CN105426780A - 应用于操作行为审计***的分类审计方法及*** - Google Patents

Abstract

本发明提供一种应用于操作行为审计***的分类审计方法及***，***包括：审计场景类别划分模块、定义模块、操作行为获取模块、审计场景类别判断模块、审计场景功能模块调用模块和审计数据分区存储模块。优点为：将审计场景按功能类别区分为多类审计场景，针对每类审计场景，定义独立的审计场景功能模块，并且，每类审计场景功能模块得到的审计数据分区存储。由于各审计数据存储分区进行了物理和逻辑方面的隔离，保证不同审计场景下的审计管理人员不会相互看到对方的审计数据，从而提高了审计***的数据安全性。而且，由于各类审计场景下的审计数据分区存储，因此，方便进行检索和备份。

Description

应用于操作行为审计***的分类审计方法及***

技术领域

本发明属于操作行为审计技术领域，具体涉及一种应用于操作行为审计***的分类审计方法及***。

背景技术

操作行为审计***是一种保护企业内部信息安全，防止企业内部信息外泄的***，为银行、证券基金公司、电信公司、涉密单位等对安全等级要求较高的行业带来了安全保障。

传统的操作行为审计***中，所采取的记录策略为：将所有审计场景下捕捉到的所有操作行为数据均保存到同一个存储空间。

上述审计方法存在的主要问题为：

(1)实际应用中，需要不同审计场景的审计管理人员之间的数据检索是互相保密的，比如，运维操作行为审计管理人员不应该看到业务场景下的审计数据。然后，由于各审计场景的数据均存储到同一个存储空间，因此，同一审计级别、不同审计场景下的审计管理人员可互相看到各审计场景下的数据，从而带来比较大的安全隐患；

(2)由于各审计场景的数据均存储到同一个存储空间，导致存储空间存储大量的审计数据，***管理员在通过审计***进行针对性的数据检索时，需要使用大量的检索操作，占用了***管理员大量的时间，具有查找效率低的问题。

发明内容

针对现有技术存在的缺陷，本发明提供一种应用于操作行为审计***的分类审计方法及***，可有效解决上述问题。

本发明采用的技术方案如下：

本发明提供一种应用于操作行为审计***的分类审计方法，包括以下步骤：

步骤1，将操作行为审计***中的审计场景按功能类别区分为n类审计场景，分别为第1类审计场景、第2类审计场景…第n类审计场景；其中，n为自然数；

步骤2，定义与每类审计场景唯一对应的独立的审计场景功能模块，因此，将与第1类审计场景、第2类审计场景…第n类审计场景唯一对应的审计场景功能模块记为：第1类审计场景功能模块、第2类审计场景功能模块…第n类审计场景功能模块；

步骤3，实时对指定帐户ID所进行的操作行为进行监控，每当发生操作行为时，获取发生该操作行为时所运行的应用程序ID，然后，根据应用程序ID判断发生该操作行为时的审计场景类别；

步骤4，根据判断得到的审计场景类别，调用步骤2所定义的与该审计场景类别对应的审计场景功能模块，并运行所调用的审计场景功能模块，记录当前审计场景下的审计数据。

优选的，步骤1中，所述审计场景的类别包括：运维审计场景、数据库审计场景、上网行为审计场景以及普通应用行为审计场景。

优选的，与运维审计场景对应的功能模块为运维审计场景功能模块；与数据库审计场景对应的功能模块为数据库审计场景功能模块；与上网行为审计场景对应的功能模块为上网行为审计场景功能模块；与普通应用行为审计场景对应的功能模块为普通应用行为审计场景功能模块。

优选的，所述运维审计场景功能模块对当前审计场景下进行审计的工作流程为：

(1)获取运维目标主机的IP地址以及linux账户信息；

(2)获取与运维目标主机的IP地址以及linux账户信息预先绑定的违法规则和审计策略；其中，所述审计策略包括违法行为审计策略和非违法行为审计策略；

(3)根据违法规则对操作行为内容的违法性进行判断，如果为违法性操作行为，则采用违法行为审计策略记录相应的审计数据；如果为非违法性操作行为，则采用非违法行为审计策略记录相应的审计数据；

