基础设施层为平台部署及运行提供必要的物理硬件设施，主要包括计算基础设施、存储基础设施、网络基础设施以及其他相关的基础设施。

平台数据采集层主要用于进行多源数据的采集与汇总，该层数据经过数据处理、存储、挖掘提供给上层业务系统。

数据采集方式：全市网络空间资产探测、重要系统或网站安全监测、网络出口流量监测、重点保卫单位流量监测、重保单位日志采集、等级保护管理数据接入、工业控制系统监测、蜜罐系统捕获、第三方机构威胁情报、攻防演练平台上传数据等。

支撑系统层基于flume、Kafka和ETL工具实现对采集数据的处理，主要包括采集子系统、处理子系统、存查管理子系统、分析子系统、建模子系统。

数据中心层通过大数据存储中心对数据进行存储，数据储存分成海量存储和热点存储两类：一是基于HDFS开发的海量存储，存储所有的非结构化数据库、原始库和备份库；二是基于ES（ElasticSearch）开发的热点存储。

平台具有统一的计算引擎管理器，根据计算的场景、数据类型和数据规模调用实时或者离线计算引擎。实时计算引擎以Kafka为数据通道，Flink为主，Spark为辅的方式进行，其中的复杂的场景使用Flink CEP完成。离线计算引擎以Spark和Hive为主引擎完成交互式离线分析计算任务，同时采取Tez完成超大数据规模和超长执行时间的后台计算任务。

通过多维态势可视化技术，结合用户实际需求，实现平台各类应用，主要应用系统包括等级保护系统、实时监测系统、通报预警系统、快速处置系统、侦查调查系统、威胁感知系统、情报信息系统、追踪溯源系统、监管对象系统、执法检查系统、指挥调度系统、攻防演练系统等十二大系统。

通过应急处置工具箱对应急处置流程进行了优化，并全程指导应急处置步骤。同时提供多种取证手段与专家知识库，满足不同场景下对应急处置工具以及相关知识的需求，简化了网络安全事件应急处置复杂的流程。

通过等级保护检查工具箱实现了将等级保护工作流程，等级保护基本要求与网络、主机、应用、数据库的配置及漏洞自动化关联匹配分析，得出最佳结论；同时利用知识库指导检查人员逐步完成等级保护检查工作，使得等级保护工作进一步落地。

通过工控检查工具箱实现对获取数据的关联分析、统计比对、处理流转等功能，提高网络安全执法检查的常态化、标准化和规范化水平。