在資料安全體系裡,「終端螢幕裡到底發生了什麼」一直是最難回答的問題。電子郵件、外發檔案、列印、USB 這些載體都有明確的資料流,可以落成日誌、命中規則、觸發阻擋;但螢幕是一面半透明的鏡子,使用者可以在即時通訊工具裡長時間貼上業務資料、可以在瀏覽器裡反覆檢視客戶資料、可以在自研系統裡翻閱合約原文,這些行為往往不落檔、不經過外發通道,卻真切地把敏感資訊送進了人的視野。一旦發生爭議或疑似洩密,調查人員拿到的只是一張張零散截圖和一段段模糊敘述,很難還原當時的操作時序。
企業希望解決的並不只是「看不到螢幕」,而是三個層次的問題:第一,螢幕操作能不能被穩定地留痕;第二,留痕的內容能不能與具體的帳號、終端、時間、行程關聯起來;第三,事後調查時,這些紀錄能不能在控制台裡以「搜得到、看得清、追得回」的方式被使用。只有這三層同時成立,螢幕才算真正納入終端稽核體系,否則要麼到處是截圖卻查不出誰在操作,要麼操作清晰卻沒有原始畫面,都無法在事後形成有效證據鏈。
此外,企業還會遇到一組現實矛盾:全員不間斷錄影會帶來巨大的儲存成本和隱私爭議,而完全不錄影又會在洩密調查時徹底失去最後一手證據。因此任何成熟的螢幕稽核方案都必須是「有邊界」的——要能夠根據部門、帳號、業務系統、時段、觸發行程等條件精細收斂;必須能和資料防洩漏的其他規則(例如浮水印、外發阻擋、列印控管)協同,而不是獨立成一座孤島。Ping64 正是沿著這條思路把「智慧截屏」和「螢幕錄影」兩個能力組織起來。
在沒有統一稽核平台的階段,許多企業做螢幕取證只有兩種選擇:一種是讓資安人員臨時「抓屏」,這種方式在事件已經發生後才啟動,基本拿不到關鍵時刻的畫面;另一種是讓終端定時截圖,畫面雖然保留下來,但和帳號、部門、操作路徑沒有打通,事後仍得靠人工猜時間、猜終端。當一件洩密懷疑從提出到立案,往往已過去一到兩週,想靠使用者瀏覽器裡的快取、本機臨時檔去還原當時的螢幕,是不現實的。
把範圍再擴大一些,螢幕其實是「介質外洩」之外的第二條主要通道。一份合約即便從未離開終端,使用者也可以透過拍攝螢幕、錄影、遠端分享、第三方會議工具把關鍵條款輸出。資安團隊關心的問題因此變成:當這類行為發生時,系統有沒有留下可追溯的畫面;當有人聲稱「我沒做過」時,管理員能不能憑客觀紀錄給出結論。如果截屏和錄影的結果是一堆散落在終端本機、格式各異、無法按人按部門按時段檢索的檔案,所謂的「證據」在真正需要使用時幾乎等於沒有。
延伸到合規層面,不同產業對關鍵職務、關鍵系統的操作留痕都有硬性要求。金融、醫療、製造業裡的研發、採購、客服職位,往往會被要求對特定業務系統的使用過程做可回放的留痕,用於事後稽核與合規抽查。這類需求天然指向「觸發式錄影」:不是無差別錄整天,而是在使用者開啟特定業務行程、進入特定前景視窗時才開始錄,既壓縮了儲存體量,又保證關鍵時段一定有畫面。如何在同一套策略體系裡同時管理「無差別的智慧截屏」和「條件觸發的螢幕錄影」,並且讓調查人員可以在同一個稽核檢視裡跨這兩種資料做檢索,是控制台必須認真考慮的工程問題。
Ping64 把螢幕稽核拆成了兩個互補的子能力:面向資料防洩漏的「智慧截屏」,以及面向終端操作取證的「螢幕錄影」。兩者在 Ping64 控制台裡分別掛在資料防洩漏策略和終端策略之下,底層共用同一套終端、帳號、部門模型,最終匯聚到 Ping64 的終端稽核檢視中。以下依照管理員真實會走過的路徑,給出一條可以直接照做的落地步驟。
