运维内控审计系统审计哪家好?
点击联系发帖人
时间:2012-01-14 18:02
银行科技部门,做运维好,还是做规划、审计之类的好? - ITPUB论坛 - Powered by Discuz!
标题: 银行科技部门,做运维好,还是做规划、审计之类的好?
作者: thinkwork& & 时间:
20:15 & & 标题: 银行科技部门,做运维好,还是做规划、审计之类的好?
本帖最后由 thinkwork 于
20:19 编辑
两种类型的IT技术工作,一种是比较“务实”的,做系统运维、事件处理、变更方案编写与实施等,一种是比较“务虚”的,做架构设计、技术规范制定、审计检查等等,在金融行业(不妨以银行为例),从长远角度看,哪种更好呢?后者是不是比前者难度大很多?哪种工作压力更大?哪种收入高?哪种更适合作为终生的职业?
哪位老师对这两种工作都比较了解,给新人一点指点吧,多谢啦!
作者: nunton& & 时间:
本帖最后由 nunton 于
21:18 编辑
IT审计还是很吃香的,比较紧俏,
IT规划比较高端,我觉得是要求对技术业务发展都很精通,带过具体项目才行,我真不知道谁一出头就做这个的。就算做野做不出成效,这玩意是越是资深越是能做出东西
运维。。。。我觉得事务性工作,年轻时做做还差不多
坐等胡老师指点
作者: thinkwork& & 时间:
谢谢回复。
我所说的“运维”并不是简单地巡检、处理故障、系统升级等这种工作,也包括编制应急方案、系统设备资产维护等工作,总之是比较具体的、主要是与设备和系统细节打交道的,这种工作只适合年轻时做吗?我觉得如果不是很辛苦(有乙方帮忙嘛),年纪大了做也挺好啊。
而我说的第二种工作主要是做宏观的技术规划、管理、监督等,不用去亲自敲命令做系统维护的那种工作。这种工作层次、待遇会比第一种高很多吗?
作者: thinkwork& & 时间:
本帖最后由 thinkwork 于
21:58 编辑
另外第一种工作有个缺点吧?就是风险大,有运行压力,比如做维护或变更时一不小心把机器搞瘫了,或者半夜三更系统出问题了被叫过去处理问题,手机要随时开机,而第二类工作就没有这些风险和烦恼吧?
作者: julynada& & 时间:
第一种就是干活的,第二种就是忽悠的。
作者: thinkwork& & 时间:
julynada 发表于
第一种就是干活的,第二种就是忽悠的。
呵呵,是啊,所以我说第二种工作侧重“务虚”啊。
不过从个人的角度看(已有多年运维经验的人,而不是刚参加工作的新人),哪个更适合作为长久的职业呢?
作者: gghpub& & 时间:
还是要看老板的需求
作者: rainki& & 时间:
都是可以一直专注下去的工作,请选择一条干个4年,你就成长了。
在银行内就是要专心做事。
作者: 家住海淀& & 时间:
运维很累的,而且也难以学到东西,不好出头,不建议去
作者: thinkwork& & 时间:
本帖最后由 thinkwork 于
22:29 编辑
家住海淀 发表于
运维很累的,而且也难以学到东西,不好出头,不建议去
听版主一席话很灰心啊。
版主能否对银行科技部门的主要“工种”(比如运维、IT审计或质量管理、架构设计等)做个简单的点评?比如辛苦程度、收入、稳定性和发展前景、对技能(硬实力)的要求、对性格(软实力)的要求等。谢谢指点!
作者: 家住海淀& & 时间:
thinkwork 发表于
听版主一席话很灰心啊。
版主能否对银行科技部门的主要“工种”(比如运维、IT审计或质量管理、架构设计 ...
质量管理也不好做,很多都是项目中做的,项目后的叫做后评估。
而且质量管理的很多理论也在测试中已经反馈,制造业等一些管理理论也无法生搬硬套到IT中来。
剩下的架构和IT审计相对好些,个人浅见
作者: tian_jut& & 时间:
DBA算运维嘛。。?
作者: szhyjl& & 时间:
运维是基础,不过要想保命,别干运维,哪次出事你都跑不了
作者: nunton& & 时间:
家住海淀 发表于
质量管理也不好做,很多都是项目中做的,项目后的叫做后评估。
而且质量管理的很多理论也在测试中已经反 ...
IT审计在国内还是比较紧俏,待遇还不错工作也轻松的,因为刚开始发展。
但是我自己做了半年后感觉,很难有什么憧憬。不是说这个岗位不好,而是审计岗位的职业特点决定了,如果你是一个想法特别多的人,可能不适合,尤其是IT审计
因为审计工作的几个原则,其中之一就是要保证独立性何权威性,比如我自己在作审计的时候,可能对IT现状有很多意见,但是你身为审计,随便提意见别人完全可以不接受你,可是正式的提又没有明确的政策支持,没有权威性,而且会影响你的独立性。
反正按我的性格,其实不太喜欢做IT审计,不过还好,我每年就做1个月的IT审计,平时还是做业务审计
作者: 家住海淀& & 时间:
nunton 发表于
IT审计在国内还是比较紧俏,待遇还不错工作也轻松的,因为刚开始发展。
但是我自己做了半年后感觉,很难 ...
这个是整个审计工作的特点
被审计的人,总是借口你审计出来的问题,你就的必须提供解决方案。其实这完全是胡搅蛮缠,自己的问题让别人解决,有点搞笑的。
说白了还是对审计的权威性树立的不够,在外资银行,审计与合规绝对是强势部门,我们的中资的中资的银行做事不精细,藐视规则可见一斑了
作者: hucuace& & 时间:
nunton 发表于
IT审计在国内还是比较紧俏,待遇还不错工作也轻松的,因为刚开始发展。
但是我自己做了半年后感觉,很难 ...
和你感觉一样...
目前我们做审计,就是把规章制度拿出来,一条条去套...
作者: 家住海淀& & 时间:
做审计,我想的是等我50岁了,可以找个审计部门干干,工作制式和墨守成规一些,自己也有在技术和管理岗位工作的经验,别人也不容易忽悠我。
作者: hucuace& & 时间:
做审计的,感觉除非你在IT建设方面样样精通,如网络、硬件、架构、系统、运维等等,要不然总有个点有被忽悠的危险,毕竟你的审计对象都是专业人士...
作者: foreverfoolke& & 时间:
thinkwork 发表于
听版主一席话很灰心啊。
版主能否对银行科技部门的主要“工种”(比如运维、IT审计或质量管理、架构设计 ...
对老胡要求很高啊,期待老胡总结,给大家做个汇报吧
作者: nunton& & 时间:
家住海淀 发表于
这个是整个审计工作的特点
被审计的人,总是借口你审计出来的问题,你就的必须提供解决方案。其实这完全 ...
是啊,我们母行的审计很强势的。哎~~~
不过胡老师说的对,审计本质上是非常墨守成规的,我不认为适合年轻人做。我自己因为是做系统分析出身,所以其实作审计的时候总会想,如果这个系统这样,其实会更好,更方便,更能适应变化 之类。。。
但你身份角色已经变化,你是审计人员了,没有明确的制度,指标 你无法给这样的建议
作者: hucuace& & 时间:
家住海淀 发表于
这个是整个审计工作的特点
被审计的人,总是借口你审计出来的问题,你就的必须提供解决方案。其实这完全 ...
确实,其实对分支行的审计还好~
如果是总行部门的审计,最后咱们这些小兵去沟通的都是各部门领导...
他总是口头承认问题是存在的,就是不签字确认,强调客观条件下是没办法解决...
