國內安全審計市場現狀和需求分析

　　一方面，隨著安全防御建設由防外為主逐步轉向以防內為主，內外兼顧，對于安全審計的需求會越來越多；另一方面，隨著國家、社會對信息保護的愈加重視，各個行業對審計要求愈加嚴格，可看出未來幾年對安全審計產品的需求會越來越多。

　　“IT內控和審計”擺到了信息部門的桌面

　　目前，推出的一些國際、國家、行業的內控、審計標準，都對某些行業或企業提出需要具備安全審計產品的要求，因此像《企業內部控制基本規范》此類的規范對于銷售安全審計產品是很有幫助的。有人將《企業內部控制基本規范》稱作是中國版的SOX法案，可見對他的期待有多么高。雖然該規范還不能稱作是完整意義上的法案，而只是規范性文件，但是他對于國內企業、尤其是大企業的公司治理、風險控制、IT內控，包括信息系統安全審計都起到了極大的推進作用。

　　實際上，不僅是《企業內部控制基本規范》，包括之前國家大力開展的等級化保護建設工作，以及證券、金融、保險等行業頒布的各項風險和內控指引、要求等，都在努力構建一個從嚴的企業管控外部環境。作為這種外部壓力的傳導，企業的IT內控和審計自然擺到了各大企業信息部門的桌面上。

　　可以肯定，未來企業用戶，尤其是大型企業用戶，會不斷加強IT內控，并催生對信息系統安全審計的技術、產品和相關解決方案的需求，并帶動國內安全審計市場的迅速增長。

　　不同的行業對安全審計的“需求不同”

　　一般的企業，目前比較大量的審計需求是對企業內部用戶上網行為的審計。

　　政府部門和事業單位由于他們的業務系統十分重要，承載了單位關鍵的應用和數據，因此，對業務系統的審計顯得十分重要。這類客戶需要審計內部用戶訪問業務系統的各種行為，防止針對核心業務系統和數據的違規訪問，防止信息泄漏。

　　金融、電信類客戶，除了需要對業務系統進行審計之外，還需要針對運維人員的主機操作審計。由于這類客戶具有龐大的主機和服務器機群，上面運行了各種各樣的核心應用。同時，這類客戶的系統運維人員數量多、崗位職責多，不僅有本單位正式職工，還有第三方駐場工程師和外包運維人員，管理較為復雜。因此，對這些運維人員進行審計，審計他們針對主機系統的各種訪問和操作行為就顯得十分重要。

　　涉密性質的單位，以及安全要求等級高的部門，還會需要終端安全審計類產品，對單位職工的終端進行嚴格的安全審計。

　　網絡犯罪上升到“法律高度”

　　前不久，國家頒布實施了刑法第七修正案，其中第二百五十三條明確規定“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。

　　竊取、收買或者以其他方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各相應條款的規定處罰”。

　　這意味著單位如果泄露或非法獲取公民個人信息，將被判處罰金，并追究直接負責的主管人員和其他直接責任人員的刑事責任。

　　隨著網絡的日益普及，利用網絡實施犯罪的新型網絡違法與犯罪行為也隨之日漸增多；網絡的虛擬性與不確定性，造成傳統的辦案手段對此已力不從心，公安網監部門迫切需要新的技術手段來幫助其應對這一新挑戰。

　　網絡安全審計系統應運而生。

　　網絡安全審計“未雨綢繆”

　　網絡安全審計系統針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。從管理層面提供互聯網的有效監督，預防、制止數據泄密；滿足用戶對互聯網行為審計備案及安全保護措施的要求，提供完整的上網記錄，便于信息追蹤、設備定位、系統安全管理和風險防范。

　　目前，市場上有成熟的網絡安全審計產品方案解決供應商，產品用于監控用戶信息，為顧客提供安全網絡防護和幫助公安部門更好、更快捷的進行安全監管。國聯易安數據庫安全審計系統是由公司自己研發，具有完全自主知識產權的數據庫審計系統。系統通過監控數據庫的多重狀態和通信內容，不僅能夠對數據庫所面臨的風險進行多方位的評估，還可以通過審計功能對數據庫所有操作進行審計，提供事后追查機制。主要功能有：敏感數據發現、數據庫狀態監控、風險掃描，數據活動監控等。同時提供旁路、探針、分布式等多種部署方式，為數據庫的各類應用環境提供高自由度部署，全方位監控與審計。

　　“國聯數據庫安全審計系統尤其通過監控數據庫的多重狀態和通信內容，可以準確評估數據庫所面臨的安全威脅與風險，并為事后追查留存依據，彌補了業界原有產品與解決方案的不足。”國聯易安董事長門嘉平博士表示。