[发明专利]文档操作行为审计方法、装置、电子设备及存储介质

说明书

本发明提供了一种文档操作行为审计方法、装置、电子设备及存储介质，所述审计方法首先获取用户的文档操作数据；然后根据预设条件对所述数据进行分析，判断文档操作的类型并在审计日志中记录；其中，所述类型包括新建、修改、复制、移动、重命名和删除；本发明可以通过分析审计日志，快速、准确的溯源执行用户，极大的减少维护成本，降低工作量，提高工作效率。

技术领域

本发明涉及计算机领域，尤其涉及一种文档操作行为审计方法、装置、电子设备及存储介质。

背景技术

在涉密电子文档系统中，需要对用户操作的文档进行审计，即文档操作审计；文档操作审计主要包含：新建、复制(剪切)、粘贴、删除、重命名、移动、修改等。

用户对文档本身的操作在操作系统上完成，现有的对文档行为审计的底层接口只有新建、删除(审计不完整)、修改(审计不完整)基本功能，无法审计复制(源文档)、粘贴(目标文档)、重命名(源文档和目标文档)、移动(源文档和目标文档)。

用户对文档操作的审计，一般采用调用已集成到系统中的inotify模块的相关接口来实现的，其基本的审计行为包括：

Open：打开文档行为的审计；

Create：创建文档行为的审计；

Delete：将文档从磁盘彻底删除行为的审计；

Modify：对文档写行为的审计；

其中，delete只能审计从磁盘彻底删除的文档，而审计不到删除到回收站的文档；对文档进行编辑保存时存在有多次的modify审计，只能通过过滤或者定时器控制来过滤到大部分的modify审计行为，造成审计日志重复、程序运行效率降低等问题；当用户对文档进行复制、移动、重命名时依靠现有的接口已无法审计，当文档出现泄密或者丢失，对相关责任人追责，溯源文档操作行为时，由于审计不全造成溯源困难，追责不确定性等结果。

发明内容

本发明实施例提供了一种文档操作行为审计方法、装置、电子设备及存储介质可以通过分析审计日志，快速、准确的溯源执行用户，极大的减少维护成本，降低工作量，提高工作效。

第一方面，本发明实施例提供了一种文档操作行为审计方法，所述审计方法包括：

获取用户的文档操作数据；

根据预设条件对所述数据进行分析，判断文档操作的类型并在审计日志中记录；其中，所述类型包括新建、修改、复制、移动、重命名和删除；

可选地，所述预设条件包括对文档修改操作行为判断的条件，所述对文档修改操作行为判断的条件为：

在inotify内部设置计数器，当inotify调用open指令时计数器数值+1，当inotify调用close指令时计数器数值-1；当所述计数器数值为0且modify指令被inotify调用则确定文档修改操作。

可选地，所述预设条件包括对文档移动操作行为判断的条件，所述对文档移动操作行为判断的条件为：

inotify内部调用move_from指令和move_to指令并且move_from指令对应的源文档所在路径和move_to指令对应的目的文档所在路径不一致时则确定文档移动操作。

可选地，所述预设条件包括对文档重命名操作行为判断的条件，所述对文档重命名操作行为判断的条件为：

inotify内部调用move_from指令和move_to指令并且move_from指令对应的源文档所在路径和move_to指令对应的目的文档所在路径一致时则确定文档重命名操作。

可选地，所述预设条件包括对文档复制操作行为判断的条件，所述对文档复制操作行为判断的条件为：