由于审计监管直接涉及网络的核心机密，国家在相关规定中对使用国外产品提出了明确的限制性政策。2003年前后，国内厂家开始从事该领域的开发研究，市场上出现了一些产品。这个阶段，信息系统的审计监管不论是在理论形态上还是在技术成熟度上都处于起步阶段，业内没有统一的国家标准或行业标准，研发企业大多处于自发状态，很多产品甚至保留着工程项目的特征。

这些年对信息系统的审计监管的安全需求在提高，研发企业与终端用户之间的交流明显加强，研发企业在不同用户身上积累了较为丰富的需求内容，所采用的技术也逐渐完善、成熟。截止目前，国内在信息系统审计监管领域从事研发的单位已经比较多，具有一定影响力的产品也有十几种。

用户需求分析

目前市场上存在各种审计监管类产品，从用户的角度来看，这些产品存在诸多不尽如人意的地方。归根结底是企业、厂商对用户的需求不能准确把握，用户分类众多，需求各异。那么，用户的需求又有哪些呢？

1.审计监管对象是用户行为

广义的信息系统包含服务器、网络节点计算机、笔记本计算机、网络设备、存储设备、移动介质、自动化办公设备、通信线缆，甚至包括与系统相关的管理人员、用户。一般来说，审计监管系统的主要作用是对网络中用户的行为进行审计，本质上是要知道“什么时候发生了什么事，是谁干的”问题。从技术角度说，就是对用户在网络中的动作进行记录、审查，所以要以用户的行为作为核心对象。

对单机的监管一直以来是管理和技术两方面都较有难度的问题。为了简化对全系统的管理，保持审计数据的统一格式，要求审计监管系统具有针对单机的特定设计。这种设计以摆渡方式分发策略、传递日志数据，能够与网络中系统保持一致，并对数据进行提取和分析，产生综合报告。

2.完善角色设计和权限划分

信息系统在管理角色设计上要符合国家的有关规定，至少要设计管理和审计两种角色。管理角色完成系统配置、策略制定分发的任务，审计角色完成对管理角色操作行为审计和用户操作行为审计的任务。出于对任务的需要，审计角色应当可以查看管理角色所做的系统配置状态、策略情况，但不能修改。相应地，审计角色在对审计数据进行清空、删除、编辑等动作时，需要管理角色的允许，以两把钥匙保证数据的可信性。

审计监管系统一般由服务端、客户端、管理端组成，C/S模式居多。在系统管理上应采用分布式管理模式，同时要加入权限分级的设计，实现不同级别的管理角色有不同的管理范畴或管理区域。为了提高管理的安全性要求，可以限定管理计算机的IP地址等特征参数。

3.使用用户身份认证模块

审计监管系统要做到对网络环境中用户行为的审计，就需要把虚拟的账号与真实人员的身份一一对应，以避免假冒身份。一般说来，这个过程采用替换操作系统身份认证模块的方式实现。在众多的技术中以PKI体系为核心的，带证书USB KEY的技术相对成熟稳定，便于与信息系统中其他应用接口；同时其安全强度大，用户操作简便。

4.灵活的策略管理、分发中心

策略管理相当于审计监管系统的大脑。它设计的成败直接关系系统的易用性和功能性。先进的设计应当把策略与目标分离，可以实现计算机、账号、人员、设备的灵活组合，这样可以由用户根据需要定制出细粒度非常好的管理模版。在策略分发上要具有针对用户组、单个用户的能力，上下级策略要有继承和覆盖的逻辑关系。策略的下发以客户端主动获取为上，这样便于在防火墙遍地的网络中部署客户端。

当然，为了兼顾系统反应速度，需要在获取时间上做好权衡。策略应当设计成可以单独导出备份，另外在传递上可以离线传递。

5.获取客户端状态

获取客户端的软硬件信息是监管的基础，一般来说包含设备信息、软件安装信息、进程信息、账号信息、网络连接状态信息等。其中需要特别指出的是,截取用户计算机操作界面、获取敲键信息等属于明令禁止的行为。

6.监管控制客户端外设

审计监管在一定程度体现在对用户计算机外设、进程、窗口、程序等的控制上。对安全信息系统而言，与其他无关网络物理隔离是最高定律。对存在外联能力的设备，如Modem、红外线设备、无线网卡设备、蓝牙设备等需要在默认状态下禁止使用。对这类设备的控制能力也是审计监管系统的一个基础。这个控制应当稳定、可靠，在计算机正常模式和安全模式下都有效，能够抵抗用户的违规启用动作。

[1] [2] [3] 下一页