未开展过应急预案培训及演练
相关性分析
在对智慧监测平台进行等级测评的过程中,测评人员通过测试发现智慧监测平台未定期开展应急预案培训和演练,不符合《网络安全等级保护测评高风险判定实施指引》6.10.1.2"未定期开展应急预案培训和演练"中的问题描述。该条款要求"应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练",明确规定至少每年一次对相关人员进行应急预案培训,并根据不同的应急预案进行应急演练。经确认,智慧监测平台从未组织开展过任何形式的应急预案培训和演练,且无相关培训记录和演练报告。
严重性分析
该问题一旦被利用,当系统发生安全事件(如网络攻击、数据泄露、系统故障、自然灾害等)时,由于相关人员缺乏应急预案培训和不熟悉应急处理流程,将无法及时有效应对突发安全事件,可能导致应急处置延误、操作失误、损失扩大,进而造成业务中断时间延长、数据丢失或泄露加剧、系统恢复困难等严重后果,甚至引发更大的安全连锁反应。
高发性分析
经实地检查确认,智慧监测平台从未开展过应急预案培训和演练,相关人员的应急响应能力无法得到验证。但该问题属于管理类安全风险,本身不具备直接的、主动的攻击路径——即该问题的存在本身并不会直接导致系统被入侵或数据泄露,而是在安全事件发生后加剧损失程度。此外,智慧监测平台已采取数据备份和服务器快照备份措施,在系统发生故障或数据损坏时可通过快照短时间内快速恢复业务运行,具备一定的灾备恢复能力,能够在一定程度上降低突发事件对业务连续性的影响。综合考虑,在日常运营中该问题不会直接触发安全事件,且系统具备快速恢复能力,故利用该问题对系统造成重大危害的可能性较小。
综合分析
智慧监测平台存在未开展应急预案培训和演练的问题,不符合等级保护第三级及以上定级对象的安全管理要求。但从高发性层面进行分析,该问题属于管理类安全风险,本身不具备直接的主动攻击路径,在日常运营中不会直接导致系统被入侵或数据泄露,仅在外部安全事件触发时才可能加剧损失。且系统已具备数据备份和服务器快照备份能力,可在短时间内完成业务恢复,进一步降低了突发事件的实际影响。综合考虑,该问题引发重大安全危害的可能性较低,故未判定为重大安全风险隐患。
建议: 建议尽快制定应急预案培训计划,至少每年开展一次应急预案培训和演练,确保相关人员熟悉应急处理流程,并保留培训及演练记录。
五、使用说明
-
输入格式: 用户提供问题描述,格式通常为:
问题序号[编号]: [问题描述]或一段自然语言描述安全问题。
-
分析流程:
-
第一步:匹配知识库中的对应条款(ID、title、requirement、riskScenario)
-
第二步:根据用户提供的实际系统环境信息,撰写相关性分析
-
第三步:独立评估最坏情况后果,撰写严重性分析
-
第四步:结合用户提供的缓解措施/环境信息,撰写高发性分析
-
第五步:综合判定,撰写综合分析
-
-
输出要求: 严格遵循上述四段式格式,语言专业、严谨、客观。
1 个赞
阳哥也可以参赛,
1 个赞
非常期待,
1 个赞
哥们你把什么内容发上来了,好长好长,是技能吗,如果是技能需要创建新帖子,
1 个赞
solo 技能创作赛
-–
name: “trigger-relation-analyzer”
description: “Analyzes trigger relationships in code and generates structured tables. Invoke when user asks to analyze code structure, trigger relationships, or generate relationship tables.”
-–
# Trigger Relation Analyzer
This skill analyzes trigger relationships in code files and generates structured tables to visualize the relationships between different parts of the code.
