CDA云桌面审计

1、打造企业安全可控打造企业安全可控的虚拟化环境的虚拟化环境- -操作行为管理解决方案操作行为管理解决方案目录 CONTENTS1234需求背景1方案优势4解决方案2应用场景3产品定位产品定位操作行操作行为管理为管理 IT管理人员管理人员敏感机密数据查询、高权限人员的操作采集、溯源 外包公司外包公司全面掌控操作行为，事后追溯. 业务人员业务人员敏感数据操作、泄露；违规、违法操作；业务办理追溯. 系统故障系统故障虚拟化平台、业务系统故障，第一时间查找原因.需求背景1云桌面环境下的业务模式及挑战云桌面环境下的业务模式及挑战虚拟机虚拟机1 1桌面云桌面云客服/经分VGOP主机数据库资源虚拟机虚拟机2 2

2、虚拟机虚拟机N N客户端客户端业务数据流向业务数据流向基础安全基础安全p 系统安全系统安全p 网络安全网络安全p 云节点状态云节点状态数据安全数据安全p 数据安全数据安全l访问控制访问控制l集中鉴权集中鉴权l加密加密操作操作安全安全p操作身份识别操作身份识别p操作过程控制操作过程控制p操作内容审计操作内容审计l内容记录内容记录l录像回放录像回放p实时告警响应实时告警响应应用云应用云法规遵从法规遵从政府、行业大力推行法规，合规性应对势在必行信息安全等级/分级保护记录网络设备用户行为日志用户身份标识/鉴别用户角色/分配权限服务器操作系统审计数据库审计7.1.3节：要求对用户进行身份标识和鉴别，根据

3、用户的角色分配权限，实现权限分离，仅授予用户所需的最小权限；对主机的审计应覆盖到服务器操作系统和数据库系统；7.1.2节&7.1.3节：审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；要求对日志进行分析，并生成审计报表等。SOX法案302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。 ISO27001标准条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全

4、事件的调查和取证；条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为； 条款A15.1.3明确要求必须保护组织的运行记录条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。企业内控规范要求国内上市公司严格执行该规范要求，以加强和规范企业内部控制、提高企业经营管理水平和风险防范能力传统解决方式传统解决方式7物理世界网络世界应用日志物理世界中人的业务行为物理世界中人的工作行为业务办理过程中业务办理过程中的的操作操作步骤如何记录？步骤如何记录？日志类型日志类型分析效率分析效率是否全面是否全面能否复现操作过程能否复现操作过程解决方案2C

5、CDADA部署示意图部署示意图虚拟机虚拟机1 1云桌面云桌面客服/经分VGOPPC服务器主机数据库安全设备资源虚拟机虚拟机N N12客户端客户端管理中心管理中心CDACDA：旁路部署：旁路部署AgentAgentAgentAgent审计数据流向审计数据流向1212守护进程：发现用户会话开守护进程：发现用户会话开始，启动监控进程始，启动监控进程捕捉模块：录像并抓取应用捕捉模块：录像并抓取应用日志日志管理终端管理终端httpl 全面支持windows xp、win7、win8、windows server2003、windows server 2008/2012 32/64位l手动安装l可以从云桌

6、面管理系统中推送分发，支持静默安装或使用终端管理系统分发并检查合规l可以从服务端自动更新系统功能架构系统功能架构客户端1数据展现数据检索录像播放文本摘要数据索引智能报表实时监控报表分析引擎DNA标签指令控制告警分析引擎敏感信息提取录屏重组KPI分析引擎性能分析客户端2客户端 数据采集Agent2Agent1云桌面Agent敏感告警录屏策略敏感数据模糊化AgentN客户端N存储存储ADNOSQL数据分析革新性的操作行为记录革新性的操作行为记录l 操作同步l 录屏播放l 录屏下载l 登录用户 总览l 定点播放l 录像文本摘要快捷的录像播放技术快捷的录像播放技术支持录像播放模糊化支持HTML5无需客

