CDA云桌面审计培训课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,打造企业安全可控,的虚拟化环境,-,操作行为管理解决方案,目录,CONTENTS,1,2,3,4,需求背景,1,方案优势,4,解决方案,2,应用场景,3,产品定位,操作行为管理,IT,管理人员,敏感机密数据查询、高权限人员的操作采集、溯源,外包公司,全面掌控操作行为，事后追溯,.,业务人员,敏感数据操作、泄露；违规、违法操作；业务办理追溯,.,系统故障,虚拟,化平台、业务系统故障，第一时间查找原因,.,需求背景,1,云桌面环境下的业务模式及挑战,虚拟机,1,桌面云,客服,/,经分,VGOP,主机,数据库,资源,虚拟机,2,虚拟机,N,客户端,业务数据流向,基础安全,系统安全,网络安全,云节点状态,数据安全,数据安全,访问控制,集中鉴权,加密,操作,安全,操作身份识别,操作过程控制,操作内容审计,内容记录,录像回放,实时告警响应,应用云,法规遵从,政府、行业大力推行法规，合规性应对势在必行,信息安全等级,/,分级保护,记录网络设备用户行为日志,用户身份标识,/,鉴别,用户角色,/,分配权限,服务器操作系统审计,数据库审计,7.1.3,节,：要求对用户进行身份标识和鉴别，根据用户的,角色分配权限，实现权限分离,，仅授予用户所需的最小权限；对主机的审计应覆盖到,服务器操作系统和数据库系统,；,7.1.2,节,&7.1.3,节,：审计记录应包括事件的,日期、时间、类型、主体标识、客体标识和结果,等；要求对日志进行分析，并生成审计报表等。,SOX,法案,302,节,：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则,(GAAP),。,404,节,：要求所有在,302,节中所控制的过程都有可信的财务报表。这法令要求,IT,经理对所有有关财务报表的,产生过程负责,。,ISO27001,标准,条款,A10.10.1,要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，,以便为安全事件的调查和取证,；,条款,A10.10.4,要求组织,必须记录系统管理和维护人员的操作行为,；,条款,A15.1.3,明确要求必须保护组织的,运行记录,条款,A15.2.1,则要求信息系统经理必须确保所有负责的安全过程都在正确执行，,符合安全策略和标准的要求,。,企业内控规范,要求国内上市公司严格执行该规范要求，以加强和规范企业内部控制、提高企业经营管理水平和风险防范能力,传统解决方式,7,物理,世界,网络,世界,应用,日志,物理世界中人的业务行为,物理世界中人的工作行为,业务办理过程中的,操作,步骤如何记录？,日志类型,分析效率,是否全面,能否复现操作过程,解决方案,2,C,DA,部署示意图,虚拟机,1,云桌面,客服,/,经分,VGOP,PC,服务器,主机,数据库,安全设备,资源,虚拟机,N,1,2,客户端,管理中心,CDA,：旁路部署,Agent,Agent,审计数据流向,1,2,1,2,守护进程：发现用户会话开始，启动监控进程,捕捉模块：录像并抓取应用日志,管理终端,http,全面支持,windows,xp,、,win7,、,win8,、,windows,server2003,、,windows,server,2008/2012,32/64,位,手动安装,可以,从云桌面管理系统中推送分发，支持静默安装或使用终端管理系统分发并检查合,规,可以从服务端自动更新,系统功能架构,客户端,1,数据展现,数据检索,录像播放,文本摘要,数据索引,智能报表,实时监控,报表分析,引擎,DNA,标签,指令控制,告警分析引擎,敏感信息提取,录,屏重组,KPI,分析引擎,性能分析,客户端,2,客户端,数据采集,Agent2,Agent1,云