安全管理平臺

系統分為采集層、大數據層、分析層、管控層和呈現層。

采集層采集與安全相關的海量異構數據，主要分為兩大類型，一類為高頻數據，也就是通常所說的大數據，以海量、高速、異構為特征，主要有外部流、運行狀態和性能數據、日志和事件、原始流量鏡像包和Flow流數據等，通過高速數據總線采集；另一類為低頻數據，包括常見的資產信息、拓撲信息、配置信息、弱點信息、身份信息、漏洞情報和威脅情報等，通過低頻數據總線進行采集。

大數據層實現對采集數據的預處理和存儲，將需要的數據轉換為結構化數據，對非結構化數據進行索引和存儲，將數據分別送至大數據存儲系統和內存中供分析層使用。

分析層實現對預處理后的海量數據的實時和歷史分析，采用多種分析方法，包括關聯分析、機器學習、運維分析、統計分析、OLAP分析、數據挖掘和惡意代碼分析等多種分析手段對數據進行綜合關聯，完成數據分析和挖掘的功能。

管控層實現日常安全管理的工作，經過分析層，安全管理平臺將發現的問題呈現給管控層，管控層實現信息安全的監控預警、安全審計、安全度量、運營管理和情報管理的工作。

呈現層負責對海量數據的原始數據、分析結果數據和管控數據進行可視化展示，提供人機交互界面，向安全管理人員呈現全方位安全狀態。

系統功能從總體上劃分為五個部分，分別是：信息采集（Collection）、信息分析（Analysis）、安全處置（Action）、用戶呈現視圖（Presentation）與系統支撐（Supporting）。

信息采集：實現了對客戶IT資源的資產信息、性能信息、日志與安全事件信息、流信息、配置安全信息、弱點信息、漏洞情報、威脅情報信息等安全要素信息的采集。

信息分析：針對采集上來的各類安全要素信息，系統實現了性能與可用性分析、配置符合性分析、安全事件分析、流行為安全與合規分析、脆弱性分析、風險分析、安全趨勢分析和宏觀態勢分析。其中，風險分析包括了資產價值分析、弱點分析、威脅分析、風險評估、影響性分析等；宏觀態勢分析包括了地址熵分析、熱點分析、關鍵安全指標分析、業務健康度分析、關鍵管理指標分析；安全趨勢分析包括了攻擊趨勢分析、漏洞趨勢分析和資產安全趨勢分析。

安全處置：包括例行處置和例外處置。例行處置主要以計劃任務工單的形式體現；例外處置主要通過響應管理和告警工單處理的形式體現。此外，還包括了安全預警管理功能。

用戶呈現視圖：系統為不同層級、不同角色的用戶提供了層次化的用戶視圖，從監控、審計、風險、運維和趨勢預測五個管理維度進行展示。用戶亦能依據自身的工作需求自定義展現視圖。

系統支撐：包括資產管理、業務管理、報表管理、系統自身管理、權限管理、級聯管理、知識管理，以及全局安全信息庫。