針對安然、世通等財務(wù)欺詐事件，2002年出臺的《公眾公司會計改革和投資者保護(hù)法案》（Sarbanes-Oxley Act）對組織治理、財務(wù)會計、監(jiān)管審計制定了新的準(zhǔn)則，并要求組織治理核心如董事會、高層管理、內(nèi)外部審計在評估和報告組織內(nèi)部控制的有效性和充分性中發(fā)揮關(guān)鍵作用。與此同時，國內(nèi)相關(guān)職能部門亦在內(nèi)部控制與風(fēng)險管理方面制定了相應(yīng)的指引和規(guī)范。

　　由于信息系統(tǒng)的脆弱性、技術(shù)的復(fù)雜性、操作的人為因素，在設(shè)計以預(yù)防、減少或消除潛在風(fēng)險為目標(biāo)的安全架構(gòu)時，引入運(yùn)維管理與操作監(jiān)控機(jī)制以預(yù)防、發(fā)現(xiàn)錯誤或違規(guī)事件，對IT風(fēng)險進(jìn)行事前防范、事中控制、事后監(jiān)督和糾正的組合管理是十分必要的。

　　IT系統(tǒng)審計是控制內(nèi)部風(fēng)險的一個重要手段，但I(xiàn)T系統(tǒng)構(gòu)成復(fù)雜，操作人員眾多，如何有效地對其進(jìn)行審計，是長期困擾各組織的信息科技和風(fēng)險稽核部門的一個重大課題。

　　一．需求分析

　　系統(tǒng)的運(yùn)維人員是系統(tǒng)的“特殊”使用團(tuán)隊(duì)，一般具有系統(tǒng)的高級權(quán)限，對運(yùn)維人員的行為審計日漸成為安全管理的必備部分，尤其是目前很多企業(yè)為了降低網(wǎng)絡(luò)與系統(tǒng)的維護(hù)成本，采用租用網(wǎng)絡(luò)或者運(yùn)維外包的方式，由企業(yè)外部人員管理網(wǎng)絡(luò)，由外部維護(hù)人員產(chǎn)生的安全案例已經(jīng)逐漸在上升的趨勢。

　　運(yùn)維人員具有“特殊”的權(quán)限，又往往是各種業(yè)務(wù)審計關(guān)注不到的地方，網(wǎng)絡(luò)行為審計可以審計運(yùn)維人員經(jīng)過網(wǎng)絡(luò)進(jìn)行的工作行為，但對設(shè)備的直接操作管理，比如Console方式就沒有記錄。

　　運(yùn)維審計的方式不同于其他審計，尤其是運(yùn)維人員為了安全的要求，開始大量采用加密方式，如RDP、SSL等，加密口令在連接建立的時候動態(tài)生成，通過鏈路鏡像方式是無法審計的。所以運(yùn)維審計是一種“制度+技術(shù)”的強(qiáng)行審計。一般是運(yùn)維人員必須先登錄身份認(rèn)證的“堡壘機(jī)”(或通過路由設(shè)置方式把運(yùn)維的管理連接全部轉(zhuǎn)向運(yùn)維審計服務(wù)器)，所有運(yùn)維工作通過該堡壘機(jī)進(jìn)行，這樣就可以記錄全部的運(yùn)維行為。由于堡壘機(jī)是運(yùn)維的必然通道，在處理RDP等加密協(xié)議時，可以由堡壘機(jī)作為加密通道的中間代理，從而獲取通訊中生成的密鑰，也就可以對加密管理協(xié)議信息進(jìn)行審計。