[发明专利]一种用于运维审计系统的Windows远程桌面文件传输审计方法

说明书

技术领域

本发明涉及运维审计技术领域，具体的说，是一种用于运维审计系统的Windows远程桌面文件传输审计方法。

背景技术

随着网络技术的逐渐普及，人们的生活和工作对网络的依赖越来越紧密，而和网络相关的安全问题也越来越受到关注。Windows远程运维是图像运维中用得最广泛的，Windows远程运维除了图形运维也可以进行文件的上传下载。因此，在公司的Windows服务器或者个人Windows电脑上文件的安全得到更多关注，往往会产生一些安全问题，如下：1）运维人员可能会误上传病毒文件到Windows主机，导致中毒并且会感染到内网的其他电脑；2）运维人员也有可能会下载Windows主机上的数据，导致公司机密或者个人隐私数据泄露。而针对windows主机运维，现有的审计手段往往只有单一的图形审计，无法对于运维人员的文件上传下载等操作进行精确的事后定位。

发明内容

本发明的目的在于提供一种用于运维审计系统的Windows远程桌面文件传输审计方法，用于解决现有技术中无法对运维过程中文件的上传、下载操作进行精确的事后定位的问题。

为了达到上述目的，本发明通过下述技术方案实现：

一种用于运维审计系统的Windows远程桌面文件传输审计方法，包括：

步骤S100：在运维客户端与目标服务器之间建立代理模块；

步骤S200：所述代理模块采集运维客户端与目标服务器的通信数据，解析并提取协议数据，所述协议数据包括图像数据和文件数据，将所述图像数据存储至数据库中，并将所述文件数据还原成文件信息数据后存储至数据库中；

步骤S300：从数据库中读取所述图像数据进行数据还原后进行数据展示，从数据库中读取所述文件信息数据并进行展示。

工作原理：

运维审计系统中包括运维客户端、代理模块、目标服务器、数据库和展示模块，所述运维客户端连接代理模块，代理模块连接目标服务器，所述数据库分别连接代理模块和展示模块，所述展示模块部署在浏览器上。代理模块在运维客户端与目标服务器之间，用于通过网络监控运维客户端与目标服务器之间的通信数据，运维人员在运维客户端访问目标服务器的时候，运维人员的文件操作记录和文件操作过程以通信数据的方式在运维客户端与目标服务器之间传输，经过代理模块时，代理模块获得通信数据，解析出协议数据，并提取协议数据中的图像数据和文件数据，将图像数据存储在数据库中，并将提取的文件数据还原为可读的文件信息数据后存储至数据库中。审计员使用浏览器访问数据库，读取数据库中图像数据，进行数据还原成图像视频数据后通过浏览器的页面回放，审计员可查看运维人员的文件操作过程。浏览器从数据库中读取文件信息数据，将文件的操作记录单独展示出来，审计员通过网页阅览文件的操作记录，包括文件大小、传输起止时间、传输速率、文件操作结果等信息，并且可以下载，以用于取证。因此对运维人员的每次访问目标服务器的操作进行了图像审计和文件审计两种审计方式，并且文件审计对运维过程中的文件上传、下载等文件操作提供了有效、精确的事后定位。

进一步地，所述步骤S100中的代理模块包括与所述运维客户端连接的模拟服务端和与所述目标服务器连接的模拟客户端，具体步骤包括：

步骤S110：运维人员在运维客户端操作客户端工具连接所述模拟服务端，所述模拟服务端与所述运维客户端完成连接的初始化以及连接权限设置；

步骤S120：代理模块的模拟客户端连接服务器，所述模拟客户端与所述服务器完成连接初始化以及连接权限设置；

步骤S130：代理模块的模拟服务端接收运维客户端发送的数据后调用模拟客户端，模拟客户端将数据转发给目标服务器；目标服务器返回数据至代理模块的模拟客户端，模拟客户端调用模拟服务端，模拟服务器将数据转发给运维客户端。

工作原理：

代理模块分为与运维客户端通信的模拟服务端和与目标服务器通信的模拟客户端，模拟服务端与运维客户端以及模拟客户端与目标服务器的连接初始化以及连接权限设置，通过协商的方式实现，协商包括以下几个阶段：

连接的初始化：协商出本次连接所使用的安全加密协议，安全加密协议包括RDP、SSL、NLA；

基础设置信息交换：这一步客户端和服务端双方声明彼此的基本参数，比如系统/协议版本、显示分辨率、图像显示色深、安全数据、网络数据等一系列信息交换；