审计综合管理平台解决方案 Contents 目录  审计概述  审计信息化需求分析  审计综合管理平台建设目标  审计综合管理平台整体框架  审计综合管理平台解决方案  审计综合管理平台应用价值  致远互联 Part 1 审计概述 审计概述 基本定义 审计特征 由国家授权或接受委托的专职机构和人员，依照国家法规、审计 准则和会计理论，运用专门的方法，对被审计单位的财政、财务 立性的经济监督活动。 独立性、权威性、公正性 会计与审计的区别 对比项目 会计 审计 产生的前提不同 会计是为了加强经济管理，适应对劳动耗费和劳 动成果进行核算和分析的需要而产生的； 审计是因经济监督的需要，也即是为了确定经营者或 其他受托管理者的经济责任的需要而产生的。 两者性质不同 会计是经营管理的重要组成部分，主要是对生产 经营或管理过程进行反映和监督； 审计则处于具体的经营管理之外，是经济监督的重要 会计的对象主要是资金运动过程，也即是经济活 动价值方面； 审计的对象主要是会计资料和其他经济信息所反映的 经济活动。 方法程序不同 会计方法体系由会计核算、会计分析、会计检查 三部分组成，包括了记账、算账、报账、用账、 查账等内容，其中会计核算方法包括设置账户、 复式记账、填制凭证、登记账簿、成本计算、财 产清查、会计报表等记账、算账和报账方法，其 目的是为管理和决策提供必须的资料和信息； 审计方法体系由规划方法、实施方法、管理方法等组

5 个级别 《 GB 17859-1999 计算机信息系统安全保护等级划分准则》中定义了 5 个系统级别： 第五级 访问验证保护级 第四级 结构化保护级 第三级 安全标记保护级 第二级 系统审计保护级 第一级 用户自主保护级 信息系统定级 备案 安全建设整改 等级测评 监督检查 等级保护的 5 个规定动作 等级保护相关法律法规 《国家信息化领导小组关于加 强信息安全保障工作的意见》 APT 明御数据库审计 明鉴漏洞扫描 明鉴安全监测 明鉴等保工具箱 应急处置工具箱 全生命周期安全咨询 全生命周期安全服务 等级保护基本要求框架（三级） 安全管理中心 安全通信网络 安全物理环境 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 安全区域边界 安全计算环境 温湿度控制 电力供应 电磁防护 系统管理 审计管理 安全管理 集中管控 集中管控 网络架构 通信传输 可信验证 边界防护 访问控制 入侵防范 安全审计 可信验证 恶意代码和垃圾邮件防范 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 技术要求 个人信息保护 安全管理制度 安全策略 管理制度 制定和发布 评审和修订 安全管理机构 岗位设 置 人员配 备 授权和审批 沟通和合作

现行 2020-11-11 5 JR/T 0071.5—2020 金融行业网络安全等级保护实施指引 第 5 部分：审计要求 推荐性行业标准 现行 2020-11-11 6 JR/T 0071.6—2020 金融行业网络安全等级保护实施指引 第 6 部分：审计指引 推荐性行业标准 现行 2020-11-11 7 JR/T 0072—2020 金融行业网络安全等级保护测评指南 明确提出从内到外的攻击检测，新型网络攻击行为 分析 恶意代码和垃圾 邮件防范 二级以下没有垃圾邮件防范要求 安全审计 可信验证 新增要求，各个级别和层面增加了可信验证控制点。 要求级别为“可”而非“应” 分类 安全控制点 备注 安全 计算 环境 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 新增要求，各个级别和层面增加了可 信验证控制点。要求级别为“可”而非 二、三、四级均要求异地备份（ 34 级异地实时备份）；三级及以上明确 要求系统热冗余 剩余信息保护 个人信息保护 相对等保 1.0 新增要求 安全 管理 中心 系统管理 二级以上有要求 审计管理 二级以上有要求 安全管理 三四级要求 集中管控 三四级要求，相对等保 1.0 新增要求， 明确提出集中监控、管理、日志统一 分析等；日志 6 个月；防病毒和补 丁统一推送；各类网络安全事件进行

......................................................................................29 5.2.3 系统安全审计................................................................................................... ......................................................................................40 5.3.6 边界安全审计（上网行为管理）.....................................................................................41 5.3 ......................................................................................43 5.4.2 网络安全审计...................................................................................................

