2．系統主要功能及特點

日志審計系統總體上采用分級架構，如附圖28所示。

總部信息安全日志審計為一級中心，國內區域中心和海外中心設立二級中心，區域中心以下企業安裝日志收集器，向二級中心發送安全日志，二級中心向一級中心發送告警信息和安全日志，下屬企業日志收集器設置緩存、壓縮、帶寬控制和時間策略，確保日志傳輸流量不影響現有的網絡和系統。根據安全審計和監控分析要求，設置高風險安全日志實時發送，而風險度較低的日志則可以在帶寬富裕的時間發送。

分級部署架構一是可以優化帶寬，避免對互聯網帶寬的消耗，減少對其他業務的影響；二是可以優化資源，節省投資，既能充分發揮區域中心的作用，優化資源配置，減少系統建設成本，又能兼顧性能要求，降低對區域中心的壓力和對廣域網帶寬的消費；三是優化管理，分析處理在各分中心完成，總中心負責接收全網的告警，進行集中的展現。

在整個IT系統中，只有日志審計系統能夠看到完整的系統活動，因此能夠通過關聯分析，深度挖掘安全隱患、策略違規等。關聯分析主要針對網絡、安全設備和應用等層面，包括基于規則、統計、資產、時序、賬戶、權限和業務操作等的關聯分析。