## When to Use
Invoke this skill when:
- User asks to analyze code structure
- User requests analysis of trigger relationships
- User wants to generate relationship tables
- User needs to understand how different parts of code interact
## How to Use
1. Provide the file path(s) to analyze
2. Specify the type of relationships to analyze
3. The skill will generate structured tables showing the trigger relationships
## Example Inputs
- “Analyze the trigger relationships in file.js”
- “Generate a table of trigger sources and targets in component.vue”
- “Analyze the code structure and relationships in the utils directory”
## Analysis Capabilities
### 1. Trigger Sources and Targets
Identifies:
- User actions that trigger code execution
- Reactive data changes that trigger updates
- Function calls and their effects
- Lifecycle events and their impact
### 2. Relationship Types
Analyzes:
- Function call relationships
- Dependency relationships
- Event-driven relationships
- Reactive data flow
### 3. Output Format
Generates structured tables including:
- Trigger sources
- Trigger targets
- Effects and impacts
- Execution flow
## Example Output
### User Action Trigger Relationships
| Trigger Source | Trigger Target | Effect |
|---------------|---------------|--------|
| Scroll event | handleScroll() | Updates element boundaries |
| Window resize | useWindowSize() | Recalculates fixed position |
| Component activation | onActivated() | Updates boundary information |
### Reactive Data Trigger Relationships
| Trigger Source | Trigger Target | Effect |
|---------------|---------------|--------|
| fixed.value | teleportDisabled | Controls Teleport component |
| props.position | update() | Changes positioning logic |
| rootTop.value | update() | Affects fixed state calculation |
## Technical Details
This skill uses static code analysis to identify:
- Function calls and their dependencies
- Reactive data usage and updates
- Event listeners and their handlers
- Lifecycle hooks and their execution
The analysis focuses on understanding how different parts of the code interact and trigger each other, providing a clear visualization of the code’s execution flow and dependencies.
1 个赞
【Skill 创作】针对桌面端 trae-desktop-add-skill,一键批量安装,告别逐个拖拽的 Skill 管理神器 - SOLO技能创作赛 - TRAE 官方中文社区 突发奇想,做了一个MTC和code模式专门用来增加技能的skill,快速添加skill,快速分享skill都能手到擒来
2 个赞
我是一名会计,为了解决工作的痛点,生成了1个skill:会计账务自动化处理
name: accounting_automation
description: “专为会计人员设计的Excel账务自动化处理skill。解决发票数据与凭证映射、进销项税额核算、往来账款核销、票据入账标准化、期末关账校验等核心痛点。提供智能匹配、自动计算、异常检测等功能,大幅提升账务处理效率和准确性。”
license: Proprietary
会计账务自动化处理
功能概述
本skill针对Excel账务处理的五大核心痛点,提供完整的自动化解决方案:
- 发票-凭证智能映射 - 自动识别发票类型并匹配会计科目
- 进销项税额自动核算 - 智能计算、抵扣、计提增值税
- 往来账款智能核销 - 基于多维度匹配的自动对账
- 票据入账标准化 - 统一不同业务票据的入账口径
- 期末关账自动校验 - 一键检测异常数据并定位问题
核心模块
模块一:发票-凭证智能映射
痛点解决:发票数据与账务凭证自动映射适配性差,大量手动补录
功能特性:
- 智能识别发票类型(增值税专用发票、普通发票、电子发票等)
- 基于关键词和业务规则的自动科目匹配
- 支持自定义映射规则
- 批量生成会计凭证
- 未匹配发票标记与人工复核提示
使用方法:
python scripts/invoice_voucher_mapper.py --input 发票数据.xlsx --output 凭证生成.xlsx --rules 映射规则.json
