[发明专利]一种集中访问模式下用户行为全面审计的方法

说明书

技术领域

本发明属于信息安全技术领域，特别是涉及在网络环境中，对用户行为进行全面审计的方法。

背景技术

随着企业系统和支撑网络的不断完善，企业业务服务器群及数据大量集中，数据安全日趋明显；对企业核心数据的安全保护也成为各个企业信息安全建设的重点。

目前针对企业数据安全的保护技术主要是通过对企业内部用户的操作行为进行审计，即监听。审计的方法主要有以下几种：

一种是基于网络层面的侦听审计，将侦听设备部署于用户数据汇聚层，通过对网络流量监听、分析、协议重组等对用户操作行为进行展现。这种方法使用集中发布平台发布应用程序，应用程序客户端通过专有协议展现在用户的桌面，用户与客户端的交互在用户的桌面上完成，但是实际上应用程序客户端的响应在集中发布平台上运行的程序中完成。应用程序客户端在集中发布平台的后台以进程的方式运行，这些运行的进程发起网络访问时都是以其所在的服务器的ip地址作为源ip，而目标地址都是所要访问的服务器地址，这样当多个用户连接到同一台集中发布服务器使用相同的客户端操作时，网络行为审计到的信息就是多个用户同时进行网络访问的审计数据。这样，网络行为审计无法将获得的审计数据按照使用的用户进行区分，使原有的审计系统审计的信息失去应有的效力。

另一种是基于堡垒主机的应用层面的审计，即所有用户通过统一入口登录业务系统主机、数据库，在堡垒主机上实现用户操作审计。这种方法由于大量用户的集中接入，对于系统资源的开销十分巨大，造成系统大量资源的占用，降低系统的效率。并且应用层的审计模块可能与其它的应用发生冲突出现数据丢失的现象。

发明内容

本发明的目的是针对上述问题，提供一种应用层面与网络行为相结合的全面审计的方法，实现审计的准确和翔实。

为此，本发明采用的技术方案如下。

一种集中访问模式下用户行为全面审计的方法，其特征在于：设置由若干台发布机组成的集中发布平台，发布机上部署应用软件及网络监听程序；审计服务器采用旁路的方式联入网络，其网络采集模块将用户操作的网络行为日志采集到审计服务器；审计服务器将监听程序发送的用户网络访问信息与网络操作日志相匹配组成完整的审计信息，用于查询分析，从而实现完整的基于操作者的审计数据。

本发明具体包括如下步骤：

1)设置由若干台发布机组成的集中发布平台，发布机上部署应用软件及网络监听程序；

2)用户通过集中发布平台的web界面请求访问应用软件；

3)集中发布平台根据负载均衡机制指定用户访问特定发布机上的应用软件；

4)用户使用本人主账号通过集中发布平台的客户端连接发布机，在发布机上启动该应用软件；

5)集中发布平台的客户端把发布机上的应用软件以图像方式推送回用户终端；

6)用户在应用软件中输入本人从账号、密码访问特定业务系统；

7)发布机上的网络监听程序截获应用软件的网络访问；

8)网络监听程序记录应用软件的网络访问信息，发送给审计服务器；

9)审计服务器采用旁路的方式联入网络，其网络采集模块采集用户操作的网络行为日志；

10)审计服务器将发布机上监听程序传送过来的信息和网络行为日志相匹配组成完整的审计信息，用于查询分析，从而实现完整的基于操作者的审计数据。

用户在客户端访问集中发布平台中的某台发布机上的应用程序，应用程序访问网络时，网络访问会经由安装于发布机上的网络监听程序，监听程序能够获得该网络访问是哪个应用程序发起的，启动应用程序的系统帐号是什么，并将这些信息发送给审计系统。

由于集中发布平台上每台发布机上的应用启动前，需要完成操作系统的登录，而应用程序是由登录操作系统的帐号的身份启动的，部署在发布机上的监听程序能够截获网络访问的宿主程序，并根据该程序在操作系统中的进程句柄获得其会话信息，通过会话信息从而获得启动该程序的操作系统帐号。

部署在发布机的网络监听程序能够获得网络访问的源ip、源端口、目的ip、目的端口、时间戳、用户操作系统账号(主账号)等网络访问信息，对于每个应用每次网络访问会话的源ip、目的ip、目的端口都是相同的，但是源端口是随机的，即使同时启动两个相同的程序，其源端口也是不一样的，这样可以通过源端口可以区分发布机上相同程序到后台服务器间的不同会话。