1、AuditSys AuditSys 操作操作行为审计解决行为审计解决方案方案北京华夏威科软件技术有限公司Jan 2014l公司简介lAuditSys产品介绍l成功案例l应用场景总结议题议题华夏威科公司简介华夏威科公司简介四通电子渠道答谢会四通电子渠道答谢会4公司简介公司简介主要业务:虚拟化、安全审计、大数据Citrix系统集成战略合作伙伴,全球最高级别合作伙伴国家高新技术企业、中关村高新技术企业拥有多项软件著作权和软件产品证书美国Splunk 中国区总分销商2013年度获得获得国家新兴产业创业投资基金-厚持投资和益帆泰和等机构战略投资AuditSysAuditSys操作行为软件介绍操作行为软件
2、介绍关注关注IT操作行为引发的安全风险操作行为引发的安全风险外包人员系统管理员数据库管理员安全管理员网络管理员开发人员拥有敏感信息的核心业务服务器系统及数据库复杂的虚拟化及云平台核心业务人员运维误操作接触敏感信息合法授权下的非合规操作无法确定责任人IT运维管理操作运维管理操作关键业务人员操作关键业务人员操作Auditsys 产品产品市场定位:专业的IT操作行为审计软件工作原理:通过记录和审计IT管理人员、核心业务人员及外包服务人员在信息系统上的操作行为,实现行为的分析、审计、追溯,以保证法规遵从,保障信息安全和稳定运行。运维人员(系统运维、网络运维、安全运维、数据库运维)业务人员(敏感信息接触
3、者)外包服务人员(运维外包、开发外包)AuditSys成功案例成功案例电信 上海移动、北京移动、吉林移动、河北移动、山东移动、山西移动、江西移动能源黑龙江电力、湖北电力、蒙东电力、山东电力、重庆电力中石油规划设计院、中石油工程设计公司金融中信建投证券、民族证券、外汇交易中心、光大银行部署方式灵活、审计全面覆盖部署方式灵活、审计全面覆盖服务器防火墙交换机负载均衡App数据库Web数据中心通过虚拟化或云平台操作访问PC机直接联机操作访问移动办公操作访问前端PC审计、虚拟化审计、后台WindowS服务器审计支持任何协议,审计无盲点支持任何协议,审计无盲点支持所有的远程会话审计支持本地操作会话审计支持
4、所有虚拟化和云计算平台,包括Citrix,VMWare,Microsoft以及国产虚拟化软件Terminal细颗粒度检索细颗粒度检索细颗粒度检索:细颗粒度审计,可以按照用户、服务器、文件名、目录名、Windows窗口信息、动作行为 支持各种业务应用的操作行为审计 运维命令检索及行为追溯(SecureCRT、SSH、Putty)数据库管理员命令检索(Toad、SQL Plus)对于基于浏览器的B/S程序可以审计到具体的网址 不依赖日志,没有日志的应用也可以审计 审计深度远远大于日志,可以审计应用中所有操作过程灵活的审计策略灵活的审计策略 按用户名用户名定审计策略 哪些人审计、哪些人不审计 按应用
5、应用定义审计策略 哪些应用审计,哪些应用不审计 在浏览器中指定哪些B/S程序审计,哪些不审计 系统审计策略设定 压缩策略:客户端压缩、服务器端压缩可选 按服务器服务器定义审计策略 哪些服务器审计、哪些服务器不审计强大的行为分析功能强大的行为分析功能 分析用户的上网行为 分析用户在不用业务系统上花费的时间和工作量 分析不同业务软件的使用情况角色权限管理角色权限管理颗粒化的权限/访问控制 为每个用户定义规则制定哪些会话用户可以回放基于权限的过滤影响所有的内容访问报表搜索视频回放元数据浏览访问AuditSys Web 也同样被审计AuditSys 自身审计企业级产品架构设计企业级产品架构设计l 支持