大家就扯来扯去...
作者: nunton& & 时间:
家住海淀 发表于
做审计,我想的是等我50岁了,可以找个审计部门干干,工作制式和墨守成规一些,自己也有在技术和管理岗位工 ...
问题是你面对的是整个IT部啊,我再niubility,也不可能在每个环节都能和他们专业作这个的比阿。。。
作者: nunton& & 时间:
hucuace 发表于
确实,其实对分支行的审计还好~
如果是总行部门的审计,最后咱们这些小兵去沟通的都是各部门领导...
亲, 大家都是泪水阿,你是哪家的内审
作者: nunton& & 时间:
hucuace 发表于
和你感觉一样...
目前我们做审计,就是把规章制度拿出来,一条条去套...
尤其是看见他们有些系统的需求阿,设计阿真是很土。。。真有种想老子亲自披挂也比你们好的感觉
作者: 名字不能太短& & 时间:
看环境,看领导,如果都是最佳环境的话,后者好,出成绩,贴近核心业务。
作者: hucuace& & 时间:
nunton 发表于
亲, 大家都是泪水阿,你是哪家的内审
俺在一家城商行做IT审计,刚刚转职做了不到半年,以前也是做开发的...
现在考虑的就是网络、硬件怎么审...毕竟以前专注的都是软件方面
兄弟有啥好建议没?
作者: nunton& & 时间:
hucuace 发表于
俺在一家城商行做IT审计,刚刚转职做了不到半年,以前也是做开发的...
现在考虑的就是网络、硬件怎么审. ...
握手,我以前是做系统分析的。回头搞什么机房安全,硬件,网络安全,真的不顺手。不过我们每年就1个月是查IT,我其他时间都是做正常的业务内审,交流下阿
作者: hucuace& & 时间:
nunton 发表于
握手,我以前是做系统分析的。回头搞什么机房安全,硬件,网络安全,真的不顺手。不过我们每年就1个月是查 ...
呵呵~和你差不多~
我们每年大概一到两个IT专项审计,而每三年一次全面IT审计,
其余时候和普通审计人员一样做其它业务审计~
因为以前也一直在IT公司工作,所以现在要学的东西好多啊...
目前在学些计财的基本知识...
准备慢慢把银行的这些基础业务都捋一遍~
作者: thinkwork& & 时间:
谢谢各位高人发表高见。
看来大家基本公认运维是比较辛苦的工作,那如果再细分第二类工作呢?质量管理、审计检查、系统规划这三类工作,各有什么优缺点呢?综合起来说哪类更好些?
作者: callmechen& & 时间:
thinkwork 发表于
谢谢各位高人发表高见。
看来大家基本公认运维是比较辛苦的工作,那如果再细分第二类工作呢?质量管理、审 ...
各有各的好,也各有各的劣。
质量管理也有两个层次,高层点的叫体系制度建设,包括一些质量管理的工具、模型的建设。低层点的就是质量保证,属于警察+导游的感觉,带领项目最后合规地完成,积累过程财富,做一些评估和分析。
审计,上面都说的很清楚了。
规划?没有积淀能做吗?
另外你所谓的好?是哪方面好?待遇?职业发展?办公环境?还是同事关系?……
作者: nunton& & 时间:
楼上说的对,规划不是作了至少7,8年的开发,项目经理,并且对业务的理解很到位,对技术发展有远见,你能做么?刚毕业不要想这种事情
欢迎光临 ITPUB论坛 (http://www.itpub.net/)
Powered by Discuz! X2400-633-1888
当前位置: > &&& > 运维审计系统需求公示
运维审计系统需求公示
招标文件下载
信息发布日期:
&招标公告摘要
&&&&***********招标公司受业主*******委托,于日在中国招标网发布运维审计系统需求公示。
&&&&各有关单位请与公告中联系人联系,及时参与投标等相关工作,以免错失商业机会。
&&&&部分信息内容如下:(查看详细信息请)
( 运维审计系统 )需求公示项目名称 运维审计系统
是否预选项目 否
采购人名称 曾宪付
采购方式 公开招标
财政预算限额(元) ******
项目背景 采购运维审计系统*套,搭建运维审计管理系统平台,以适应**少年儿童图书馆运维审计的新要求,进一步提升运维审计管理工作的质量和水平,为工作提供全天候、全过程、全方位的技术支持和服务保障。
投标人资质要求 *、投标人资质要求 *. 投标人必须是在中华人民**国境内注册的有合法经营资格的国内独立法人。(证明文件:须提供营业执照复印件加盖投标人公章)。 *. 投标人必须是**本地注册公司或在**具有合法注册的分公司。提供分公司营业执照副本复印件(加盖公章); *. 投标单位必须是*********的注册供应商,(供应商注册网址:)。(证明文件:须提供***政府采购供应商注册卡复印件加盖投标人公章)。 *. 近三年内(指****年**月至本项目截止投标时间止)在政府采购活动中无骗取中标、严重违约及重大工程安全及质量问题之一。(证明文件:承诺函原件加盖投标人公章,格式自拟)。 *. 投标人必须提供近三年内(即至少从****年**月开始起算,投标人成立不足三年的可从成立之日起算)无行贿犯罪记录,由投标人营业执照住所地人民检察院出具《行贿犯罪档案查询告知函》。告知函自出具之日起*个月内有效,有效期到期日应在本项目的公告日之后。(证明文件:检察院出具的《行贿犯罪档案查询告知函》原件或复印件或扫描件加盖投标人公章)。 *. 本项目中运维审计系统不接受进口产品投标。 *. 本项目不接受联合体投标。
*)本项目不接受联合体投标,不允许分包,(不接受投标人选用进口产品参与投标)。 *)近三年内(即至少从_****__年__**___月开始起算,供应商成立不足三年的可从成立之日起算)无行贿犯罪记录,由供应商营业执照住所地人民检察院出具《行贿犯罪档案查询告知函》。告知函自出具之日起*个月内有效,有效期到期日应在本项目公告日之后。投标人须在投标文件中提供《行贿犯罪档案查询告知函》扫描件,原件备查。
货物清单 序号采购计划编号货物名称 数量单位备注财政预算限额(元)*PLAN-****-******-****** 运维审计系统 *.* 台
******.* 具体技术要求 性能要求 项目 基本要求 尺寸 *U 可管理设备数量 ≥***个 硬盘容量 ≥***TB,支持Raid* 内存 ≥*G CPU ***核 网卡 ******M 电源 单电源 并发操作性能 图形操作并发数≥***个 字符操作并发数≥***个 ★设备保修 提供五年原厂保修 ★设备数量 *台 ★动态令牌 每台设备配置**个动态令牌 功能要求 项目 基本参数 ★中英文操作界面 同时支持中文和英文操作界面,并允许不同的用户自定义自己的默认操作界面语言环境; 支持协议/操作类型 Telnet、SSH、RDP、VNC、XWIN、SCP、FTP/SFTP、pl/sql等各类客户端应用程序; ★无限级部门分权 用户账号部门分权 支持用户帐号的部门分权,不同的设备可以归属于不同的部门(子部门),且不同部门(子部门)都可以拥有自己的配置管理员、审计管理员、密码保管员、普通用户; 目标设备部分分权 支持目标设备的部门分权,不同的设备可以归属于不同的部门(子部门) 访问控制策略部门分权 支持访问控制策略按部门分权,不同部门的配置管理员只能针对自己部门及自己直属子部门设备进行访问权限设置,同时可以选择任意部门的用户帐号,即允许其他部门的用户访问本部门的设备,以便满足交叉运维的需求; 密码修改计划部门分权 