打造企业安全可控的虚拟化环境
-操作行为管理解决方案
目录
CONTENTS
1
2
3
4
需求背景[1]
方案优势[4]
解决方案[2]
应用场景[3]
产品定位
操作行
为管理
• IT管理人员
敏感机密数据查询、高权限人员的操作采集、溯源
• 外包公司
全面掌控操作行为,事后追溯.
• 业务人员
敏感数据操作、泄露;违规、违法操作;业务办理追溯.
• 系统故障
虚拟化平台、业务系统故障,第一时间查找原因.
需求背景[1]
云桌面环境下的业务模式及挑战
虚拟机1
桌面云
客服/经分 VGOP
主机数据库
资源
虚拟机2 虚拟机N
客户端
业务数据流向
基础安全
系统安全
网络安全
云节点状态
数据安全
数据安全
访问控制
集中鉴权
加密
操作安全
操作身份识别
操作过程控制
操作内容审计
内容记录
录像回放
实时告警响应
应用云
法规遵从
政府、行业大力推行法规,合规性应对势在必行
信息安全等级/分级保护
•记录网络设备用户行为日志
•用户身份标识/鉴别
•用户角色/分配权限
•服务器操作系统审计
•数据库审计
•节:要求对用户进行
身份标识和鉴别,根据用户
的角色分配权限,实现权限
分离,仅授予用户所需的最
小权限;对主机的审计应覆
盖到服务器操作系统和数据
库系统;
•节&节:审计记录
应包括事件的日期、时间、
类型、主体标识、客体标识
和结果等;要求对日志进行
分析,并生成审计报表等。
SOX法案
•302节:要求行政人员证明
他们公司设计和执行了适当
的控制,以保证所有财务报
表都可靠而且付合公认会计
准则(GAAP)。
•404节:要求所有在302节
中所控制的过程都有可信的
财务报表。这法令要求IT经
理对所有有关财务报表的产
生过程负责。
ISO27001标准
•条款要求组织必须
记录用户访问、意外和信息
安全事件的日志,并保留一
定期限,以便为安全事件的
调查和取证;
•条款要求组织必须
记录系统管理和维护人员的
操作行为;
•条款明确要求必须
保护组织的运行记录
•条款则要求信息系
统经理必须确保所有负责的
安全过程都在正确执行,符
合安全策略和标准的要求。
企业内控规范
•要求国内上市公司严格执行
该规范要求,以加强和规范
企业内部控制、提高企业经
营管理水平和风险防范能力
传统解决方式
7
物理
世界
网络
世界
应用
日志
物理世界中人的业务行为
物理世界中人的工作行为
业务办理过程中的
操作步骤如何记录?
日志类型
分析效率
是否全面
能否复现操作过程
解决方案[2]
CDA部署示意图
虚拟机1
云桌面
客服/经分 VGOP
PC服务器 主机
数据库 安全设备
资源
虚拟机N
1 2
客户端
管理中心CDA:旁路部署
Agent Agent
审计数据流向
1 2
1
2
守护进程:发现用户会话开
始,启动监控进程
捕捉模块:录像并抓取应用
日志
管理终端
http
全面支持windows xp、win7、win8、windows server2003、windows server 2008/2012 32/64位
手动安装
可以从云桌面管理系统中推送分发,支持静默安装或使用终端管理系统分发并检查合规
可以从服务端自动更新
系统功能架构
客户端1
数据展现
数据检索录像播放 文本摘要
数据索引
智能报表
实时监控
报表分析引擎
DNA标签
指令控制
告警分析引擎
敏感信息提取
录屏重组
KPI分析引擎
性能分析
客户端2 客户端…
数据采集 Agent2Agent1
云桌面
Agent…
敏感告警 录屏策略 敏感数据模糊化
AgentN
客户端N
存储
AD
NOSQ
L
数据分析
革新性的操作行为记录
操作同步
录屏播放
录屏下载
登录用户
总览
定点播放
录像文本
摘要
快捷的录像播放技术
支持录像播放模糊化
支持HTML5无需客户端
支持3x倍速播放
支持暂停、拖放
播放特性
支持截屏、鼠标事件提示
操作动作总览
相对时间绝对时间转换
点击日志直接录像跳转
分段播放
丰富的文本数据采集
系统用户
窗口标题
键盘输入
鼠标点击
编辑内容
下拉菜单
新进程
网络连接
剪贴板
打开文件
操作系统
ThemeGallery is a
Design Digital
Content & Contents
mall developed by
Guild Design Inc.
