天玥网络安全审计系统基于“IP数据俘获→应用层数据分析→审计和响应”实现各项功能，设计中充分贯彻了平台化的思路;由于采用旁路接入的工作模式，使得天玥系统在实现各种安全功能的同时，对原系统的绕动和影响降到最低。

　　图1 天玥网络安全审计系统的工作原理

　　天玥网络安全审计系统主要实现以下安全功能。

　　1. 应用级的安全审计和响应：特有的“审计策略库”可以深入到应用层协议(如操作命令、业务操作过程)实现详细的安全审计，并根据安全策略采取诸如记录、审计、告警、阻断等响应。

　　2. 提供多视角的审计报告：根据实时记录的网络访问情况，提供多种安全审计报告，更清晰地了解系统的使用情况以及安全事件的发生情况，并可根据这些安全审计报告进一步修改和完善“审计策略库”。

　　2.2 合规性审计系统应用部署

　　天玥系统通过网络旁路侦听的方式对网络数据流进行采集、分析和识别，并对应用层协议进行完整还原，根据制定的安全审计策略进行审计响应。网络旁路监听技术的优势是：不影响用户的网络结构;不影响用户的网络性能;不影响用户的应用业务。

　　审计信息的整理、输出，以及各种安全策略的解析、存储、分发等，均由天玥审计数据中心完成。

　　天玥审计数据中心采用经裁减、加固、改进的Linux操作系统，自行设计的数据库，各种审计信息、安全策略信息均存储在该数据库中。

　　在天玥管理控制台上，提供了多种查询方法，并能自行定义审计报表的内容。

　　天玥系统同时也提供了用户可自定义内容的审计报表输出功能，通过天玥管理控制台，可以自定义审计报表。

　　Web日志管理中心是一个功能强大的审计报表系统，系统是Web的形式对外提供服务，用户可以在任何一台机器上通过IE浏览器登录Web日志管理中心进行审计数据的查询和统计。

　　2 合规性管理的价值回报

　　目前天玥系统在古田溪水力发电厂已得到了初步的应用，通过实施以天玥系统为基础的合规性管理系统，水电厂从以下五个方面获得IT治理的价值回报。

　　2.1 满足合规性要求，顺利通过IT审计

　　目前，越来越多的单位面临一种或者几种合规性要求。电力企业面临电监会等相关政策和法规并遵循等级保护的合规性要求。天玥系统提供了一种独立的审计方案，有助于完善组织的IT内控与审计体系，从而满足各种合规性要求，并且使组织能够顺利通过IT审计。

　　2.2 有效减少核心信息资产的破坏和泄漏

　　对电力企业的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等)，通过使用天玥系统，能够加强对这些关键系统的访问控制与审计，从而有效减少核心信息资产的破坏和泄漏。

　　2.3 有效控制运维操作风险，便于事后追查原因与界定责任

　　电力企业里负责运维的部门通常拥有目标系统或者网络设备的最高权限(掌握root帐号的口令)，因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。由于目标系统不能区别不同人员使用同一个帐号进行维护操作，所以不能界定维护人员的真实身份。天玥系统提供基于角色的访问控制与审计，不但能够有效地控制运维操作风险，还能够有效地区分不同维护人员的身份，便于事后追查原因与界定责任。

　　2.4 有效控制业务运行风险，直观掌握业务系统运行的安全状况

　　业务系统的正常运行需要一个安全、稳定的网络环境。对运维部门来说，网络环境的安全状况事关重大。天玥系统提供业务流量监控与审计事件统计分析功能，能够直观地反映网络环境的安全状况。

　　2.5 实现独立审计与三权分立，完善IT内控机制

　　从内控的角度来看，IT系统的使用权、管理权与监督权必须三权分立。在三权分立的基础上实施内控与审计，有效地控制操作风险(包括业务操作风险与运维操作风险)。天玥系统基于网络旁路监听的方式实现独立的审计与三权分立，完善IT内控机制。

　　3 小结

　　合规性管理的这五个方面指明了电力企业中高层管理者为保证IT 运作有效实施而必须重点关注的工作内容。而为了使这五个方面能够落实到具体的IT 管理工作中，IT 系统合规性管理还必须能够保证总体战略目标从上而下的分解与执行，并且确保在组织的全部范围内深入推行。