应用于操作行为审计系统的操作行为记录方法及系统的制作方法
【技术领域】
[0001]本发明属于操作行为审计技术领域,具体涉及一种应用于操作行为审计系统的操作行为记录方法及系统。
【背景技术】
[0002]操作行为审计系统是一种保护企业内部信息安全,防止企业内部信息外泄的系统,为银行、证券基金公司、电信公司、涉密单位等对安全等级要求较高的行业带来了安全保障。
[0003]传统的操作行为审计系统中,所采取的记录策略为:将捕捉到的所有操作行为数据均记录下来,包括应用名称、标题元数据、应用窗口内容以及操作行为发生时的视频帧等。
[0004]上述操作行为数据记录方法存在以下不足:
[0005](1)当需要对所记录的操作行为数据进行数据查找时,例如,系统管理员在通过审计系统对问题进行定位为目的的数据检索时,需要使用大量的检索操作,占用了系统管理员大量的时间,具有查找效率低的问题;
[0006](2)由于审计策略只能到应用级进行针对性的存储设置,导致指定应用的审计策略后,也会记录大量的用户不想要的无效数据,占用了大量的存储空间。
【发明内容】
[0007]针对现有技术存在的缺陷,本发明提供一种应用于操作行为审计系统的操作行为记录方法及系统,可有效解决上述问题。
[0008]本发明采用的技术方案如下:
[0009]本发明提供一种应用于操作行为审计系统的操作行为记录方法,包括以下步骤:
[0010]步骤1,定义与每种操作行为分别对应的至少一种违规规则;并将所制定的违规规则与各个帐户ID绑定;
[0011 ]步骤2,定义与每个帐户ID分别对应的行为审计策略;其中,所述行为审计策略包括违规行为审计策略和对非违规行为审计策略;
[0012]步骤3,实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据;
[0013]然后,根据指定帐户ID获取该指定账户对应的违规规则;然后,判断所述操作行为内容数据是否发生属于所述违规规则所定义的违规行为,如果判断结果为是,则执行步骤4;否则,执行步骤5;
[0014]步骤4,获取与指定帐户ID对应的违规行为审计策略,并基于所述违规行为审计策略记录相应的审计数据;
[0015]步骤5,获取与指定帐户ID对应的非违规行为审计策略,并基于所述非违规行为审计策略记录相应的审计数据。
[0016]优选的,步骤1中,所定义的违规规则即为违规行为,采用以下两种方式定义:第一类,对于无法取得操作具体文字内容的操作行为,采用元数据,即标题定义方式,定义该操作行为所对应的违规行为:第二类,对于能够取得操作具体文字内容的操作行为,采用内容级别的描述语言,定义该操作行为所对应的违规行为。
[0017]优选的,所述违规行为审计策略是指:当分析到指定账户发生指定的违规行为时,需要记录的审计数据;所述非违规行为审计策略是指:当分析到指定账户发生指定的非违规行为时,需要记录的审计数据。
[0018]优选的,步骤3之后,还包括:
[0019]预定义与每个帐户ID分别对应的告警策略;当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。
[0020]优选的,步骤5之后,还包括:
[0021]将发生违规行为所记录的审计数据和发生非违规行所记录的审计数据分区存储。
[0022]本发明还提供一种应用于操作行为审计系统的操作行为记录系统,包括:
[0023]违规规则定义模块,用于定义与每种操作行为分别对应的至少一种违规规则;
[0024]违规规则账户绑定模块,用于将所述违规规则定义模块所定义的违规规则绑定到对应的帐户ID;
[0025]账户审计策略定义模块,用于定义与每个帐户ID分别对应的行为审计策略;其中,所述行为审计策略包括违规行为审计策略和对非违规行为审计策略;
[0026]操作行为内容数据获取模块,用于实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据;
[0027]账户违规规则获取模块,用于根据指定帐户ID获取该指定账户对应的违规规则;
[0028]违规性判断模块,用于判断所述操作行为内容数据是否发生属于所述违规规则所定义的违规行为;
[0029]审计数据记录模块,用于当所述违规性判断模块判断到发生违规行为时,获取与指定帐户ID对应的违规行为审计策略,并基于所述违规行为审计策略记录相应的审计数据;
[0030]还用于:当所述违规性判断模块判断到发生非违规行为时,获取与指定帐户ID对应的非违规行为审计策略,并基于所述非违规行为审计策略记录相应的审计数据。
[0031]优选的,还包括:
[0032]告警策略定义模块,用于预定义与每个帐户ID分别对应的告警策略;
[0033]告警模块,用于当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。
[0034]本发明提供的应用于操作行为审计系统的操作行为记录方法及系统具有以下优占.
