当前位置:主页 > 法讯 > > 正文

国内安全审计市场现状和需求分析

时间:2020-09-29 来源: 互联网

一方面,随着安全防御建设由防外为主逐步转向以防内为主,内外兼顾,对于安全审计的需求会越来越多;另一方面,随着国家、社会对信息保护的愈加重视,各个行业对审计要求愈加严格,可看出未来几年对安全审计产品的需求会越来越多。

“IT内控和审计”摆到了信息部门的桌面

目前,推出的一些国际、国家、行业的内控、审计标准,都对某些行业或企业提出需要具备安全审计产品的要求,因此像《企业内部控制基本规范》此类的规范对于销售安全审计产品是很有帮助的。有人将《企业内部控制基本规范》称作是中国版的SOX法案,可见对他的期待有多么高。虽然该规范还不能称作是完整意义上的法案,而只是规范性文件,但是他对于国内企业、尤其是大企业的公司治理、风险控制、IT内控,包括信息系统安全审计都起到了极大的推进作用。

实际上,不仅是《企业内部控制基本规范》,包括之前国家大力开展的等级化保护建设工作,以及证券、金融、保险等行业颁布的各项风险和内控指引、要求等,都在努力构建一个从严的企业管控外部环境。作为这种外部压力的传导,企业的IT内控和审计自然摆到了各大企业信息部门的桌面上。

可以肯定,未来企业用户,尤其是大型企业用户,会不断加强IT内控,并催生对信息系统安全审计的技术、产品和相关解决方案的需求,并带动国内安全审计市场的迅速增长。

不同的行业对安全审计的“需求不同”

一般的企业,目前比较大量的审计需求是对企业内部用户上网行为的审计。

政府部门和事业单位由于他们的业务系统十分重要,承载了单位关键的应用和数据,因此,对业务系统的审计显得十分重要。这类客户需要审计内部用户访问业务系统的各种行为,防止针对核心业务系统和数据的违规访问,防止信息泄漏。

金融、电信类客户,除了需要对业务系统进行审计之外,还需要针对运维人员的主机操作审计。由于这类客户具有庞大的主机和服务器机群,上面运行了各种各样的核心应用。同时,这类客户的系统运维人员数量多、岗位职责多,不仅有本单位正式职工,还有第三方驻场工程师和外包运维人员,管理较为复杂。因此,对这些运维人员进行审计,审计他们针对主机系统的各种访问和操作行为就显得十分重要。

涉密性质的单位,以及安全要求等级高的部门,还会需要终端安全审计类产品,对单位职工的终端进行严格的安全审计。

网络犯罪上升到“法律高度”

前不久,国家颁布实施了刑法第七修正案,其中第二百五十三条明确规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。

窃取、收买或者以其他方法非法获取上述信息,情节严重的, 旅商融媒网,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各相应条款的规定处罚”。

这意味着单位如果泄露或非法获取公民个人信息,将被判处罚金,并追究直接负责的主管人员和其他直接责任人员的刑事责任。

随着网络的日益普及,利用网络实施犯罪的新型网络违法与犯罪行为也随之日渐增多;网络的虚拟性与不确定性,造成传统的办案手段对此已力不从心,公安网监部门迫切需要新的技术手段来帮助其应对这一新挑战。

网络安全审计系统应运而生。

网络安全审计“未雨绸缪”

网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密;满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、设备定位、系统安全管理和风险防范。

目前,市场上有成熟的网络安全审计产品方案解决供应商,产品用于监控用户信息,为顾客提供安全网络防护和帮助公安部门更好、更快捷的进行安全监管。国联易安数据库安全审计系统是由公司自己研发,具有完全自主知识产权的数据库审计系统。系统通过监控数据库的多重状态和通信内容,不仅能够对数据库所面临的风险进行多方位的评估,还可以通过审计功能对数据库所有操作进行审计,提供事后追查机制。主要功能有:敏感数据发现、数据库状态监控、风险扫描,数据活动监控等。同时提供旁路、探针、分布式等多种部署方式,为数据库的各类应用环境提供高自由度部署,全方位监控与审计。

友情链接:
本站文章来源互联网 观点仅代表原作者 本站系信息转载平台 如侵权请联系我们