支持密码修改计划部门分权,使得不同部门的密码保管员只能修改/保管自己部门的设备上的帐号密码; 审计功能部门分权 支持审计功能按部门分权,使得不同部门的审计管理员只能审计自己部门、自己直属子部门设备上的操作日志; ★工单管理 内置电子工单 普通用户可以在运维审计系统web界面,手动填写电子工单,填写的内容至少应包括:用户账号、设备**、系统账号、协议类型、要执行的命令、时间窗口; 工单审批流程 电子工单可提交给本部门或者上级部门配置管理员审批,审批通过后,即时生效; 用户帐号管理 身份认证 ★必须内置TOTP方式的动态双因素认证,用户不需要额外部署认证服务器; ★必须支持邮件认证,用户在登录审计系统时,除了填写自己的帐号密码外,还会接收到一封由审计系统发出的验证码邮件,只有填写正确的验证码之后才能正常登录; 支持与第三方认证,如AD域、LDAP、radius、ISO****认证整合; ★支持混合认证功能,即一个账号同时可以设置两类认证方式,其中一个认证失效时,自动启用另外一种认证; ★目标设备管理 设备自动发现 审计系统必须支持针对某些地址、地址段内的目标设备自动发现和批量导入功能; 设备登录 针对windows server登录,用户通过审计系统登录时,鼠标放到rdp协议图标上时,可以自动列出该windows设备当前远程连接数量;并提供截图证明; 支持用户通过SecureCRT客户端登录到目标设备上之后,进行rz、sz方式的文件上传下载,同时可以对rz、sz的操作进行审计; 应用发布 发布方式 运维审计系统必须同时支持remoteAPP方式和jre方式的的应用发布,并提供截图证明; ★无缝发布 运维审计系统的应用发布支持方式支持无缝方式,即程序打开后,无任何多余页面背景,如同在本地打开一样; ★OCI访问控制 针对oracle数据库的访问,可以支持oci访问控制设置,并提供截图证明; 权限控制 **访问权限控制 可在一条规则里面,以用户(用户组)、目标设备(设备组、程序)、系统帐号、部门、协议、时间、来源IP为要素,来灵活设置访问策略; ★支持访问控制策略一键克隆,并提供截图证明; 命令权限控制 可跟据用户(用户组)、目标设备(设备组)、系统帐号、命令集和生效时间来设置详细的命令权限控制策略,支持命令黑白名单; 运维自动化 unix脚本自动推送 管理员可以根据设备/设备组、系统账号、时间、脚本内容(自定义), 创建自动脚本任务;该任务到期自动执行,执行的结果自动发送给相关管理员; ★网络设备配置自动备份 支持定期自动备份指定的网络设备上的配置信息,备份结果可以自动加密发送给相关管理员,加密方式支持PGP; ★目标设备密钥管理 具备独立的设备密钥管理界面,可以自动扫描SSH方式登录的目标设备密钥,如果发现目标设备密钥异常,自动提示用户进行处理; 自动改密 可以根据设备(设备组)、系统帐号、时间、频率、改密方式生成详细的改密计划,到期自动执行;改密方式至少可以支持随机生成不同密码、自动设置相同密码、手动指定密码、随机定制密码; ★具备完善的容错机制,确保密码修改过程的安全可靠,特别是:改密提示、预改密判断机制、改密异常中断时的密码校验机制、密码外发时的PGP加密; ★具备密码拨测功能,即在系统完成密码修改之后,自动进行**码登录拨测,以便进一步校验密码修改结果; 金库模式 双人授权 对于重要设备的登录,未经相关人员授权,设备无法正常访问; ★授权方式支持通过内置totp动态双因素认证系统的动态码进行授权,避免授权密码外泄带的安全风险; 命令复核 对于高危指令操作,可以要求必须由运维审计系统发送给相关管理员复核通过,才能被执行; 会话透明 管理员可在Web界面无延时的实时监控当前任一图形或字符活动会话,发现操作高危时,实时切断; 操作审计 命令操作审计 ★拥有命令识别专利技术(并提供专利证明文件),以确保对各种非常规指令操作的***%识别,且产品不侵范知识产权; 回放方式支持从任一条命令点开始; ★输入输出在同一界面展示,并能自动以不同颜色标记出被系统拒绝、切断的操作,并提供截图证明; 图形操作审计 可以对图形操作过程中的键盘鼠标操作、剪贴板操作进行文本审计;审计内容支持文本导出; 可以对图形操作界面的文字内容进行模糊识别并文本记录;审计内容支持文本导出; ★支持以*M会话流量或者**分钟操作时长为标准的会话缩略图切片展示功能,并提供截图证明; 可以键盘输入内容、剪贴板、模糊识别的内容为关键字进行图形搜索;搜索出来的结果可以直接定位到相关图形画面进行回放; 可以从任一条sql语句开始定位回放图形操作画面; 可以实现针对整条sql语句进行检索定位,语句/参数支持中文; 统计报表 ★报表热点 支持报表热点功能,即只根据特定热点范围内的数据来生成报表; 自动报表 管理员可以手动定制报表模版,并支持根据不同模版自动生成日报、周报、月报,报表内容自动发送给相关管理员; 高危命令操作统计报表 可以统计出某段时间内,用户执行高危命令的情况,并提供截图证明; 设备资质要求 项目 基本要求 投标产品资质要求 投标产品是自主研发而不是OEM其他厂商产品,并提供产品著作权证明; 投标产品著作权登记批准日期不晚于****年,并提供相关证明资料 投标产品必须具有本领域技术发明专利证明,并提供证明资料 投标产品必须具备中国国家信息安全产品认证证书,并提供**部颁发的型式实验报告 投标产品必须具备国家保密局涉密信息系统产品检测证书,并提供保密局检测报告 投标产品必须具备**部销售许可证,并提供相关证明资料
投标单位应在**地区设有长期固定的售后服务机构; 投标单位必须具有经验丰富,信誉、技术良好的售后服务技术队伍;
序号 评分项 权重 * 价格 ** * 技术部分 **
序号 评分因素 权重 评分方式 评分准则 * 设备采购 ** 专家打分 打★号重要指标必须满足,否则废标; 未打★号指标一项不满足扣*分,直至扣完为止。 * 实施方案 ** 专家打分 有完整的技术方案和详细且切实可行的实施方案,方案条理清晰,按照投标文件响应情况进行横向比较,分档评分:评价为优得*-**分;评价为良得*-*分;评价为中得*-*分;评价为差不得分。 * 综合实力部分 **
序号 评分因素 权重 评分方式 评分准则 * 投标人资格情况及通过相关认证情况 ** 专家打分 *.投标人具有国家保密局颁发的《涉密系统集成资质(甲级)》得*分; *.投标人具有国家工信部颁发的《计算机信息系统集成资质证书(一级)证书》得*分; *. 投标人具有《涉及国家秘密的计算机信息系统集成资质证书(软件开发单项)》得*分; *. 投标人具有安防工程企业资质证书(一级)得*分; * 近几年同类业绩(附合同或中标通知书复印件) * 专家打分 近三年来教育行业信息系统案例(*分):有*个***万以上信息系统案例得*分,低于*个案例不得份;每增加一个案例加*分,不得高于此子项得分*分。注: 要求提供合同关键信息扫描件(原件备查)作为业绩证明资料,无证明资料或专家无法判断是否得分的业绩,一律作不得分处理得分业绩。 * 投标人纳税(营业收入、财务)情况 * 专家打分 *、连续三年每年平均营业收入,≥*亿, 同时连续*年盈利得*分; *、 ≥*.*亿,<*亿, 同时连续*年盈利得*分; *、≥*亿,<*.*亿, 同时连续*年盈利得*分; *、不足*亿元不得分。考察投标人纳税(营业收入、财务)情况,一般采取客观化评分。 * 拟安排的项目团队成员情况 * 专家打分 要求投标人承诺在合同签订之日前为本项目配备符合以下条件的项目团队成员: (*)项目团队成员具有*个工信产部高级项目经理认证资质; (*)项目团队成员具有*个高级工程师认证资质; (*)项目团队成员具有*个PMP项目经理资质; 以上第(*)项必须提供承诺,未承诺本项直接计*分。(*)-(*)项承诺完全满足得*分,承诺满足其中*项得*分,未提供承诺不得分,提供的人员名单附上证书复印件及*个月社保证明。
