工业互联网安全监管系统
如图,整个应用系统层次由下来上分为数据摘集层、数据处理层、业务应用层、可视化层。
数据集摘集层:该层描述信息安全综合监控、态势展现及应急响应平台数据的获取方式。本项目中数据的来源主要有日志摘集器、流量传感器和安全情报系统接入三种渠道,其中通过安全情报系统可接收云端威逼情报平台提供的威逼情报信息,识别APT攻击行为,提供对安全威逼态势进行展现,提供资产治理、日志检索和审计功能业务模块的硬件支撑。
数据处理层:该层主要描述数据摘集后的储备和再加工利用,储备结构主要由传统的关系型数据库+大数据分布式 NoSQL 库共同配合形成,一般标准化,格式规范的基础数据由关系型数据库存放,如漏洞库、IP 地址库、设备资产库等。海量的日志信息和流量数据由大数据NoSQL 库构成。海量的数据储备如何有效组织和加工,则通过内部数据消费层进行处理。处理后的数据再交由内部关联分析引擎层,负责日志和流量信息进行实时流解析,并匹配关联规则,对反常行为产生关联告警。
业务应用层:该层主要为安全分析平台治理功能,主要面向最终用户方的安全治理人员,通过提供的安全治理功能方便用户进行安全治理操作。
可视化层:该层主要设计安全数据展现,可通过手机、Pad 移动屏幕、无缝拼接大屏、PC 终端屏幕等常规可视化终端进行安全数据的综合绘制展现。