應(yīng)用于操作行為審計(jì)系統(tǒng)的操作行為記錄方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于操作行為審計(jì)技術(shù)領(lǐng)域,具體涉及一種應(yīng)用于操作行為審計(jì)系統(tǒng)的操作行為記錄方法及系統(tǒng)���。
【背景技術(shù)】
[0002]操作行為審計(jì)系統(tǒng)是一種保護(hù)企業(yè)內(nèi)部信息安全����,防止企業(yè)內(nèi)部信息外泄的系統(tǒng)���,為銀行�����、證券基金公司����、電信公司���、涉密單位等對(duì)安全等級(jí)要求較高的行業(yè)帶來(lái)了安全保障���。
[0003]傳統(tǒng)的操作行為審計(jì)系統(tǒng)中,所采取的記錄策略為:將捕捉到的所有操作行為數(shù)據(jù)均記錄下來(lái)�����,包括應(yīng)用名稱(chēng)�、標(biāo)題元數(shù)據(jù)、應(yīng)用窗口內(nèi)容以及操作行為發(fā)生時(shí)的視頻幀等�����。
[0004]上述操作行為數(shù)據(jù)記錄方法存在以下不足:
[0005](1)當(dāng)需要對(duì)所記錄的操作行為數(shù)據(jù)進(jìn)行數(shù)據(jù)查找時(shí)���,例如�����,系統(tǒng)管理員在通過(guò)審計(jì)系統(tǒng)對(duì)問(wèn)題進(jìn)行定位為目的的數(shù)據(jù)檢索時(shí)���,需要使用大量的檢索操作,占用了系統(tǒng)管理員大量的時(shí)間��,具有查找效率低的問(wèn)題���;
[0006](2)由于審計(jì)策略只能到應(yīng)用級(jí)進(jìn)行針對(duì)性的存儲(chǔ)設(shè)置��,導(dǎo)致指定應(yīng)用的審計(jì)策略后����,也會(huì)記錄大量的用戶(hù)不想要的無(wú)效數(shù)據(jù),占用了大量的存儲(chǔ)空間�。
【發(fā)明內(nèi)容】
[0007]針對(duì)現(xiàn)有技術(shù)存在的缺陷,本發(fā)明提供一種應(yīng)用于操作行為審計(jì)系統(tǒng)的操作行為記錄方法及系統(tǒng)����,可有效解決上述問(wèn)題。
[0008]本發(fā)明采用的技術(shù)方案如下:
[0009]本發(fā)明提供一種應(yīng)用于操作行為審計(jì)系統(tǒng)的操作行為記錄方法����,包括以下步驟:
[0010]步驟1,定義與每種操作行為分別對(duì)應(yīng)的至少一種違規(guī)規(guī)則;并將所制定的違規(guī)規(guī)則與各個(gè)帳戶(hù)ID綁定�����;
[0011 ]步驟2�����,定義與每個(gè)帳戶(hù)ID分別對(duì)應(yīng)的行為審計(jì)策略;其中�����,所述行為審計(jì)策略包括違規(guī)行為審計(jì)策略和對(duì)非違規(guī)行為審計(jì)策略����;
[0012]步驟3�����,實(shí)時(shí)對(duì)指定帳戶(hù)ID所進(jìn)行的操作行為進(jìn)行監(jiān)控,每當(dāng)發(fā)生操作行為時(shí)�����,獲取操作行為內(nèi)容數(shù)據(jù)���;
[0013]然后�,根據(jù)指定帳戶(hù)ID獲取該指定賬戶(hù)對(duì)應(yīng)的違規(guī)規(guī)則;然后�,判斷所述操作行為內(nèi)容數(shù)據(jù)是否發(fā)生屬于所述違規(guī)規(guī)則所定義的違規(guī)行為,如果判斷結(jié)果為是�����,則執(zhí)行步驟4;否則����,執(zhí)行步驟5;
[0014]步驟4,獲取與指定帳戶(hù)ID對(duì)應(yīng)的違規(guī)行為審計(jì)策略�����,并基于所述違規(guī)行為審計(jì)策略記錄相應(yīng)的審計(jì)數(shù)據(jù);
[0015]步驟5�,獲取與指定帳戶(hù)ID對(duì)應(yīng)的非違規(guī)行為審計(jì)策略,并基于所述非違規(guī)行為審計(jì)策略記錄相應(yīng)的審計(jì)數(shù)據(jù)���。