7、户端支持3x倍速播放支持暂停、拖放播放特性支持截屏、鼠标事件提示操作动作总览相对时间绝对时间转换点击日志直接录像跳转分段播放丰富的文本数据采集丰富的文本数据采集p 系统用户p 窗口标题p 键盘输入p 鼠标点击p 编辑内容p 下拉菜单p 新进程p 网络连接p 剪贴板p 打开文件操作系统操作系统ThemeGallery is a Design Digital Content & Contents mall developed by Guild Design Inc.字符工具字符工具p SECURE-CRTp X-SHELLp CMD窗口p 目标账号p 使用协议图形工具图形工具p PLSQL SQL

8、p IM2000p 工具名称p 目标账号p 使用协议p 操作对象p 源、目标IP地址p 登录账号信息p 登录时间p 标题、URL信息p 操作方式p 页面加载时间p Html源代码数据p 表单信息p 敏感信息网页网页类操作类操作灵活的录像策略灵活的录像策略Windows场景场景网页场景网页场景应用应用黑白名单黑白名单运运维场景维场景用户用户黑白名单黑白名单直观的数据组织呈现直观的数据组织呈现登录会话数据组织操作会话-HTTP操作会话-字符操作会话-数据库大数据实时搜索引擎大数据实时搜索引擎支持亿级数量会话检索，时间支持亿级数量会话检索，时间小于小于1500毫秒毫秒搜索结果自动搜索结果自动分类，单

9、条件、分类，单条件、多条件级联检索多条件级联检索快速搜索到用户操作基本信息，快速搜索到用户操作基本信息，并关联到录音、录像并关联到录音、录像告警管理告警管理告警触发动作支持邮件、告警触发动作支持邮件、Syslog、短信、大屏幕响应、短信、大屏幕响应搜索转换为告警搜索转换为告警自定义触发动作次数自定义触发动作次数自定义实时报表生成自定义实时报表生成自定义监控视图自定义监控视图今日告警总数今日告警总数3 32 2过去过去一周一周平均数为平均数为5050今日敏感数据数今日敏感数据数310310防绕行网关统计防绕行网关统计今日登录失败数今日登录失败数1 15252过去过去3030天平均数为天平均数为2

10、03203今日敏感命令总数今日敏感命令总数200200过去一天为过去一天为180180各主机登录失败数敏感数据数趋势+20-18告警数量趋势敏感命令构成设备规格设备规格CDA-S-100CDA-E-200CDA-E-400大规模部署大规模部署支持云平台VMWARE、CTRIX、华为、微软、windows TS、WINDOWS Native支持并发连接数100200400集群架构按需部署硬件类型1U机架式1U机架式2U机架式存储容量2TB4TB8TB支持云堆叠支持支持支持服务端为硬件设备，规格如下：p 性能需求：CPU:2%-3%,内存：20M，硬盘：5M。p 带宽要求：每客户端需要网络带宽大约

11、为20Kbps,按200用户计算，共计需要带宽4M。p 存储需求：存储：windows应用操作大约1小时10M，浏览器应用操作大约1小时15M。200用户，每天8小时，6个月历史存储，需要2-4T。应用场景3核心应用场景核心应用场景故障原因分析故障原因分析业务操作业务操作运维运维&开发开发字符操作审计字符操作审计图形操作审计图形操作审计录像快速定位录像快速定位防泄密审计防泄密审计安全合规管理安全合规管理敏感操作审计敏感操作审计高危操作审计高危操作审计业务流程审计业务流程审计业务办理追溯业务办理追溯敏感数据泄露审计敏感数据泄露审计问题根源分析问题根源分析指标体系性能分析指标体系性能分析错误场景重