防雷击 防火 防水和防潮 防静电 安全区域边界 安全计算环境 温湿度控制 电力供应 电磁防护 系统管理 审计管理 安全管理 集中管控 网络架构 通信传输 可信验证 边界防护 访问控制 入侵防范 安全审计 可信验证 恶意代码和垃圾邮件防范 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 技术要求 个人信息保护 件防护 机制的升级和更新。 三级 技术要求 安全区域边界 三级 5 、安全审计  应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对 重要的用户行为和重要安全事件进行审计；  审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及 其他与审计相关的信息；  应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆 盖等；  应能对远程访问 、可信验证 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信 应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证， 在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安 全管理中心。 三级 技术要求 安全区域边界 添加标题 添加标题 三级 1 、身份鉴别  应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别 信息具有复杂度要求并定期更换；

状态、业务资源消耗、成本分摊等。 集中安全控制 政务云多云平台系统权限统一收敛，操作管 理全流程审计记录。 服务编排与发布管理 IaaS 资源、 PaaS 服务编排，服务与目录发 布管理，可见性集中控制。 服务管理 （资源池适配 / 调度） 云资源管理 云资源 生命周期管理 监控告警 运营分析 运维自动化 流程审批 安全审计 组织与权限管理 认证系统 多租户 安全检查 自助部署 ......  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系 注：  针对不同区域进行不同的安全防 护手段；如区域边界采用防火墙 隔离；安全管理区部署数据库审 计、日志审计等、漏扫等服务、 运维管理区部署堡垒机等 满足等保 2.0 三级的基本要求 37  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系 控制域 技术产品 安全通信网络 安全隔离与信息交换系统（网闸） 安全区域边界 上网行为管理与审计系统 安全区域边界 IPS/IDS 安全区域边界 天眼新一代威胁感知系统 安全计算环境 终端安全管理系统 - 含防病毒、运维管控等 安全计算环境 身份令牌服务平台 安全管理中心 运维安全管理与审计系统（堡垒机） 安全计算环境 漏洞扫描系统 安全计算环境 数据库审计系统 安全管理中心 安全分析与管理系统（ NGSOC ）

状态、业务资源消耗、成本分摊等。 集中安全控制 政务云多云平台系统权限统一收敛，操作管 理全流程审计记录。 服务编排与发布管理 IaaS 资源、 PaaS 服务编排，服务与目录发 布管理，可见性集中控制。 服务管理 （资源池适配 / 调度） 云资源管理 云资源 生命周期管理 监控告警 运营分析 运维自动化 流程审批 安全审计 组织与权限管理 认证系统 多租户 安全检查 自助部署 ......  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系 注：  针对不同区域进行不同的安全防 护手段；如区域边界采用防火墙 隔离；安全管理区部署数据库审 计、日志审计等、漏扫等服务、 运维管理区部署堡垒机等 满足等保 2.0 三级的基本要求 37  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系 控制域 技术产品 安全通信网络 安全隔离与信息交换系统（网闸） 安全区域边界 上网行为管理与审计系统 安全区域边界 IPS/IDS 安全区域边界 天眼新一代威胁感知系统 安全计算环境 终端安全管理系统 - 含防病毒、运维管控等 安全计算环境 身份令牌服务平台 安全管理中心 运维安全管理与审计系统（堡垒机） 安全计算环境 漏洞扫描系统 安全计算环境 数据库审计系统 安全管理中心 安全分析与管理系统（ NGSOC ）