6、负载均衡l 动态服务器加入l Citrix Ready认证,也支持其它虚拟化产品l 身份确认技术 保证被审计对象的身份唯一性 即使用Administrator进行操作,也能保证审计对象的准确性AuditSysAuditSys 产品产品DemoDemol直观的审计界面l细颗粒度检索按时间、账户、设备、应用按会话、标题、文件名、目录按运维命令l应用统计l丰富的审计策略l可定制报表AuditSys DEMO直观的审计方式直观的审计方式列出每一个用户的会话在每个会话中,可以详细的看到每个动作的细节直接跳到确切的位置,回放你感兴趣的那一段点击视频图标就可以回放这段视频按应用检索按应用检索19按应用检索审
7、计:精确到具体应用的检索缩小检索的范围准确定位操作行为记录会话的关键字检索会话的关键字检索精确到目录名、文件名、窗口标题等关键字准确定位操作行为记录基于浏览器的基于浏览器的BS应用操作审计应用操作审计BS程序可以按照网址检索按运维命令检索按运维命令检索按运维命令检索:精确查找已经执行的各种运维命令无论在键入运维命令中如何修改或者利用上下键、批处理产生的命令,都可以准确检索按运维命令检索:支持SecureCRTSSHPutty等运维程序强大的审计策略强大的审计策略-按用户审计策略按用户审计策略基于用户、组设定不同审计策略选择审计时间密度和记录类型支持客户端压缩离线审计统计分析统计分析-用户使用统
8、计用户使用统计以用户为视角分析用户的应用使用时间和有效操作次数可定制报表可定制报表定制化报表可方便导出成功案例成功案例案例一:案例一:中国移动中国移动4A项目项目-面临面临挑战挑战l 中国移动的业务众多,如短信、彩信、彩铃、飞信等很多系统,通常在IT运维服务中采用服务外包方式。l 外包服务公司在进行服务的过程中,如没有管控,可能成为移动的信息泄露或系统故障等隐患。l 中国移动自身IT管理人员的行为管控。l 中国移动提出网维4A管理:统一用户帐号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。遇到
9、的挑战遇到的挑战北京华夏威科软件技术有限公司28l需要支持各种运维管理工具(SecureCRT,SSH,Putty)和加密协议l支持混合式的复杂网管环境l支持虚拟化、云平台l授权情况下对业务数据的修改操作需要审计l检索要快捷和精细l控制成本l升级、扩展方便、维护方便方案设计方案设计审计对象:运维人员(外包服务公司IT+本公司的IT人员)设计方案:l 身份认证:身份帐号AD域+RSA动态令牌l 统一授权,权限管控:根据不同的人角色进行授权,从而获得不同的应用程序;统一登陆门户,实现集中管理,而且终端不安装任何应用。Citrix XenApp/XenDesktop/Vmware View/MS T
10、erminal Servicel 安全审计安全审计:利用利用AuditSysAuditSys,都有通过统一门户操作人员进行操作行为审计。,都有通过统一门户操作人员进行操作行为审计。AuditSys 能对虚拟桌面或虚拟应用的会话通道进行操作记录,可以做到行为审计,提供操作行为的检索和回放。各种网管软件各种网管软件SecureCRTSSHPutty统一接入授予权限维护人员维护人员安全审计安全审计网元网元应用发布,权限管控!应用发布,权限管控!拓扑图拓扑图运维接口的集中化使用维护PORTAL实现运维操作接口集中化人员管理的集中化采用帐号管理实现维护人员管理集中化管理控制的集中化采用集中授权实现管理控
11、制集中化维护手段的集中化整合各种维护方式,实现维护维护授权的集中化安全审计的集中化运用综合审计技术实现安全审计集中化方案价值 所有外包服务商运维人员、企业自身的IT运维,实现:应用于光大银行信用卡中心IT部门案例二案例二:银行软件开发中心银行软件开发中心l 为改变传统外包开发中程序代码、敏感信息的泄密问题,采用虚拟桌面方式。外包开发人员提供虚拟计算机,有效地避免知识产权数据被拷贝。l 开发人员在开发中会接触到敏感信息,需要对外包开发人员的操作做审计,了解开发人员接触信息的情况。蓝屏、死机软件故障需重装系统越用越慢OS&APP更新繁琐病毒、木马蠕虫、恶意软件系统崩溃需要重装误操作删除重要系统文件