[0016]優(yōu)選的���,步驟1中,所定義的違規(guī)規(guī)則即為違規(guī)行為�����,采用以下兩種方式定義:第一類(lèi)���,對(duì)于無(wú)法取得操作具體文字內(nèi)容的操作行為���,采用元數(shù)據(jù),即標(biāo)題定義方式�����,定義該操作行為所對(duì)應(yīng)的違規(guī)行為:第二類(lèi)�,對(duì)于能夠取得操作具體文字內(nèi)容的操作行為,采用內(nèi)容級(jí)別的描述語(yǔ)言���,定義該操作行為所對(duì)應(yīng)的違規(guī)行為��。
[0017]優(yōu)選的���,所述違規(guī)行為審計(jì)策略是指:當(dāng)分析到指定賬戶(hù)發(fā)生指定的違規(guī)行為時(shí)�,需要記錄的審計(jì)數(shù)據(jù);所述非違規(guī)行為審計(jì)策略是指:當(dāng)分析到指定賬戶(hù)發(fā)生指定的非違規(guī)行為時(shí)���,需要記錄的審計(jì)數(shù)據(jù)。
[0018]優(yōu)選的�,步驟3之后,還包括:
[0019]預(yù)定義與每個(gè)帳戶(hù)ID分別對(duì)應(yīng)的告警策略����;當(dāng)監(jiān)控到指定帳戶(hù)ID發(fā)生對(duì)應(yīng)的違規(guī)行為時(shí),采用與帳戶(hù)ID對(duì)應(yīng)的告警策略進(jìn)行告警���。
[0020]優(yōu)選的�,步驟5之后����,還包括:
[0021]將發(fā)生違規(guī)行為所記錄的審計(jì)數(shù)據(jù)和發(fā)生非違規(guī)行所記錄的審計(jì)數(shù)據(jù)分區(qū)存儲(chǔ)。
[0022]本發(fā)明還提供一種應(yīng)用于操作行為審計(jì)系統(tǒng)的操作行為記錄系統(tǒng)����,包括:
[0023]違規(guī)規(guī)則定義模塊��,用于定義與每種操作行為分別對(duì)應(yīng)的至少一種違規(guī)規(guī)則���;
[0024]違規(guī)規(guī)則賬戶(hù)綁定模塊,用于將所述違規(guī)規(guī)則定義模塊所定義的違規(guī)規(guī)則綁定到對(duì)應(yīng)的帳戶(hù)ID;
[0025]賬戶(hù)審計(jì)策略定義模塊�,用于定義與每個(gè)帳戶(hù)ID分別對(duì)應(yīng)的行為審計(jì)策略;其中,所述行為審計(jì)策略包括違規(guī)行為審計(jì)策略和對(duì)非違規(guī)行為審計(jì)策略��;
[0026]操作行為內(nèi)容數(shù)據(jù)獲取模塊���,用于實(shí)時(shí)對(duì)指定帳戶(hù)ID所進(jìn)行的操作行為進(jìn)行監(jiān)控����,每當(dāng)發(fā)生操作行為時(shí)��,獲取操作行為內(nèi)容數(shù)據(jù)����;
[0027]賬戶(hù)違規(guī)規(guī)則獲取模塊,用于根據(jù)指定帳戶(hù)ID獲取該指定賬戶(hù)對(duì)應(yīng)的違規(guī)規(guī)則��;
[0028]違規(guī)性判斷模塊,用于判斷所述操作行為內(nèi)容數(shù)據(jù)是否發(fā)生屬于所述違規(guī)規(guī)則所定義的違規(guī)行為���;
[0029]審計(jì)數(shù)據(jù)記錄模塊�����,用于當(dāng)所述違規(guī)性判斷模塊判斷到發(fā)生違規(guī)行為時(shí)�,獲取與指定帳戶(hù)ID對(duì)應(yīng)的違規(guī)行為審計(jì)策略����,并基于所述違規(guī)行為審計(jì)策略記錄相應(yīng)的審計(jì)數(shù)據(jù)����;
[0030]還用于:當(dāng)所述違規(guī)性判斷模塊判斷到發(fā)生非違規(guī)行為時(shí),獲取與指定帳戶(hù)ID對(duì)應(yīng)的非違規(guī)行為審計(jì)策略�,并基于所述非違規(guī)行為審計(jì)策略記錄相應(yīng)的審計(jì)數(shù)據(jù)。
[0031]優(yōu)選的����,還包括:
[0032]告警策略定義模塊,用于預(yù)定義與每個(gè)帳戶(hù)ID分別對(duì)應(yīng)的告警策略��;
[0033]告警模塊���,用于當(dāng)監(jiān)控到指定帳戶(hù)ID發(fā)生對(duì)應(yīng)的違規(guī)行為時(shí)���,采用與帳戶(hù)ID對(duì)應(yīng)的告警策略進(jìn)行告警��。
[0034]本發(fā)明提供的應(yīng)用于操作行為審計(jì)系統(tǒng)的操作行為記錄方法及系統(tǒng)具有以下優(yōu)占.