附件 货物采购部:********工程采购部:********服务采购部:********预选采购部:********网址:http://www.cgzx./地址:******景**路*号财政大厦附楼邮编:******
记住登录状态
热门招标项目搜索&&&&&&&&&&
热门拟在建项目··········
热门招标公告··········
热门中标公告··········
热门VIP独家项目··········
华东:
华北:
东北:
华南:
西北:
西南:
华中:
客户咨询:400-633-1888 公司总机:010- 信息发布电话: 传真号码:010- 客户投诉:010-
Copyright & 版权所有
京公网安备66 总部地址:北京市海淀区车道沟一号青东商务区A座七层(100089)
北京智诚风信网络科技有限公司 北京中招国联科技有限公司 北京中招国联咨询有限公司 北京国建伟业咨询有限公司 中食博研(北京)咨询有限公司
法律顾问:大成律师事务所 马玲律师> 正文
信息安全运维审计市场透视
伴随信息技术和信息化建设的不断发展进步,IT系统在各领域发挥的重要性越来越高。运营商、金融证券行业、游戏、政府、各大中小企业都高度依赖IT系统进行生产和服务。然而,随着IT系统规模的扩大,以及IT系统资产价值的增加,系统面临的安全威胁也随之增加。于是各企业对安全防御不断加强纵深发展,提高对内部安全的重视,并且不断提升内控与合规性要求,从而使得信息安全运维审计类产品得到了广泛的应用,促使信息安全运维审计市场呈现一片欣欣向荣,蓬勃发展的趋势。
近年来,国内外IT管理水平不断提升,IT法规趋向完善,无论是政府还是企业单位、上市公司,对于IT法规遵从的要求都越来越高,IT法规遵从的重点之一就是如何处理来自内部的IT运维管理风险的日益增加,规避内部IT操作风险。IT治理、内控和风险管理的发展极大地促进了信息安全运维审计的发展。
以美国为例,在SOX法案颁布之前,信息安全运维审计市场根本没有纳入Gartner、IDC的专项分析范畴,随着针对上市公司内控和信息披露的SOX法案的实施,对组织治理、财务会计、监管审计制定了新的准则,以及像专门针对医疗行业的旨在保护医患隐私的HIPAA法案、针对联邦政府机构的FISMA法案、针对金融机构支付卡行业的PCI-DSS规范等的执行,美国的信息安全运维审计市场出现了爆炸式的增长。
纵观我国,21世纪初期,大大小小的企业纷纷加入IT建设的大潮。在长期的IT建设历程中,形成了各种各样的IT系统,企业IT系统所支持的业务也越来越纷繁复杂。并且由于信息系统的脆弱、技术的复杂性、操作的人为因素等,如何提高IT运维管理水平,降低IT运营的风险,保障企业业务正常、稳定、高效运行,逐渐成为各企业单位领导和相关信息服务部门越来越关注的焦点。另外有《企业内部控制基本规范》,以及证券、金融、保险等行业颁布的各项风险和内控指引、要求等,都在努力构建一个从严的企业管控外部环境。作为这种外部压力的传导,企业的IT内控和审计自然摆到了各大企业信息部门的桌面上。正因为企业对信息安全运维管理需求的迅猛增长,相比IT基础建设等领域从高速增长到增速减缓,信息安全运维审计市场一直保持较快增长速度。可以肯定,未来政府和各企业用户,尤其是大型企业用户,会不断加强IT内控,并催生对信息系统安全审计的技术、产品和相关解决方案的需求,从而不断带动国内信息安全运维审计市场的迅速增长。
目前在我国竞争激烈的信息安全运维审计市场中,涌现了许多诸如InforCube运维管理审计系统、HAC运维审计系统、SAS运维审计系统等安全运维审计产品。其中发展迅速去年跻身为福布斯中国最具潜力非上市公司排行榜前20强的上讯信息( /)自主研发的“InforCube运维审计系统”,已成功服务于金融、政府、教育等众多行业,以优异的产品品质、全面的解决方案、良好的服务质量获得用户们的极力好评。
InforCube运维管理审计系统着眼于解决关键IT基础设施运维安全问题。它能对Unix主机、Windows主机、FTP服务器、网络设备上的操作数据访问进行安全、有效的操作管理以及操作审计,系统支持实时监控和事后审计回放。系统可涵盖多种运维协议(RDP、SSH、TELNET、FTP、SCP等)并提供操作回放检索、输入记录、标题抓取等功能,从明确人、主机、帐户各个角度,提供丰富的统计分析,帮助用户及时发现安全隐患,协助优化网络资源的使用。它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能,实现运维过程的“事前预防、事中控制、事后审计”,在简化运维操作的同时,全面解决各种复杂环境下的运维安全问题,提升企业IT 运维管理水平。并且InforCube运维管理审计系统针对传统审计系统仅仅通过对各种日志来做审计的不足,将运维设计由事件审计提升为内容审计,集用户身份认证、操作授权、行为审计为一体,有效地实现了事前预防、事中控制和事后审计。同时InforCube运维审计系统支持多种部署方式,可以充分满足不同网络对审计系统的需求。支持Active-Active双机模式,避免产生单点故障而影响正常的维护通道。
未来,信息安全运维审计将会是一个强大的持续不断蓬勃发展但同样充满激烈竞争的市场,,在这样一个大环境下就需要各家企业看准形势、抓住机遇、把握技术、丰富产品,在广阔的天地施展拳脚,开拓创新。}
标题: 银行科技部门,做运维好,还是做规划、审计之类的好?
作者: thinkwork& & 时间:
20:15 & & 标题: 银行科技部门,做运维好,还是做规划、审计之类的好?
本帖最后由 thinkwork 于
20:19 编辑
两种类型的IT技术工作,一种是比较“务实”的,做系统运维、事件处理、变更方案编写与实施等,一种是比较“务虚”的,做架构设计、技术规范制定、审计检查等等,在金融行业(不妨以银行为例),从长远角度看,哪种更好呢?后者是不是比前者难度大很多?哪种工作压力更大?哪种收入高?哪种更适合作为终生的职业?
哪位老师对这两种工作都比较了解,给新人一点指点吧,多谢啦!
作者: nunton& & 时间:
本帖最后由 nunton 于
21:18 编辑
IT审计还是很吃香的,比较紧俏,
IT规划比较高端,我觉得是要求对技术业务发展都很精通,带过具体项目才行,我真不知道谁一出头就做这个的。就算做野做不出成效,这玩意是越是资深越是能做出东西
运维。。。。我觉得事务性工作,年轻时做做还差不多
坐等胡老师指点
作者: thinkwork& & 时间:
谢谢回复。
我所说的“运维”并不是简单地巡检、处理故障、系统升级等这种工作,也包括编制应急方案、系统设备资产维护等工作,总之是比较具体的、主要是与设备和系统细节打交道的,这种工作只适合年轻时做吗?我觉得如果不是很辛苦(有乙方帮忙嘛),年纪大了做也挺好啊。
而我说的第二种工作主要是做宏观的技术规划、管理、监督等,不用去亲自敲命令做系统维护的那种工作。这种工作层次、待遇会比第一种高很多吗?