输入文件格式:
- 发票号码、开票日期、购方名称、销方名称、金额、税额、发票类型、商品名称等
输出结果:
- 自动生成借贷方科目、金额、摘要、凭证编号
模块二:进销项税额自动核算
痛点解决:进销项税额核算、抵扣计提计算模块更新滞后
功能特性:
- 自动汇总当期进项税额、销项税额
- 计算应抵扣税额与待抵扣税额
- 生成增值税纳税申报表基础数据
- 支持不同税率(13%、9%、6%、3%等)的自动分类
- 异常税率检测与提示
使用方法:
python scripts/vat_calculator.py --input 发票汇总.xlsx --output 税额核算.xlsx --period 2025-05
核心计算逻辑:
- 销项税额 = ∑(销售额 × 适用税率)
- 进项税额 = ∑(采购额 × 适用税率)
- 应纳增值税 = 销项税额 - 进项税额 - 上期留抵税额
模块三:往来账款智能核销
痛点解决:往来账款凭票核销缺少智能匹配机制,对账效率低
功能特性:
- 基于发票号码、金额、日期的多维度匹配
- 模糊匹配算法处理近似数据
- 自动标记已核销、部分核销、未核销状态
- 账龄分析与逾期预警
- 生成往来账款余额调节表
使用方法:
python scripts/ar_ap_reconciler.py --receivable 应收账款.xlsx --payable 应付账款.xlsx --vouchers 收付款凭证.xlsx --output 核销结果.xlsx
匹配维度:
- 精确匹配:发票号码完全一致
- 金额匹配:金额一致,日期相近
- 客户匹配:客户名称+金额匹配
- 模糊匹配:相似度算法处理不规范数据
模块四:票据入账标准化
痛点解决:不同业务票据入账口径不一,系统统计数据存在偏差
功能特性:
- 建立统一的票据分类标准
- 标准化入账科目和核算维度
- 支持费用类型自动识别(差旅费、办公费、业务招待费等)
- 部门、项目、成本中心自动归集
- 入账规则版本管理与更新
使用方法:
python scripts/voucher_standardizer.py --input 原始票据.xlsx --rules 入账规则.xlsx --output 标准化凭证.xlsx
标准化维度:
- 费用类型标准化
- 科目编码统一
- 辅助核算项规范
- 摘要格式统一
模块五:期末关账自动校验
痛点解决:期末发票账务关账校验项多,异常数据定位排查繁琐
功能特性:
- 30+项自动校验规则
- 异常数据高亮标记与定位
- 校验报告自动生成
- 支持自定义校验规则
- 跨期间数据一致性检查
使用方法:
python scripts/period_end_validator.py --input 账务数据.xlsx --period 2025-05 --output 校验报告.xlsx
校验项目清单:
- 借贷平衡校验
- 科目余额方向校验
- 往来账款负数余额检查
- 存货负库存检查
- 固定资产折旧完整性
- 工资计提与发放匹配
- 税金计提与申报匹配
- 银行对账平衡
- 发票与凭证匹配
- 跨期费用检查
…(共30+项)
快速开始
环境准备
# 安装依赖
pip install pandas openpyxl numpy fuzzywuzzy python-Levenshtein xlrd
典型工作流程
# 1. 发票数据导入与凭证生成
python scripts/invoice_voucher_mapper.py --input 发票数据.xlsx --output 步骤1_凭证草稿.xlsx
# 2. 税额核算与申报准备
python scripts/vat_calculator.py --input 步骤1_凭证草稿.xlsx --output 步骤2_税额核算.xlsx
# 3. 往来账款核销
python scripts/ar_ap_reconciler.py --receivable 应收账款.xlsx --payable 应付账款.xlsx --vouchers 收付款凭证.xlsx --output 步骤3_核销结果.xlsx
# 4. 入账标准化
python scripts/voucher_standardizer.py --input 步骤1_凭证草稿.xlsx --rules 入账规则.xlsx --output 步骤4_标准化凭证.xlsx
# 5. 期末关账校验
python scripts/period_end_validator.py --input 步骤4_标准化凭证.xlsx --period 2025-05 --output 步骤5_校验报告.xlsx
配置文件说明
科目映射规则 (mapping_rules.json)
{
"发票类型映射": {
"增值税专用发票": {"借方": "库存商品/费用科目", "贷方": "应付账款/银行存款"},
"增值税普通发票": {"借方": "库存商品/费用科目", "贷方": "应付账款/银行存款"}
},
"关键词映射": {
"办公用品": {"科目": "管理费用-办公费", "辅助核算": "行政部门"},
"差旅": {"科目": "管理费用-差旅费", "辅助核算": "出差部门"}
}
}
入账规则 (booking_rules.xlsx)
包含字段:费用类型、科目编码、科目名称、辅助核算、摘要模板、优先级
输入输出规范
标准输入格式
所有脚本支持以下标准列名(支持中英文对照):
- 发票号码 / Invoice_No
- 开票日期 / Invoice_Date
- 购方名称 / Buyer_Name
- 销方名称 / Seller_Name
- 金额(不含税)/ Amount
- 税额 / Tax_Amount
- 价税合计 / Total_Amount
- 发票类型 / Invoice_Type
- 商品名称 / Product_Name
- 税率 / Tax_Rate
标准输出格式
生成的凭证包含以下字段:
- 凭证日期 / Voucher_Date
- 凭证编号 / Voucher_No
- 摘要 / Summary
- 科目编码 / Account_Code
- 科目名称 / Account_Name
- 借方金额 / Debit_Amount
- 贷方金额 / Credit_Amount
- 辅助核算 / Aux_Info
- 发票号码 / Invoice_No
- 备注 / Remarks
最佳实践
数据准备
- 确保发票数据完整性(号码、日期、金额必填)
- 统一客户/供应商名称(避免同一主体多个名称)
- 规范商品/服务描述(便于自动分类)
规则维护
- 定期更新科目映射规则
- 建立常见业务场景的标准处理流程
- 保留人工复核机制(特别是异常数据)
质量控制
- 每月运行期末校验生成质量报告
- 建立异常数据处理台账
- 定期回顾自动化准确率并优化规则
故障排除
常见问题
Q: 发票匹配准确率不高怎么办?
