2．系統(tǒng)主要功能及特點

日志審計系統(tǒng)總體上采用分級架構(gòu)，如附圖28所示。

總部信息安全日志審計為一級中心，國內(nèi)區(qū)域中心和海外中心設(shè)立二級中心，區(qū)域中心以下企業(yè)安裝日志收集器，向二級中心發(fā)送安全日志，二級中心向一級中心發(fā)送告警信息和安全日志，下屬企業(yè)日志收集器設(shè)置緩存、壓縮、帶寬控制和時間策略，確保日志傳輸流量不影響現(xiàn)有的網(wǎng)絡(luò)和系統(tǒng)。根據(jù)安全審計和監(jiān)控分析要求，設(shè)置高風(fēng)險安全日志實時發(fā)送，而風(fēng)險度較低的日志則可以在帶寬富裕的時間發(fā)送。

分級部署架構(gòu)一是可以優(yōu)化帶寬，避免對互聯(lián)網(wǎng)帶寬的消耗，減少對其他業(yè)務(wù)的影響；二是可以優(yōu)化資源，節(jié)省投資，既能充分發(fā)揮區(qū)域中心的作用，優(yōu)化資源配置，減少系統(tǒng)建設(shè)成本，又能兼顧性能要求，降低對區(qū)域中心的壓力和對廣域網(wǎng)帶寬的消費；三是優(yōu)化管理，分析處理在各分中心完成，總中心負(fù)責(zé)接收全網(wǎng)的告警，進(jìn)行集中的展現(xiàn)。

在整個IT系統(tǒng)中，只有日志審計系統(tǒng)能夠看到完整的系統(tǒng)活動，因此能夠通過關(guān)聯(lián)分析，深度挖掘安全隱患、策略違規(guī)等。關(guān)聯(lián)分析主要針對網(wǎng)絡(luò)、安全設(shè)備和應(yīng)用等層面，包括基于規(guī)則、統(tǒng)計、資產(chǎn)、時序、賬戶、權(quán)限和業(yè)務(wù)操作等的關(guān)聯(lián)分析。