第一步,於 Ping64 控制台進入資料防洩漏策略,新建或編輯一條策略,找到「智慧截屏」所在的規則區塊,按「新增規則」。在規則編輯頁填「規則名稱」;在「軟體範圍」裡,如果只想對特定業務軟體留痕,就切到「指定軟體」並開啟右側齒輪選取軟體物件,否則保留「不限制」。「動作」區塊頂部的主動作要先決定「不處理」或「阻止」,這代表命中規則時是否允許使用者截屏;下方的副動作是獨立的開關清單,可依需要開啟「截屏記錄」(記錄終端截屏行為明細)、「OCR 辨識」(對截屏記錄執行 OCR 辨識)、「允許快速截屏」(允許終端快速截屏快捷操作)、「浮水印」(為截屏畫面疊加浮水印資訊)。請注意「OCR 辨識」以「截屏記錄」為前提,僅在留存原始畫面時 OCR 才有意義;「浮水印」開啟時必須在齒輪中指定浮水印範本,否則儲存時會出現驗證失敗。規則作用對象由上層策略對應的分組或帳號決定,儲存策略後會透過 Ping64 的策略通道下發到終端。
第二步,同樣在 Ping64 控制台,進入終端策略裡的「螢幕錄影」設定卡。先開啟卡片上的總開關,再按「設定」進入設定對話框。對話框左側有「基礎錄影」「觸發式錄影」「高階參數」「除錯參數」四個頁籤。於「基礎錄影」設定「錄影速度」(低 / 中 / 高)、「單檔時長」(30 分鐘 / 1 小時 / 2 小時 / 4 小時 / 6 小時 / 8 小時)、「清晰度」(低 / 較低 / 標準 / 較高 / 高);這三項共同決定單位時間的儲存佔用,建議先從「中 / 1 小時 / 標準」起步,再依實際容量調整。錄影於 Ping64 終端最終寫入本機保留位置,管理員端統一自 Ping64 稽核檢視中拉取回放。
第三步,切換到「觸發式錄影」頁籤,開啟「觸發式錄影」開關,此時會要求至少配置一條規則。新增規則後填入「行程名」,例如 winword.exe、自研業務系統的執行檔;「觸發方式」有兩種——「行程存在即觸發」代表系統內只要偵測到該行程就開始錄,「僅前景視窗觸發」代表該行程視窗處於前景時才錄,對敏感業務視窗建議採用「僅前景視窗觸發」以節省容量。同一策略可加多條規則,也可以產生副本或刪除;儲存策略時 Ping64 會驗證「開啟觸發式錄影後,至少需要配置一條有效規則」,未填行程名的規則會被標紅。切到「高階參數」頁,可在需要時覆寫預設的「畫格率」「執行緒數」「位元率」「最小位元率」「最大位元率」,系統強制「最小位元率 < 位元率 < 最大位元率」,否則儲存時會拒絕並定位回該頁。「除錯參數」頁僅在與 Ping64 技術支援對接時使用,日常不建議開啟。
第四步,驗證策略確實作用到目標終端。在 Ping64 控制台進入終端檢視,選取一台納入該策略範圍的終端,開啟其終端稽核紀錄頁。於稽核模組側欄可以看到「智慧截屏」「螢幕錄影」兩個入口:打開「智慧截屏」,應看到該終端依時間排列的抓圖紀錄,並能在縮圖上直接預覽;打開「螢幕錄影」入口,應看到按時段歸檔的錄影紀錄,點進去可以線上回放。若這兩類紀錄皆能在幾分鐘內出現新條目,即表示終端已按新策略開始產生資料。
