稳健的安全审计服务，为企业数字化转型“保驾护航”

近年来，国家和地方针对数据安全合规的法律政策“井喷式”发布，大陆数据安全保护逐渐进入强监管时期。

对于企业来说，在数字化转型的进程中，数据作为生产要素的重要性越发凸显，而随着企业生产组织模式的逐步转变，企业数据逐渐暴露在数据盗取、泄露、篡改、敏感数据出境等安全风险下。因此，通过实施企业数据治理项目，帮助企业克服数据质量和数据安全问题、保障企业数据的安全合规，对企业数据资产的安全稳定和今后业务的良性发展有着重要的意义。目前保旺达与某移动持续签约IT系统审计支撑服务，及时保证公司正常生产运营，服务如下：

划分审计对象，异常情况“了如指掌”

实现信息安全审计，保障计算机信息系统仲信息的机密性、完整性、可控性、可用性和不可否认性（抗抵赖），对计算机信息系统中的所有网络资源（包括数据库、主机、操作系统、网络设备、安全设备等）进行安全审计、记录所有发生的事件、提供给系统管理员作为系统维护以及安全范围的依据。

根据被审计的对象（主机、应用、人员、数据库、业务、系统）划分，安全审计可以分为：

1、主机审计：审计针对主机的各种操作和行为；

2、应用审计：对应用系统在“规划、建设、运维”是否符合安全管理要求、应用系统安全作业计划的完成情况、以及应用系统的异常操作行为；

3、人员审计：对内部人员及合作伙伴的入职、离职、岗位变更等相关流程执行是否合规的审计；

4、数据库审计：对数据库行为和操作、甚至操作的内容进行审计；

5、业务审计：对业务操作、行为、内容的审计；

6、系统审计：对主机设备、网络设备、存储设备、操作系统、等IT基础设施的安全作业计划的完成情况、以及异常操作行为等。

审计四大类，让违规行为，“无处遁行”

按照不同的审计角度和实现技术进行划分，分为合规性审计、日志审计、主机审计、应用系统审计四大类：

1、合规性审计

做到有效控制IT风险，尤其是操作风险，对业务的安全运营至关重要。因此，合规性审计成为行业推崇的有效方法。安全合规性审计指在建设与运行IT系统中的过程是否符合相关的法律、标准、规范、文件精神的要求一种检测方法。作为风险控制的主要内容之一，是检查安全策略落实情况的一种手段。

一般来说，信息安全审计的主要依据为信息安全管理相关的标准。例如ISO/IEC27000、COBIT、ITIL、NISTSP800系列、国家等级保护相关标准、企业内控规范等。这些标准、规范实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而提高安全性。根据相关标准、法规进行合规性安全审计、起到标识事件、分析事件、收集相关证据，从而为策略调整和优化提供依据。范围至少应该包括：安全策略的一致性检查，人工操作的记录与分析，程序行为的记录与分析等。

2、日志审计

基于日志的安全审计技术是通过SYSLOG或者其他的日志接口从网络设备、主机服务器、用户终端、数据库、应用系统和网络安全设备中收集日志，对收集的日志进行格式化标准化、统一分析和报警，并形成多种格式和类型的审计报表。

3、主机审计

主机安全审计是通过在主机服务器、用户终端、数据库或其他审计对象中安装客户端的方式来进行审计，可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非法行为等目的。

4、应用系统审计

应用系统安全审计是对用户在业务应用过程中的登录、操作、退出的一切行为通过内部截取和跟踪等相关方式进行监控和详细记录，并对这些记录进行按时间段、地址段、用户、操作命令、操作内容等分别进行审计。

闭环管理机制，护航企业数字化转型

以综合治理为目标导向，对存在的信息安全问题进行闭环管理，研究事前、事中、事后各环节的关联关系，形成相互补充、层层递进的闭环管理机制。

1、事前阶段

制定统一的安全审计策略，以保证信息系统的可用性、完整性和保密性为核心，实现对用户身份和访问入口的集中管理，严格权限管理，坚持用户权限最小化原则，注重将用户身份信息与网络和信息系统中的各种应用与操作行为相结合，保证审计过程与审计结果的可靠性与有效性。

2、事中阶段

监测运维操作、数据库应用、网络应用和终端应用产生的数据，通过规则及时发现违规信息安全事件，做到及时响应、及时处理，并通过多个维度将各种基础审计后的安全事件有机地整合起来，做到信息安全事件的全记录、全审计。

3、事后阶段

对各类审计数据进行标准化处理及归档入库，为安全事件的准确追踪和回溯提供有力支持。同时，对信息安全事件进行深度分析，查找事件发生的深层次原因，执行有针对性的弥补措施，并更新信息安全审计策略，形成良性的管理机制。

保旺达安全审计服务，严格遵循国际和国家的网络信息安全标准且制定了详细的安全服务流程，在项目流程、使用工具、人员配合、计划安排等方面，都有严格的控制，从而确保服务的保质保量。同时，保旺达还搭建了完善的用户反馈和处理机制，在服务过程中，随时接受用户对服务质量的建议和投诉，并对其进行快速响应和反馈。