[0035](1)由于对操作行为进行了细粒度到某个行为内容是否违规的判断,并定义了发生违规行为和非违规行为时,采取不同的审计策略。因此,与传统审计操作系统相比,在满足审计要求的前提下,可明显减少审计数据的记录数量,降低了存储空间的占用;
[0036](2)由于违规数据和非违规数据分区存储,有利于更为高效的进行检索,提高数据检索效率。
【附图说明】
[0037]图1为本发明提供的应用于操作行为审计系统的操作行为记录方法的流程示意图;
[0038]图2为本发明提供的应用于操作行为审计系统的操作行为记录系统的结构示意图。
【具体实施方式】
[0039]为了使本发明所解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0040]本发明提供一种应用于操作行为审计系统的操作行为记录方法,主要思路为:预定义每种操作行为的违规行为;然后,对于监控到的每个操作行为,首先进行违规性判断,如果为违规操作行为,则采取与违规操作行为对应的审计策略记录相关的审计数据;而如果为非违规操作行为,则采取另一种与非违规操作行为对应的审计策略记录相关的审计数据。由于针对操作行为是否违规,采取了不同的审计策略,从而可解决传统技术存在的将所有操作行为均记录而带来的相关问题。
[0041]具体的,结合图1,本发明提供一种应用于操作行为审计系统的操作行为记录方法,包括以下步骤:
[0042]步骤1,定义与每种操作行为分别对应的至少一种违规规则;并将所制定的违规规则与各个帐户ID绑定;
[0043]本步骤中,所定义的违规规则即为违规行为,并且,本发明中,只需要定义违规行为,不需要定义非违规行为。此外,采用以下两种方式定义违规行为:第一类,对于无法取得操作具体文字内容的操作行为,采用元数据,即标题定义方式,定义该操作行为所对应的违规行为:第二类,对于能够取得操作具体文字内容的操作行为,采用内容级别的描述语言,定义该操作行为所对应的违规行为。
[0044]本发明中,将违规规则与帐户ID绑定的原因为:因为账户对应于员工身份,所以,各个账户违规后采取的处理手段可以是不相同的,所以,需要将违规规则与帐户ID绑定,更为符合实际管理需求。
[0045]步骤2,定义与每个帐户ID分别对应的行为审计策略;其中,行为审计策略包括违规行为审计策略和对非违规行为审计策略;
[0046]具体的,违规行为审计策略是指:当分析到指定账户发生指定的违规行为时,需要记录的审计数据;非违规行为审计策略是指:当分析到指定账户发生指定的非违规行为时,需要记录的审计数据。
[0047]其中,审计数据包括:标题元数据、应用窗口内容以及操作行为发生时的视频帧。
[0048]例如,违规行为审计策略可定义为:当分析到指定账户发生指定的违规行为时,需要记录的审计数据为标题元数据、应用窗口内容以及操作行为发生时的视频帧;非违规行为审计策略是指:当分析到指定账户发生指定的非违规行为时,需要记录的审计数据为标题元数据、应用窗口内容,不需要记录操作行为发生时的视频帧。
[0049]也就是说,本发明根据操作行为是否违规,而区分不同的审计策略。而通常情况下,用户一般只对违反规则下的操作行为更为感兴趣,所以,当出现违反规则的操作行为时,本发明将全部的审计数据均记录下来;而当出现非违反规则的操作行为时,只简单记录标题元数据和应用窗口内容,而不记录操作行为发生时的视频帧,从而减少存储空间的占用。
[0050]另外,本发明配置有自定义模块,用户可针对账户对其违规后的数据记录行为进行自定义。
[0051]步骤3,实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据;
[0052]然后,根据指定帐户ID获取该指定账户对应的违规规则;然后,判断操作行为内容数据是否发生属于违规规则所定义的违规行为,如果判断结果为是,则执行步骤4;否则,执行步骤5 ;
[0053]步骤4,获取与指定帐户ID对应的违规行为审计策略,并基于违规行为审计策略记录相应的审计数据;
[0054]步骤5,获取与指定帐户ID对应的非违规行为审计策略,并基于非违规行为审计策略记录相应的审计数据。
[0055]此外,步骤3之后,还包括:
[0056]预定义与每个帐户ID分别对应的告警策略;当监控到指定帐户ID发生