第五步,執行一次「以人為中心」的追溯演練。假設要調查某帳號昨日下午某時段的螢幕行為,直接在 Ping64 控制台的頂部搜尋輸入帳號或姓名,選擇聚合搜尋的終端維度;進入該終端的稽核頁後,在「智慧截屏」欄目依時間篩出當日的抓圖,點任一張進入詳情頁——詳情頁會顯示該截圖所屬的帳號、使用者、時間、檔案/路徑等關鍵資訊,並以九宮格呈現相鄰時間的抓圖,相當於以命中紀錄為中心向前後各延伸一段時間,便於還原脈絡;詳情頁頂部支援預覽、下載和列印單張畫面。把同一時段切到「螢幕錄影」欄目,拉取對應時段的錄影回放,即可將離散抓圖與連續錄影對齊,形成一條可驗證的螢幕證據鏈。
以上是主流程,實際落地時仍會遇到若干邊界狀況。終端剛安裝 Ping64 用戶端但尚未重新啟動時,底層截屏和錄影掛鉤可能尚未完全就緒,此時新策略會先送達終端,但資料要等到下次重新啟動後產生;若在「螢幕錄影」中開啟觸發式錄影卻未配置任何規則,或所有規則的行程名皆為空,儲存時會被拒絕,此為刻意設計,避免管理員誤把「空規則」當作「全量錄影」;「智慧截屏」的浮水印副動作仰賴已維護的浮水印範本庫,若範本被刪除,相關規則下次編輯時會顯示驗證錯誤,需及時重新選取可用範本;「OCR 辨識」開關僅在「截屏記錄」同時啟用時顯示,關閉「截屏記錄」會一併關閉 OCR,以避免出現沒有原圖的孤立 OCR 文字。終端數量較多的企業,建議先在一個試點分組調通基礎錄影 + 智慧截屏 + 關鍵業務系統觸發式錄影的組合,再放量到全網。
把上面的設定與使用串起來,就能看出 Ping64 對螢幕稽核的組織方式並非「多一個截圖功能」那麼簡單,而是圍繞「事後可調查」重建了資料結構:智慧截屏負責持續、輕量地累積離散畫面,確保任一時間點都能找到最接近的一張螢幕;螢幕錄影則在關鍵業務視窗開啟時提供連續、可回放的影片,確保時序能被完整還原;兩類資料皆掛在帳號與終端上,也都能透過 Ping64 控制台的聚合搜尋、終端檢視、資料防洩漏模組交叉檢索。對管理員而言,這意味著當一次疑似洩密事件發生時,不再需要在多套系統間拼湊證據,也不必額外向終端使用者索取任何東西,在 Ping64 控制台裡就能走完「誰」「在哪台機器上」「什麼時候」「對什麼業務系統」「做了什麼可見動作」的完整路徑。
從實施策略來看,建議把螢幕稽核視為資料防洩漏體系的「兜底層」,而非第一道防線。前端的浮水印、外發阻擋、列印控管、加密策略要盡可能將可辨識的資料流先行攔住,只有少量「進了眼睛但沒落成檔案」的行為才會真正依賴螢幕紀錄。這也要求螢幕稽核規則要有邊界、有分組、有分級:對研發核心職、特權帳號,啟用較嚴格的智慧截屏規則和必要時段的螢幕錄影;對一般職位,依最小留痕原則執行,以觸發式錄影覆蓋關鍵業務系統即可,避免不必要的儲存與隱私爭議。
把視野再拉遠一些,Ping64 裡的螢幕稽核能力並不是孤立存在的。策略透過 Ping64 的統一策略通道下發至終端,畫面與錄影作為一類稽核資料流入 Ping64 的終端稽核檢視,與電子郵件、外發、列印、檔案操作等其他模組共享同一套帳號、部門、時間模型。螢幕稽核因此具備與其他模組「互為印證」的能力:當一次外發被攔下時,可以回查當時的螢幕;當發現螢幕上異常的資料瀏覽時,可以反查前後是否有對應的外發或列印。對企業而言,真正值得建設的不是某個單點功能,而是這種圍繞帳號與時間形成的全景取證能力——在 Ping64 裡,這正是「智慧截屏」與「螢幕錄影」最終匯聚出的效果。
聯絡我們
42 min