政务云大数据安全建设（二）技术支撑4

数据安全审计

概述：数据安全审计，面向数据运维人员和安全管理人员，针对数据风险状况、运行状况和语句状况提供实时监控和日志采集能力，是面向数据提供监控能力的一体化工具或产品，同时满足国家或行业的法律法规要求。

通过对数据访问协议的精确解析，捕捉全量的行为日志信息，使数据访问监控无死角；通过对审计日志的统计汇总，生成报表，使负责数据安全的人员清楚掌握数据访问状况。

主要功能：

1、审计日志的采集

通过探针或旁路协议解析的方式将审计能力接入，对应用信息、客户端信息、访问工具、操作行为、执行对象、响应时长、应答结果、影响范围等进行采集，从而形成数据访问的全量行为记录。

2、审计日志的合规存储和检索

《网络安全法》要求对审计日志进行长期存储，政务云的日志规模高达百亿级。因此，需要采用先进的存储机制，对海量的审计日志归档存储，通过“高压缩”和“高性能”两种数据压缩方式，最大限度利用存储空间，并通过三级存储机制，实现海量数据存储。

通过全文检索能力，帮助数据安全人员实时定位任何数据的所有痕迹，极大提升数据安全事件的排查效率。

3、应用关联审计

常规的审计只能解析到客户端一层的信息，无法对应用进行审计,在客户端之前除了应用系统信息，还有中间件信息。为使审计的效力增强，需要采用应用端插件的方式，基于应用会话捕获应用账户及应用IP等关联审计信息。针对应用端与应用服务器分离的四层关联系统，同样可基于插件部署捕获到应用的原始访问信息，实现应用审计的日志采集。

4、审计报表自动生成

报表功能是将审计日志进行数据化分析的具体表现形式。系统将报表划分为综合报表、合规性报表、专项报表、自定义报表等几类，帮助安全负责人员更加便捷、深入的剖析数据运行风险。

5、关键审计日志保护

由于审计规则泄漏或长时间不修改审计规则、增加审计节点，会使不法人员绕过审计，造成数据安全事件的发生，因此，需要对关键审计节点的审计日志进行安全保护，关键审计日志的使用只限于机构内部的少数人员。