A云桌面审计.ppt

打造企业安全可控的虚拟化环境 操作行为管理解决方案 目录CONTENTS 1 2 3 4 需求背景 1 方案优势 4 解决方案 2 应用场景 3 产品定位 操作行为管理 IT管理人员 敏感机密数据查询 高权限人员的操作采集 溯源 外包公司 全面掌控操作行为 事后追溯 业务人员 敏感数据操作 泄露 违规 违法操作 业务办理追溯 系统故障 虚拟化平台 业务系统故障 第一时间查找原因 需求背景 1 云桌面环境下的业务模式及挑战 主机 数据库 资源 虚拟机2 虚拟机N 客户端 业务数据流向 基础安全 系统安全网络安全云节点状态 数据安全 数据安全访问控制集中鉴权加密 操作安全 操作身份识别操作过程控制操作内容审计内容记录录像回放实时告警响应 应用云 法规遵从 政府 行业大力推行法规 合规性应对势在必行 传统解决方式 7 物理世界 网络世界 应用日志 物理世界中人的业务行为物理世界中人的工作行为 业务办理过程中的操作步骤如何记录 日志类型分析效率是否全面能否复现操作过程 解决方案 2 CDA部署示意图 PC服务器 主机 数据库 安全设备 资源 虚拟机N 1 2 客户端 管理中心CDA 旁路部署 Agent Agent 审计数据流向 1 2 1 2 守护进程 发现用户会话开始 启动监控进程 捕捉模块 录像并抓取应用日志 管理终端 http 全面支持windowsxp win7 win8 windowsserver2003 windowsserver2008 201232 64位手动安装可以从云桌面管理系统中推送分发 支持静默安装或使用终端管理系统分发并检查合规可以从服务端自动更新 系统功能架构 客户端1 数据展现 数据检索 录像播放 文本摘要 数据索引 智能报表 实时监控 报表分析引擎 DNA标签 指令控制 告警分析引擎 敏感信息提取 录屏重组 KPI分析引擎 性能分析 客户端2 客户端 数据采集 Agent2 Agent1 云桌面 Agent 敏感告警 录屏策略 敏感数据模糊化 AgentN 客户端N 存储 AD NOSQL 数据分析 革新性的操作行为记录 操作同步 录屏播放 录屏下载 登录用户总览 定点播放 录像文本摘要 快捷的录像播放技术 播放特性 丰富的文本数据采集 系统用户窗口标题键盘输入鼠标点击编辑内容下拉菜单新进程网络连接剪贴板打开文件 操作系统 ThemeGalleryisaDesignDigitalContent ContentsmalldevelopedbyGuildDesignInc 字符工具 SECURE CRTX SHELLCMD窗口目标账号使用协议 图形工具 PLSQLSQLIM2000工具名称目标账号使用协议操作对象 源 目标IP地址登录账号信息登录时间标题 URL信息操作方式页面加载时间Html源代码数据表单信息敏感信息 网页类操作 灵活的录像策略 Windows场景 网页场景 应用黑白名单 运维场景 用户黑白名单 直观的数据组织呈现 登录会话数据组织 操作会话 HTTP 操作会话 字符 操作会话 数据库 大数据实时搜索引擎 告警管理 自定义实时报表生成 自定义监控视图 设备规格 服务端为硬件设备 规格如下 性能需求 CPU 2 3 内存 20M 硬盘 5M 带宽要求 每客户端需要网络带宽大约为20Kbps 按200用户计算 共计需要带宽4M 存储需求 存储 windows应用操作大约1小时10M 浏览器应用操作大约1小时15M 200用户 每天8小时 6个月历史存储 需要2 4T 应用场景 3 核心应用场景 故障原因分析 业务操作 运维 开发 字符操作审计图形操作审计录像快速定位防泄密审计安全合规管理 敏感操作审计高危操作审计业务流程审计业务办理追溯敏感数据泄露审计 问题根源分析指标体系性能分析错误场景重现故障问题线索参考准实时分析问题 运维 运维命令审计 B S架构的防火墙维护命令行登录方式维护 Linux Unix 数据库Select Update等 可以通过Web日志记录 命令行记录审计到策略变更记录 敏感变更告警等功能形成策略变更统计报表 URL Title 业务操作类别捕捉到应用变更的数据 命令行类别的关键命令捕获 通过网络流量分析的机制 可以发现敏感的策略变更 统计防火墙维护的相关信息如 用户名 登录次数 登录时间 维护时长 变更内容等 抓取可读的应用日志 为录像提供大纲索引Windows操作日志SecureCrt命令提取PLSQL SQLPLUSSQL语句的提取支持IE网页日志提取支持提取海量metaData用于搜索和告警 运维 操作二次鉴权 