云桌面审计系统-Yun88网

背景与需求

云计算及云应用的迅速发展，催生了桌面云的快速普及，Vmware、Citrix、华为、中兴等厂商相继推出桌面云产品，满足日常办公、研发中心、设计中心、前端业务等环境下海量终端部署需求，桌面云替代普通 PC 终端已成必然的趋势。但随着云桌面，虚拟应用使用范围不断地增长，帮助企业节省了 IT 投资的成本，提高了企业运维的便利性的同时，在云桌面操作使用上监管的缺乏，存在安全性上的潜在危害，也有着影响虚拟系统稳定性，浪费企业 IT 资源的风险，云操作行为安全、数据安全的要求及跟进日益紧迫。大批量云桌面的部署亟待解决以下一些问题：
　　● 资源回收问题：云资源按需计算要求快速提供和回收镜像，导致了用户使用云资源的现场痕迹消失，必须提供与云使用方式配套的审计方法；
　　● 传统日志问题：传统日志由目标系统自行产生，而大量的所需分析的日志目标系统未必都记录，特别是桌面云自身操作行为日志无法留存；
　　● 数据泄密问题：桌面云自身就是一个操作系统，并未提供大量的安全控制功能，特别是桌面端的数据防泄密控制；
　　● 安全运维问题：通过桌面云进行系统运维、应用开发等方式也存在诸多安全隐患，无法进行安全控制和审计；
艺赛旗云桌面审计系统具有强大的数据捕获能力、高效而灵活的数据检索能力、丰富而直观的数据展现能力，可很好地解决以上问题。

产品简介

产品概述

云桌面审计系统（Cloud Desktop Auditor，简称 CDA）是上海艺赛旗软件有限公司自主研发的审计管理产品，可对终端桌面上的操作行为进行完整录像，并采集丰富的文本日志据，对数据自动化处理，关联分析，索引归类，管理者和审计人员在 CDA 系统中可以方便地搜索桌面上任何行为动作，定点查看关心的操作视频，全面掌控终端桌面上的使用行为，确保合规安全地利用终端资源。
在员工行为管理中，需要形成捕捉行为-识别行为-行为审计-分析改进的完整闭环，从而提高工作效率和控制安全风险。CDA 系统完整地实现了这个闭环，如图所示：

技术架构

CDA 主要通过部署在桌面的代理程序（Agent）来完成桌面操作画面的捕获及操作行为日志摘要，通过集中管理平台来完成录像和日志的集成、匹配和基础分析，管理人员可以直接查看这些数据，也可以将相关数据输出到大数据分析系统中进行分析，而最终发现问题或者需要人工干预时，可以随时调取直观可信的录像来进行观察。CDA 的整体框架如下：
　　● 数据展现层：提供强大的搜索和报表功能，保证基础的大数据使用能力；提供完整的会话-日志级别的展现，基于会话展现录像和日志；提供专门的应用行为日志展现，直接展现经过针对性优化分析的、可读性较强会话-日志文件；
　　● 数据管理平台层：提供统一的数据接收、存储、分析、管理平台，提供完整的搜索分词功能，提供全面数据接收发送能力，包括接收录像、日志并进行数据集成，下发策略，提供完整的系统管理能力，包括分布式系统管理、备份、用户管理等；
　　● 终端 Agent 功能层：基于下发的策略，实现录像和日志获取，支持黑白名单和细粒度的日志获取策略，支持 CPU 平缓化、网络平缓化、批量传送、断点续传等能力对外接口：支持为大数据直接传送数据，录像存放到 HADOOP HDFS，日志存放到HBASE；支持录像控制和查询 API，方便实现和第三方系统的集成。

核心内容

大数据

支持 10 万+采集点的集中部署，支持基于 Hadoop 的大数据处理架构，可汇入各种无需预先处理的数据，性能上单条数据可支持高达百兆，整体上可分析处理多达数十亿的海量数据。
扩展性良好，支持无限堆叠的集群化部署，叠加新扩服务器，即插即用储存机制同样灵活易扩充，无论使用本地硬盘，还是外接 NAS 储存，当已有储存空间不足时，可随时接入新储存设备，自行检测空间，自动选择储存设备。

场景多

可满足众多应用场景的需要，为客户提供多方面核心价值。
　　● 保障云桌面完善使用
帮助企业在快速普及云桌面的同时，可以更安全稳定地使用，让 IT 系统管
理者更放心。
　　● 满足安全规范要求
SOX、ISO 27001、等级保护标准和银监会相关规范等多种行业标准和安全规范，对信息系统中操作风险的监控上都做了明确要求，CDA 系统将帮助企业在IT 建设上更好地满足标准和规范要求。
　　● 提升业务水平帮助业务发展
目前的客服质检等业务检查系统中，缺乏桌面操作审查这一重要方面，CDA可以帮助这些系统补齐短板。通过 CDA，可以对客服、营业厅等人员的工作过程实现高效而细致的分析，检查工作流程是否符合业务规范，评估操作是否熟练，最终促进业务工作的质量和效率。
　　● 监控系统安全防止数据泄露
可帮助 IT 系统在安全上的防范工作，监控人员的高危敏感行为，防止数据泄露，尤其在保证第三方人员的行为可控方面，CDA 系统可发挥良好作用。

