[发明专利]一种计算机文档操作安全审计系统

说明书

技术领域

本发明涉及一种计算机文档操作安全审计系统。

背景技术

随着各行业在生产、管理上信息化程度日益增高，计算机泄密事件的发生已呈上升趋势。计算机泄密较之一般侵占案件，其手段更隐蔽、危害也更大，恶意的机密泄露事件往往会造成难以估量的后果，如果发生泄密的单位是党政机关、军队、金融机构等，则会造成国家利益和人民财产不可挽回的损失，如果是企业发生泄密事件，例如机密技术资料、客户资料等文件的泄露，则可能会导致企业投资的失败、竞争力的下降、客户的流失等严重后果。

传统的安全解决方案都是把目标重点放到边界上，往往忽略了内部网络安全，特别在政府机关、保密部门、科研机构、银行与证券、企事业等单位的办公网、内部业务网、涉密网中的终端设备安全管理非常薄弱，存在很大安全隐患。现有的安全措施并没有发挥应有的作用，网络管理人员无法了解每个网络端点的安全状况，疲于奔命也无法解决各种终端安全与管理问题。尽管有些单位制订严格的安全管理制度，但是由于缺乏有效的技术手段，安全策略无法有效落实，导致机密信息泄露、黑客攻击、蠕虫病毒传播等安全事件频繁发生，对局域网安全提出新的挑战。

面对各种各样的涉密文档泄露事件，如果不采取有效措施，这类事件就会不断发生。越来越多具有安全防范意识的管理者发现了问题所在，并希望通过有效而可靠的途径来实现文档的安全管理。

发明内容

本发明的目的即在于针对现有技术的不足，提供一种计算机文档操作安全审计系统，由于计算机文档是各种机密信息最普遍的载体，如何在局域网内建立一套完善的文档安全防护机制，在终端直接对文档的行为进行监控和审计，是防止涉密文档泄露的最佳解决方案之一。本发明通过对文档的监控和审计，能杜绝很大一部分泄密事件的发生，即使泄密事件发生，也能够很快找到泄密途径，追究责任，挽回损失；同时，通过对大量行为数据的分析，能够为管理者找到安全管理漏洞，不断完善安全管理机制。

本发明的技术方案如下所述：

一种计算机文档操作安全审计系统，其特征在于，它包括监控机以及客户端软件，

所述监控机，包含网络通讯模块，用于监控机与客户端之间的网络通讯；数据库操作模块，用于实时记录客户端软件发送的文档操作日志、涉嫌违规文档及软硬件资产信息；密匙管理及数据加密模块，用于针对传输的涉密文件及日志信息进行专用协议加密，并管理密码口令；监控机服务器配置管理模块，用于定义对客户端的控制策略，包含禁用U盘、禁用无限网络、锁定IP的控制策略，并下发到所有目标客户端；监控机服务器审计日志查看模块，用于查看、管理保存在数据库操作模块中的日志信息及涉密文档；

所述的客户端软件，包含终端安装、注册、卸载模块，用于客户端软件的安装、在监控机上的注册以及卸载的操作；文档操作行为监控模块，用于记录文档的创建、修改、移动、拷贝、删除操作行为；文档内容分析模块，用于分析和记录文档标题内容，并通过与设定关键字进行比较的方法确定文档的涉密性，对涉嫌涉密的文档以加密形式进行备份；客户端通讯加密模块，用于将操作行为信息、文档标题信息及涉嫌涉密文档用专用协议加密，发送至监控机上；控制策略执行模块，用于接收监控机的监控策略，并在客户机上执行策略；网络行为进程监控模块，用于监控与文档相关的网络通讯行为，并向监控机发送报警信息。

本发明监控机与客户端通过交换机及防火墙连接，并采用机架式机箱，带液晶屏。液晶菜单可显示内外网IP地址等整机信息，面板可操控整机复位、关机，具备网络IP冲突监测报警功能，机箱高强度钢壳结构，标配2个10/100MBase-TX(RJ45)自适应以太网接口，并提供1个conSole口可以让管理员连接至监控机。

本发明有如下功能：

1、客户端软件记录监控计算机上文档的创建、修改、移动、拷贝、删除等一系列操作行为，记录被操作文档的标题，记录终端计算机的CPU、硬盘、内存等硬件资产及资产异动，搜索并记录各主流文档编辑软件的软件信息，综合多方面信息进行关联分析，并将以上信息发往监控机。

2、监控与文档相关的程序和进程，在进程有网络通信的情况下，向监控机发送报警信息。

3、通过关键字比对的方法分析和记录文档的涉密性，将涉嫌涉密的文档发送自监控机备份，并自动执行相应的策略。

4、终端主机外联检测，一旦发现涉密文档暴露在外网环境下，即刻断开该主机的网络，并记录外联主机IP地址、MAC地址、用户名、主机名、外联发生事件等。

5、日志传输过程采用高强度加密及压缩算法，并设置日志传输错误提醒功能，保证日志的安全性和完整性。