运维 应用虚拟服务器 PC服务器 主机 BOSS 数据库 安全设备 资源 客户端 CPS 图形 CPS 字符 Xenapp 客户端 Agent Agent 多用户环境 身份识别 业务操作 用户敏感信息审计 合理的业务次数 合规人员 地理位置 合法时间 业务操作 操作追溯 业务办理还原 基于多类型关键字快速定位 还原业务办理情景 工号 金额 时间 业务类型 业务操作 主要分析思路 网络抓包获取WEB日志 CDA获取WEB日志 WEB日志提取和标准化 Syslog日志 CDA日志 其他日志 基于规则分析 tag 映射处理 操作审计分析 会话审计分析 搜索引擎 报表引擎 告警生成 业务操作 Web操作审计分析 基于知识库智能提取操作标签 为操作实现审计和分类 形成分析的DNA 客户资料信息操作 客户消费信息操作 客户详单信息操作 关键统计报表操作 导出 下载 补卡操作 查询 办理 余额查询 充值 资金调整 套餐变更 账前优惠 滞纳金减免 免催免停 产品管理 金库操作 集团大客户管理 公免号码管理 客户服务密码变更 客户资料变更 本地缴费业务 营业停复机 异地缴费 积分兑换 补换卡和号 DNA 帮助运维从面向资源的管理向面向用户体验管理演进 用户体验 哪些是最不满意的用户 哪些是最勤奋的用户 访问什么业务 调用什么服务或页面 什么服务访问最多 什么服务 页面最慢 资源开销最大 系统发生了什么错误 因为什么触发错误 错误提示给用户什么 业务访问过程是否合理 被投诉的客服人员都做了什么 如何接待客户的 故障原因分析 故障原因分析 略过笨重的log检查 也无需等待下一次问题出现 直接从用户视角体验真实的情况 立即确定问题根源 偶然存在性能问题 长期存在性能问题 还是不存在性能问题 性能问题的存在 回答这个问题会让你真正接近问题和解决方法 谁在做什么 定位性能问题的原因 定位性能问题的原因 可以立即关注关键任务并实时监控和抽查 实时回放 系统整体满意度 用户使用感受 平均页面加载满意度趋势不同应用模块满意度趋势各区域 可以细化到IP等 的满意度趋势 最慢的用户排行失败最多的用户排行用户平均响应时长单个用户会话诊断用户访问中止率 页面服务器时间 浏览器加载时间 页面请求 页面返回结束 页面显示 页面网络时间 页面开始返回 用户感觉慢了 是服务器慢还是客户端慢 建立指标评估体系 性能问题分析 系统访问量与页响应时间分析页响应时间与客户终止访问量分析 应用整体成功率404错误403错误 最慢的页面URL是否有大对象性能杀手在哪里 错误总数系统错误数网络错误数 对整体系统的满意度 系统性能瓶颈等进行深入分析和定位 能够分析出业务的当前运行状况 带宽及用户遭遇的错误信息 最多错误页面 不同时段满意度对比特定用户满意度分析特定业务流程性能对比分析 出现问题的当时还发生了什么 哪些应用程序在连接哪些目标机执行的command命令关键文件的复制和带出云桌面IE的关键操作鼠标键盘操作对关键字段和参数的编辑修改 我们记录关键日志 供您分析问题原因 方案优势 4 为用户带来的核心价值 保护敏感信息 高危人员审计 法规遵从 业务故障分析 敏感信息泄露原因分析 事后追溯 审计敏感信息 机密数据 高风险业务办理人员 第三方厂商人员操作监控 全面满足工信部24号令 PCI HIPAA SOX和ISO27001等标准对监控和审计的要求 用户操作体验管理 业务故障原因分析 场景再现 系统特性及优势 录音与录像的完美结合在CTI API的控制下启动屏幕记录 和语音完全同步可以语音和屏幕在同一播放工具中进行播放 方便使用提供全录屏与触发录屏 特殊录屏两种方式基于变化录像 非全屏幕区域的信息采用时下最先进的基于变化录像和图像压缩技术对客户端性能 网络传输压力 存储需求降至最小记录屏幕上连续的即时信息 而非定时截取整个屏幕 确保不会丢失数据 录屏无闪烁现象 客户端无感知图形录像配合文本行为录屏随意跳转 可在任意记录点开始重放录像记录图形化的操作中提取出可读的文本摘要 使得搜索 行为风险分级 告警分析变成可行支持大数据存储和动态分析支持动态数据分析 无需预先处理支持各种类型的数据 支持单条达百兆的数据 并可支持多达数十亿的数据处理和计算多平台全面支持支持VMwareView CitrixXenDesktop XenApp Microsoft CA 华为 深信服 乾云科技等主流云桌面系统支持WindowsXP win7 8 WindowsServer2003 2008 2012等各种32位和64位平台低资源消耗每小时不间断的操作会话录像需要消耗10 15M空间