12、现错误场景重现故障问题线索参考故障问题线索参考准实时分析问题准实时分析问题运维运维- -运维命令审计运维命令审计-B B/ /S S架构的防火墙维护架构的防火墙维护-命令行登录方式维护（命令行登录方式维护（LinuxLinux、UnixUnix）（数据库）（数据库 Select Select、UpdateUpdate等）等）-可以通过可以通过WebWeb日志记录、命令行记录审计到策略变更记录、敏感变更告警等功能日志记录、命令行记录审计到策略变更记录、敏感变更告警等功能-形成策略变更统计报表形成策略变更统计报表-URL、Title、业务操作类别捕捉到应、业务操作类别捕捉到应用变更的数据；用变更的

13、数据；-命令行类别的关键命令捕获；命令行类别的关键命令捕获；-通过网络流量分析的机制，可以发现通过网络流量分析的机制，可以发现敏感的策略变更；敏感的策略变更；-统计防火墙维护的相关信息如：用户统计防火墙维护的相关信息如：用户名、登录次数、登录时间、维护时长、名、登录次数、登录时间、维护时长、变更内容等。变更内容等。 l抓取可读的应用日志抓取可读的应用日志，为录像提供大纲索，为录像提供大纲索引引lWindowsWindows操作日志操作日志lSecureCrtSecureCrt命令提取命令提取lPLSQLPLSQL，SQL PLUS SQL PLUS SQLSQL语句的提取语句的提取l支持支持I

14、E IE网页日志提取网页日志提取l支持提取海量支持提取海量metaDatametaData用于搜索用于搜索和告警和告警运维运维- -操作二次鉴权操作二次鉴权触发了rm命令选择授权人命令行操作级图形应用操作级 触发了select操作可选择授权人、方式、生效时间周期及授权理由信息运维运维- -应用虚拟服务器应用虚拟服务器4A-Portal4A-Portal客服/经分PC服务器主机BOSS数据库安全设备资源资源客户端客户端CPS-CPS-图形图形CPS-CPS-字符字符X Xenappenapp客户端客户端AgentAgent多用户环境多用户环境身份识别身份识别业务操作业务操作- -用户敏感信息审计

15、用户敏感信息审计敏感信息p 客户属性信息p 客户业务信息p 客户消费信息p 关键报表关键业务p 资金调整p 业务变更p 客服密码变更p 开过户业务流程p 不完整业务流程操作p 非正常顺序业务操作p 只查询不办理查询查询下载下载修改修改删除删除合理的业务次数合理的业务次数合规合规人员人员/地理位置地理位置合法时间合法时间业务操作业务操作- -操作追溯操作追溯业务办理还原业务办理还原基于多类型关键字快速定位、还原业务办理情景工号金额时间业务类型业务操作业务操作-主要分析思路主要分析思路网络抓包获取网络抓包获取WEBWEB日志日志CDACDA 获取获取WEBWEB日志日志WEBWEB日志提取和标准化

16、日志提取和标准化SyslogSyslog日志日志CDACDA日志日志其他日志其他日志基于规则分析基于规则分析-tag-tag映射处理映射处理操作审计分析操作审计分析会话审计分析会话审计分析搜索引擎搜索引擎报表引擎报表引擎告警生成告警生成业务操作业务操作- Web- Web操作审计分析操作审计分析基于知识库智能提取操作标签，为操作实现审计和分类，形成分析的基于知识库智能提取操作标签，为操作实现审计和分类，形成分析的DNA客户资料信息操作客户消费信息操作客户详单信息操作关键统计报表操作导出下载补卡操作查询办理余额查询充值资金调整套餐变更账前优惠滞纳金减免免催免停产品管理金库操作集团大客户管理公免号

17、码管理客户服务密码变更客户资料变更本地缴费业务营业停复机异地缴费积分兑换补换卡和号DNA帮助运维从面向资源的管理向面向用户体验管理演进帮助运维从面向资源的管理向面向用户体验管理演进IT服务管理资源管理: 应用 数据库 中间件 服务器 存储 网络 安全 系统监控 值守 供电 机房管理 制度流程 人员培训 .SLA服务水平管理 = 用户体验管理 + IT服务管理?用户体验:哪些是最不满意的用户？ 哪些是最勤奋的用户？访问什么业务？调用什么服务或页面？ 什么服务访问最多？ 什么服务/页面最慢？资源开销最大？系统发生了什么错误？因为什么触发错误？错误提示给用户什么？ 业务访问过程是否合理？ 被投诉的客