字符工具
SECURE-CRT
X-SHELL
CMD窗口
目标账号
使用协议
图形工具
PLSQL SQL
IM2000
工具名称
目标账号
使用协议
操作对象
源、目标IP地址
登录账号信息
登录时间
标题、URL信息
操作方式
页面加载时间
Html源代码数据
表单信息
敏感信息
网页类操作
灵活的录像策略
Windows场景
网页场景
应用黑白名单
运维场景
用户黑白名单
直观的数据组织呈现
登录会话数据组织 操作会话-HTTP 操作会话-字符 操作会话-数据库
大数据实时搜索引擎
支持亿级数量会话检索,时间
小于1500毫秒
搜索结果自动分类,单条件、
多条件级联检索
快速搜索到用户操作基本信息,
并关联到录音、录像
告警管理
告警触发动作支持邮件、
Syslog、短信、大屏幕响应
搜索转换为告警 自定义触发动作次数
自定义实时报表生成
自定义监控视图
今日告警总数
32
过去一周平均数为50
今日敏感数据数
310
防绕行网关统计
今日登录失败数
152
过去30天平均数为203
今日敏感命令总数
200
过去一天为180
各主机登录失败数 敏感数据数趋势
+2
0
-18
告警数量趋势敏感命令构成
设备规格
CDA-S-100 CDA-E-200 CDA-E-400 大规模部署
支持云平台 VMWARE、CTRIX、华为、微软、windows TS、WINDOWS Native
支持并发连接数 100 200 400
集群架构
按需部署
硬件类型 1U机架式 1U机架式 2U机架式
存储容量 2TB 4TB 8TB
支持云堆叠 支持 支持 支持
服务端为硬件设备,规格如下:
性能需求:CPU:2%-3%,内存:20M,硬盘:5M。
带宽要求:每客户端需要网络带宽大约为20Kbps,按200用户计算,共计需要带宽4M。
存储需求:存储:windows应用操作大约1小时10M,浏览器应用操作大约1小时15M。
200用户,每天8小时,6个月历史存储,需要2-4T。
应用场景[3]
核心应用场景
故障原因分析业务操作运维&开发
• 字符操作审计
• 图形操作审计
• 录像快速定位
• 防泄密审计
• 安全合规管理
• 敏感操作审计
• 高危操作审计
• 业务流程审计
• 业务办理追溯
• 敏感数据泄露审计
• 问题根源分析
• 指标体系性能分析
• 错误场景重现
• 故障问题线索参考
• 准实时分析问题
运维-运维命令审计
- B/S架构的防火墙维护
- 命令行登录方式维护(Linux、Unix)(数据库 Select、Update等)
- 可以通过Web日志记录、命令行记录审计到策略变更记录、敏感变更告警等功能
- 形成策略变更统计报表
- URL、Title、业务操作类别捕捉到应
用变更的数据;
- 命令行类别的关键命令捕获;
- 通过网络流量分析的机制,可以发现
敏感的策略变更;
- 统计防火墙维护的相关信息如:用户
名、登录次数、登录时间、维护时长、
变更内容等。
抓取可读的应用日志,
为录像提供大纲索引
Windows操作日志
SecureCrt命令提取
PLSQL,SQL PLUS
SQL语句的提取
支持IE网页日志提取
支持提取海量
metaData用于搜索
和告警
运维-操作二次鉴权
触发了rm命令
选择授权人
