2．系统主要功能及特点

日志审计系统总体上采用分级架构，如附图28所示。

总部信息安全日志审计为一级中心，国内区域中心和海外中心设立二级中心，区域中心以下企业安装日志收集器，向二级中心发送安全日志，二级中心向一级中心发送告警信息和安全日志，下属企业日志收集器设置缓存、压缩、带宽控制和时间策略，确保日志传输流量不影响现有的网络和系统。根据安全审计和监控分析要求，设置高风险安全日志实时发送，而风险度较低的日志则可以在带宽富裕的时间发送。

分级部署架构一是可以优化带宽，避免对互联网带宽的消耗，减少对其他业务的影响；二是可以优化资源，节省投资，既能充分发挥区域中心的作用，优化资源配置，减少系统建设成本，又能兼顾性能要求，降低对区域中心的压力和对广域网带宽的消费；三是优化管理，分析处理在各分中心完成，总中心负责接收全网的告警，进行集中的展现。

在整个IT系统中，只有日志审计系统能够看到完整的系统活动，因此能够通过关联分析，深度挖掘安全隐患、策略违规等。关联分析主要针对网络、安全设备和应用等层面，包括基于规则、统计、资产、时序、账户、权限和业务操作等的关联分析。