作者: thinkwork& & 时间:
本帖最后由 thinkwork 于
21:58 编辑
另外第一种工作有个缺点吧?就是风险大,有运行压力,比如做维护或变更时一不小心把机器搞瘫了,或者半夜三更系统出问题了被叫过去处理问题,手机要随时开机,而第二类工作就没有这些风险和烦恼吧?
作者: julynada& & 时间:
第一种就是干活的,第二种就是忽悠的。
作者: thinkwork& & 时间:
julynada 发表于
第一种就是干活的,第二种就是忽悠的。
呵呵,是啊,所以我说第二种工作侧重“务虚”啊。
不过从个人的角度看(已有多年运维经验的人,而不是刚参加工作的新人),哪个更适合作为长久的职业呢?
作者: gghpub& & 时间:
还是要看老板的需求
作者: rainki& & 时间:
都是可以一直专注下去的工作,请选择一条干个4年,你就成长了。
在银行内就是要专心做事。
作者: 家住海淀& & 时间:
运维很累的,而且也难以学到东西,不好出头,不建议去
作者: thinkwork& & 时间:
本帖最后由 thinkwork 于
22:29 编辑
家住海淀 发表于
运维很累的,而且也难以学到东西,不好出头,不建议去
听版主一席话很灰心啊。
版主能否对银行科技部门的主要“工种”(比如运维、IT审计或质量管理、架构设计等)做个简单的点评?比如辛苦程度、收入、稳定性和发展前景、对技能(硬实力)的要求、对性格(软实力)的要求等。谢谢指点!
作者: 家住海淀& & 时间:
thinkwork 发表于
听版主一席话很灰心啊。
版主能否对银行科技部门的主要“工种”(比如运维、IT审计或质量管理、架构设计 ...
质量管理也不好做,很多都是项目中做的,项目后的叫做后评估。
而且质量管理的很多理论也在测试中已经反馈,制造业等一些管理理论也无法生搬硬套到IT中来。
剩下的架构和IT审计相对好些,个人浅见
作者: tian_jut& & 时间:
DBA算运维嘛。。?
作者: szhyjl& & 时间:
运维是基础,不过要想保命,别干运维,哪次出事你都跑不了
作者: nunton& & 时间:
家住海淀 发表于
质量管理也不好做,很多都是项目中做的,项目后的叫做后评估。
而且质量管理的很多理论也在测试中已经反 ...
IT审计在国内还是比较紧俏,待遇还不错工作也轻松的,因为刚开始发展。
但是我自己做了半年后感觉,很难有什么憧憬。不是说这个岗位不好,而是审计岗位的职业特点决定了,如果你是一个想法特别多的人,可能不适合,尤其是IT审计
因为审计工作的几个原则,其中之一就是要保证独立性何权威性,比如我自己在作审计的时候,可能对IT现状有很多意见,但是你身为审计,随便提意见别人完全可以不接受你,可是正式的提又没有明确的政策支持,没有权威性,而且会影响你的独立性。
反正按我的性格,其实不太喜欢做IT审计,不过还好,我每年就做1个月的IT审计,平时还是做业务审计
作者: 家住海淀& & 时间:
nunton 发表于
IT审计在国内还是比较紧俏,待遇还不错工作也轻松的,因为刚开始发展。
但是我自己做了半年后感觉,很难 ...
这个是整个审计工作的特点
被审计的人,总是借口你审计出来的问题,你就的必须提供解决方案。其实这完全是胡搅蛮缠,自己的问题让别人解决,有点搞笑的。
说白了还是对审计的权威性树立的不够,在外资银行,审计与合规绝对是强势部门,我们的中资的中资的银行做事不精细,藐视规则可见一斑了
作者: hucuace& & 时间:
nunton 发表于
IT审计在国内还是比较紧俏,待遇还不错工作也轻松的,因为刚开始发展。
但是我自己做了半年后感觉,很难 ...
和你感觉一样...
目前我们做审计,就是把规章制度拿出来,一条条去套...
作者: 家住海淀& & 时间:
做审计,我想的是等我50岁了,可以找个审计部门干干,工作制式和墨守成规一些,自己也有在技术和管理岗位工作的经验,别人也不容易忽悠我。
作者: hucuace& & 时间:
做审计的,感觉除非你在IT建设方面样样精通,如网络、硬件、架构、系统、运维等等,要不然总有个点有被忽悠的危险,毕竟你的审计对象都是专业人士...
作者: foreverfoolke& & 时间:
thinkwork 发表于
听版主一席话很灰心啊。
版主能否对银行科技部门的主要“工种”(比如运维、IT审计或质量管理、架构设计 ...
对老胡要求很高啊,期待老胡总结,给大家做个汇报吧
作者: nunton& & 时间:
家住海淀 发表于
这个是整个审计工作的特点
被审计的人,总是借口你审计出来的问题,你就的必须提供解决方案。其实这完全 ...
是啊,我们母行的审计很强势的。哎~~~
不过胡老师说的对,审计本质上是非常墨守成规的,我不认为适合年轻人做。我自己因为是做系统分析出身,所以其实作审计的时候总会想,如果这个系统这样,其实会更好,更方便,更能适应变化 之类。。。
但你身份角色已经变化,你是审计人员了,没有明确的制度,指标 你无法给这样的建议
作者: hucuace& & 时间:
家住海淀 发表于
这个是整个审计工作的特点
被审计的人,总是借口你审计出来的问题,你就的必须提供解决方案。其实这完全 ...
确实,其实对分支行的审计还好~
如果是总行部门的审计,最后咱们这些小兵去沟通的都是各部门领导...
他总是口头承认问题是存在的,就是不签字确认,强调客观条件下是没办法解决...
大家就扯来扯去...
作者: nunton& & 时间:
家住海淀 发表于
做审计,我想的是等我50岁了,可以找个审计部门干干,工作制式和墨守成规一些,自己也有在技术和管理岗位工 ...
问题是你面对的是整个IT部啊,我再niubility,也不可能在每个环节都能和他们专业作这个的比阿。。。
作者: nunton& & 时间:
hucuace 发表于
确实,其实对分支行的审计还好~
如果是总行部门的审计,最后咱们这些小兵去沟通的都是各部门领导...
亲, 大家都是泪水阿,你是哪家的内审
作者: nunton& & 时间:
hucuace 发表于
和你感觉一样...
目前我们做审计,就是把规章制度拿出来,一条条去套...
尤其是看见他们有些系统的需求阿,设计阿真是很土。。。真有种想老子亲自披挂也比你们好的感觉
作者: 名字不能太短& & 时间:
看环境,看领导,如果都是最佳环境的话,后者好,出成绩,贴近核心业务。
作者: hucuace& & 时间:
nunton 发表于
亲, 大家都是泪水阿,你是哪家的内审
俺在一家城商行做IT审计,刚刚转职做了不到半年,以前也是做开发的...
现在考虑的就是网络、硬件怎么审...毕竟以前专注的都是软件方面
兄弟有啥好建议没?
作者: nunton& & 时间:
hucuace 发表于
俺在一家城商行做IT审计,刚刚转职做了不到半年,以前也是做开发的...