12、硬盘损坏无法工作开发桌面管理的挑战Agent越来越多 降低敏感信息泄露风险 降低病毒破坏风险 避免硬盘故障导致信息损坏丢失 快速发布修复 按需提供资源 虚拟化桌面集中管控,统一桌面形象 降低私装盗版软件的法律风险信息安全高效办公统一形象方案优势操作行为审计方案操作行为审计方案方案:l 利用Agent for Desktop部署在每个桌面端;l 制定审计策略,仅审计敏感业务的操作行为;希望审计指定的B/S程序,不审计其它网站的访问。l 提供API接口给第三方应用程序,仅在业务中进行某种操作时进行审计开发人员的开发人员的操作行为审计操作行为审计/与虚拟化结合与虚拟化结合开发操作开发操作行为行为的的
13、审计审计方案价值提升安全和管理研发客户端本地不存业务应用和数据,防止了数据泄露研发客户端不直接连接服务器等网元,防止了木马、蠕虫病毒的攻击。虚拟研发桌面可以单镜像管理,配置也可以按需调整研发软件许可可控和共享利用提高合规故管理外包研发人员的操作行为被审计,可追溯。可以通过审计软件评估外包人员的工作效率和软件的使用率。北京华夏威科软件技术有限公司29应用场景分析应用场景分析目前现状目前现状 大量用户还没有审计方案大量用户还没有审计方案是否有运维审计需求?谁负责运维?目前管控手段是什么?是否能清楚看到运维人员的操作行为?是否有关键业务操作的审计需求?是否有涉及机密或敏感信息的操作?是否有与资金有关
14、的操作?是否有涉及生命安全的操作?是否有设计国家安全的操作?部分部分用户只有不用户只有不完善的审计方案完善的审计方案采用堡垒机方案不使用虚拟化和云计算平台下的操作行为审计机会机会1:内网业务系统管控需求:内网业务系统管控需求 内网业务系统的授权管理如何按权限访问业务系统如何适应信息化的发展 内网的数据和文档安全关键业务数据的修改、删除机密文件的拷贝和复制、删除对于非授权文档的阅读 内部人员操作行为不可追溯操作行为是否要做行为合规审计和追溯 常见场景:软件开发中心、外包中心、核心业务部门北京华夏威科软件技术有限公司42机会机会2:外网访问内网业务系统的需求:外网访问内网业务系统的需求外网访问内网
15、需求内网业务如何快速、安全交付到外网数据安全性网络传输数据安全、客户端数据缓存远程接入的安全隐患是否影响内网系统的稳定性终端设备的多样性是否能支持智能手机Iphone、Ipad、笔记本等各种设备系统后端业务是否支持各种终端访问行为可追溯性是否了解所有的远程接入操作行为,支持各种接入协议北京华夏威科软件技术有限公司43机会机会3:敏感敏感信息接触者行为审计信息接触者行为审计敏感信息的操作,如关键数据的浏览、查询、修改、删除等,例如:房产信息公安户籍信息、抓逃信息系统国家经济统计数据工资、费用支出等敏感信息社保数据修改纳税记录修改。机会机会4:运维及外包运维人员行为审计:运维及外包运维人员行为审计IT管理员拥有最高权限,可以看到很多敏感信息,甚至有权修改、删除统一管控的需求账号认证和权限管控:如何按权限访问业务系统多人混用Admin账号,身份不清楚 数据安全管控,如何本地不留存业务数据 行为管控误操作、恶意操作追溯故障、问题责任认定手段缺乏北京华夏威科软件技术有限公司45机会机会5:员工、团队工作状态和效率分析:员工、团队工作状态和效率分析人力成本上升难以掌控政府对外服务窗口工作状态,只能媒体曝光一起处理一起,被动式管理。员工效率和工作状态不能掌握,尤其是:家庭办公人员远程分支机构员工北京华夏威科软件技术有限公司46介介 绍绍 结结 束束谢谢 谢谢
