一方麵，隨著安全防禦建設由防外為(wei) 主逐步轉向以防內(nei) 為(wei) 主，內(nei) 外兼顧，對於(yu) 安全審計的需求會(hui) 越來越多；另一方麵，隨著國家、社會(hui) 對信息保護的愈加重視，各個(ge) 行業(ye) 對審計要求愈加嚴(yan) 格，可看出未來幾年對安全審計產(chan) 品的需求會(hui) 越來越多。

“IT內(nei) 控和審計”擺到了信息部門的桌麵

目前，推出的一些國際、國家、行業(ye) 的內(nei) 控、審計標準，都對某些行業(ye) 或企業(ye) 提出需要具備安全審計產(chan) 品的要求，因此像《企業(ye) 內(nei) 部控製基本規範》此類的規範對於(yu) 銷售安全審計產(chan) 品是很有幫助的。有人將《企業(ye) 內(nei) 部控製基本規範》稱作是中國版的SOX法案，可見對他的期待有多麽(me) 高。雖然該規範還不能稱作是完整意義(yi) 上的法案，而隻是規範性文件，但是他對於(yu) 國內(nei) 企業(ye) 、尤其是大企業(ye) 的公司治理、風險控製、IT內(nei) 控，包括信息係統安全審計都起到了極大的推進作用。

實際上，不僅(jin) 是《企業(ye) 內(nei) 部控製基本規範》，包括之前國家大力開展的等級化保護建設工作，以及證券、金融、保險等行業(ye) 頒布的各項風險和內(nei) 控指引、要求等，都在努力構建一個(ge) 從(cong) 嚴(yan) 的企業(ye) 管控外部環境。作為(wei) 這種外部壓力的傳(chuan) 導，企業(ye) 的IT內(nei) 控和審計自然擺到了各大企業(ye) 信息部門的桌麵上。

可以肯定，未來企業(ye) 用戶，尤其是大型企業(ye) 用戶，會(hui) 不斷加強IT內(nei) 控，並催生對信息係統安全審計的技術、產(chan) 品和相關(guan) 解決(jue) 方案的需求，並帶動國內(nei) 安全審計市場的迅速增長。

不同的行業(ye) 對安全審計的“需求不同”

一般的企業(ye) ，目前比較大量的審計需求是對企業(ye) 內(nei) 部用戶上網行為(wei) 的審計。

政府部門和事業(ye) 單位由於(yu) 他們(men) 的業(ye) 務係統十分重要，承載了單位關(guan) 鍵的應用和數據，因此，對業(ye) 務係統的審計顯得十分重要。這類客戶需要審計內(nei) 部用戶訪問業(ye) 務係統的各種行為(wei) ，防止針對核心業(ye) 務係統和數據的違規訪問，防止信息泄漏。

金融、電信類客戶，除了需要對業(ye) 務係統進行審計之外，還需要針對運維人員的主機操作審計。由於(yu) 這類客戶具有龐大的主機和服務器機群，上麵運行了各種各樣的核心應用。同時，這類客戶的係統運維人員數量多、崗位職責多，不僅(jin) 有本單位正式職工，還有第三方駐場工程師和外包運維人員，管理較為(wei) 複雜。因此，對這些運維人員進行審計，審計他們(men) 針對主機係統的各種訪問和操作行為(wei) 就顯得十分重要。

涉密性質的單位，以及安全要求等級高的部門，還會(hui) 需要終端安全審計類產(chan) 品，對單位職工的終端進行嚴(yan) 格的安全審計。

網絡犯罪上升到“法律高度”

前不久，國家頒布實施了刑法第七修正案，其中第二百五十三條明確規定“國家機關(guan) 或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個(ge) 人信息，出售或者非法提供給他人，情節嚴(yan) 重的，處三年以下有期徒刑或者拘役，並處或者單處罰金。

竊取、收買(mai) 或者以其他方法非法獲取上述信息，情節嚴(yan) 重的，依照前款的規定處罰。單位犯前兩(liang) 款罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照各相應條款的規定處罰”。

這意味著單位如果泄露或非法獲取公民個(ge) 人信息，將被判處罰金，並追究直接負責的主管人員和其他直接責任人員的刑事責任。

隨著網絡的日益普及，利用網絡實施犯罪的新型網絡違法與(yu) 犯罪行為(wei) 也隨之日漸增多；網絡的虛擬性與(yu) 不確定性，造成傳(chuan) 統的辦案手段對此已力不從(cong) 心，公安網監部門迫切需要新的技術手段來幫助其應對這一新挑戰。

網絡安全審計係統應運而生。

網絡安全審計“未雨綢繆”

網絡安全審計係統針對互聯網行為(wei) 提供有效的行為(wei) 審計、內(nei) 容審計、行為(wei) 報警、行為(wei) 控製及相關(guan) 審計功能。從(cong) 管理層麵提供互聯網的有效監督，預防、製止數據泄密；滿足用戶對互聯網行為(wei) 審計備案及安全保護措施的要求，提供完整的上網記錄，便於(yu) 信息追蹤、設備定位、係統安全管理和風險防範。

目前，市場上有成熟的網絡安全審計產(chan) 品方案解決(jue) 供應商，產(chan) 品用於(yu) 監控用戶信息，為(wei) 顧客提供安全網絡防護和幫助公安部門更好、更快捷的進行安全監管。國聯易安數據庫安全審計係統是由公司自己研發，具有完全自主知識產(chan) 權的數據庫審計係統。係統通過監控數據庫的多重狀態和通信內(nei) 容，不僅(jin) 能夠對數據庫所麵臨(lin) 的風險進行多方位的評估，還可以通過審計功能對數據庫所有操作進行審計，提供事後追查機製。主要功能有：敏感數據發現、數據庫狀態監控、風險掃描，數據活動監控等。同時提供旁路、探針、分布式等多種部署方式，為(wei) 數據庫的各類應用環境提供高自由度部署，全方位監控與(yu) 審計。

“國聯數據庫安全審計係統尤其通過監控數據庫的多重狀態和通信內(nei) 容，可以準確評估數據庫所麵臨(lin) 的安全威脅與(yu) 風險，並為(wei) 事後追查留存依據，彌補了業(ye) 界原有產(chan) 品與(yu) 解決(jue) 方案的不足。”國聯易安董事長門嘉平博士表示。