现在考虑的就是网络、硬件怎么审. ...
握手,我以前是做系统分析的。回头搞什么机房安全,硬件,网络安全,真的不顺手。不过我们每年就1个月是查IT,我其他时间都是做正常的业务内审,交流下阿
作者: hucuace& & 时间:
nunton 发表于
握手,我以前是做系统分析的。回头搞什么机房安全,硬件,网络安全,真的不顺手。不过我们每年就1个月是查 ...
呵呵~和你差不多~
我们每年大概一到两个IT专项审计,而每三年一次全面IT审计,
其余时候和普通审计人员一样做其它业务审计~
因为以前也一直在IT公司工作,所以现在要学的东西好多啊...
目前在学些计财的基本知识...
准备慢慢把银行的这些基础业务都捋一遍~
作者: thinkwork& & 时间:
谢谢各位高人发表高见。
看来大家基本公认运维是比较辛苦的工作,那如果再细分第二类工作呢?质量管理、审计检查、系统规划这三类工作,各有什么优缺点呢?综合起来说哪类更好些?
作者: callmechen& & 时间:
thinkwork 发表于
谢谢各位高人发表高见。
看来大家基本公认运维是比较辛苦的工作,那如果再细分第二类工作呢?质量管理、审 ...
各有各的好,也各有各的劣。
质量管理也有两个层次,高层点的叫体系制度建设,包括一些质量管理的工具、模型的建设。低层点的就是质量保证,属于警察+导游的感觉,带领项目最后合规地完成,积累过程财富,做一些评估和分析。
审计,上面都说的很清楚了。
规划?没有积淀能做吗?
另外你所谓的好?是哪方面好?待遇?职业发展?办公环境?还是同事关系?……
作者: nunton& & 时间:
楼上说的对,规划不是作了至少7,8年的开发,项目经理,并且对业务的理解很到位,对技术发展有远见,你能做么?刚毕业不要想这种事情
欢迎光临 ITPUB论坛 (http://www.itpub.net/)
Powered by Discuz! X2400-633-1888
当前位置: > &&& > 运维审计系统需求公示
运维审计系统需求公示
招标文件下载
信息发布日期:
&招标公告摘要
&&&&***********招标公司受业主*******委托,于日在中国招标网发布运维审计系统需求公示。
&&&&各有关单位请与公告中联系人联系,及时参与投标等相关工作,以免错失商业机会。
&&&&部分信息内容如下:(查看详细信息请)
( 运维审计系统 )需求公示项目名称 运维审计系统
是否预选项目 否
采购人名称 曾宪付
采购方式 公开招标
财政预算限额(元) ******
项目背景 采购运维审计系统*套,搭建运维审计管理系统平台,以适应**少年儿童图书馆运维审计的新要求,进一步提升运维审计管理工作的质量和水平,为工作提供全天候、全过程、全方位的技术支持和服务保障。
投标人资质要求 *、投标人资质要求 *. 投标人必须是在中华人民**国境内注册的有合法经营资格的国内独立法人。(证明文件:须提供营业执照复印件加盖投标人公章)。 *. 投标人必须是**本地注册公司或在**具有合法注册的分公司。提供分公司营业执照副本复印件(加盖公章); *. 投标单位必须是*********的注册供应商,(供应商注册网址:)。(证明文件:须提供***政府采购供应商注册卡复印件加盖投标人公章)。 *. 近三年内(指****年**月至本项目截止投标时间止)在政府采购活动中无骗取中标、严重违约及重大工程安全及质量问题之一。(证明文件:承诺函原件加盖投标人公章,格式自拟)。 *. 投标人必须提供近三年内(即至少从****年**月开始起算,投标人成立不足三年的可从成立之日起算)无行贿犯罪记录,由投标人营业执照住所地人民检察院出具《行贿犯罪档案查询告知函》。告知函自出具之日起*个月内有效,有效期到期日应在本项目的公告日之后。(证明文件:检察院出具的《行贿犯罪档案查询告知函》原件或复印件或扫描件加盖投标人公章)。 *. 本项目中运维审计系统不接受进口产品投标。 *. 本项目不接受联合体投标。
*)本项目不接受联合体投标,不允许分包,(不接受投标人选用进口产品参与投标)。 *)近三年内(即至少从_****__年__**___月开始起算,供应商成立不足三年的可从成立之日起算)无行贿犯罪记录,由供应商营业执照住所地人民检察院出具《行贿犯罪档案查询告知函》。告知函自出具之日起*个月内有效,有效期到期日应在本项目公告日之后。投标人须在投标文件中提供《行贿犯罪档案查询告知函》扫描件,原件备查。
货物清单 序号采购计划编号货物名称 数量单位备注财政预算限额(元)*PLAN-****-******-****** 运维审计系统 *.* 台
******.* 具体技术要求 性能要求 项目 基本要求 尺寸 *U 可管理设备数量 ≥***个 硬盘容量 ≥***TB,支持Raid* 内存 ≥*G CPU ***核 网卡 ******M 电源 单电源 并发操作性能 图形操作并发数≥***个 字符操作并发数≥***个 ★设备保修 提供五年原厂保修 ★设备数量 *台 ★动态令牌 每台设备配置**个动态令牌 功能要求 项目 基本参数 ★中英文操作界面 同时支持中文和英文操作界面,并允许不同的用户自定义自己的默认操作界面语言环境; 支持协议/操作类型 Telnet、SSH、RDP、VNC、XWIN、SCP、FTP/SFTP、pl/sql等各类客户端应用程序; ★无限级部门分权 用户账号部门分权 支持用户帐号的部门分权,不同的设备可以归属于不同的部门(子部门),且不同部门(子部门)都可以拥有自己的配置管理员、审计管理员、密码保管员、普通用户; 目标设备部分分权 支持目标设备的部门分权,不同的设备可以归属于不同的部门(子部门) 访问控制策略部门分权 支持访问控制策略按部门分权,不同部门的配置管理员只能针对自己部门及自己直属子部门设备进行访问权限设置,同时可以选择任意部门的用户帐号,即允许其他部门的用户访问本部门的设备,以便满足交叉运维的需求; 密码修改计划部门分权 支持密码修改计划部门分权,使得不同部门的密码保管员只能修改/保管自己部门的设备上的帐号密码; 审计功能部门分权 支持审计功能按部门分权,使得不同部门的审计管理员只能审计自己部门、自己直属子部门设备上的操作日志; ★工单管理 内置电子工单 普通用户可以在运维审计系统web界面,手动填写电子工单,填写的内容至少应包括:用户账号、设备**、系统账号、协议类型、要执行的命令、时间窗口; 工单审批流程 电子工单可提交给本部门或者上级部门配置管理员审批,审批通过后,即时生效; 用户帐号管理 身份认证 ★必须内置TOTP方式的动态双因素认证,用户不需要额外部署认证服务器; ★必须支持邮件认证,用户在登录审计系统时,除了填写自己的帐号密码外,还会接收到一封由审计系统发出的验证码邮件,只有填写正确的验证码之后才能正常登录; 支持与第三方认证,如AD域、LDAP、radius、ISO****认证整合; ★支持混合认证功能,即一个账号同时可以设置两类认证方式,其中一个认证失效时,自动启用另外一种认证; ★目标设备管理 设备自动发现 审计系统必须支持针对某些地址、地址段内的目标设备自动发现和批量导入功能; 设备登录 针对windows