很多企业做信息安全管理的时候吧，挺容易掉进一个坑里，系统明明装了，事还是照样出，风险也没少，尤其是那种老一代防护工具。

说白了更多就是记日志，谁访问了什么，它记一下，仅此而已，可真碰到现在这些路径，像网盘外传，聊天工具发文件，远程协作顺手把数据导出去，这类情况，覆盖常常就不太够。

之前有家公司，情况就很像，早些年用的是那种基础审计软件，能看到员工上了哪些网站，看着好像也不算没用，但是呢，它认不出来文件有没有被拆成很多份，再慢慢传到网盘里去，后来还真出了这个事，员工把客户资料切成多个小文件，一点点往外传，系统全程没报异常，等后面反应过来，数据其实已经散出去了。

所以现在不少企业升级上网行为审计软件的时候，关注点已经变了，不太只是看它能不能记下来，而是更看重那个东西，就是它能不能把行为链路认出来，能不能看懂事情是怎么一步步发生的。

有些方案比较基础，主要还是记网页访问，应用用了什么，下载了什么，全方位合规管理，像信企卫软件这类，一般就常被当成入门级的行为管理工具来用。

再往上一层，有的是偏流量审计的，重点盯网络传输行为，上传下载，网盘同步，远程连接，这些它会看得更细一点，所以数据到底往哪走了，也就更容易看清。

还有一种，说真的，这种现在越来越重要，就是行为关联分析，它不是只盯某一个点，而是把连续动作串起来看，比如先下载，再压缩，再外发，这一串如果连起来识别，风险判断就会靠谱很多，不然只看单点记录，其实很容易漏。

再还有智能预警这一类，它会在异常行为组合出现的时候直接报警，比如短时间大量访问外部存储平台，或者深夜高频传文件，这种就不是等出事后回头翻日志了，而是希望在事情还在发生的时候，就先把动静拉出来。

之前也有企业是这样，系统升级以后，才意识到旧系统长期漏掉了网盘分批上传这种行为，后面把策略补齐了，泄密风险才算真正压下去，这个很现实。

所以现在上网行为审计这件事，核心早就不只是看员工在干什么了，那个只是表面，更关键的是，能不能提前发现数据正在往外流。

你觉得企业现在选审计软件，重点更该放在记录能力上，还是风险识别能力上。