[0035](1)由于對(duì)操作行為進(jìn)行了細(xì)粒度到某個(gè)行為內(nèi)容是否違規(guī)的判斷���,并定義了發(fā)生違規(guī)行為和非違規(guī)行為時(shí),采取不同的審計(jì)策略�。因此,與傳統(tǒng)審計(jì)操作系統(tǒng)相比�,在滿(mǎn)足審計(jì)要求的前提下,可明顯減少審計(jì)數(shù)據(jù)的記錄數(shù)量�����,降低了存儲(chǔ)空間的占用�����;
[0036](2)由于違規(guī)數(shù)據(jù)和非違規(guī)數(shù)據(jù)分區(qū)存儲(chǔ)���,有利于更為高效的進(jìn)行檢索����,提高數(shù)據(jù)檢索效率。
【附圖說(shuō)明】
[0037]圖1為本發(fā)明提供的應(yīng)用于操作行為審計(jì)系統(tǒng)的操作行為記錄方法的流程示意圖�����;
[0038]圖2為本發(fā)明提供的應(yīng)用于操作行為審計(jì)系統(tǒng)的操作行為記錄系統(tǒng)的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0039]為了使本發(fā)明所解決的技術(shù)問(wèn)題���、技術(shù)方案及有益效果更加清楚明白�����,以下結(jié)合附圖及實(shí)施例��,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明�。應(yīng)當(dāng)理解�,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明�,并不用于限定本發(fā)明。
[0040]本發(fā)明提供一種應(yīng)用于操作行為審計(jì)系統(tǒng)的操作行為記錄方法����,主要思路為:預(yù)定義每種操作行為的違規(guī)行為;然后,對(duì)于監(jiān)控到的每個(gè)操作行為����,首先進(jìn)行違規(guī)性判斷���,如果為違規(guī)操作行為,則采取與違規(guī)操作行為對(duì)應(yīng)的審計(jì)策略記錄相關(guān)的審計(jì)數(shù)據(jù);而如果為非違規(guī)操作行為�����,則采取另一種與非違規(guī)操作行為對(duì)應(yīng)的審計(jì)策略記錄相關(guān)的審計(jì)數(shù)據(jù)���。由于針對(duì)操作行為是否違規(guī)��,采取了不同的審計(jì)策略���,從而可解決傳統(tǒng)技術(shù)存在的將所有操作行為均記錄而帶來(lái)的相關(guān)問(wèn)題。
[0041]具體的�,結(jié)合圖1,本發(fā)明提供一種應(yīng)用于操作行為審計(jì)系統(tǒng)的操作行為記錄方法����,包括以下步驟:
[0042]步驟1,定義與每種操作行為分別對(duì)應(yīng)的至少一種違規(guī)規(guī)則;并將所制定的違規(guī)規(guī)則與各個(gè)帳戶(hù)ID綁定�;
[0043]本步驟中,所定義的違規(guī)規(guī)則即為違規(guī)行為��,并且,本發(fā)明中���,只需要定義違規(guī)行為��,不需要定義非違規(guī)行為�����。此外�,采用以下兩種方式定義違規(guī)行為:第一類(lèi)����,對(duì)于無(wú)法取得操作具體文字內(nèi)容的操作行為,采用元數(shù)據(jù)�,即標(biāo)題定義方式,定義該操作行為所對(duì)應(yīng)的違規(guī)行為:第二類(lèi)�����,對(duì)于能夠取得操作具體文字內(nèi)容的操作行為�,采用內(nèi)容級(jí)別的描述語(yǔ)言�,定義該操作行為所對(duì)應(yīng)的違規(guī)行為。
[0044]本發(fā)明中��,將違規(guī)規(guī)則與帳戶(hù)ID綁定的原因?yàn)?因?yàn)橘~戶(hù)對(duì)應(yīng)于員工身份,所以��,各個(gè)賬戶(hù)違規(guī)后采取的處理手段可以是不相同的����,所以,需要將違規(guī)規(guī)則與帳戶(hù)ID綁定����,更為符合實(shí)際管理需求。