所述数据库审计场景功能模块对当前审计场景下进行审计的工作流程为：

(1)获取数据库工具的执行脚本内容；

(2)获取当前操作数据库的账户名；

(3)获取与账户名预先绑定的违法规则和审计策略；其中，所述审计策略包括违法行为审计策略和非违法行为审计策略；

(4)根据违法规则对所获取到的执行脚本内容的违法性进行判断，如果为违法性执行脚本，则采用违法行为审计策略记录相应的审计数据；如果为非违法性执行脚本，则采用非违法行为审计策略记录相应的审计数据；

所述上网行为审计场景功能模块对当前审计场景下进行审计的工作流程为：

记录浏览器发出的http请求，同时记录操作行为发生时的视频帧；

所述普通应用行为审计场景功能模块对当前审计场景下进行审计的工作流程为：

(1)获取账户信息；

(2)获取与账户信息预先绑定的违法规则和审计策略；其中，所述审计策略包括违法行为审计策略和非违法行为审计策略；

(3)根据违法规则对操作行为内容的违法性进行判断，如果为违法性操作行为，则采用违法行为审计策略记录相应的审计数据；如果为非违法性操作行为，则采用非违法行为审计策略记录相应的审计数据。

优选的，步骤4中，记录当前审计场景下的审计数据，具体为：

配置分别与第1类审计场景、第2类审计场景…第n类审计场景唯一对应的第1类审计数据存储区、第2类审计数据存储区…第n类审计数据存储区；并且，各类审计数据存储区相互之间进行物理隔离和逻辑隔离；

因此，第1类审计场景功能模块将获取到的相关审计数据存储到第1类审计数据存储区；

第2类审计场景功能模块将获取到的相关审计数据存储到第2类审计数据存储区；

…

第n类审计场景功能模块将获取到的相关审计数据存储到第n类审计数据存储区。

优选的，还包括：

配置对各类审计场景功能模块的使用权限，此外，配置对各类审计数据存储区的访问权限；

基于所配置的访问权限，对具有权限的审计数据存储区进行数据检索。

本发明还提供一种应用于操作行为审计***的分类审计***，包括：

审计场景类别划分模块，用于将操作行为审计***中的审计场景按功能类别区分为n类审计场景，分别为第1类审计场景、第2类审计场景…第n类审计场景；其中，n为自然数；

定义模块，用于定义与每类审计场景唯一对应的独立的审计场景功能模块；

操作行为获取模块，用于实时对指定帐户ID所进行的操作行为进行监控，获取所发生的操作行为；

审计场景类别判断模块，用于获取发生该操作行为时所运行的应用程序ID，然后，根据应用程序ID判断发生该操作行为时的审计场景类别；

审计场景功能模块调用模块，用于根据判断得到的审计场景类别，调用所定义的与该审计场景类别对应的审计场景功能模块，并运行所调用的审计场景功能模块；

审计数据分区存储模块，用于将所调用于审计场景功能模块所获取的审计数据存储到对应的审计数据存储区。

优选的，还包括：

权限配置模块，用于配置对各类审计场景功能模块的使用权限，此外，配置对各类审计数据存储区的访问权限；

检索模块，用于基于所配置的访问权限，对具有权限的审计数据存储区进行数据检索。

本发明提供的应用于操作行为审计***的分类审计方法及***具有以下优点：

将审计场景按功能类别区分为多类审计场景，针对每类审计场景，定义独立的审计场景功能模块，并且，每类审计场景功能模块得到的审计数据分区存储。由于各审计数据存储分区进行了物理和逻辑方面的隔离，保证不同审计场景下的审计管理人员不会相互看到对方的审计数据，从而提高了审计***的数据安全性。而且，由于各类审计场景下的审计数据分区存储，因此，方便进行检索和备份。

