AuditSys-操作行为审计解决方案

AuditSys操作行为审计解决方案北京华夏威科软件技术有限公司Jan2014公司简介为什么需要IT操作行为审计？为什么选择AuditSys？AuditSys主要特点成功案例Q&A议题华夏威科公司简介四通电子渠道答谢会4公司特点主要业务：虚拟化、安全审计、大数据Citrix系统集成战略合作伙伴，全球最高级别合作伙伴国家高新技术企业、中关村高新技术企业拥有7项软件著作权、3个软件产品证书美国Splunk中国区总分销商2013年度获得获得国家新兴产业创业投资基金--厚持投资和益帆泰和等机构战略投资成功用户电信、能源、金融：80%成功用户名单中国移动：上海移动、北京移动、吉林移动、河北移动、山东移动、江西移动国家电网：黑龙江电力、湖北电力、蒙东电力、山东电力、上海电力中国石油、中石油工程设计公司交通银行、招商银行、中国银行中国石化中信建投证券、民族证券为什么需要行为审计？关注IT操作行为引发的安全风险外包人员系统管理员数据库管理员安全管理员网络管理员开发人员拥有敏感信息的核心业务服务器系统及数据库复杂的虚拟化及云平台核心业务人员运维误操作接触敏感信息合法授权下的非合规操作无法确定责任人IT运维管理操作关键业务人员操作运维操作的风险系统管理员、数据库管理员等拥有最高权限，可以看到很多敏感信息，甚至有权修改、删除数据泄密误操作、恶意操作故障、问题不能找到责任人常见问题是否有运维服务外包给第三方公司？除了法律合同约定，是否有手段了解外包运维人员的操作行为？有哪些运维人员角色？是否掌控每个运维人员的所有操作行为？是否存在出现问题后不能定位责任人，Admin是谁？如何快速定位故障原因？IT运维操作行为审计关键业务操作的风险关键业务数据的修改、删除机密文件的拷贝和复制、删除对于非授权文档的阅读常见问题：有哪些关键业务操作？关于资金帐号的任何操作关于帐号积分的修改、删除关于保密数据文件的操作关于电子证据的任何操作关于审计员对于所有被审计信息的操作是否能够掌控每个业务人员在关键业务上的操作过程？关键业务操作行为审计云、虚拟化的操作行为审计云和虚拟化的操作风险：数据、应用高度集中，如何保证数据安全和保密如何管控虚拟桌面和虚拟应用的用户操作行为常问问题是否有手段了解云和虚拟化平台运维人员的操作行为？是否存在出现问题后不能定位责任人，Admin是谁？如何快速定位故障原因？如何能够掌控每个业务人员在虚拟桌面或虚拟应用上的操作过程？AuditSys操作行为审计特点Auditsys产品市场定位:

专业的IT操作行为审计软件工作原理：

通过分析运维人员、业务人员及外包服务人员在信息系统上的操作行为，实现行为分析、审计、行为可追溯，以保证法规遵从，保障信息安全和稳定运行。支持任何协议，审计无盲点支持所有的远程会话审计支持本地操作会话审计支持所有虚拟化和云计算平台，包括Citrix,VMWare，Microsoft以及国产虚拟化软件Terminal部署方式灵活、审计全面覆盖服务器防火墙交换机负载均衡App数据库Web数据中心通过虚拟化或云平台操作访问PC机直接联机操作访问移动办公操作访问前端PC审计、虚拟化审计、后台WindowS服务器审计运维人员的操作行为审计SecureCRT（查看linux服务器）Mstsc（监控跳转机）Putty（查看linux服务器）SSH（查看linux服务器）Telnet（查看路由交换网络设备）DBA数据库管理员操作行为审计MicrosoftSQLServerManagementStudio2005,2008ToadforOracle11.6SQL*Plus11.2.0.1.0核心业务的审计细颗粒度检索细颗粒度审计：直观、简洁的审计方式，极大提高审计效率支持快速的检索定位，回放操作准确细颗粒度审计，可以按照用户、服务器、文件名、目录名、Windows窗口信息、动作行为运维命令检索及行为追溯（SecureCRT、SSH、Putty）不依赖日志，没有日志的应用也可以审计审计深度远远大于日志，可以审计应用中所有操作过程灵活的审计策略按用户名定审计策略哪些人审计、哪些人不审计按应用定义审计策略哪些应用审计，哪些应用不审计在浏览器中指定哪些B/S程序审计，哪些不审计系统审计策略设定压缩策略：客户端压缩、服务器端压缩可选按服务器定义审计策略哪些服务器审计、哪些服务器不审计强大的行为分析功能分析用户的上网行为分析用户在不用业务系统上花费的时间和工作量分析不同业务软件的使用情况角色权限管理颗粒化的权限/访问控制为每个用户定义规则制定哪些会话用户可以回放基于权限的过滤影响所有的内容访问报表搜索视频回放元数据浏览访问AuditSysWeb也同样被审计AuditSys自身审计企业级产品架构设计支持负载均衡动态服务器加入CitrixReady认证身份确认技术保证被审计对象的身份唯一性即使用Administrator进行操作，也能保证审计对象的准确性AuditSys

产品Demo直观的审计界面细颗粒度检索按时间、账户、设备、应用按会话、标题、文件名、目录按运维命令应用统计丰富的审计策略可定制报表AuditSysDEMO直观的审计方式25列出每一个用户的会话在每个会话中，可以详细的看到每个动作的细节直接跳到确切的位置，回放你感兴趣的那一段点击视频图标就可以回放这段视频按应用检索按应用检索审计:

精确到具体应用的检索缩小检索的范围准确定位操作行为记录会话检索精确到具体会话、文件名、操作动作的检索缩小检索的范围准确定位操作行为记录按运维命令检索2/25/202528强大的审计策略--按用户审计策略北京华夏威科软件技术有限公司29基于用户、组设定不同审计策略选择审计时间密度和记录类型支持客户端压缩离线审计强大的审计策略—可指定B/S程序审计可以指定审计网址，仅审计某些B/S程序二次身份认证统计分析--用户使用统计以用户为视角分析用户的应用使用时间和有效操作次数统计分析--用户应用使用统计用户的应用使用时间和有效操作次数以应用为视角分析人员的操作时间和操作次数2/25/202533统计分析--用户上网行为分析可定制报表2/25/202534定制化报表可方便导出成功案例案例一：证券公司，运维审计证券公司的交易中心和清算中心有400多台服务器，操作系统为Liunx系统和Windows系统。

运维方式：数据中心有30台直联PC机（安装有远程桌面、SSH、Telnet等工具）用户总部的信息技术部有20名技术人员使用远程登录的方式运维。

为符合等保要求，需要对运维人员的操作行为做审计，记录运维人员的每一个操作行为，以便在出现故障时通过“回放”发现原因，对外包人员的操作行为做合规性检查

遇到的挑战

北京华夏威科软件技术有限公司37需要支持各种运维管理工具（SecurtCRT,SSH,Putty）和加密协议支持混合式的复杂网管环境支持虚拟化、云平台授权情况下对业务数据的修改操作需要审计检索要快捷和精细控制成本升级、扩展方便、维护方便直联机运维人员的操作行为审计Mstsc（监控跳转机）Putty（查看linux服务器）SSH（查看linux服务器）Telnet（查看路由交换网络设备）远程运维的操作行为审计Mstsc（监控跳转机）Putty（查看linux服务器）SSH，SecureCRT（查看linux服务器）Telnet（查看路由交换网络设备）DBA数据库管理员操作行为审计MicrosoftSQLServerManagementStudio2005,2008ToadforOracle11.6SQL*Plus11.2.0.1.0支持各种IT协议和软件加密协议数据库管理客户端支持细颗粒度检索窗口信息、文件名、目录名等支持对虚拟化和云平台上的操作行为如CitrixXenApp、XenDesktop、华为虚拟化软件、VMWareView等解决了直连机绕行访问服务器的审计扩展简单、维护方便方案价值对用户的价值提供了全方位的IT运维操作行为做完整记录，提供事后审计操作行为的“回放”功能，便于快速的问题判断和故障排除能够记录和审计授权外包人员对业务数据的非合规操作，确切地知道第三方厂商在服务器上做了什么提高安全性，减少信息泄露，为问责制提供了信息依据案例二：银行,关键业务操作行为审计审计对象：200人内部敏感信息接触者，财务外包人员方案：利用AgentforDesktop部署在每个桌面端；制定审计策略，仅审计敏感业务的操作行为；希望审计指定的B/S程序，不审计其它网站的访问。提供API接口给第三方应用程序，仅在业务中进行某种操作时进行审计防火墙审计人员业务服务器业务审计员SQLServer数据库AuditSys应用服务器AuditSys管理控制台AuditsysAgentforDesktop操作行为审计系统审计员利用IE浏览器访问审计敏感数据架构设计外包人员桌面虚拟化审计人员使用Web览器进行操作审计SQLServer数据库AuditSys应用服务器AuditSys管理控制台AuditsysAgentforDesktop外包人员的操作行为审计操作行为审计系统网元设备核心业务的审计可以审计客户端关键业务操作按业务角度进行审计和分析使用方便、维护方便方案价值更多的案例：中国移动4A审计审计对象：

运维人员（外包服务公司IT+本公司的IT人员）设计方案：身份认证：身份帐号AD域+RSA动态令牌统一授权，权限管控：根据不同的人角色进行授权，从而获得不同的应用程序；统一登陆门户，实现集中管理，而且终端不安装任何应用。CitrixXenApp/XenDesktop/VmwareView/MSTerminalService安全审计:利用AuditSys，都有通过统一门户操作人员进行操作行为审计。AuditSys能对虚拟桌面或虚拟应用的会话通道进行操作记录,可以做到行为审计，提供操作行为的检索和回放。更多的案例：保险用户BYOD工作审计项目背景：

保险公司提供虚拟应用和桌面，业务人员使用自带设备（笔记本、PAD)访问企业环境。

为掌控BYOD人员的工作情况，对关键业务人员的进行操作合规，配套使用AuditSys进行工作审计

方案：使用应用虚拟化和桌面虚拟化提供BYOD人员业务访问通过AuditSys对BYOD用户的操作行为进行审计和统计分析更多的案例：政府敏感数据的浏览、查询、修改、复制涉及人员：系统管理员、数据库管理员、业务人员、外包服务人员部门：房产信息、国家经济统计数据、公检法、薪资信息等工作效率及状态分析所有窗口业务人员所有办公室工作人员分析在核心业务系统上花的时长和工作量北京华夏威科软件技术有限公司50成功案例名单北京华夏威科软件技术有限公司51项目名称规模用途中信建投证券6XenApp服务器审计信息部IT运维审计民族证券2个XenApp

服务器；30点桌面操作审计信息部IT运维审计上海移动20XenApp服务器审计4A

运维管理北京移动1