桌面,Agent,敏感告警,录,屏策略,敏感数据模糊化,AgentN,客户端,N,存储,AD,NOSQL,数据分析,革新性的操作行为记录,操作同步,录屏播放,录屏下载,登录用户,总览,定点播放,录像文本,摘要,快捷的录像播放技术,支持录像播放模糊化,支持,HTML5,无需客户端,支持,3x,倍速播放,支持暂停、拖放,播放特性,支持截屏、鼠标事件提示,操作动作总览,相对时间绝对时间转换,点击日志直接录像跳转,分段播放,丰富的文本数据采集,系统用户,窗口标题,键盘输入,鼠标点击,编辑内容,下拉菜单,新进程,网络连接,剪贴板,打开文件,操作系统,ThemeGallery is a Design Digital Content&Contents mall developed by Guild Design Inc.,字符工具,SECURE-CRT,X-SHELL,CMD,窗口,目标账号,使用协议,图形工具,PLSQL,SQL,IM2000,工具名称,目标账号,使用协议,操作对象,源、目标,IP,地址,登录账号信息,登录时间,标题、,URL,信息,操作方式,页面加载时间,Html,源代码数据,表单信息,敏感信息,网页类操作,灵活的录像策略,Windows,场景,网页场景,应用黑白名单,运,维场景,用户黑白名单,直观的数据组织呈现,登录会话数据组织,操作会话,-HTTP,操作会话,-,字符,操作会话,-,数据库,大数据实时搜索引擎,支持亿级数量会话检索，时间小于,1500,毫秒,搜索结果自动分类，单条件、多条件级联检索,快速搜索到用户操作基本信息，并关联到录音、录像,告警管理,告警触发动作支持邮件、,Syslog,、短信、大屏幕响应,搜索转换为告警,自定义触发动作次数,自定义实时报表生成,自定义监控视图,今日告警总数,3,2,过去一周平均数为,50,今日敏感数据数,310,防绕行网关统计,今日登录失败数,1,52,过去,30,天平均数为,203,今日敏感命令总数,200,过去一天为,180,各主机登录失败数,敏感数据数趋势,+20,-18,告警数量趋势,敏感命令构成,设备规格,CDA-S-100,CDA-E-200,CDA-E-400,大规模部署,支持云平台,VMWARE,、,CTRIX,、华为、微软、,windows,TS,、,WINDOWS,Native,支持并发连接数,100,200,400,集群架构,按需部署,硬件类型,1U,机架式,1U,机架式,2U,机架式,存储容量,2TB,4TB,8TB,支持云堆叠,支持,支持,支持,服务端为硬件设备，规格如下：,性能需求：,CPU:2%-3%,内存,：,20M,，硬盘：,5M,。,带宽要求：每客户端需要网络带宽大约,为,20Kbps,按,200,用户计算，共计需要,带宽,4,M,。,存储需求：存储：,windows,应用操作大约,1,小时,10M,，浏览器应用操作大约,1,小时,15M,。,2,00,用户，每天,8,小时，,6,个月历史存储，,需要,2-4T,。,应用场景,3,核心应用场景,故障原因分析,业务操作,运维,&,开发,字符操作审计,图形操作审计,录像快速定位,防泄密审计,安全合规管理,敏感操作审计,高危操作审计,业务流程审计,业务办理追溯,敏感数据泄露审计,问题根源分析,指标体系性能分析,错误场景重现,故障问题线索参考,准实时分析问题,运维,-,运维命令审计,B,/,S,架构的防火墙维护,命令行登录方式维护（,Linux,、,Unix,）（数据库,Select,、,Update,等）,可以通过,Web,日志记录、命令行记录审计到策略变更记录、敏感变更告警等功能,形成策略变更统计报表,URL,、,Title,、业务操作类别捕捉到应用变更的数据；,命令行类别的关键命令捕获；,通过网络流量分析的机制，可以发现敏感的策略变更；,统计防火墙维护的相关信息如：用户名、登录次数、登录时间、维护时长、变更内容等。