軟件定義安全系統架構包括哪些層次模塊

軟件定義安全系統架構包括以下層次模塊：

• 資源池：資源池包含硬件資源、安全資源池以及業務資源池，硬件資源由服務器、存儲設備、交換機和路由器組成，為虛擬化安全功能和業務提供虛擬資源。安全資源池由虛擬化的安全功能（即虛擬安全網元）和物理安全設備等組成。業務資源池安全設備接受來自交換機的流量并對該流量執行安全策略。虛擬安全網元可以根據業務需求，由網絡控制及資源編排層的MANO實現安全功能的擴/縮容以及彈性伸縮。

• 網絡控制及資源編排層：包含SDN控制器和MANO系統，負責對資源池的所有資源進行網絡編排。SDN控制器根據來自安全控制層的策略，實現流量的編排、管理。MANO系統實現對安全功能需要的虛擬化資源的編排、管理，以及虛擬安全網元的生命周期管理。

• 安全數據分析層：安全分析器使用大數據、人工智能等技術，基于各虛擬網元及物理網元的安全日志、流量日志、文件、終端行為等多維度分析安全威脅，將安全分析結果轉化為安全需求發送給安全編排器。另外，安全分析器可通過大數據關聯威脅信息，圖形化展示攻擊路徑，并且可以呈現個性化展示效果，例如可以基于運維視角的本地化展示，支持地圖疊加、角色疊加等多種展示界面。

• 安全控制及編排層：根據來自安全服務層或安全數據分析層的安全需求，安全編排器將安全策略下發給相應的安全設備實現安全防護。安全編排器在向安全設備下發安全策略之前，應先將引流策略下發給SDN控制器，由SDN控制器實現流量的編排；如果現有的安全資源不能滿足安全需求，安全編排器還需向MANO下發虛擬資源分配請求，以擴充所需的虛擬資源或者創建并啟動滿足特定安全需求的虛擬化安全網元。

• 安全服務層：安全服務層基于安全編排器、安全分析器提供的安全能力及安全數據向用戶提供可定制化、可編程的安全服務，這些安全服務可集成在用戶的最終應用中。用戶可通過此功能按需購買安全服務。訂購功能和服務通過API調用提交給安全控制器。安全編排器根據安全控制策略和用戶需求實現安全資源的管理和編排，為用戶按需提供安全服務，實現安全即服務（Security as a Service，SECaaS）。

• 安全管控系統：至少包含統一賬號管理、認證管理、授權管理和審計管理，可將安全控制器、智能分析與可視化工具等統一納入運營商的安全管控體系中。軟件定義安全架構實現了安全設備軟化、安全功能云化（池化）、安全智能化。軟件定義安全改變了傳統安全設備的部署和配置、安全威脅的分析和展示、安全服務及能力的開放手段。與傳統安全架構相比，軟件定義安全有如下優勢。

回答所涉及的環境：聯想天逸510S、Windows 10。