审计综合管理平台解决方案 Contents 目录  审计概述  审计信息化需求分析  审计综合管理平台建设目标  审计综合管理平台整体框架  审计综合管理平台解决方案  审计综合管理平台应用价值  致远互联 Part 1 审计概述 审计概述 基本定义 审计特征 由国家授权或接受委托的专职机构和人员，依照国家法规、审计 准则和会计理论，运用专门的方法，对被审计单位的财政、财务 立性的经济监督活动。 独立性、权威性、公正性 会计与审计的区别 对比项目 会计 审计 产生的前提不同 会计是为了加强经济管理，适应对劳动耗费和劳 动成果进行核算和分析的需要而产生的； 审计是因经济监督的需要，也即是为了确定经营者或 其他受托管理者的经济责任的需要而产生的。 两者性质不同 会计是经营管理的重要组成部分，主要是对生产 经营或管理过程进行反映和监督； 审计则处于具体的经营管理之外，是经济监督的重要 会计的对象主要是资金运动过程，也即是经济活 动价值方面； 审计的对象主要是会计资料和其他经济信息所反映的 经济活动。 方法程序不同 会计方法体系由会计核算、会计分析、会计检查 三部分组成，包括了记账、算账、报账、用账、 查账等内容，其中会计核算方法包括设置账户、 复式记账、填制凭证、登记账簿、成本计算、财 产清查、会计报表等记账、算账和报账方法，其 目的是为管理和决策提供必须的资料和信息； 审计方法体系由规划方法、实施方法、管理方法等组

★ ★ ★ ★ ★ 提升企业 IT 审计能力， 助力数字化转型 实战与展望 目 录 一、时代在发展 IT 审计必然要变革 三、大数据审计能力提升与展望 二、数字化审计转型的方法论 1 、移动互联、 大数据、 云计算、 人工智能 ( 企业的核心竞争力。 这必将给审计监督和管理带来机遇 , 更带来了挑战 , 审计信息化 势在必行 , 因为它不仅仅是审计技术和方法的变革，更是一种审计 思 维的革命。 回 一、时代在发展， IT 审计必然要变革 （一）信息技术发展催生审计工作的变革 一、时代在发展， IT 审计必然要变革 2. 信息技术影响到我们社会发展的各个层面 新基建 一、时代在发展， IT 审计必然要变革 3. 新基建也会带来审计内容和审计方式方法的变 革 数据量大 需要处理更大量的数据，中石化“十二五” 期 间经营类数据已达到 80T ，“十三五” 数据将增长更迅速。 数据范围广 需要来自相关各个系统的数据，为了 适应“业财”“业审”融合，既需要

深信服云化审计平台解决方案 让审计更简单、更高效、更安全 01 传统审计模式现状分析 Part One 网安审计背景 《互联网安全保护技术措施规定》（ 82 号令） 第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全 保护技术措施： （一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或 者行为的技术措施； （二）重要数据库和系统主要设备的冗灾备份措施； （三）记录并 （三）记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。 第十三条 互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存 六十天记录备份的功能。 传统网监审计部署方式 IT 运维团队 酒店 宾馆 商铺 认证鉴权区域 运营商 AP 网安平台 审计日志上传 传统网监审计部署方式问题 - 如何快速覆盖 各个房间无线路由器或 AP 汇聚后再进行审计 带宽持续扩容、全网日志展示 带宽持续扩容、全网日志展示 每个房间单独部署硬件审计设备 成本高，部署量大 汇聚出口与一房一宽场景下，审计设备有两种部署方式 传统网监审计部署方式问题 - 如何保障在线率？ 酒店无专业运维人员 设备没有冗余 一旦故障发生 审计设备在线率无法保障 02 运营商与酒店需求分析 Part Two 网监审计部署方式 - 基本需求 01 省力 03 省钱 02 省时 04 省心 + 运维简单