附图说明

图1为本发明提供的应用于操作行为审计***的分类审计方法的流程示意图；

图2为本发明提供的应用于操作行为审计***的分类审计***的结构示意图。

具体实施方式

为了使本发明所解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明提供一种用于操作行为审计***的分类审计方法及***，主要思路为：将审计场景按功能类别区分为多类审计场景，针对每类审计场景，定义独立的审计场景功能模块，并且，每类审计场景功能模块得到的审计数据分区存储。由于各审计数据存储分区进行了物理和逻辑方面的隔离，保证不同审计场景下的审计管理人员不会相互看到对方的审计数据，从而提高了审计***的数据安全性。而且，由于各类审计场景下的审计数据分区存储，因此，方便进行检索和备份。

具体的，结合图1，本发明提供一种应用于操作行为审计***的分类审计方法，包括以下步骤：

步骤1，将操作行为审计***中的审计场景按功能类别区分为n类审计场景，分别为第1类审计场景、第2类审计场景…第n类审计场景；其中，n为自然数；

例如，审计场景的类别可划分为：运维审计场景、数据库审计场景、上网行为审计场景以及普通应用行为审计场景。

步骤2，定义与每类审计场景唯一对应的独立的审计场景功能模块，因此，将与第1类审计场景、第2类审计场景…第n类审计场景唯一对应的审计场景功能模块记为：第1类审计场景功能模块、第2类审计场景功能模块…第n类审计场景功能模块；

例如，可定义以下审计场景功能模块：与运维审计场景对应的功能模块为运维审计场景功能模块；与数据库审计场景对应的功能模块为数据库审计场景功能模块；与上网行为审计场景对应的功能模块为上网行为审计场景功能模块；与普通应用行为审计场景对应的功能模块为普通应用行为审计场景功能模块。

步骤3，实时对指定帐户ID所进行的操作行为进行监控，每当发生操作行为时，获取发生该操作行为时所运行的应用程序ID，然后，根据应用程序ID判断发生该操作行为时的审计场景类别；

步骤4，根据判断得到的审计场景类别，调用步骤2所定义的与该审计场景类别对应的审计场景功能模块，并运行所调用的审计场景功能模块，记录当前审计场景下的审计数据。

具体的，对于上面举例涉及到的四种审计场景功能模块，可分别按以下工作流程执行：

运维审计场景功能模块对当前审计场景下进行审计的工作流程为：

(1)获取运维目标主机的IP地址以及linux账户信息；

(2)获取与运维目标主机的IP地址以及linux账户信息预先绑定的违法规则和审计策略；其中，审计策略包括违法行为审计策略和非违法行为审计策略；

(3)抓取运维命令内容，并根据违法规则对运维命令内容的违法性进行判断，如果为违法性操作行为，则采用违法行为审计策略记录相应的审计数据，例如，记录运维命令内容发生时的视频帧和运维文本数据；如果为非违法性操作行为，则采用非违法行为审计策略记录相应的审计数据，例如，只记录运维文本数据，不记录视频帧；

数据库审计场景功能模块对当前审计场景下进行审计的工作流程为：

(1)获取数据库工具的执行脚本内容；

(2)获取当前操作数据库的账户名；

(3)获取与账户名预先绑定的违法规则和审计策略；其中，审计策略包括违法行为审计策略和非违法行为审计策略；

(4)根据违法规则对所获取到的执行脚本内容的违法性进行判断，如果为违法性执行脚本，则采用违法行为审计策略记录相应的审计数据，例如，同时记录执行脚本运行时的视频帧以及执行脚本内容；如果为非违法性执行脚本，则采用非违法行为审计策略记录相应的审计数据，例如，只记录执行脚本内容，不记录视频帧；