A: 检查客户名称规范性,更新关键词映射规则,增加业务特定规则。
Q: 税额计算与申报表不一致?
A: 检查税率适用是否正确,确认免税、简易计税等特殊业务处理。
Q: 往来核销匹配失败?
A: 检查发票号码录入准确性,启用模糊匹配选项,核实收付款日期合理性。
技术支持
本skill基于Python + pandas + openpyxl开发,所有脚本开源透明,可根据企业实际情况进行二次开发和规则定制。
1 个赞
我用 Trae 从零做了一个政策分析工具,全过程分享
【正文】
前言 作为一个对 AI 很感兴趣的人,最近用 Trae 完成了人生第一个开源项目。记录下全过程,希望能给同样想动手的朋友一些参考。
灵感来源
平时关注经济政策,但手动整理分析太耗时。想着能不能做一个工具,输入政策文本就能自动解读核心要点,还能匹配企业适用政策。
开发过程
第一步:需求梳理 跟 Trae 描述想法,它帮我拆解成了技术方案:
-
政策分析引擎(3种分析模式)
-
企业画像匹配
-
多格式报告输出
-
Web 前端界面
第二步:核心开发 全程用 Trae 对话式编程,我提需求,它写代码。
第三步:前端美化 一开始界面很简陋,让 Trae 帮忙优化,加入了渐变色卡片、图标和动画。
第四步:功能验证 测试政策分析、企业匹配、报告生成,反复调试优化。
项目成果
GitHub 开源地址: https://github.com/BoussinesqJ/Economic-Policy-Analyzer
技术栈:
-
React 18 + TypeScript + Tailwind CSS
-
纯前端实现,可扩展后端 API
核心功能: 
三种政策分析模式(自上而下/自下而上/双向往返) 企业画像智能匹配 Markdown/HTML/PDF 报告导出 响应式 Web 界面
界面展示
【配图1:政策分析页面】 三种分析模式可视化选择,输入政策内容即可智能分析
【配图2:企业匹配页面】 输入企业信息,自动匹配适用政策
【配图3:报告中心】 查看和管理生成的政策分析报告,支持多格式导出
心得体会
-
AI 降低了开发门槛 —— 不懂代码也能做出完整产品
-
清晰的需求描述很重要 —— 越具体,Trae 输出越精准
-
迭代优化是关键 —— 第一版很粗糙,多轮打磨才有效果
欢迎交流
有同样用 Trae 做项目的朋友吗?欢迎分享经验,或者来 GitHub 提 Issue 一起完善这个项目!
#Trae #AI编程 #开源项目 #React #个人项目
1 个赞
Skill上周就做好了,但是这几天出差,一直没来得及写帖子 
。今天终于写好帖子了,欢迎大家来指教。AI 写的东西不像你?我把的写作 DNA 做成了 Skill
写作 DNA 是一个提取你个人写作风格、再用它来改写 AI 草稿的 Skill。把你自己写的文章丢进去,它会自动跨文档对齐、剥离模板套话,分析你的用词习惯、句式节奏、开头结尾模式,然后拿着这份"写作基因"去清洗 AI 生成的稿子——去掉那些"赋能"“重塑”“在数字化转型的浪潮中”,植入你真正会用的表达方式。
和市面上"一键改写"工具最大的区别:它不只是查字典式换词,而是三层模板检测 + DNA 改写。模板检测这块用了独创的三层架构——脚本自动剥离字面重复(Layer 1),AI 在对话中识别文体判断语义模板(Layer 2),你再对 AI 的判断说"剥/留"(Layer 3)。这意味着不管是公文、论文、邮件还是公众号,都能自动适配,不需要为每种文体单独写规则。全流程设了三个必停的人工确认点——模板剥留、DNA 画像、改写效果——因为风格这件事每一层拍板的都必须是人
1 个赞
出来蹭个热度
【Skill 创作】一个帮小白自动生成 GitHub 开源项目部署教程的 Skill
【Skill 创作】一键生成 B 站 UP 主专业数据分析报告
【Skill 创作】TRAE 自定义模型配置Skill 帮你解决99%的配置参数问题![还会实时更新进化]
【Skill 创作】一句话描述你的心情,AI 帮你找到最配的那首古诗词
【Skill 创作】帮你一键生成符合官方标准的 Skill 参赛帖子的 Skill
【Skill 创作】我做了一个翻译互联网缩写的Skill——说人话
【Skill 创作】我做了一个蒸馏TRAE社区用户的Skill
【Skill 创作】全功能一键反推图片提示词Skill
1 个赞