规划和自然资源审计系统建设 规划审计监测 • 12 个大类 • 51 个审计事项 自然资源审计监测 • 7 个大类 • 26 个审计事 项 P8 数 据 多 相关政策法规 国土规划相关数据 基础地 理信息数据 自然资源质量、 数量数据 业务系统数据 其他专项审计相关数据 发改部门 工信部门 水利部门 住建部门 生态环境部门 … 部 门 多 审计实施难 审计分析难 3 提升审计效率 2 1 提高审计水平 促进审计全覆盖 5 重要的信息化手段 4 P11 定量精细管理 高光谱 高空间 高时间 已有系统或配套工程 行业专题 业务数据 标准化业务数据 对象识别 变化识别 特征反演 城市自然资 源遥感数据 ……. 初级信息产品 审计监测 GIS 大数据体 系 信息提取 信息承载 审计监测应用指标 审计服务信息产品 信息获取 监测取证 疑点定位 核实查证 评价判断 宏观分析 GIS 遥感大数据规划自然资源审计监测应用模 式 P12 监测需求分析 审计需求分析 已有数据分析 语义统一 监测内容 监测范围 监测产品 审计事项 审计内容 审计报告 空间统一 格式标准 规划审计 自然资源审计 数据入库 数据科学、三维、云计算、人工智能、机器学习…… 空间统计、遥感解译、统计分析、可视化……

5 个级别 《 GB 17859-1999 计算机信息系统安全保护等级划分准则》中定义了 5 个系统级别： 第五级 访问验证保护级 第四级 结构化保护级 第三级 安全标记保护级 第二级 系统审计保护级 第一级 用户自主保护级 信息系统定级 备案 安全建设整改 等级测评 监督检查 等级保护的 5 个规定动作 等级保护相关法律法规 《国家信息化领导小组关于加 强信息安全保障工作的意见》 APT 明御数据库审计 明鉴漏洞扫描 明鉴安全监测 明鉴等保工具箱 应急处置工具箱 全生命周期安全咨询 全生命周期安全服务 等级保护基本要求框架（三级） 安全管理中心 安全通信网络 安全物理环境 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 安全区域边界 安全计算环境 温湿度控制 电力供应 电磁防护 系统管理 审计管理 安全管理 集中管控 集中管控 网络架构 通信传输 可信验证 边界防护 访问控制 入侵防范 安全审计 可信验证 恶意代码和垃圾邮件防范 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 技术要求 个人信息保护 安全管理制度 安全策略 管理制度 制定和发布 评审和修订 安全管理机构 岗位设 置 人员配 备 授权和审批 沟通和合作

现行 2020-11-11 5 JR/T 0071.5—2020 金融行业网络安全等级保护实施指引 第 5 部分：审计要求 推荐性行业标准 现行 2020-11-11 6 JR/T 0071.6—2020 金融行业网络安全等级保护实施指引 第 6 部分：审计指引 推荐性行业标准 现行 2020-11-11 7 JR/T 0072—2020 金融行业网络安全等级保护测评指南 明确提出从内到外的攻击检测，新型网络攻击行为 分析 恶意代码和垃圾 邮件防范 二级以下没有垃圾邮件防范要求 安全审计 可信验证 新增要求，各个级别和层面增加了可信验证控制点。 要求级别为“可”而非“应” 分类 安全控制点 备注 安全 计算 环境 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 新增要求，各个级别和层面增加了可 信验证控制点。要求级别为“可”而非 二、三、四级均要求异地备份（ 34 级异地实时备份）；三级及以上明确 要求系统热冗余 剩余信息保护 个人信息保护 相对等保 1.0 新增要求 安全 管理 中心 系统管理 二级以上有要求 审计管理 二级以上有要求 安全管理 三四级要求 集中管控 三四级要求，相对等保 1.0 新增要求， 明确提出集中监控、管理、日志统一 分析等；日志 6 个月；防病毒和补 丁统一推送；各类网络安全事件进行

