陈晓桦博士介绍，要说强审计没有国际标准，也不完全正确。实际上，国际上对强审计非常重视，在ISO 7498-2（信息安全技术框架）和ISO/IEC 15408（通用评估标准）中，将审计作为一类重要的信息安全机制或功能。可见，国际上非常重视信息安全的审计。同时在ISO/IEC 10181-7：1996（信息技术——开放系统互连——开放系统的安全框架）中已经规定了安全审计和告警的框架；在ISO/IEC 10164-8：1993（信息技术——开放系统互连——系统管理）第8部分，也说明了审计系统应有的功能，这个标准1997年已经变成了国标GB/T 17143.8。
　　“但是，国际标准只是说明了审计应该具备的一些基本功能，以及与其他系统接口时的一些标准，并没有规定如何实现这些功能。”他说。
　　曲成义教授认为强审计技术应该包括5个方面的内容：网络审计，防止非法内连和外连；数据库审计，以更加细的粒度对数据库的读取行为进行跟踪；应用系统审计，例如公文流转经过几个环节，必须要有清晰的记录；主机审计，包括对终端系统安装了哪些不安全软件的审计，并设置终端系统的权限等等；介质审计，包括光介质、磁介质和纸介质的审计，防止机密信息通过移动U盘、非法打印或者照相等多个环节从信息系统中泄密。
　　“目前，虽然汉邦的强审计系统算是完善的，但完整地包括这5个部分的审计系统几乎没有，其他一些公司都是关注某个方面，因此，用户在选择审计技术时，应考虑产品的综合性能和功能。”他说。
　　这也许代表了审计技术未来的改进方向。
　　“认为本单位内部人员没有问题，防外最重要，这是目前审计产品发展缓慢的根本原因。”
　　认识误区
　　正如专家所言，强审计技术未来是与防火墙、IDS和反病毒同样大的市场，但到目前为止，似乎只有电子政务等一些关键的领域才开始应用强审计技术，难道企业中就不需要吗？
　　曲成义教授认为，从大环境来说，目前国内的安全产品从品种上来看确实是变化的速度太快，审计概念的提出到现在经历2~3年的时间，但是可以说现在审计产品市场上是鱼龙混杂。参与审计研究的企业往往是按照自己公司对于审计的理解进行研发的，而购买者站在自己的立场上就容易产生迷惑，从而放慢了购买使用的进程。从小环境来说，审计产品主要是对单位内部进行管理监控，许多单位对网络安全的理解还处于防止外部黑客入侵的程度，没有意识到网络内部安全的问题才是最可怕最容易造成严重后果的主要途径。
　　“认为本单位内部人员没有问题，防外最重要，这是目前审计产品发展缓慢的根本原因。”他说。
　　天津信息化办公室安全处长王得庆从用户的角度发表意见：由于审计系统大部分属于C/S架构，需在计算机终端安装代理软件，在产品实施执行过程中，被监控的工作人员往往会产生抵触心理，这是强审计产品应用过程中存在的最大障碍。
　　陈晓桦博士认为，目前国内的一些强审计产品的技术水平还有待提高。强审计系统虽然能够记录网络和计算机系统中的操作和运行踪迹，但由于审计数据量巨大，如果不能够提供有效的查看或数据挖掘工具，就不能帮助发现违反安全策略的行为。完全指望靠人的肉眼从审计数据中来发现情况是极不现实的，这种情况只能导致令人悲哀的结果：有大量的审计数据，但没人看，也没法儿看，强审计系统也就失去了其应有的作用。
　　此外，还有一些人认为只有涉密网络系统才有应用强审计系统的需求，这也是一个极大的误区。肖达认为，强审计系统在网络安全保障体系中具有普适性。事实上，国外的许多大型企业为了保护企业内部的机密数据不外泄已经悄悄地采用了强审计技术。“在商场如战场的今天，企业的核心技术决定着企业的生死，强审计技术能有效防止企业机密的泄露，是一个极有用的好帮手。”他说。