录像强

可对全部桌面操作进行视频录像，不间断无遗漏。由于特有录屏技术，视频数据占用存储超小；而被监控桌面上运行的 Agent 程度对资源的消耗保持在低水平，对 CPU 不超、内存和带宽的占用都超小，可做到用户无感知，完全不影响正常业务行为。Agent本身也具有防卸载功能，即使有技术基础的操作者也无法卸载或停止

可检索

视频录像结合文本日志进行操作行为分析，实现了审计的可操作行，使得便捷的搜索、快递的定位、自动化的筛选归类等一系列审计分析手段成为可能，在此基础上的自动化报表、告警等功能更能成为审计人员的强大工具。
把搜索引擎技术应用到企业日志检索中，CDA 系统会把所有抓取和接收的元数据自动处理，建立索引，然后提供统一搜索入口，用户即可如使用普通搜索引擎一般，直接输入关键字，进行便捷搜索，也可使用更复杂的正则表达式、字段表达式等专业内容，实现更复杂数据需求。

兼容广

全面支持 Vmware View、Citrix Xen Desktop、华为 FusionAccess 等主流云桌面平台支持 Windows Xp、Windows Server2003、Win7、Windows Server 2008、Win8、WindowsServer 2012 等全系列的 Windows 操作系统，以及 Ubuntu 和中标麒麟 linux 等主流 Linux桌面系统。
同时经过 Citrix、华为等云桌面厂商严格的融合测试，验证了 CDA 系统良好的兼容性，获得测试厂商的官方认可，结成了战略合作关系。提供丰富的 API 接口，可与其它应用系统深度集成。

产品功能

会话录像

对桌面的变化进行完整的录像，精确记录用户的每一个操作，记录下的视频具有法律效应。CDA 基于变化进行录屏，针对商业及字符应用特别优化压缩算法，使用自有文件存储格式，并针对视频拖拉优化了索引。由于这些特有录屏技术的使用，比较一般基于全屏截取的录屏软件，储存资源消耗可以减小 50-200 倍。基于变化录屏如图所示：

录屏策略

　　系统通过灵活的录像策略，完成对用户不同需求的录像要求，包括运维用户场景、工具场景、全录像场景、不录像场景、IE 应用场景，结合应用黑白名单的配置，分别可以满足针对指定的人员、操作工具、桌面 IP、IE 应用等进行单独的触发录像或者不录像，只需简单的配置即可实现。具体有：
　　从登录到退出的全程录像；
　　有操作动作时触发开始，无操作动作时即行停止；
　　按特定程序录像，其中又可分为只对某程序录像和只对某程序不录像；
　　依照 WEB 应用系统录像，包括以页面地址、鼠标点击动作、返回页面内容、用户提交内容等触发和结束录像。
　　如图所示；
　　依照选择的录像策略，以会话的形式整合所有捕获的数据，并对每个会话标识有用户名、桌面 IP、计算机名、会话时间等摘要信息，便于搜索统计。

自定义报表

　　在搜索页面通过构建各种搜索表达式，获取到满足不同需要的数据结果，这些搜索结果可以定制为报表形式，随时自动呈现给管理者审阅。详情报表中还会以柱状图表现日志数目的变化情况，列表中的每条日志后都跟有播放按钮，可以跳转播放日志发生时段的桌面录像，使管理者更完整地了解终端行为状态。
　　报表界面如图所示：

审计分权

　　可从菜单功能和数据范围两个层面实现对审计人员的分权分级。具体实现上通过建立角色并赋予审计用户来完成，而在角色的设置上，一方面可对所有菜单功能项设定是否勾选，一方面可使用与审计搜索入口处完全相同的搜索功能，以复杂而灵活的搜索结果来限定角色可访问的数据范围。
　　建立角色设定权限示例如图：

应用场景—云堡垒实现

用户需求

　　在大量使用了云桌面、虚拟应用的云计算环境中，传统堡垒机暴露出诸多不适应的弱点：
●　部署层级太多；
●　用户操作复杂，需要多次跳转，体验差，传统堡垒机在云计算环境中繁复的工作流程如图所示：
●　堡垒机自带虚拟化技术不专业，与云桌面功能雷同，重复投资；
●　堡垒机真正有用的技术是录像和日志审计，CDA 可整合录像、审计日志到云桌面系统中，节省投资，部署简化，提升用户体验；

解决方案

　　CDA 系统可以完美结合云计算环境的使用，在云桌面和虚拟应用中对运维行为进行全面管理、监控与审计，实现云堡垒的建构，具体如下：
●　实现登录云桌面运维人员身份鉴别；
●　针对应用发布方式的云桌面访问，提供应用操作过程录像、操作行为文本记录；
●　提供与 Citrix、Vmware 等云桌面专用录像及审计策略；
●　提供图形运维操作全程录像、操作文本审计，并提供搜索引擎定点检索录像；
●　云堡垒简明的实现流程如图：