server登录,用户通过审计系统登录时,鼠标放到rdp协议图标上时,可以自动列出该windows设备当前远程连接数量;并提供截图证明; 支持用户通过SecureCRT客户端登录到目标设备上之后,进行rz、sz方式的文件上传下载,同时可以对rz、sz的操作进行审计; 应用发布 发布方式 运维审计系统必须同时支持remoteAPP方式和jre方式的的应用发布,并提供截图证明; ★无缝发布 运维审计系统的应用发布支持方式支持无缝方式,即程序打开后,无任何多余页面背景,如同在本地打开一样; ★OCI访问控制 针对oracle数据库的访问,可以支持oci访问控制设置,并提供截图证明; 权限控制 **访问权限控制 可在一条规则里面,以用户(用户组)、目标设备(设备组、程序)、系统帐号、部门、协议、时间、来源IP为要素,来灵活设置访问策略; ★支持访问控制策略一键克隆,并提供截图证明; 命令权限控制 可跟据用户(用户组)、目标设备(设备组)、系统帐号、命令集和生效时间来设置详细的命令权限控制策略,支持命令黑白名单; 运维自动化 unix脚本自动推送 管理员可以根据设备/设备组、系统账号、时间、脚本内容(自定义), 创建自动脚本任务;该任务到期自动执行,执行的结果自动发送给相关管理员; ★网络设备配置自动备份 支持定期自动备份指定的网络设备上的配置信息,备份结果可以自动加密发送给相关管理员,加密方式支持PGP; ★目标设备密钥管理 具备独立的设备密钥管理界面,可以自动扫描SSH方式登录的目标设备密钥,如果发现目标设备密钥异常,自动提示用户进行处理; 自动改密 可以根据设备(设备组)、系统帐号、时间、频率、改密方式生成详细的改密计划,到期自动执行;改密方式至少可以支持随机生成不同密码、自动设置相同密码、手动指定密码、随机定制密码; ★具备完善的容错机制,确保密码修改过程的安全可靠,特别是:改密提示、预改密判断机制、改密异常中断时的密码校验机制、密码外发时的PGP加密; ★具备密码拨测功能,即在系统完成密码修改之后,自动进行**码登录拨测,以便进一步校验密码修改结果; 金库模式 双人授权 对于重要设备的登录,未经相关人员授权,设备无法正常访问; ★授权方式支持通过内置totp动态双因素认证系统的动态码进行授权,避免授权密码外泄带的安全风险; 命令复核 对于高危指令操作,可以要求必须由运维审计系统发送给相关管理员复核通过,才能被执行; 会话透明 管理员可在Web界面无延时的实时监控当前任一图形或字符活动会话,发现操作高危时,实时切断; 操作审计 命令操作审计 ★拥有命令识别专利技术(并提供专利证明文件),以确保对各种非常规指令操作的***%识别,且产品不侵范知识产权; 回放方式支持从任一条命令点开始; ★输入输出在同一界面展示,并能自动以不同颜色标记出被系统拒绝、切断的操作,并提供截图证明; 图形操作审计 可以对图形操作过程中的键盘鼠标操作、剪贴板操作进行文本审计;审计内容支持文本导出; 可以对图形操作界面的文字内容进行模糊识别并文本记录;审计内容支持文本导出; ★支持以*M会话流量或者**分钟操作时长为标准的会话缩略图切片展示功能,并提供截图证明; 可以键盘输入内容、剪贴板、模糊识别的内容为关键字进行图形搜索;搜索出来的结果可以直接定位到相关图形画面进行回放; 可以从任一条sql语句开始定位回放图形操作画面; 可以实现针对整条sql语句进行检索定位,语句/参数支持中文; 统计报表 ★报表热点 支持报表热点功能,即只根据特定热点范围内的数据来生成报表; 自动报表 管理员可以手动定制报表模版,并支持根据不同模版自动生成日报、周报、月报,报表内容自动发送给相关管理员; 高危命令操作统计报表 可以统计出某段时间内,用户执行高危命令的情况,并提供截图证明; 设备资质要求 项目 基本要求 投标产品资质要求 投标产品是自主研发而不是OEM其他厂商产品,并提供产品著作权证明; 投标产品著作权登记批准日期不晚于****年,并提供相关证明资料 投标产品必须具有本领域技术发明专利证明,并提供证明资料 投标产品必须具备中国国家信息安全产品认证证书,并提供**部颁发的型式实验报告 投标产品必须具备国家保密局涉密信息系统产品检测证书,并提供保密局检测报告 投标产品必须具备**部销售许可证,并提供相关证明资料
投标单位应在**地区设有长期固定的售后服务机构; 投标单位必须具有经验丰富,信誉、技术良好的售后服务技术队伍;
序号 评分项 权重 * 价格 ** * 技术部分 **
序号 评分因素 权重 评分方式 评分准则 * 设备采购 ** 专家打分 打★号重要指标必须满足,否则废标; 未打★号指标一项不满足扣*分,直至扣完为止。 * 实施方案 ** 专家打分 有完整的技术方案和详细且切实可行的实施方案,方案条理清晰,按照投标文件响应情况进行横向比较,分档评分:评价为优得*-**分;评价为良得*-*分;评价为中得*-*分;评价为差不得分。 * 综合实力部分 **
序号 评分因素 权重 评分方式 评分准则 * 投标人资格情况及通过相关认证情况 ** 专家打分 *.投标人具有国家保密局颁发的《涉密系统集成资质(甲级)》得*分; *.投标人具有国家工信部颁发的《计算机信息系统集成资质证书(一级)证书》得*分; *. 投标人具有《涉及国家秘密的计算机信息系统集成资质证书(软件开发单项)》得*分; *. 投标人具有安防工程企业资质证书(一级)得*分; * 近几年同类业绩(附合同或中标通知书复印件) * 专家打分 近三年来教育行业信息系统案例(*分):有*个***万以上信息系统案例得*分,低于*个案例不得份;每增加一个案例加*分,不得高于此子项得分*分。注: 要求提供合同关键信息扫描件(原件备查)作为业绩证明资料,无证明资料或专家无法判断是否得分的业绩,一律作不得分处理得分业绩。 * 投标人纳税(营业收入、财务)情况 * 专家打分 *、连续三年每年平均营业收入,≥*亿, 同时连续*年盈利得*分; *、 ≥*.*亿,<*亿, 同时连续*年盈利得*分; *、≥*亿,<*.*亿, 同时连续*年盈利得*分; *、不足*亿元不得分。考察投标人纳税(营业收入、财务)情况,一般采取客观化评分。 * 拟安排的项目团队成员情况 * 专家打分 要求投标人承诺在合同签订之日前为本项目配备符合以下条件的项目团队成员: (*)项目团队成员具有*个工信产部高级项目经理认证资质; (*)项目团队成员具有*个高级工程师认证资质; (*)项目团队成员具有*个PMP项目经理资质; 以上第(*)项必须提供承诺,未承诺本项直接计*分。(*)-(*)项承诺完全满足得*分,承诺满足其中*项得*分,未提供承诺不得分,提供的人员名单附上证书复印件及*个月社保证明。
附件 货物采购部:********工程采购部:********服务采购部:********预选采购部:********网址:http://www.cgzx./地址:******景**路*号财政大厦附楼邮编:******
记住登录状态
热门招标项目搜索&&&&&&&&&&
热门拟在建项目··········
热门招标公告··········
热门中标公告··········
热门VIP独家项目··········
华东:
