信息安全運(yùn)維審計(jì)市場透視

伴隨信息技術(shù)和信息化建設(shè)的不斷發(fā)展進(jìn)步，IT系統(tǒng)在各領(lǐng)域發(fā)揮的重要性越來越高。運(yùn)營商、金融證券行業(yè)、游戲、政府、各大中小企業(yè)都高度依賴IT系統(tǒng)進(jìn)行生產(chǎn)和服務(wù)。然而，隨著IT系統(tǒng)規(guī)模的擴(kuò)大，以及IT系統(tǒng)資產(chǎn)價(jià)值的增加，系統(tǒng)面臨的安全威脅也隨之增加。于是各企業(yè)對安全防御不斷加強(qiáng)縱深發(fā)展，提高對內(nèi)部安全的重視，并且不斷提升內(nèi)控與合規(guī)性要求，從而使得信息安全運(yùn)維審計(jì)類產(chǎn)品得到了廣泛的應(yīng)用，促使信息安全運(yùn)維審計(jì)市場呈現(xiàn)一片欣欣向榮，蓬勃發(fā)展的趨勢。

近年來，國內(nèi)外IT管理水平不斷提升，IT法規(guī)趨向完善，無論是政府還是企業(yè)單位、上市公司，對于IT法規(guī)遵從的要求都越來越高，IT法規(guī)遵從的重點(diǎn)之一就是如何處理來自內(nèi)部的IT運(yùn)維管理風(fēng)險(xiǎn)的日益增加，規(guī)避內(nèi)部IT操作風(fēng)險(xiǎn)。IT治理、內(nèi)控和風(fēng)險(xiǎn)管理的發(fā)展極大地促進(jìn)了信息安全運(yùn)維審計(jì)的發(fā)展。

以美國為例，在SOX法案頒布之前，信息安全運(yùn)維審計(jì)市場根本沒有納入Gartner、IDC的專項(xiàng)分析范疇，隨著針對上市公司內(nèi)控和信息披露的SOX法案的實(shí)施，對組織治理、財(cái)務(wù)會計(jì)、監(jiān)管審計(jì)制定了新的準(zhǔn)則，以及像專門針對醫(yī)療行業(yè)的旨在保護(hù)醫(yī)患隱私的HIPAA法案、針對聯(lián)邦政府機(jī)構(gòu)的FISMA法案、針對金融機(jī)構(gòu)支付卡行業(yè)的PCI-DSS規(guī)范等的執(zhí)行，美國的信息安全運(yùn)維審計(jì)市場出現(xiàn)了爆炸式的增長。

縱觀我國，21世紀(jì)初期，大大小小的企業(yè)紛紛加入IT建設(shè)的大潮。在長期的IT建設(shè)歷程中，形成了各種各樣的IT系統(tǒng)，企業(yè)IT系統(tǒng)所支持的業(yè)務(wù)也越來越紛繁復(fù)雜。并且由于信息系統(tǒng)的脆弱、技術(shù)的復(fù)雜性、操作的人為因素等，如何提高IT運(yùn)維管理水平，降低IT運(yùn)營的風(fēng)險(xiǎn)，保障企業(yè)業(yè)務(wù)正常、穩(wěn)定、高效運(yùn)行，逐漸成為各企業(yè)單位領(lǐng)導(dǎo)和相關(guān)信息服務(wù)部門越來越關(guān)注的焦點(diǎn)。另外有《企業(yè)內(nèi)部控制基本規(guī)范》，以及證券、金融、保險(xiǎn)等行業(yè)頒布的各項(xiàng)風(fēng)險(xiǎn)和內(nèi)控指引、要求等，都在努力構(gòu)建一個(gè)從嚴(yán)的企業(yè)管控外部環(huán)境。作為這種外部壓力的傳導(dǎo)，企業(yè)的IT內(nèi)控和審計(jì)自然擺到了各大企業(yè)信息部門的桌面上。正因?yàn)槠髽I(yè)對信息安全運(yùn)維管理需求的迅猛增長，相比IT基礎(chǔ)建設(shè)等領(lǐng)域從高速增長到增速減緩，信息安全運(yùn)維審計(jì)市場一直保持較快增長速度?？梢钥隙?，未來政府和各企業(yè)用戶，尤其是大型企業(yè)用戶，會不斷加強(qiáng)IT內(nèi)控，并催生對信息系統(tǒng)安全審計(jì)的技術(shù)、產(chǎn)品和相關(guān)解決方案的需求，從而不斷帶動(dòng)國內(nèi)信息安全運(yùn)維審計(jì)市場的迅速增長。

