AuditSys桌面行为风险管理系统(基础版)软件-用户案例
工商银行项目-安全高效办公管控
背景
大型企业人员规模庞大,对于内部员工及外包团队的管理,面临着以下挑战:
内部风险防范。如何规范员工的操作行为、主动分析发现员工的异常行为,并对日常所有办公行为进行审计与追溯,防范来自内部的安全威胁和风险,防止信息资产流失,提高内控管理水平。
如何应对越来越多的行业监管要求?
目标
提高内控管理水平。用UEBA用户实体行为分析产品全面记录员工在办公终端桌面操作行为,基于 大数据 分析,实现对员工的风险行为监控。帮助我行及时发现来自内部的威胁和风险,提高内控管理水平,以达到安全办公的目的。
满足监管要求。
个人金融信息保护技术规范(人民银行发文)
虚拟桌面 云桌面 的等保2.0安全审计与审计管理
2020年10月,银保监会完成了《银行保险机构信息科技外包风险监管办法(征求意见稿)》(下称《办法》)起草工作。
风险行为监控及合规审计
分析员工在终端桌面的日常操作行为,一方面监控终端桌面上是否有高风险的恶意行为,保障办公环境安全,防止信息泄露,另一方面,对可能存在违规的行为进行审计追溯,以达到安全合规的目的。
目前已纳入监控和审计的行为包含:
尝试卸载或退出关键软件。包含尝试卸载或者退出亚信安全防毒软件等关键软件;
安装或运行高风险软件。包含安装或运行Aircrack等黑客破解常用工具、Keymaker等注册码生产工具;
非法更改计算机设置。包含调整计算机防火墙策略、设置计算机远程访问、修改注册表信息等风险操作行为;
文件外流。包含U盘接入及文件外拷、文件打印、刻录等可能泄露数据的行为;
安装或者运行网络传输软件。包含安装或运行百度云盘等网络云盘、QQ邮箱等网络邮箱;
运行高危网络命令。包含用于网络破解的全局网络检测、共享等高危命令;
非法网站访问。包含常用的游戏、视频、社交等外网网站访问;
非授权软件的安装和使用。包含安装或运行常用的手机助手、视频播放器、非授权聊天工具等;
敏感信息访问追踪。包含对含有敏感内容文件进行扫描定位、加密留存以及文件生命周期追踪等;
动态水印。支持自定义桌面水印及应用 虚拟化 环境下的水印,对屏幕信息进行安全防护;
创建访问后门。包含创建域账户、创建Linux用户、修改用户密码等;
修改 数据库 。包含对数据库进行增删改等危险命令。
易方达基金项目-提高企业内控管理
背景
客户面临的内部信息安全的挑战如下:
事前预防:
现用录屏软件无法对虚拟桌面和虚拟应用窗口实现水印防护
现有审计手段不能对工作过程中涉及敏感信息的风险操作实时发现和告警,如:业务系统、外发文档、聊天工具、
邮件内容、剪切板内出现敏感信息。
事中监控:
现用录屏软件能力薄弱,仅仅是操作行为的录像记录;无法从海量的用户操作行为记录里实时识别内部人员的风
险行为,无法对风险行为进行实时监控和告警
事后审计:
无法直接检索定位操作行为日志和对应操作视频,导致在安全事件调查、故障问题排查等工作上难度大耗时长
无法自动生成及发送自定义的安全风险报表,使得信息安全管理工作缺乏整体全面的数据支撑
项目价值
实现法规遵从:对于企业所有人员的所有操作行为,实现可以审计与追溯。满足了基金公司在《等级保护2.0》里关于安全审计和审计管理要求;满足证监会133号令“全员合规管理”,证监会152号令“保护客户信息安全”等法规要求;满足《中国桌面云标准化白皮书V1.0》有关虚拟桌面的安全审计要求。
实现屏幕内容信息保护: 通过虚拟化环境下的虚拟桌面水印、虚拟应用水印结合屏幕内敏感信息发现及告警功能实现
实现内部风险行为及时发现,降低企业信息安全风险:弥补Vmware虚拟化环境审计维度的不足,覆盖所有日常操作行为,并从海量操作行为里及时发现用户违规风险行为;如实时监测用户、配置文件共享、敏感数据文件外流、使用非授权绿色软件、卸载防护软件等;所有操作行为支持关键字检索定位。
实现企业内部系统运维的高危指令发现,主动告警:弥补 堡垒机 的盲点,除对运维人员运维工具/数据库工具的命令及回显记录,实现高危操作命令触发的后台告警外,增加对窗口标题、文件操作、BS/CS应用操作行为的获取,实现所有操作日志精准对应操作视频记录。
实现快速定位故障原因,保证业务系统的稳定运行:快速检索和定位系统故障问题,记录每一次对公司服务器和数据库的运维操作和数据库操作,发现异常操作。
提供安全事件调查手段及取证:对于安全事件,可以根据时间、账号、执行命令、回显内容、窗口标题等多纬度进行检索和查找,极大缩短安全事件调查时间。
为安全管理人员提供风险行为数据分析:自动生成多维度的行为安全审计报表,为安全管理人员分析、审计提供数据支撑
