穩健的安全審計服務，為企業數字化轉型“保駕護航”

近年來，國家和地方針對資料安全合規的法律政策“井噴式”釋出，大陸資料安全保護逐漸進入強監管時期。

對于企業來說，在數字化轉型的程序中，資料作為生産要素的重要性越發凸顯，而随着企業生産組織模式的逐漸轉變，企業資料逐漸暴露在資料盜取、洩露、篡改、敏感資料出境等安全風險下。是以，通過實施企業資料治理項目，幫助企業克服資料品質和資料安全問題、保障企業資料的安全合規，對企業資料資産的安全穩定和今後業務的良性發展有着重要的意義。目前保旺達與某移動持續簽約IT系統審計支撐服務，及時保證公司正常生産營運，服務如下：

劃分審計對象，異常情況“了如指掌”

實作資訊安全審計，保障計算機資訊系統仲資訊的機密性、完整性、可控性、可用性和不可否認性（抗抵賴），對計算機資訊系統中的所有網絡資源（包括資料庫、主機、作業系統、網絡裝置、安全裝置等）進行安全審計、記錄所有發生的事件、提供給系統管理者作為系統維護以及安全範圍的依據。

根據被審計的對象（主機、應用、人員、資料庫、業務、系統）劃分，安全審計可以分為：

1、主機審計：審計針對主機的各種操作和行為；

2、應用審計：對應用系統在“規劃、建設、運維”是否符合安全管理要求、應用系統安全作業計劃的完成情況、以及應用系統的異常操作行為；

3、人員審計：對内部人員及合作夥伴的入職、離職、崗位變更等相關流程執行是否合規的審計；

4、資料庫審計：對資料庫行為和操作、甚至操作的内容進行審計；

5、業務審計：對業務操作、行為、内容的審計；

6、系統審計：對主機裝置、網絡裝置、儲存設備、作業系統、等IT基礎設施的安全作業計劃的完成情況、以及異常操作行為等。

審計四大類，讓違規行為，“無處遁行”

按照不同的審計角度和實作技術進行劃分，分為合規性審計、日志審計、主機審計、應用系統審計四大類：

1、合規性審計

做到有效控制IT風險，尤其是操作風險，對業務的安全營運至關重要。是以，合規性審計成為行業推崇的有效方法。安全合規性審計指在建設與運作IT系統中的過程是否符合相關的法律、标準、規範、檔案精神的要求一種檢測方法。作為風險控制的主要内容之一，是檢查安全政策落實情況的一種手段。

一般來說，資訊安全審計的主要依據為資訊安全管理相關的标準。例如ISO/IEC27000、COBIT、ITIL、NISTSP800系列、國家等級保護相關标準、企業内控規範等。這些标準、規範實際上是出于不同的角度提出的控制體系，基于這些控制體系可以有效地控制資訊安全風險，進而提高安全性。根據相關标準、法規進行合規性安全審計、起到辨別事件、分析事件、收集相關證據，進而為政策調整和優化提供依據。範圍至少應該包括：安全政策的一緻性檢查，人工操作的記錄與分析，程式行為的記錄與分析等。

2、日志審計

基于日志的安全審計技術是通過SYSLOG或者其他的日志接口從網絡裝置、主機伺服器、使用者終端、資料庫、應用系統和網絡安全裝置中收集日志，對收集的日志進行格式化标準化、統一分析和報警，并形成多種格式和類型的審計報表。

3、主機審計

主機安全審計是通過在主機伺服器、使用者終端、資料庫或其他審計對象中安裝用戶端的方式來進行審計，可達到審計安全漏洞、審計合法和非法或入侵操作、監控上網行為和内容以及向外拷貝檔案行為、監控使用者非法行為等目的。

4、應用系統審計

應用系統安全審計是對使用者在業務應用過程中的登入、操作、退出的一切行為通過内部截取和跟蹤等相關方式進行監控和詳細記錄，并對這些記錄進行按時間段、位址段、使用者、操作指令、操作内容等分别進行審計。

閉環管理機制，護航企業數字化轉型

以綜合治理為目标導向，對存在的資訊安全問題進行閉環管理，研究事前、事中、事後各環節的關聯關系，形成互相補充、層層遞進的閉環管理機制。

1、事前階段

制定統一的安全審計政策，以保證資訊系統的可用性、完整性和保密性為核心，實作對使用者身份和通路入口的集中管理，嚴格權限管理，堅持使用者權限最小化原則，注重将使用者身份資訊與網絡和資訊系統中的各種應用與操作行為相結合，保證審計過程與審計結果的可靠性與有效性。

2、事中階段

監測運維操作、資料庫應用、網絡應用和終端應用産生的資料，通過規則及時發現違規資訊安全事件，做到及時響應、及時處理，并通過多個次元将各種基礎審計後的安全事件有機地整合起來，做到資訊安全事件的全記錄、全審計。

3、事後階段

對各類審計資料進行标準化處理及歸檔入庫，為安全事件的準确追蹤和回溯提供有力支援。同時，對資訊安全事件進行深度分析，查找事件發生的深層次原因，執行有針對性的彌補措施，并更新資訊安全審計政策，形成良性的管理機制。

保旺達安全審計服務，嚴格遵循國際和國家的網絡資訊安全标準且制定了詳細的安全服務流程，在項目流程、使用工具、人員配合、計劃安排等方面，都有嚴格的控制，進而確定服務的保質保量。同時，保旺達還搭建了完善的使用者回報和處理機制，在服務過程中，随時接受使用者對服務品質的建議和投訴，并對其進行快速響應和回報。