联 软 科 技 传 统 厂 商 被动文件防护 传统设备管理 人工管理方式 www.leagsoft.com 平台功能 www.leagsoft.com 核心功能 登录审计 业务管理帐号登录 审计告警 业务防护 业务 / 数据库资料 防护 数据发现 数据识别、分类、 分级、移动 数据流转 数据流转内 / 外部 规则 管理视图 敏感数据可视化 www.leagsoft leagsoft.com 登录审计 登录审计 当终端访问业务时，在非授权的终端使用特权业务帐号， 前台、后台立刻产生告警信息，并将告警信息上传后台。 www.leagsoft.com 征管系统 业务管理帐号（管理 A 账户）登录 业务管理帐号 管理账户 A 登录终端 登录时间 登录人 用户 A 终端 A 年 / 月 / 日 / 时 / 分 登录审计 www.leagsoft 化。 并定期自动生成“风险评估报告”。 www.leagsoft.com www.leagsoft.com 敏感字段屏蔽 1 A 打印管控 3 屏幕控制 2 文档溯源 5 行为审计 4 辅助功能 www.leagsoft.com www.leagsoft.com 敏感信息屏蔽 A 管控后当终端访问防护业务时，策略设置中的敏感信息被屏蔽无法明 文显示。 辅助功能

的电子政务信息系统安全保障体系，安全建设满足物理安全、操作系统安全、网络 安全、传输安全、数据库安全、应用系统安全和管理安全体系，确保智慧园区项目 系统的安全保密。 安全管理需求：自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据 完整性。 安全体系设计要求：根据安全体系规划，整个系统的安全体系建设内容包括物 2 理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安 全和管理安全等方面。 吞吐量 1G，最大并发连接数 12W，最大用户数 800 人，千兆电口 6 个，支持 BYPASS 功能，单电源，标准 1U 设备；支持部署在 IPv6 环 境中，其所有功能（认证、应用控制、内容审计、报表等）都支持 IPv6；支持多种认证方式，包括用户名密码、IP、MAC 认证、短信认 证、微信认证、二维码认证，并支持以 USB-Key 方式实现双因素身份 认证；支持用户密码强度管理，可设置用户密码不能等于用户名、新 适时统一组织对系统功能的升级。 4）信息中心负责对安全信息化系统的运行维护工作进行检查，并把检查结果 通报给各技术服务合作单位。  安全管理 自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。 在技术上 （1）通过安装防火墙，实现下列的安全目标： 1)利用防火墙将 Internet 外部网络、DMZ 服务区、安全监控与备份中心进行 有效隔离，避免与外部网络直接通信；

培训管理 承包商管理 敏捷应急 企业安全生产 分析预警 场景解 决方案 产品介绍 工作流 ...... …… GIS 引 擎 数据治理 …… …… 组织机构 消息队列 日志审计 采集协议 权限认证 智能搜索 边缘计算 知识图谱 工业 AI 设备管理 租户管理 重大危险源安全生产风险 评估和预警模型 重大危险源安全生产 风险监测预警平台应用 提升安全生产许可、 产品功能介绍 设备完整性管理 与预测性维修 风险分级管控和 隐患排查治理 工艺生产报警优 化管理 作业环境安全状 态监控 人员不安全行 为管控 绩效考核和安 全审计 重大危险源管理 自动化控制优化 能源综合管理 特殊作业管理 制度化管理 承包商管理 培训管理 敏捷应急 流通管理 事故管理 封闭管理 企业安全系统 数据库 RTDB • 化学品安全技术说明书 “上云上平台” ，为实现数字交付和数字孪生奠定 基 础。 风险分级管控和 隐患排查治理 职业健康管理 安全生产分析预警 工业互联网云计算平台 封闭管理 绩效考核和安 全审计 产品功能介绍 设备完整性管理 与预测性维修 企业其他系 统数据库 工艺生产报警优 化管理 作业环境安全状 态监控 人员不安全行 为管控 一体化管控平台 重大危险源管理