数智化审计调研报告 本报告为中国内部审计协会与北京谷安天下科技有限公司联合撰写，报告中所有文字、 图片、表格均受有关商标和著作权的法律保护，部分文字和数据采集于公开信息，所有权 为原著者所有。任何组织和个人需要经原著者许可，方可以复制或传递本报告的全部或部 分内容，或将本报告内容作为诉讼、仲裁、传媒所引用之证明或依据，以及用于营利或用 于未经允许的其它用途。任何未经授权使用本报告的相关商业行为都将违反《中华人民共 民共 和国著作权法》和其他法律法规以及有关国际公约的规定。未经授权或违法使用本报告内 容者应承担其行为引起的一切后果及法律责任，原著者将保留追究其法律责任的权利。 版权声明 版权声明 数智化审计调研报告 本报告中的行业数据是原著者通过市场调研、行业访谈及其他研究方法统计分析得来， 仅供参考。因调研方法及样本、调查资料收集范围等的限制，本报告中的数据仅服务于当 前报告。原著者以勤勉的态 负责。原著者不对因本报告资料全部或部分内容产生的，或因依赖本报告而引致的任何损 失承担任何责任，不对任何因本报告提供的资料不充分、不完整或未能提供特定资料产生 的任何损失承担任何责任。 免责声明 免责声明 数智化审计调研报告 第一章 调研背景简介 ....................................... 5 第二章 调研结果综述 ............................

本册为《指南》上册，共收录了 58 家企业提供的 200 款产品，涉及数据备份与恢复产品、 防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、网络和终端隔离产品、反垃圾邮件产品、 网络安全审计产品、网络脆弱性扫描产品、安全数据库系统、网站数据恢复产品、虚拟专用网 产品、防病毒网关等 12 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 .............................................................346 网络安全专用产品指南 第二版（上册） VI VI 网络安全审计产品 北京安华金和科技有限公司................................................................................... 反垃圾邮件产品 能够对垃圾邮件进行识别和处理的软件或软硬件组合 , 包括但不限于反 垃圾邮件网关、反垃圾邮件系统、安装于邮件服务器的反垃圾邮件软 件 , 以及与邮件服务器集成的反垃圾邮件产品等。 ７ 网络安全审计产品 采集网络、信息系统及其组件的记录与活动数据 , 并对这些数据进行存 储和分析 , 以实现事件追溯、发现安全违规或异常的产品。 ８ 网络脆弱性扫描产品 利用扫描手段检测目标网络系统中可能存在的安全弱点的软件或软硬件

最丰富的应用识别，更好地提升办公效率 .................................................................. 4 2.2 全面的内容控制和审计，有效防止信息外泄和协助法规遵从 .................................... 5 2.3 四重保护上网用户，恶意软件无所遁形 .................. 支持对流量进行连接数控制 ........................................................................... 13 3.4 行为和内容审计 .................................................................................................. 基于特征码的病毒检测技术 ........................................................................... 16 3.7 审计与报表 ...............................................................................................

反垃圾邮件产品 能够对垃圾邮件进行识别和处理的软件或软硬件组合 , 包括但不限于反 垃圾邮件网关、反垃圾邮件系统、安装于邮件服务器的反垃圾邮件软 件 , 以及与邮件服务器集成的反垃圾邮件产品等。 ７ 网络安全审计产品 采集网络、信息系统及其组件的记录与活动数据 , 并对这些数据进行存 储和分析 , 以实现事件追溯、发现安全违规或异常的产品。 ８ 网络脆弱性扫描产品 利用扫描手段检测目标网络系统中可能存在的安全弱点的软件或软硬件 25 USB 移动存储介质管理 系统 对移动存储设备采取身份认证、访问控制、审计机制等管理手段 , 实现 移动存储设备与主机设备之间可信访问的产品。 26 文件加密产品 用于防御攻击者窃取以文件等形式存储的数据、保障存储数据安全的 产品。 27 数据泄露防护产品 通过对安全域内部敏感信息输出的主要途径进行控制和审计 , 防止安全 域内部敏感信息被非授权泄露的产品。 28 数据销毁软件产品 采用信息技术进行逻辑级底层数据清除 对终端进行安全性监测和控制 , 发现和阻止系统和网络资源非授权使用 的产品。 34 电子文档安全管理产品 通过制作安全电子文档或将电子文档转换为安全电子文档 , 对安全电子 文档进行统一管理、监控和审计的产品。 6 统一威胁管理产品（UTM） 9 统一威胁管理产品（UTM） 奇安信科技集团股份有限公司 奇安信科技集团股份有限公司（以下简称奇安信，股票代码 688561）成立于 2014

访问控制的“最小权限原则”在可信数据空间的应用？ 16 23.可信数据空间中数据脱敏的国家标准与适用场景？ 16 24.隐私计算技术在可信数据空间的合规性验证要点？ 18 25.可信数据空间中安全审计的日志留存要求是什么？ 18 26.数据泄露事件的应急响应流程与合规要求？ 19 27.可信数据空间中数据安全风险评估的频率与内容？ 20 28.数据安全管理体系的认证标准（如等保2.0）如何应用？ 42.数据共享的合规流程（申请-审核-使用）如何设计？ 31 43.用户授权的动态管理（如撤回、更新）合规要求？ 31 44.数据服务合同中的关键合规条款有哪些？ 32 45.可信数据空间合规审计的实施主体与频率？ 33 46.用户投诉处理的机制与时限合规要求？ 33 47.数据使用费的定价原则与合规要求？ 34 48.运营日志的留存与查询权限合规要求？ 35 49.第三方服务提供商的合规评估要点？ 风险处置的流程合规（如分级响应、记录）？ 68 95.数据合规风险转移的方式（如数据安全保险）？ 69 96.常态化风险防控的机制设计（如定期巡检）？ 69 97.第三方服务的风险防控要点（如合同约束、审计）？ 70 98.新技术应用的风险评估（如隐私计算、AI）？ 71 99.跨域数据风险的协同防控机制？ 72 100.风险事件的复盘流程与改进要求？ 72 一、基础概念类 可信数据空间的核心定义及本质特征是什么？

....................................................................................... 13 5.3 内部审计人员 ................................................................................................ ..................................................................................... 58 7.10.4 云审计服务（CTS） ........................................................................................... .................................................................................. 77 9.2.1 日志管理和审计 ..................................................................................................