上网行为审计场景功能模块对当前审计场景下进行审计的工作流程为：

记录浏览器发出的http请求，同时记录操作行为发生时的视频帧；

普通应用行为审计场景功能模块对当前审计场景下进行审计的工作流程为：

(1)获取账户信息；

(2)获取与账户信息预先绑定的违法规则和审计策略；其中，审计策略包括违法行为审计策略和非违法行为审计策略；

(3)根据违法规则对操作行为内容的违法性进行判断，如果为违法性操作行为，则采用违法行为审计策略记录相应的审计数据；如果为非违法性操作行为，则采用非违法行为审计策略记录相应的审计数据。

当然，实际应用中，可根据审计场景的类别，灵活定义相应的违法规则和审计策略，本发明对此并不限制。

此外，对于当前审计场景下所获得的审计数据，按以下方式分区存储：

配置分别与第1类审计场景、第2类审计场景…第n类审计场景唯一对应的第1类审计数据存储区、第2类审计数据存储区…第n类审计数据存储区；并且，各类审计数据存储区相互之间进行物理隔离和逻辑隔离；

因此，第1类审计场景功能模块将获取到的相关审计数据存储到第1类审计数据存储区；

第2类审计场景功能模块将获取到的相关审计数据存储到第2类审计数据存储区；

…

第n类审计场景功能模块将获取到的相关审计数据存储到第n类审计数据存储区。

例如，对于大型的审计***，审计场景较多，可分为如下五个数据存储分区，分别对各审计场景的审计数据进行记录，***可以选择SQLServer，HADOOP的HDFS等进行存储记录，数据量较大时，建议选择hadoop的分布式文件***HDFS进行存储。

其中，1:运维场景数据区2:DBA管理员数据区3:普通应用数据区4：上网操作数据区。5:配置数据区

配置数据区用于记录违法规则和审计策略，各审计数据区进行物理或者逻辑隔离。不同场景的审计管理员只能看到自己管理场景下的审计数据。

另外，还包括：

配置对各类审计场景功能模块的使用权限，此外，配置对各类审计数据存储区的访问权限；基于所配置的访问权限，对具有权限的审计数据存储区进行数据检索。

具体的，各个审计场景功能模块的权限可以单独配置，如果全部功能部署在同一web数据检索服务器的前提下，根据功能模块权限的单独配置，可以让一个场景下的管理员只看到自己管理下的场景数据，而无法看到其他场景的审计数据，从而提高***安全性。此外，本发明支持多台web数据检索服务器并发，用户可以选择物理隔离的方式部署。

可见，本发明具有以下创新：

(1)对过对大型审计***下的审计场景进行功能类别区分，可显著提升数据检索的便利和安全性；

(2)由于进行了审计场景的分类，对于各场景下的管理员，由于只看到了本场景审计数据，可快速检索定位到关心的数据区，没有其他场景审计数据的干扰，从而将检索效率提升了1倍以上；

(3)由于审计数据采取分区存储，并且，各个审计数据区进行了隔离，各类场景的管理员，只看到了属于自己分类下的审计数据，数据安全性得到了保证。

(4)通过配置独立的审计场景功能模块，各个审计场景功能模块可单独实施，因此，实际中，用户可根据需要，仅购买自己所需要的部分审计场景功能模块即可，方便了用户使用，节约了用户购买费用。

