2．系統(tǒng)主要功能及特點(diǎn)

日志審計(jì)系統(tǒng)總體上采用分級(jí)架構(gòu)，如附圖28所示。

總部信息安全日志審計(jì)為一級(jí)中心，國(guó)內(nèi)區(qū)域中心和海外中心設(shè)立二級(jí)中心，區(qū)域中心以下企業(yè)安裝日志收集器，向二級(jí)中心發(fā)送安全日志，二級(jí)中心向一級(jí)中心發(fā)送告警信息和安全日志，下屬企業(yè)日志收集器設(shè)置緩存、壓縮、帶寬控制和時(shí)間策略，確保日志傳輸流量不影響現(xiàn)有的網(wǎng)絡(luò)和系統(tǒng)。根據(jù)安全審計(jì)和監(jiān)控分析要求，設(shè)置高風(fēng)險(xiǎn)安全日志實(shí)時(shí)發(fā)送，而風(fēng)險(xiǎn)度較低的日志則可以在帶寬富裕的時(shí)間發(fā)送。

分級(jí)部署架構(gòu)一是可以?xún)?yōu)化帶寬，避免對(duì)互聯(lián)網(wǎng)帶寬的消耗，減少對(duì)其他業(yè)務(wù)的影響；二是可以?xún)?yōu)化資源，節(jié)省投資，既能充分發(fā)揮區(qū)域中心的作用，優(yōu)化資源配置，減少系統(tǒng)建設(shè)成本，又能兼顧性能要求，降低對(duì)區(qū)域中心的壓力和對(duì)廣域網(wǎng)帶寬的消費(fèi)；三是優(yōu)化管理，分析處理在各分中心完成，總中心負(fù)責(zé)接收全網(wǎng)的告警，進(jìn)行集中的展現(xiàn)。

在整個(gè)IT系統(tǒng)中，只有日志審計(jì)系統(tǒng)能夠看到完整的系統(tǒng)活動(dòng)，因此能夠通過(guò)關(guān)聯(lián)分析，深度挖掘安全隱患、策略違規(guī)等。關(guān)聯(lián)分析主要針對(duì)網(wǎng)絡(luò)、安全設(shè)備和應(yīng)用等層面，包括基于規(guī)則、統(tǒng)計(jì)、資產(chǎn)、時(shí)序、賬戶(hù)、權(quán)限和業(yè)務(wù)操作等的關(guān)聯(lián)分析。