................................. 63 中央企业国有资本经营预算支出执行监督管理暂行办法 ..... 70 财政部 国务院国资委 金融监管总局关于加强审计报告查验工作 2 的通知 ............................................... 77 国有企业、上市公司选聘会计师事务所管理办法 .. （三）出资人机构或股东、股东会（包括股东大会，下同）； （四）公司党组织； （五）董事会； （六）经理层； （七）监事会（监事）； （八）职工民主管理与劳动人事制度； （九）财务、会计、审计与法律顾问制度； （十）合并、分立、解散和清算; （十一）附则。 第六条 总则条款应当根据《公司法》等法律法规要求载明公司 名称、住所、法定代表人、注册资本等基本信息。明确公司类型 职责定位和董事会组织结构、议事规则；载明出资人机构或股东会 对董事会授予的权利事项；明确董事的权利义务、董事长职责；明 确总经理、副总经理、财务负责人、总法律顾问、董事会秘书由董 事会聘任；明确董事会向出资人机构（股东会）报告、审计部门向 董事会负责、重大决策合法合规性审查、董事会决议跟踪落实以及 后评估、违规经营投资责任追究等机制。 国有独资公司、国有全资公司应当明确由出资人机构或相关股 东推荐派出的外部董事人数超过董事会全体成员的半数

..................... 31 10.4.3 数字合约全生命周期管理规则 ...................................... 31 10.4.4 清算审计机制 .................................................... 31 10.4.5 纠纷解决机制 ......................... 中间服务平台 intermediary service platform 作为中间枢纽，负责协调和管理整个系统的运行，为各节点提供资源检索、身份管理、日志 溯源等基础能力，支持价值评估、清算审计、纠纷仲裁等第三方服务调用。 4 缩略语 下列缩略语适用于本文件。 ABAC：属性访问控制（Attribute - Based Access Control） AI：人工智能（Artificial ——空间运营者应依据战略规划制定年度与季度运营目标，并设置可量化的关键绩效指标 （KPIs），包括生态主体接入数量、场景沉淀数量、数据产品和服务数量、数据资源交易规 模、用户节点接入数量、规则机制完备性、合规审计通过率、安全事件处置时效等，以支撑闭 环决策与考核。 ——空间运营者宜在目标制定和评估过程中引入利益相关方协商机制，定期组织政府监管 方、数据提供方、使用方、服务方及社会代表参与目标评审与修订，确保目标的可操作性、广

安硕信用风险管理系统 V9 —— 上海安硕信息技术股份有限公司..............................................................16 7. 基于知识的智能审计系统 —— 北京领雁智远科技有限公司..........................................................................18 8. CDP/MA 遭受来自黑客攻击和数据泄露等风险。提高了各 单位政务系统的稳定性和安全性，得到了用户的高度评价。 高敏捷信创白盒（SCAP）主要的特点如下： 1)能够展示各研发部门源代码安全审计情况、整改前后的对比、全局源代码审计情况等，方便整体把握源代码安全情况； 2)管理平台对接 Jenkins 集成系统，在开发执行构建时触发源码扫描分析； 2024 高质量数字化转型技术解决方案集（下半年度） 2 6)管理平台支持 Eclipse、Intellij Idea、Android Studio 集成开发环境插件提交代码进行在云端扫描检测，实现开发与安全审计 两不误； 7)管理平台支持自定义审计规则，集成二次分析引擎对代码扫描结果进行二次审计，进行误报自动化过滤； 8)管理平台有详细的报表统计分析功能，对阶段性的检测结果统计分析； 9)管理平台支持完整的用户分配和权限管理功能； 10)扫

安全解决方案：安全可信的 MaaS 24 2 MaaS 安全核心理念：客户数据主权、25 负责任的 AI 与云原生安全保障 2.1 客户数据主权：平台可靠、数据自主可控、链 25 路可信、操作可审计 2.2 负责任的 AI：安全、合规、向善、透明 26 2.3 云原生安全保障：打造可靠 AI 基础设施 27 目录 大模型发展趋势、风险挑战与 解决方案 1 模型商业落地加速，面临多样化的部 Confidential MaaS：可验证 的数据保护 1 可信环境 - 机密计算 97 1.1 安全能力概述 97 1.2 阿里云机密计算产品 98 2 可信服务 - 公开审计 100 2.1 基准值发布 100 2.2 开源审计 101 2.3 可重构建 101 3 可信架构 - 阿里云百炼落地 102 3.1 数据全生命周期加密 102 3.2 可扩展与高可用设计 103 安全解决方案：安全可信的 MaaS 阿里云百炼安全可信的 MaaS 2.1 客户数据主权：平台可靠、数据自主可控、链路可信、操作可审计 “保障客户数据安全”被阿里云列为最重要的事项。阿里云百炼提供云原生安全能力， 确保云上数据可控、链路可信、操作可审计。 ● 客户数据主权：阿里云在数据安全保障上做出以下承诺，客户完全拥有自身数据 控制权；未经授权，阿里云除执行客户的服务要求外不会访问、使用或移动客户数据。