结合图2，本发明还提供一种应用于操作行为审计***的分类审计***，包括：

审计场景类别划分模块，用于将操作行为审计***中的审计场景按功能类别区分为n类审计场景，分别为第1类审计场景、第2类审计场景…第n类审计场景；其中，n为自然数；

定义模块，用于定义与每类审计场景唯一对应的独立的审计场景功能模块；

操作行为获取模块，用于实时对指定帐户ID所进行的操作行为进行监控，获取所发生的操作行为；

审计场景类别判断模块，用于获取发生该操作行为时所运行的应用程序ID，然后，根据应用程序ID判断发生该操作行为时的审计场景类别；

审计场景功能模块调用模块，用于根据判断得到的审计场景类别，调用所定义的与该审计场景类别对应的审计场景功能模块，并运行所调用的审计场景功能模块；

审计数据分区存储模块，用于将所调用于审计场景功能模块所获取的审计数据存储到对应的审计数据存储区。

还包括：

权限配置模块，用于配置对各类审计场景功能模块的使用权限，此外，配置对各类审计数据存储区的访问权限；

检索模块，用于基于所配置的访问权限，对具有权限的审计数据存储区进行数据检索。

由此可见，本发明提供的应用于操作行为审计***的分类审计方法及***具有以下优点：

(1)大型的审计应用面临的审计场景较多，其中包括运维场景、业务场景、外包人员场景等，如果从功能角度不能进行细粒度较高的区分，实际应用后所有不同的审计管理角色从同一数据检索区域检索，非常不便利。而本发明有效的解决了上述问题，从功能角度对审计场景进行了细粒度较高的区分，从而提高了检索效率。

(2)传统技术中，由于不同的审计场景的审计策略、违法规则不同，需要分别制定违法规则和审计策略，而如果不对审计场景进行功能分类，将导致违法规则和审计策略的制定过程非常繁琐，甚至不具备实施可能性。而本发明，通过对审计场景进行功能分类，减化了违法规则和审计策略的制定过程。

(3)一般来说，不同应用场景的审计管理人员之间的数据检索是互相保密的，比如运维操作行为审计管理人员不应该看到业务场景下的审计数据，但是，传统技术中，由于未进行审计场景分类，因此，同一审计级别的管理人员之间的数据是可以互看的，从而带来比较大的安全隐患。而本发明中，通过对审计场景进行功能分类，避免了上述问题，提高了***安全性。

(4)在以往审计数据的备份过程中，只能选择不同级别的审计数据进行备份，无法从类别上进行备份。而实际中，不同类别的审计数据的备份要求是不一样的，比如说，运维操作审计数据和业务场景下的审计数据对备份要求完全不同，传统技术无法解决上述问题。而本发明，通过对审计场景进行功能分类，并对审计数据进行分区存储，有利于对审计数据备份。

(5)一般大型的审计***的审计场景较多，需要不同的子***实施，***非常复杂。而本发明，配置独立的多个审计场景功能模块，可根据实际需求，灵活布置一个或几个审计场景功能模块，具有配置灵活的优点。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。

Claims (8)

1.一种应用于操作行为审计***的分类审计方法，其特征在于，包括以下步骤：

步骤1，将操作行为审计***中的审计场景按功能类别区分为n类审计场景，分别为第1类审计场景、第2类审计场景…第n类审计场景；其中，n为自然数；

步骤2，定义与每类审计场景唯一对应的独立的审计场景功能模块，因此，将与第1类审计场景、第2类审计场景…第n类审计场景唯一对应的审计场景功能模块记为：第1类审计场景功能模块、第2类审计场景功能模块…第n类审计场景功能模块；

步骤3，实时对指定帐户ID所进行的操作行为进行监控，每当发生操作行为时，获取发生该操作行为时所运行的应用程序ID，然后，根据应用程序ID判断发生该操作行为时的审计场景类别；

步骤4，根据判断得到的审计场景类别，调用步骤2所定义的与该审计场景类别对应的审计场景功能模块，并运行所调用的审计场景功能模块，记录当前审计场景下的审计数据，并且，各个审计场景功能模块将得到的审计数据记录到不同的数据存储区。

2.根据权利要求1所述的应用于操作行为审计***的分类审计方法，其特征在于，步骤1中，所述审计场景的类别包括：运维审计场景、数据库审计场景、上网行为审计场景以及普通应用行为审计场景。

3.根据权利要求2所述的应用于操作行为审计***的分类审计方法，其特征在于，与运维审计场景对应的功能模块为运维审计场景功能模块；与数据库审计场景对应的功能模块为数据库审计场景功能模块；与上网行为审计场景对应的功能模块为上网行为审计场景功能模块；与普通应用行为审计场景对应的功能模块为普通应用行为审计场景功能模块。

