安全平台
以下内容对“安全平台(风控、Zero Trust、入侵检测)”做系统性、专业化、可落地的整体展开,形成一个完整的企业级 Security Platform 蓝图,涵盖架构、核心能力、模块边界、数据流、交互、落地方式与治理体系。
一、平台定位(Strategic Positioning)
安全平台是企业数字化安全能力的统一承载平台,覆盖“事前预防、事中检测、事后追溯”全环节,主要目标包括:
- 统一安全引擎能力(风控、Zero Trust、检测与响应)
- 统一威胁情报与风险决策中心
- 统一策略、规则、模型治理
- 统一接入鉴权与设备安全评估
- 统一安全事件的监测、告警、闭环
核心原则:
- 全局风险视角(User、Device、Network、App、Data)
- 实时决策(Real-time Decision)
- 自适应安全(Adaptive Security)
- 全链路可观测(Observability + Audit)
二、平台核心结构(Top-Level Architecture)
安全平台(Security Platform)
├── 风控中心(Risk Control Center)
│ ├── 实时风控(交易 / 访问)
│ ├── 规则引擎(Rule Engine)
│ ├── 模型引擎(ML/AI)
│ ├── 风险评分(Risk Scoring)
│ └── 黑白名单 / 风险画像库
│
├── Zero Trust 引擎(Zero Trust Engine)
│ ├── 身份验证(Identity Assurance)
│ ├── 设备/环境验证(Device/Context Assurance)
│ ├── 应用访问控制(Application Access)
│ ├── 动态授权(Continuous Authorization)
│ └── 微分段策略(Micro-Segmentation)
│
├── 入侵检测与响应(IDR/EDR/NDR)
│ ├── EDR:终端检测与响应
│ ├── NDR:网络检测与响应
│ ├── IDS/IPS:攻击检测与阻断
│ ├── 威胁情报中心(Threat Intelligence Hub)
│ └── SIR:安全事件响应
│
└── 安全治理层(Security Governance)
├── 策略管理(Policy Center)
├── 审计中心(Audit Hub)
├── 事件中心(SOC)
└── 指标面板(KPI/SLA)
三、风控中心(Risk Control)详解
企业风控并不仅限于金融交易,任何“访问、调用、修改、敏感操作”都可触发风险决策。
1. 风控典型场景
- 登录风控(异常地理位置、设备指纹、撞库攻击)
- 接口风控(关键 API 调用频率异常)
- 后台操作风控(敏感配置修改、批量导出数据)
- 交易风控(订单、支付、退款等)
- 身份生命周期风控(角色变更异常、权限膨胀)
2. 风控引擎内部结构
Risk Control Engine
├── 前置数据采集(行为、日志、设备、上下文)
├── 风控决策引擎
│ ├── 规则引擎(基于 DSL)
│ ├── 模型引擎(机器学习)
│ ├── 场景编排(Scenario Orchestrator)
│ ├── 画像系统(User/Profile/Risk Portrait)
│ ├── 风险评分器(Risk Scoring)
│ └── 策略中心(Policy Center)
└── 决策结果
├── allow
├── deny
├── challenge(MFA、二次确认)
└── risk_alert
3. 风控核心能力
- 设备指纹(Device Fingerprinting)
- 行为分析(UEBA)
- 异常检测模型(Anomaly Detection)
- 高频访问、爆破检测、撞库识别
- 规则+模型混合决策(Rule + ML Hybrid Decision)
- 实时决策(50ms 以内)
四、Zero Trust(零信任)平台结构
Zero Trust 是 IAM 的扩展,更强调“从不信任,持续验证”。
核心理念:身份 + 设备 + 上下文 + 风险 = 最终访问决策
1. Zero Trust 控制平面
Zero Trust Engine
