2006年-2009年，安全审计被列入多个行业信息系统安全建设要求

    随着政府、金融、电信、能源等行业信息化的发展，信息科技的作用已经从业务支持逐步走向与业务的融合，成为各行业稳健运营和发展的支柱，为加强信息系统风险管理，各行业陆续发布了行业性信息系统管理规范和要求。

    2008年6月，财政部、证监会、银监会、保监会及审计署委联合发布了《企业内部控制基本规范》，该规范被称为中国的"SOX法案"，是我国在审计领域的重大改革举措，该规范将首先在上市企业中实行。如何把IT内控与企业内控管理统一起来，是《企业内部控制基本规范》的一个关键点，信息安全审计则将成为企业IT内控、安全风险管理的不可或缺的技术手段。该规范将促使国内企业加强IT内控建设，从而推动安全审计市场的发展，但其中非常关键的一点就是安全审计技术如何有效地与规范结合，满足企业合规审计要求。

     2009年3月，银监会为加强商业银行信息科技风险管理，发布了《商业银行信息科技风险管理指引》，该指引中重点阐述了信息系统风险管理和内外部审计要求，特别是要求审计贯穿信息科技活动的整个过程之中。另外，在《国家电网SG186工程防护总体方案》、《中国移动集团内控手册》、《中国电信集团内控手册》等行业要求中也均明确要求采取信息系统风险内控和审计技术手段。

     目前，随着信息安全建设的深入，安全审计已成为国内信息安全建设的重要技术手段。总体来看，由于信息系统发展水平和业务需求的不同，各行业对安全审计的具体关注点存在一定差异，但均是基于政策合规、自身安全建设要求，如：政府主要关注如何满足"信息系统安全等级保护"等政策要求的合规安全审计；电信运营商则基于自身信息系统风险内控需求进行安全审计建设。

    （二）信息系统安全审计技术分析

    目前，国内信息系统安全审计有下述几类主流审计技术：网络安全审计、数据库安全审计、业务运维安全审计和日志审计。

    下表列出了信息系统中的主要审计对象与安全审计技术的对应关系：

    网络安全审计

    网络安全审计是目前国内应用最广泛的安全审计技术，主要应用于企事业单位的网络行为审计和内容的审计，已广泛应用于政府、电信运营商、能源、金融等行业。

    网络安全审计系统大多通过旁路镜像或分光方式，采集网络数据进行分析、识别，实时动态监测网络行为、通信内容和网络流量，全面记录网络系统中的各种会话和事件,发现和捕获各种违规行为和内容，实现对网络安全事件的跟踪和事后追查取证。

    技术特点 ：

    网络安全审计系统不会影响网络信息系统自身运行与性能 ；对各种网络行为，如网站访问、邮件、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等，提供全面的行为监控，方便事后追查取证；对网站访问、邮件、文件上传下载、论坛发帖、非加密运维操作等进行内容监测。

(责任编辑：)