目前在我國競爭激烈的信息安全運(yùn)維審計(jì)市場中，涌現(xiàn)了許多諸如InforCube運(yùn)維管理審計(jì)系統(tǒng)、HAC運(yùn)維審計(jì)系統(tǒng)、SAS運(yùn)維審計(jì)系統(tǒng)等安全運(yùn)維審計(jì)產(chǎn)品。其中發(fā)展迅速去年躋身為福布斯中國最具潛力非上市公司排行榜前20強(qiáng)的上訊信息（ ）自主研發(fā)的“InforCube運(yùn)維審計(jì)系統(tǒng)”，已成功服務(wù)于金融、政府、教育等眾多行業(yè)，以優(yōu)異的產(chǎn)品品質(zhì)、全面的解決方案、良好的服務(wù)質(zhì)量獲得用戶們的極力好評。

InforCube運(yùn)維管理審計(jì)系統(tǒng)著眼于解決關(guān)鍵IT基礎(chǔ)設(shè)施運(yùn)維安全問題。它能對Unix主機(jī)、Windows主機(jī)、FTP服務(wù)器、網(wǎng)絡(luò)設(shè)備上的操作數(shù)據(jù)訪問進(jìn)行安全、有效的操作管理以及操作審計(jì)，系統(tǒng)支持實(shí)時(shí)監(jiān)控和事后審計(jì)回放。系統(tǒng)可涵蓋多種運(yùn)維協(xié)議（RDP、SSH、TELNET、FTP、SCP等）并提供操作回放檢索、輸入記錄、標(biāo)題抓取等功能，從明確人、主機(jī)、帳戶各個(gè)角度，提供豐富的統(tǒng)計(jì)分析，幫助用戶及時(shí)發(fā)現(xiàn)安全隱患，協(xié)助優(yōu)化網(wǎng)絡(luò)資源的使用。它能夠?qū)\(yùn)維人員的訪問過程進(jìn)行細(xì)粒度的授權(quán)、全過程的操作記錄及控制、全方位的操作審計(jì)、并支持事后操作過程回放功能，實(shí)現(xiàn)運(yùn)維過程的“事前預(yù)防、事中控制、事后審計(jì)”，在簡化運(yùn)維操作的同時(shí)，全面解決各種復(fù)雜環(huán)境下的運(yùn)維安全問題，提升企業(yè)IT 運(yùn)維管理水平。并且InforCube運(yùn)維管理審計(jì)系統(tǒng)針對傳統(tǒng)審計(jì)系統(tǒng)僅僅通過對各種日志來做審計(jì)的不足，將運(yùn)維設(shè)計(jì)由事件審計(jì)提升為內(nèi)容審計(jì)，集用戶身份認(rèn)證、操作授權(quán)、行為審計(jì)為一體，有效地實(shí)現(xiàn)了事前預(yù)防、事中控制和事后審計(jì)。同時(shí)InforCube運(yùn)維審計(jì)系統(tǒng)支持多種部署方式，可以充分滿足不同網(wǎng)絡(luò)對審計(jì)系統(tǒng)的需求。支持Active-Active雙機(jī)模式，避免產(chǎn)生單點(diǎn)故障而影響正常的維護(hù)通道。

未來，信息安全運(yùn)維審計(jì)將會是一個(gè)強(qiáng)大的持續(xù)不斷蓬勃發(fā)展但同樣充滿激烈競爭的市場，，在這樣一個(gè)大環(huán)境下就需要各家企業(yè)看準(zhǔn)形勢、抓住機(jī)遇、把握技術(shù)、豐富產(chǎn)品，在廣闊的天地施展拳腳，開拓創(chuàng)新。