[发明专利]针对历史特权会话进行搜索和回放的方法及装置

说明书

本发明公开了一种针对历史特权会话进行搜索和回放的方法及装置，方法包括如下步骤：A)特权账号安全管理系统接收搜索条件；所述搜索条件为时间范围、关键字信息或事件ID；B)根据所述搜索条件对历史特权会话进行搜索，得到符合搜索条件的历史特权会话；C)根据关键字信息或命令信息快速定位至对应事件发生点；D)对历史特权会话进行全回放或只回放某特定事件。实施本发明的针对历史特权会话进行搜索和回放的方法及装置，具有以下有益效果：能快速、准确的根据搜索条件定位和回放历史特权会话，使得企业和组织的管理人员在搜索和回放历史特权会话方面不需要花费太多时间和精力，节约企业和组织的IT成本，更好的实现特权会话的审计管理。

技术领域

本发明涉及特权账号安全管理领域，特别涉及一种针对历史特权会话进行搜索和回放的方法及装置。

背景技术

特权账号是指具有高风险(如可以启停设备的管理员账号)或具有高价值(如可以读取业务敏感数据的应用账号)的账号。特权账号几乎可以提供无限的访问权限，由于各种原因，企业内部员工、合作伙伴、第三方用户需要安全地访问特权账号，跟踪用户使用他们的特权访问进行的操作变得势在必行。但当发生安全事件时，并没有高效的方法能对历史特权会话立即定位事件发生点，通常都是查看整个历史特权会话审计视频。如果特权会话持续时间过长，对特权会话的审计将会难以进行。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种能快速、准确的根据搜索条件定位和回放历史特权会话，使得企业和组织的管理人员在搜索和回放历史特权会话方面不需要花费太多时间和精力，节约企业和组织的IT成本，更好的实现特权会话的审计管理。

本发明解决其技术问题所采用的技术方案是：构造一种针对历史特权会话进行搜索和回放的方法，包括如下步骤：

A)特权账号安全管理系统接收搜索条件；所述搜索条件为时间范围、关键字信息或事件ID；

B)根据所述搜索条件对历史特权会话进行搜索，得到符合搜索条件的历史特权会话；

C)根据所述关键字信息或命令信息快速定位至对应事件发生点；

D)对所述历史特权会话进行全回放或只回放某特定事件。

在本发明所述的针对历史特权会话进行搜索和回放的方法中，所述步骤B)进一步包括：

B1)从所述搜索条件中获取关键字信息，执行步骤B2)；

B1′)从所述搜索条件中限定历史特权会话的时间范围，执行步骤B2)；

B2)按照所述关键字信息或者时间范围搜索历史特权会话，得到包含所述关键字信息或符合所述时间范围内的历史特权会话。

在本发明所述的针对历史特权会话进行搜索和回放的方法中，所述特权账号安全管理系统包括：

节点管理单元：用于构建符合企业组织架构的目录树，并允许赋权不同用户对各自目录的独立管理；

账号管理单元：用于特权账号的导入托管，并以特权账号本体为中心实现账号的生命周期管理工作；

访问控制单元：用于负责实现账号使用的权限细分，让不同用户对不同账号有不同的使用权限；

会话监控单元：用于为用户对账号的单点登录过程实现录像、监控、拦截及审计；

审计管理单元：用于为审计部门提供日志查询，所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询；

审批管理单元：用于为用户提供一事一审的账号使用流程审批能力；

系统设置单元：用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数；