├── 身份验证 (Identity Assurance)
│ ├── 实时风险分数
│ ├── MFA / Step-up Authentication
│
├── 设备验证 (Device/Posture)
│ ├── 设备指纹
│ ├── EDR 状态
│ ├── 操作系统、补丁、root 检查
│
├── 上下文验证 (Context)
│ ├── IP / GEO
│ ├── 网络环境(VPN、代理)
│ ├── 时间段
│
├── 持续授权 (Continuous Authorization)
│ ├── 动态调整访问权限
│ ├── 会话风险变化 → 强制 MFA
│
└── 微分段(Micro-Segmentation)
├── 对人:基于最小权限,按资源动态计算权限
├── 对服务:服务到服务访问需要验证与授权
2. 实际落地路径(可直接用于企业规划)
- 第一步:网络边界 → 身份边界(专业版 SSO + 强 MFA)
- 第二步:设备接入准入(Device Trust)
- 第三步:访问决策接入风控中心(Risk-based Authentication)
- 第四步:零信任网关(ZTNA Gateway)
- 第五步:服务间访问控制(Micro-Segmentation)
五、入侵检测与响应(IDR/EDR/NDR)
这是安全平台的“事中检测 + 事后响应”核心能力。
1. EDR(终端检测与响应)
关注主机/容器层面:
- 恶意进程检测
- 文件篡改
- 系统调用异常
- 勒索病毒行为
- 提权/横向移动
- 日志上报与隔离
EDR 提供:
- 实时监控
- 自动阻断(杀进程 / 阻断网络)
- 终端态势感知
2. NDR(网络检测与响应)
关注网络层:
- 流量异常
- DNS 隧道、ICMP 隧道检测
- 横向移动(Lateral movement)
- C2 通信检测
- TLS 指纹识别
3. IDS/IPS(入侵检测/防御系统)
主要应对常见攻击:
- SQL/XXE/代码注入
- 暴力破解
- Webshell
- RCE 尝试
- OWASP Top 10
IPS 能直接阻断,IDS 只记录与告警。
4. 与风控/Zero Trust 的联动
安全平台需要具备“闭环能力”:
- 风控发现高风险用户 → Zero Trust 强制 MFA
- EDR 检测到攻击 → 风控拒绝其访问
- IDS 发现扫描行为 → 动态调整访问策略
- SOC 告警触发事件 → 自动封禁账号/设备/IP
六、平台之间的关系(与 IAM / SSO / 审计中心协同)
User → SSO → IAM → Security Platform → App
↑ ↓
审计中心 风控结果
说明:
- 身份由 UMS + IAM 提供
- 登录/Token 由 Passport/SSO 提供
- 安全平台对“访问行为”进行二次决策
- 审计中心记录安全事件、风险事件、阻断行为
- 最终控制权可落到 Zero Trust 或应用侧
七、安全平台的“闭环能力成熟度模型”(企业落地参考)
Level 1:攻击检测(IDS/IPS、日志聚合) Level 2:行为分析(UEBA、简单规则) Level 3:实时风险决策(风控引擎) Level 4:Zero Trust 引擎接入 + 动态授权 Level 5:统一安全编排平台(SOAR)+ 自动化响应 Level 6:真正的自适应安全(AI + 风控 + Zero Trust 一体化)
八、总结(可以作为整体介绍版)
安全平台由三大核心能力构成:
- 风控中心:以行为、规则、模型进行实时风险决策
- Zero Trust:持续验证身份、设备、上下文,动态进行权限控制
- 入侵检测与响应:覆盖终端、网络、应用的攻击检测和自动响应
三个能力通过统一的安全治理层整合,实现:
- 全链路可观测
- 风险可视化
- 策略统一管理
- 自动化闭环
确保企业在“身份、设备、网络、应用、数据”五层面的安全。
NEXT
安全平台 Landpage(宣传官网)详细设计 + 交互文档
安全平台 Top-level Architecture 拓扑图(mermaid)
每个子模块的 PRD / BRD / PDD
安全平台的 Roadmap(1 年 / 3 年规划)
与 IAM / 审计中心 / KMSS / 跳板机的集成关系图