工业控制系统：安全管理中心支持下的计算环境、区域边界、通信网络三重防御多级互联技术框架 边 界 防 护 边 界 防 护 生产监控 计算环境 边 界 隔 离 安全管理中心 安全管理中心 安全管理中心 系统 安全 审计 安全管理中心 互联网 现场控制 计算环境 企业管理 计算环境 1.2 防护框 架 1.2 防护框架 IEC 62443 工控安全防护框架 3 自主访问控制、系 统安全审计、用户数据完整性保护、 用户数据保密性保护、恶意代码防 范、客体安全重用 包过滤、安全审计、 完整性保护、恶意 代码防范 安全审计、数据传 输完整性保护、数 据传输保密性保护 系统管理、审计管 理 三级系统安 全保护环境 用户身份鉴别、 自主访问控制、标 记和强制访问控制、系统安全审计、 用户数据完整性保护、用户数据保 信执行保护 区域边界访问控制、 区域边界包过滤、 区域边界安全审计、 区域边界完整性保 护 安全审计、数据传 输完整性保护、数 据传输保密性保护、 可信接入保护 系统管理、安全管 理、审计管理 四级系统安 全保护环境 用户身份鉴别、 自主访问控制、标 记和强制访问控制、系统安全审计、 用户数据完整性保护、用户数据保 密性保护、客体安全重用、程序可

等级保护 2.0 拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 手麻 检测 探针 负载 均衡 内网运维管理域 安全感知平台 运维堡垒主机 补丁分发系统 日志审计系统 防病毒服务器 漏洞扫描系统 内网前置 网闸 外网前置 机（下一代防火墙）机 业务内网 外网运维管理域 日志审计系统 运维堡垒主机 补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 下一代防火墙 检测探针 （增强级） 下一代防火墙 （增强级） 交换机 数据库审计 IaaS 边界 安全 虚拟化安全 安全加固 虚拟资源隑离 入侵防御 漏洞扫描 基线核查 安全域隔离 边界安全防护 安全域划分 访问控制 访问控制 入侵防御 负载均衡 网络威胁检测 流量清洗 安全审计 安全接入 访问控制 流量监控 云安全服务平台 通信 安全 通信线路冗余 网关设备冗余

防雷击 防火 防水和防潮 防静电 安全区域边界 安全计算环境 温湿度控制 电力供应 电磁防护 系统管理 审计管理 安全管理 集中管控 网络架构 通信传输 可信验证 边界防护 访问控制 入侵防范 安全审计 可信验证 恶意代码和垃圾邮件防范 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 技术要求 个人信息保护 件防护 机制的升级和更新。 三级 技术要求 安全区域边界 三级 5 、安全审计  应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对 重要的用户行为和重要安全事件进行审计；  审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及 其他与审计相关的信息；  应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆 盖等；  应能对远程访问 、可信验证 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信 应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证， 在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安 全管理中心。 三级 技术要求 安全区域边界 添加标题 添加标题 三级 1 、身份鉴别  应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别 信息具有复杂度要求并定期更换；

状态、业务资源消耗、成本分摊等。 集中安全控制 政务云多云平台系统权限统一收敛，操作管 理全流程审计记录。 服务编排与发布管理 IaaS 资源、 PaaS 服务编排，服务与目录发 布管理，可见性集中控制。 服务管理 （资源池适配 / 调度） 云资源管理 云资源 生命周期管理 监控告警 运营分析 运维自动化 流程审批 安全审计 组织与权限管理 认证系统 多租户 安全检查 自助部署 ......  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系 注：  针对不同区域进行不同的安全防 护手段；如区域边界采用防火墙 隔离；安全管理区部署数据库审 计、日志审计等、漏扫等服务、 运维管理区部署堡垒机等 满足等保 2.0 三级的基本要求 37  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系 控制域 技术产品 安全通信网络 安全隔离与信息交换系统（网闸） 安全区域边界 上网行为管理与审计系统 安全区域边界 IPS/IDS 安全区域边界 天眼新一代威胁感知系统 安全计算环境 终端安全管理系统 - 含防病毒、运维管控等 安全计算环境 身份令牌服务平台 安全管理中心 运维安全管理与审计系统（堡垒机） 安全计算环境 漏洞扫描系统 安全计算环境 数据库审计系统 安全管理中心 安全分析与管理系统（ NGSOC ）