命
令
行
操
作
级
图
形
应
用
操
作
级
触发了select操作
可选择授权人
、方式、生效时
间周期及授权
理由信息
运维-应用虚拟服务器
4A-Portal
客服/经分
PC服务器 主机
BOSS
数据库 安全设备
资源
客户端
CPS-图形
CPS-字符
Xenapp
客户端
Agent
Agent
多用户环境身份识别
业务操作-用户敏感信息审计
敏感信息
客户属性信息
客户业务信息
客户消费信息
关键报表
关键业务
资金调整
业务变更
客服密码变更
开过户
业务流程
不完整业务流程操作
非正常顺序业务操作
只查询不办理
查询 下载 修改 删除
合理的业务次数合规人员/地理位置合法时间
业务操作-操作追溯
业务办理还原
基于多类型关键字
快速定位、还原业务办理情景
工号
金额
时间
业务类型
业务操作--主要分析思路
网络抓包获取WEB日
志
CDA 获取WEB日志
WEB日志提取和标准
化
Syslog日志 CDA日志 其他日志
基于规则分析-tag
映射处理
操作审计分析
会话审计分析
搜索引擎 报表引擎 告警生成
业务操作-- Web操作审计分析
基于知识库智能提取操作标签,为操作实现审计和分类,形成分析的DNA
客户资料信息操作
客户消费信息操作
客户详单信息操作
关键统计报表操作
导出
下载补卡操作
查询
办理
余额查询
充值
资金调整
套餐变更 账前优惠
滞纳金减免 免催免停
产品管理 金库操作
集团大客户管理 公免号码管理
客户服务密码变更
客户资料变更 本地缴费业务
营业停复机
异地缴费 积分兑换 补换卡和号
DNA
帮助运维从面向资源的管理向面向用户体验管理演进
IT服务管理
资源管理:
• 应用
• 数据库
• 中间件
• 服务器
• 存储
• 网络
• 安全
• 系统监控
• 值守
• 供电
• 机房管理
• 制度流程
• 人员培训
• …….
SLA服务水平管理 = 用户体验管理 + IT服务管理
用用户户体体验验管理管理?
用户体验:
哪些是最不满意的用户?
哪些是最勤奋的用户?
访问什么业务?调用什么
服务或页面?
什么服务访问最多?
什么服务/页面最慢?资源
开销最大?
系统发生了什么错误?因
为什么触发错误?错误提
示给用户什么?
业务访问过程是否合理?
被投诉的客服人员都做了
什么,如何接待客户的?
… …
故障原因分析
故障原因分析
略过笨重的log检查,也无需等待下一次问题出
现,直接从用户视角体验真实的情况
立即确定问题根源
偶然存在性能问题?长期存在性能问题?还是不
存在性能问题?
性能问题的存在
回答这个问题会让你真正接近问题和解决方法
谁在做什么
定位性能问题的原因
定位性能问题的原因
可以立即关注关键任务并实时监控和抽查
实时回放
故障情景真实再现
故障情景重复呈现
无需到达故障现场
系统整体
满意度
用户
使用感受
• 平均页面加载满意度趋势
• 不同应用模块满意度趋势
• 各区域(可以细化到IP等)
的满意度趋势
……
• 最慢的用户排行
• 失败最多的用户排行
• 用户平均响应时长
• 单个用户会话诊断
• 用户访问中止率
……
页面服务器时间 浏览器加载时间
页面请求 页面返回结束 页面显示
页面网络时间
页面开始返回
用户感觉慢了?--是服务器慢还是客户端慢?