,抓取可读的应用日志，为录像提供大纲索引,Windows,操作日志,SecureCrt,命令提取,PLSQL,，,SQL PLUS SQL,语句的提取,支持,IE,网页日志提取,支持提取海量,metaData,用于搜索和告警,运维,-,操作二次鉴权,触发了,rm,命令,选择授权人,命,令,行,操,作,级,图,形,应,用,操,作,级,触发了,select,操作,可选择授权人,、方式、生效时,间周期及授权,理由信息,运维,-,应用虚拟服务器,4A-Portal,客服,/,经分,PC,服务器,主机,BOSS,数据库,安全设备,资源,客户端,CPS-,图形,CPS-,字符,X,enapp,客户端,Agent,Agent,多用户环境,身份识别,业务操作,-,用户敏感信息审计,敏感信息,客户属性信息,客户业务信息,客户消费信息,关键报表,关键业务,资金调整,业务变更,客服密码变更,开过户,业务流程,不完整业务流程操作,非正常顺序业务操作,只查询不办理,查询,下载,修改,删除,合理的业务次数,合规,人员,/,地理位置,合法时间,业务操作,-,操作追溯,业务办理还原,基于多类型关键字,快速定位、还原业务办理情景,工号,金额,时间,业务类型,业务操作,-,主要分析思路,网络抓包获取,WEB,日志,CDA,获取,WEB,日志,WEB,日志提取和标准化,Syslog,日志,CDA,日志,其他日志,基于规则分析,-tag,映射处理,操作审计分析,会话审计分析,搜索引擎,报表引擎,告警生成,业务操作,-Web,操作审计分析,基于知识库智能提取操作标签，为操作实现审计和分类，形成分析的,DNA,客户资料信息操作,客户消费信息操作,客户详单信息操作,关键统计报表操作,导出,下载,补卡操作,查询,办理,余额查询,充值,资金调整,套餐变更,账前优惠,滞纳金减免,免催免停,产品管理,金库操作,集团大客户管理,公免号码管理,客户服务密码变更,客户资料变更,本地缴费业务,营业停复机,异地缴费,积分兑换,补换卡和号,DNA,帮助运维从面向资源的管理向面向用户体验管理演进,IT,服务管理,资源管理,:,应用,数据库,中间件,服务器,存储,网络,安全,系统监控,值守,供电,机房管理,制度流程,人员培训,.,SLA,服务水平管理,=,用户体验管理,+,IT,服务管理,用户体验管理,?,用户体验,:,哪些是最不满意的用户？,哪些是最勤奋的用户？,访问什么业务？调用什么服务或页面？,什么服务访问最多？,什么服务,/,页面最慢？资源开销最大？,系统发生了什么错误？因为什么触发错误？错误提示给用户什么？,业务访问过程是否合理？,被投诉的客服人员都做了什么，如何接待客户的？,故障原因分析,故障原因,分析,略过笨重的,log,检查，也无需等待下一次问题出现，直接从用户视角体验真实的情况,立即确定问题根源,偶然存在性能问题？长期存在性能问题？还是不存在性能问题？,性能问题的存在,回答这个问题会让你真正接近问题和解决方法,谁,在做什么,定位性能问题的原因,定位性能问题的原因,可以立即关注关键任务并实时监控和抽查,实时回放,故障情景真实再现,故障情景重复呈现,无需到达故障现场,系统整体,满意度,用户,使用感受,平均页面加载满意度趋势,不同应用模块满意度趋势,各区域（可以细化到,IP,等）的满意度趋势,最慢的用户排行,失败最多的用户排行,用户平均响应时长,单个用户会话诊断,用户访问中止率,页面服务器时间,浏览器加载时间,页面请求,页面返回结束,页面显示,页面网络时间,页面开始返回,用户感觉慢了？,-,是服务器慢还是客户端慢？,4,-16s,一般页面,1,6s,以上,坏页面,0-4s,好页面,建立指标评估体系,性能问题分析,最慢的,页面,系统错误,深入分析,系统访问量与页响应时间分析,页响应时间与客户终止访问量分析,应用整体成功率,404,错误,403,错误,最慢的页面,U