广播电视网络安全运营平台解决方案旨在围绕资产管理、漏洞管理、威胁监测、智能分析、协同运营五个方面打造单位主动安全防御体系 ，解决网络安全难题，特别是信创环境下的网络安全威胁监测的难题。以全局视角获取网络态势相关安全要素，并且在统一平台对安全要素进行评估、分析和可视化处理，梳理整合了客户资产、风险、事件、漏洞等相关数据，充分利用人工智能技术、威胁情报技术，提供了通报预警能力、安全可视能力、持续监测能力、协同防御能力。在帮助客户在降低安全运维成本的同时，能够快速监测威胁，响应处置，协同联动预警，全面遏制安全威胁的发生，减少网络安全威胁对社会、单位内部和公民人身财产造成的影响，对构建社会和谐有重大意义。

广播电视网络安全运营平台的技术架构设计围绕运营业务流程展开，包含了安全数据中台以及安全业务中台，运行于飞腾+银河麒麟的信创计算环境，充分保证安全数据采集存储安全性和可靠性、安全能力调用的灵活性和扩展性以及运营业务展开的可用性和可行性。
(1)安全数据中台
※数据采集层
数据采集层分为知己和知彼两类。知己是指摸清家底、看清风险的能力，包括：资产探测引擎、流量威胁监测引擎、脆弱性扫描引擎等能力；知彼是指威胁感知、全面监测，包括：异常流量监测分析、威胁情报等能力。数据采集层具有柔性扩展的架构，可以根据运营业务的发展，扩展引擎的数量和类型。
※数据处理层
数据处理层是对安全运营一体化平台的数据汇聚存储、数据处理加工，数据处理提供了对广电数据的解析、规范化、分类、过滤、补齐、标签化等，最终数据转换为平台可理解的格式化数据，以文件的形式进行存在，等待分析。
※数据分析层
数据分析层读取经过预处理后的数据进行离线计算或读取分布式索引数据进行实时计算。在此进行全网安全数据的检测、分析和统计，并结合威胁情报、行为分析、智能分析等分析模型，发现安全威胁现状。同时，内置的算法库、知识库、策略库等可将数据进行归并告警，实现对数据服务层提供向上服务。
(2)安全业务中台
业务中台基于微服务架构，在数据分析层基础上对安全业务服务进行封装，提供了态势感知、威胁情报、资产探测、安全监测、安全分析、应急处置、漏洞管理、统计报告等微服务。将所有微服务进行模块功能化，通过统一的平台入口进行使用和展示。
项目实施后，运营服务团队能够基于资产与组织架构之间、资产与业务系统之间的关系视图，掌握广电全局视角下的资产存活动态和资产风险情况，做到以平台为起点，以资产为中心，以点带面构建安全威胁监测。安全管理人员通过联动平台运营处置模块、渗透测试服务等以补丁升级、端口关闭、密码修改等安全措施优先解决风险问题，监管全业务系统的漏洞修复进度，实现漏洞发现、漏洞处置、修复验证、漏洞关闭的全流程跟进。
从海量安全事件中提取攻击行为、攻击区域、攻击方式、攻击内容、攻击阶段等特征，构建不同的攻击者画像，发现攻击者的攻击意图和攻击路径。及时识别攻击者行为例如攻击者进入内网的横向攻击行为等严重影响业务的攻击行为。结合专家经验将重点频繁的攻击行为和特征形成规则模型，作为第一优先级进入重保工作台，协助安全人员对不同级别的攻击者建立分级处置流程，提高安全运营工作效率。
面对海量终端数据以及高数量级服务器集群，需要解决有限安全人员与海量数据之间的不平衡问题。通过平台SOAR（安全编排与自动化响应）功能模块将安全运维经验固化为自动化处置流程，通过可视化方式自定义剧本、应用和动作，将人、安全技术、业务流程进行深度融合，以此建立起处置工作流。在安全攻击行为触发剧本条件后将自动进行对攻击源、攻击目标的封堵、解封等安全操作过程，变被动应急响应为自动化持续响应，构建7*24小时应急响应体系。

应用场景1：信创资产测绘服务
资产测绘模块具备对网络中的IPv4/IPv6的存活的探测能力，特别是信创资产的指纹发现，能够主动发现内外网段的资产包含终端、服务器、应用系统等，解决资产频繁变动的登记造册问题，极好地应用于日常巡检、影子资产发现等场景；能够自适应识别资产的属性信息和安全信息，实现对网内所有资产构建风险画像，及时识别问题资产。
运营服务团队能够基于资产与组织架构之间、资产与业务系统之间的关系视图，掌握广电全局视角下的资产存活动态和资产风险情况，做到以平台为起点，以资产为中心，以点带面构建安全威胁监测。
应用场景2：安全漏洞监测与评估服务
面对多来源海量漏洞、历史漏洞数据缺少管理分析、漏洞处置环节层层脱节、缺少漏洞情况掌握等问题。运营平台通过联动漏洞扫描引擎，以主动漏洞扫描的方式，覆盖了不同网络环境的漏洞扫描，同时结合网络流量被动扫描、云网扫描、三方漏洞导入等多种方式作为辅助信息，完善业务全网的弱点检测。在业务以及资产层面，建立起漏洞－资产－业务系统的匹配关系以及漏洞风险等级，通过态势大屏评估最容易受到攻击和需要高优先处置的业务资产。
安全管理人员通过联动平台运营处置模块、渗透测试服务等以补丁升级、端口关闭、密码修改等安全措施优先解决风险问题，监管全业务系统的漏洞修复进度，实现漏洞发现、漏洞处置、修复验证、漏洞关闭的全流程跟进。
应用场景3：风险分析决策与支撑服务
※告警角度
通过基础安全检测模型、大数据关联分析模型、违规行为检测模型、威胁情报检测模型等多种威胁检测模型，安全运营平台及时将可能失陷的终端对业务系统的访问路径、存在异常流量及行为的终端对服务器的访问路径进行告警和预警，定位到具体失陷终端或者失陷服务器，帮助管理员及时响应安全事件并进行安全策略调整。
※攻击者角度
从海量安全事件中提取攻击行为、攻击区域、攻击方式、攻击内容、攻击阶段等特征，构建不同的攻击者画像，发现攻击者的攻击意图和攻击路径。及时识别攻击者行为例如攻击者进入内网的横向攻击行为等严重影响业务的攻击行为。
结合专家经验将重点频繁的攻击行为和特征形成规则模型，作为第一优先级进入重保工作台，协助安全人员对不同级别的攻击者建立分级处置流程，提高安全运营工作效率。
应用场景4：安全协同响应与处置服务
面对海量终端数据以及高数量级服务器集群，需要解决有限安全人员与海量数据之间的不平衡问题。通过平台SOAR（安全编排与自动化响应）功能模块将安全运维经验固化为自动化处置流程，通过可视化方式自定义剧本、应用和动作，将人、安全技术、业务流程进行深度融合，以此建立起处置工作流。在安全攻击行为触发剧本条件后将自动进行对攻击源、攻击目标的封堵、解封等安全操作过程，变被动应急响应为自动化持续响应，构建7*24小时应急响应体系。
同时结合组织架构、职能关系、业务流程构建了安全运营处置的线上流程，通过平台的工单处置模块、漏洞处置模块、预警模块、安全通报模块、告警响应模块等，将特定业务系统下特定资产的特定告警指派给特定负责人，通过系统用户权限、角色权限、访问控制的分配约束，做到专人专职分工明确。最终实现汇聚型安全分析、分散型安全处置，打通省到市、市到区、区到县、县到部门的处置任务闭环，构建全套的线上化协同运营机制。