- 4-16s 一般页面
- 16s以上 坏页面
- 0-4s 好页面
建立指标评估体系—性能问题分析
最慢的
页面
系统错误
深入分析
系统访问量与页响
应时间分析
页响应时间与客户
终止访问量分析
应用整体成功率
404错误
403错误
最慢的页面URL
是否有大对象
性能杀手在哪里
错误总数
系统错误数
网络错误数
对整体系统的满意度、系统性能瓶
颈等进行深入分析和定位,能够分
析出业务的当前运行状况、带宽及
用户遭遇的错误信息
最多错误
页面
性能对比
分析
不同时段满意度对比
特定用户满意度分析
特定业务流程性能对比分析
出现问题的当时还发生了什么?
哪些应用程序在连接哪些目标机
执行的command命令
关键文件的复制和带出云桌面
IE的关键操作
鼠标键盘操作
对关键字段和参数的编辑修改
我们记录关键日
志,供您分析问
题原因
方案优势[4]
为用户带来的核心价值
保护敏感信息保护敏感信息
高危人员审计高危人员审计
法规遵从法规遵从
业务故障分析业务故障分析
敏感信息泄露原因分析、事后追溯.
审计敏感信息、机密数据、高风险业务办理人员.第三
方厂商人员操作监控
全面满足工信部24号令、PCI, HIPAA, SOX和ISO
27001等标准对监控和审计的要求.
用户操作体验管理、业务故障原因分析、场景再现.
系统特性及优势
• 录音与录像的完美结合
– 在 CTI/API 的控制下启动屏幕记录,和语音完全同步
– 可以语音和屏幕在同一播放工具中进行播放,方便使用
– 提供全录屏与触发录屏、特殊录屏两种方式
• 基于变化录像、非全屏幕区域的信息
– 采用时下最先进的基于变化录像和图像压缩技术对客户端性能、网络传输压力、存储需求降至最小
– 记录屏幕上连续的即时信息,而非定时截取整个屏幕,确保不会丢失数据,录屏无闪烁现象,客户端无感知
• 图形录像配合文本行为
– 录屏随意跳转,可在任意记录点开始重放录像记录
– 图形化的操作中提取出可读的文本摘要,使得搜索、行为风险分级、告警分析变成可行
• 支持大数据存储和动态分析
– 支持动态数据分析,无需预先处理支持各种类型的数据;支持单条达百兆的数据,并可支持多达数十亿的数据处理和计算
• 多平台全面支持
– 支持VMware View、Citrix XenDesktop/XenApp、Microsoft、CA、华为、深信服、乾云科技等主流云桌面系统
– 支持Windows XP、win7 /8、Windows Server 2003、2008、2012等各种32位和64位平台
• 低资源消耗
– 每小时不间断的操作会话录像需要消耗10-15M空间;Agent占用资源极低,有操作行为时一般占用CPU2%-3%,内存10M
左右,无操作情况下占用CPU忽略不计
• 数据安全
– 录屏数据为专有格式,厂家专有程序解码;权限最小化原则进行数据使用控制
虚拟化审计技术分析
功能 具体描述 抓屏 变化录屏
录像
录像捕捉 画面遗漏 全面捕获(包含脚本运行)
客户端性能需求 高 非常低,无操作无资源消耗
带宽占用 高 低,同时结合图像压缩技术传输
存储占用 高 低
录像播放 不连续 画面连续播放,无卡顿
日志捕获
应用账号 不支持 支持
图形化工具 不支持 支持
网页信息提取 不支持 支持
大数据支持
分布式部署(搜索、存储) 采用SQL server,难以支
持分布式、大数据查询
分布式计算、分布式部署、分布式
存储,企业级搜索引擎,支持1亿+
会话管理
安装部署 部署便利性
需安装数据库服务器、应
用服务器,部署复杂
软硬件一体,一键部署
附录:
xxx运营商
业务操作审计案例
业务操作-业务系统自身记录的日志
可读性差 难以用于操作行为分析 记录不全 利用价值低
业务操作会话
业务操作摘要
业务操作内容
操作页面真实还原
5W1H搜索—会话