华北:
东北:
华南:
西北:
西南:
华中:
客户咨询:400-633-1888 公司总机:010- 信息发布电话: 传真号码:010- 客户投诉:010-
Copyright & 版权所有
京公网安备66 总部地址:北京市海淀区车道沟一号青东商务区A座七层(100089)
北京智诚风信网络科技有限公司 北京中招国联科技有限公司 北京中招国联咨询有限公司 北京国建伟业咨询有限公司 中食博研(北京)咨询有限公司
法律顾问:大成律师事务所 马玲律师> 正文
信息安全运维审计市场透视
伴随信息技术和信息化建设的不断发展进步,IT系统在各领域发挥的重要性越来越高。运营商、金融证券行业、游戏、政府、各大中小企业都高度依赖IT系统进行生产和服务。然而,随着IT系统规模的扩大,以及IT系统资产价值的增加,系统面临的安全威胁也随之增加。于是各企业对安全防御不断加强纵深发展,提高对内部安全的重视,并且不断提升内控与合规性要求,从而使得信息安全运维审计类产品得到了广泛的应用,促使信息安全运维审计市场呈现一片欣欣向荣,蓬勃发展的趋势。
近年来,国内外IT管理水平不断提升,IT法规趋向完善,无论是政府还是企业单位、上市公司,对于IT法规遵从的要求都越来越高,IT法规遵从的重点之一就是如何处理来自内部的IT运维管理风险的日益增加,规避内部IT操作风险。IT治理、内控和风险管理的发展极大地促进了信息安全运维审计的发展。
以美国为例,在SOX法案颁布之前,信息安全运维审计市场根本没有纳入Gartner、IDC的专项分析范畴,随着针对上市公司内控和信息披露的SOX法案的实施,对组织治理、财务会计、监管审计制定了新的准则,以及像专门针对医疗行业的旨在保护医患隐私的HIPAA法案、针对联邦政府机构的FISMA法案、针对金融机构支付卡行业的PCI-DSS规范等的执行,美国的信息安全运维审计市场出现了爆炸式的增长。
纵观我国,21世纪初期,大大小小的企业纷纷加入IT建设的大潮。在长期的IT建设历程中,形成了各种各样的IT系统,企业IT系统所支持的业务也越来越纷繁复杂。并且由于信息系统的脆弱、技术的复杂性、操作的人为因素等,如何提高IT运维管理水平,降低IT运营的风险,保障企业业务正常、稳定、高效运行,逐渐成为各企业单位领导和相关信息服务部门越来越关注的焦点。另外有《企业内部控制基本规范》,以及证券、金融、保险等行业颁布的各项风险和内控指引、要求等,都在努力构建一个从严的企业管控外部环境。作为这种外部压力的传导,企业的IT内控和审计自然摆到了各大企业信息部门的桌面上。正因为企业对信息安全运维管理需求的迅猛增长,相比IT基础建设等领域从高速增长到增速减缓,信息安全运维审计市场一直保持较快增长速度。可以肯定,未来政府和各企业用户,尤其是大型企业用户,会不断加强IT内控,并催生对信息系统安全审计的技术、产品和相关解决方案的需求,从而不断带动国内信息安全运维审计市场的迅速增长。
目前在我国竞争激烈的信息安全运维审计市场中,涌现了许多诸如InforCube运维管理审计系统、HAC运维审计系统、SAS运维审计系统等安全运维审计产品。其中发展迅速去年跻身为福布斯中国最具潜力非上市公司排行榜前20强的上讯信息( /)自主研发的“InforCube运维审计系统”,已成功服务于金融、政府、教育等众多行业,以优异的产品品质、全面的解决方案、良好的服务质量获得用户们的极力好评。
InforCube运维管理审计系统着眼于解决关键IT基础设施运维安全问题。它能对Unix主机、Windows主机、FTP服务器、网络设备上的操作数据访问进行安全、有效的操作管理以及操作审计,系统支持实时监控和事后审计回放。系统可涵盖多种运维协议(RDP、SSH、TELNET、FTP、SCP等)并提供操作回放检索、输入记录、标题抓取等功能,从明确人、主机、帐户各个角度,提供丰富的统计分析,帮助用户及时发现安全隐患,协助优化网络资源的使用。它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能,实现运维过程的“事前预防、事中控制、事后审计”,在简化运维操作的同时,全面解决各种复杂环境下的运维安全问题,提升企业IT 运维管理水平。并且InforCube运维管理审计系统针对传统审计系统仅仅通过对各种日志来做审计的不足,将运维设计由事件审计提升为内容审计,集用户身份认证、操作授权、行为审计为一体,有效地实现了事前预防、事中控制和事后审计。同时InforCube运维审计系统支持多种部署方式,可以充分满足不同网络对审计系统的需求。支持Active-Active双机模式,避免产生单点故障而影响正常的维护通道。
未来,信息安全运维审计将会是一个强大的持续不断蓬勃发展但同样充满激烈竞争的市场,,在这样一个大环境下就需要各家企业看准形势、抓住机遇、把握技术、丰富产品,在广阔的天地施展拳脚,开拓创新。}
我要回帖
更多关于 运维内控审计系统 的文章
更多推荐
- ·大家好,请问大家,这个做好的文件把红色印章放上去是什么字啊?
- ·中国式现代化的五大特点特征是什么?
- ·在舞龙一般几个人舞狮活动中,100人接龙成功,家族领袖和族长可获得什么称号?
- ·在舞龙一般几个人舞狮活动中,50人接龙成功,家族领袖和族长可获得什么称号?
- ·2024年古尔邦节是几月几日哪个民族的节
- ·H股是T+0交易制度吗?涨跌幅度相当可怕,用技术指标炒H股有效吗?信誉华为mate怎么样样?
- ·想看片吗?加我哦
- ·对农村中国青年创业网有那些政策
- ·农村信用社 银行信贷员员服务态度极端恶劣 农牧民 敢怒不敢言 有没有什么机构可以管制一下?
- ·关于外埠农村剩余劳动力劳动力社保是否有调整
- ·民间短期借款利息息最高是多少?
- ·中国农民香港人均月收入入
- ·我要卸掉大腿上340mm的钢板,需要多少钱,能享受新型农村合作医疗疗吗
- ·关于办理信用卡办理条件的一些问题
- ·今年的新型医疗农村合作医疗政策是什么
- ·做T+0有黄金t d交易手续费费吗哪个最快?
- ·怎样填写农村非公办教师养老贫困补助申请表个人申请表上交材料部分
- ·实行T+0利好哪些电子商务股票有哪些?知道的请说说
- ·运维内控审计系统审计哪家好?
- ·究竟国际原油下跌对中石油什么是利空好还什么是利空空 请说明原因
- ·春光灿烂之乐元帅欢乐元帅18集 春光灿烂之乐元帅欢乐元帅第18集
- ·金融业在中国的中国经济发展前景景如何?、
- ·浙江农家乐乐门头设计怎样才能引人注意、?
- ·走路很骚的女人,是处女吗?。色。快播色网址之家2299dy。C。O。M。
- ·求“农户农夫果园饮料”饮料广告词
- ·外地的邮政卡在外地建行跨行转账费用需要收费吗?费用是多少?
- ·农信合有没有信合网上银行行
- ·不带套套爱爱医。射精前JJ流出的粘粘的液体会导致怀孕吗?(没有射在穴穴里面)
- ·办农副产品加工厂二手车需要哪些手续相关手续
- ·为什么网银无法支付等网上支付 付款时一般都打折呢!!
- ·泡沫之夏电视剧颗粒哪里需要..?可长期供应.
- ·国家实施慧农政策后,某镇农民人均收入经过两年提高百分之44,话说这两年 歌词该镇农民人均收入是多少.