4.根据权利要求3所述的应用于操作行为审计***的分类审计方法，其特征在于，所述运维审计场景功能模块对当前审计场景下进行审计的工作流程为：

(1)获取运维目标主机的IP地址以及linux账户信息；

(2)获取与运维目标主机的IP地址以及linux账户信息预先绑定的违法规则和审计策略；其中，所述审计策略包括违法行为审计策略和非违法行为审计策略；

(3)根据违法规则对操作行为内容的违法性进行判断，如果为违法性操作行为，则采用违法行为审计策略记录相应的审计数据；如果为非违法性操作行为，则采用非违法行为审计策略记录相应的审计数据；

所述数据库审计场景功能模块对当前审计场景下进行审计的工作流程为：

(1)获取数据库工具的执行脚本内容；

(2)获取当前操作数据库的账户名；

(3)获取与账户名预先绑定的违法规则和审计策略；其中，所述审计策略包括违法行为审计策略和非违法行为审计策略；

(4)根据违法规则对所获取到的执行脚本内容的违法性进行判断，如果为违法性执行脚本，则采用违法行为审计策略记录相应的审计数据；如果为非违法性执行脚本，则采用非违法行为审计策略记录相应的审计数据；

所述上网行为审计场景功能模块对当前审计场景下进行审计的工作流程为：

记录浏览器发出的http请求，同时记录操作行为发生时的视频帧；

所述普通应用行为审计场景功能模块对当前审计场景下进行审计的工作流程为：

(1)获取账户信息；

(2)获取与账户信息预先绑定的违法规则和审计策略；其中，所述审计策略包括违法行为审计策略和非违法行为审计策略；

(3)根据违法规则对操作行为内容的违法性进行判断，如果为违法性操作行为，则采用违法行为审计策略记录相应的审计数据；如果为非违法性操作行为，则采用非违法行为审计策略记录相应的审计数据。

5.根据权利要求1所述的应用于操作行为审计***的分类审计方法，其特征在于，步骤4中，记录当前审计场景下的审计数据，具体为：

配置分别与第1类审计场景、第2类审计场景…第n类审计场景唯一对应的第1类审计数据存储区、第2类审计数据存储区…第n类审计数据存储区；并且，各类审计数据存储区相互之间进行物理隔离和逻辑隔离；

因此，第1类审计场景功能模块将获取到的相关审计数据存储到第1类审计数据存储区；

第2类审计场景功能模块将获取到的相关审计数据存储到第2类审计数据存储区；

…

第n类审计场景功能模块将获取到的相关审计数据存储到第n类审计数据存储区。

6.根据权利要求5所述的应用于操作行为审计***的分类审计方法，其特征在于，还包括：

配置对各类审计场景功能模块的使用权限，此外，配置对各类审计数据存储区的访问权限；

基于所配置的访问权限，对具有权限的审计数据存储区进行数据检索。

7.一种应用于操作行为审计***的分类审计***，其特征在于，包括：

审计场景类别划分模块，用于将操作行为审计***中的审计场景按功能类别区分为n类审计场景，分别为第1类审计场景、第2类审计场景…第n类审计场景；其中，n为自然数；

定义模块，用于定义与每类审计场景唯一对应的独立的审计场景功能模块；

操作行为获取模块，用于实时对指定帐户ID所进行的操作行为进行监控，获取所发生的操作行为；

审计场景类别判断模块，用于获取发生该操作行为时所运行的应用程序ID，然后，根据应用程序ID判断发生该操作行为时的审计场景类别；

审计场景功能模块调用模块，用于根据判断得到的审计场景类别，调用所定义的与该审计场景类别对应的审计场景功能模块，并运行所调用的审计场景功能模块；

审计数据分区存储模块，用于将所调用于审计场景功能模块所获取的审计数据存储到对应的审计数据存储区。

8.根据权利要求7所述的应用于操作行为审计***的分类审计***，其特征在于，还包括：

权限配置模块，用于配置对各类审计场景功能模块的使用权限，此外，配置对各类审计数据存储区的访问权限；

检索模块，用于基于所配置的访问权限，对具有权限的审计数据存储区进行数据检索。