18、服人员都做了什么，如何接待客户的？ 故障原因分析故障原因分析故障故障原因原因分析分析略过笨重的log检查，也无需等待下一次问题出现，直接从用户视角体验真实的情况立即确定问题根源偶然存在性能问题？长期存在性能问题？还是不存在性能问题？性能问题的存在回答这个问题会让你真正接近问题和解决方法谁在做什么定位性能问题的原因定位性能问题的原因可以立即关注关键任务并实时监控和抽查实时回放l 故障情景真实再现l 故障情景重复呈现l 无需到达故障现场系统整体满意度用户使用感受平均页面加载满意度趋势不同应用模块满意度趋势各区域（可以细化到IP等）的满意度趋势 最慢的用户排行失败最多的用户排行用户平均响应时长单个用

19、户会话诊断用户访问中止率 页面服务器时间页面服务器时间浏览器加载时间浏览器加载时间页面请求页面请求页面返回结束页面返回结束页面显示页面显示页面网络时间页面网络时间页面开始返回页面开始返回用户感觉慢了？用户感觉慢了？-是服务器慢还是客户端慢？是服务器慢还是客户端慢？- 4 4-16s -16s 一般一般页面页面- 1 16s6s以上以上 坏坏页面页面- 0-4s 0-4s 好好页面页面建立指标评估体系建立指标评估体系性能问题分析性能问题分析最慢的页面系统错误深入分析 系统访问量与页响应时间分析页响应时间与客户终止访问量分析应用整体成功率404错误403错误最慢的页面URL是否有大对象性能杀手在哪

20、里错误总数系统错误数网络错误数对整体系统的满意度、系统性能瓶颈等进行深入分析和定位，能够分析出业务的当前运行状况、带宽及用户遭遇的错误信息最多错误页面性能对比分析不同时段满意度对比特定用户满意度分析特定业务流程性能对比分析出现问题的当时还发生了什么？出现问题的当时还发生了什么？哪些应用程序在连接哪些目标机执行的command命令关键文件的复制和带出云桌面IE的关键操作鼠标键盘操作对关键字段和参数的编辑修改我们记录关键日志，供您分析问题原因方案优势4为用户带来的核心价值为用户带来的核心价值敏感信息泄露原因分析、事后追溯.审计敏感信息、机密数据、高风险业务办理人员.第三方厂商人员操作监控全面满足工

21、信部24号令、PCI, HIPAA, SOX和ISO 27001等标准对监控和审计的要求.用户操作体验管理、业务故障原因分析、场景再现.系统特性及优势系统特性及优势录音与录像的完美结合录音与录像的完美结合在 CTI/API 的控制下启动屏幕记录，和语音完全同步可以语音和屏幕在同一播放工具中进行播放，方便使用提供全录屏与触发录屏、特殊录屏两种方式基于变化录像、非全屏幕区域的信息基于变化录像、非全屏幕区域的信息采用时下最先进的基于变化录像和图像压缩技术对客户端性能、网络传输压力、存储需求降至最小记录屏幕上连续的即时信息，而非定时截取整个屏幕，确保不会丢失数据，录屏无闪烁现象，客户端无感知图形录像配合文本行为图形录像配合文本行为录屏随意跳转，可在任意记录点开始重放录像记录图形化的操作中提取出可读的文本摘要，使得搜索、行为风险分级、告警分析变成可行支持支持大数据存储和动态分析大数据存储和动态分析支持动态数据分析，无需预先处理支持各种类型的数据；支持单条达百兆的数据，并可支持多达数十