[0045]步驟2��,定義與每個(gè)帳戶(hù)ID分別對(duì)應(yīng)的行為審計(jì)策略;其中�,行為審計(jì)策略包括違規(guī)行為審計(jì)策略和對(duì)非違規(guī)行為審計(jì)策略;
[0046]具體的�����,違規(guī)行為審計(jì)策略是指:當(dāng)分析到指定賬戶(hù)發(fā)生指定的違規(guī)行為時(shí)�,需要記錄的審計(jì)數(shù)據(jù);非違規(guī)行為審計(jì)策略是指:當(dāng)分析到指定賬戶(hù)發(fā)生指定的非違規(guī)行為時(shí),需要記錄的審計(jì)數(shù)據(jù)���。
[0047]其中����,審計(jì)數(shù)據(jù)包括:標(biāo)題元數(shù)據(jù)、應(yīng)用窗口內(nèi)容以及操作行為發(fā)生時(shí)的視頻幀�����。
[0048]例如�,違規(guī)行為審計(jì)策略可定義為:當(dāng)分析到指定賬戶(hù)發(fā)生指定的違規(guī)行為時(shí),需要記錄的審計(jì)數(shù)據(jù)為標(biāo)題元數(shù)據(jù)�、應(yīng)用窗口內(nèi)容以及操作行為發(fā)生時(shí)的視頻幀;非違規(guī)行為審計(jì)策略是指:當(dāng)分析到指定賬戶(hù)發(fā)生指定的非違規(guī)行為時(shí),需要記錄的審計(jì)數(shù)據(jù)為標(biāo)題元數(shù)據(jù)���、應(yīng)用窗口內(nèi)容�����,不需要記錄操作行為發(fā)生時(shí)的視頻幀����。
[0049]也就是說(shuō)�����,本發(fā)明根據(jù)操作行為是否違規(guī)���,而區(qū)分不同的審計(jì)策略�。而通常情況下�����,用戶(hù)一般只對(duì)違反規(guī)則下的操作行為更為感興趣�����,所以�,當(dāng)出現(xiàn)違反規(guī)則的操作行為時(shí),本發(fā)明將全部的審計(jì)數(shù)據(jù)均記錄下來(lái);而當(dāng)出現(xiàn)非違反規(guī)則的操作行為時(shí)����,只簡(jiǎn)單記錄標(biāo)題元數(shù)據(jù)和應(yīng)用窗口內(nèi)容,而不記錄操作行為發(fā)生時(shí)的視頻幀�����,從而減少存儲(chǔ)空間的占用�����。
[0050]另外����,本發(fā)明配置有自定義模塊��,用戶(hù)可針對(duì)賬戶(hù)對(duì)其違規(guī)后的數(shù)據(jù)記錄行為進(jìn)行自定義��。
[0051]步驟3�����,實(shí)時(shí)對(duì)指定帳戶(hù)ID所進(jìn)行的操作行為進(jìn)行監(jiān)控���,每當(dāng)發(fā)生操作行為時(shí),獲取操作行為內(nèi)容數(shù)據(jù)���;
[0052]然后�,根據(jù)指定帳戶(hù)ID獲取該指定賬戶(hù)對(duì)應(yīng)的違規(guī)規(guī)則;然后���,判斷操作行為內(nèi)容數(shù)據(jù)是否發(fā)生屬于違規(guī)規(guī)則所定義的違規(guī)行為�,如果判斷結(jié)果為是����,則執(zhí)行步驟4;否則,執(zhí)行步驟5 ����;
[0053]步驟4�,獲取與指定帳戶(hù)ID對(duì)應(yīng)的違規(guī)行為審計(jì)策略�����,并基于違規(guī)行為審計(jì)策略記錄相應(yīng)的審計(jì)數(shù)據(jù)�;
[0054]步驟5���,獲取與指定帳戶(hù)ID對(duì)應(yīng)的非違規(guī)行為審計(jì)策略��,并基于非違規(guī)行為審計(jì)策略記錄相應(yīng)的審計(jì)數(shù)據(jù)�。
[0055]此外��,步驟3之后�����,還包括:
[0056]預(yù)定義與每個(gè)帳戶(hù)ID分別對(duì)應(yīng)的告警策略�;當(dāng)監(jiān)控到指定帳戶(hù)ID發(fā)生