专利名称:基于Web代理的HTTP/HTTPS行为管控的审计方法
基于Web代理的HTTP/HTTPS行为管控的审计方法
技术领域:
本发明具体涉及ー种基于Web代理的HTTP/HTTPS行为管控的审计方法。
背景技木现有的基于Web代理的HTTP/HTTPS审计装置和用户端配置是——对应的,当用户要访问被托管的ー业务系统(指OA(办公自动化)、CRM(客户关系管理系统)或ERP(企业资源计划)等类管理信息系统。)时必须先通过代理服务器,才可以访问,每新加或去除一审计装置,使用该审计装置的所有用户端都必须进行配置修改才可以使用,如有al、a2、a3、a4、a5五个业务系统被托管,目前只有一台审计装置BI进行审计,而审计装置B I只审计对al、a2、a3的访问,目前用户端上的代理地址设的是BI ;当要新加一台审计装置B2来审计对a4、a5的访问,那么如果要访问a4、a5这两个业务系统时,必须把代理服务器设置成 B2。因而,现有的基于Web代理的HTTP/HTTPS审计装置要求用户修改代理服务器地址,修改方式为打开控制面板一选择Inernet选项一局域网设置一输入代理服务器IP和端口号。设定好WEB代理服务器后,用户会被要求登陆代理服务器,经过认证授权后才可以访问被托管的业务系统。如果用户要访问另一非托管的业务系统时,必须删除现有代理服务器的地址,重新配置代理服务器地址,才可进行访问,因此用户在访问被托管的业务系统和非托管的业务系统时必须进行频繁的代理服务器地址的配置切換。
发明内容本发明所要解决的技术问题在于提供一种基于Web代理的HTTP/HTTPS行为管控的审计方法,无需用户端频繁地更改代理服务器的配置。本发明是通过以下技术方案解决上述技术问题的一种基于Web代理的HTTP/HTTPS行为管控的审计方法,所述审计方法配置有ー注册管理模块、一安全策略库模块、一数据监听模块、一数据分析模块和一审计控制模块;所述安全策略库模块中定义有监听策略、页面访问控制策略、上传策略和下载策略;所述监听策略包括需被监听的服务器的IP和端ロ ;所述上传策略包括各使用者的上传权限,所述上传权限为各使用者能上传的文件名规则和文件内容规则;所述下载策略包括各使用者的下载权限,所述下载权限为各使用者能下载的文件名规则;所述审计方法具体包括以下步骤步骤100 :用户在所述注册管理模块上填写注册信息,进行实名注册;然后根据所述注册信息进行登录,并选择要访问的服务器;所述注册信息包括帐号、用户真实姓名和用户的IP ;步骤200 :所述数据监听模块从安全策略库模块中获取监听策略,并根据所述监听策略监听服务器,将用户访问该服务器上的业务系统所产生的数据包进行捕获,然后数据监听模块还原出所述数据包的网络数据,并将所述数据包和用户的IP做关联,从而使数据包和用户真实姓名进行关联,然后将所述网络数据发送给数据分析模块;步骤300 :所述数据分析模块根据HTTP协议和HTTPS协议分析所述步骤200得到的网络数据,从中分析出用户的HTTP/HTTPS请求事件;所述请求事件包括如下三种当请求事件为访问某个网页时,则将该用户和所述网页的地址与安全策略库模块中的页面访问控制策略进行匹配,判断请求事件是否合法,若是,则执行步骤400 ;若否,则向所述审计控制模块发送阻断指令,并执行步骤500 ;
当请求事件为上传文件时,则将该文件与所述上传策略中的该用户的上传权限进行匹配,分别根据文件名规则和文件内容规则判断该文件的文件名格式、文件内容是否合法,若是,则允许该用户上传该文件,并执行步骤400 ;若否,则向所述审计控制模块发送阻断指令,并执行步骤500;当请求事件为下载文件时,则将该文件与所述下载策略中的该用户的下载权限进行匹配,根据文件名规则判断该用户是否有权限下载所述文件,若是,则允许该用户下载所述文件,并执行步骤400 ;若否,则向所述审计控制模块发送阻断指令,并执行步骤500 ;步骤400 :所述审计控制模块记录该用户的操作行为,并结束流程;步骤500 :所述审计控制模块利用TCP网络协议的特性,向通信的双方伪造断开连接的报文,強制切断非法的网络连接,然后记录用户的操作行为,并结束流程。进ー步地,所述页面访问控制策略包含敏感网页的URL地址、允许访问所述敏感网页的人员名单,禁止访问所述敏感网页的人员名単;所述步骤300中的当请求事件为访问某个网页时,则将该用户和所述网页的地址与安全策略库模块中的页面访问控制策略进行匹配具体为将所述网页的地址与所述敏感网页的URL地址进行匹配,同时将该用户与所述允许访问所述敏感网页的人员名单或与所述禁止访问所述敏感网页的人员名单进行匹配。本发明的有益效果在于与现有的审计装置相比,本发明的审计装置无需在用户端设置代理服务器地址,无需用户端频繁地更改代理服务器的配置;本发明从用户、业务系统角色两个维度对业务系统的访问做统ー授权,按照最小权限原则分配;本发明可以实现将每一条操作记录都和用户真实姓名对应,进行实名审计;本发明能实现对异常访问、非法的越权操作及时进行阻断;本发明可以实现按照最小审计粒度的原则记录用户的操作行为,从而全面监测各种非法操作及合法用户的违规操作。
下面參照附图结合实施例对本发明作进ー步的描述。图I为本发明的审计装置的框架图。
具体实施方式请參阅图1,一种基于Web代理的HTTP/HTTPS行为管控的审计方法,所述审计方法配置有ー注册管理模块、一安全策略库模块、一数据监听模块、一数据分析模块和ー审计控制模块;所述安全策略库模块中定义有监听策略、页面访问控制策略、上传策略和下载策略;所述监听策略包括需被监听的服务器的IP和端ロ,所述服务器上运行有业务系统,所述业务系统指OA (办公自动化)、CRM(客户关系管理系统),ERP (企业资源计划)等类管理信息系统;所述页面访问控制策略包含敏感网页(如防火墙、业务系统的配置网页)的URL地址、允许访问所述敏感网页的人员名单,禁止访问所述敏感网页的人员名単;所述上传策略包括各使用者的上传权限,所述上传权限为各使用者能上传的文件名规则和文件内容规则;所述下载策略包括各使用者的下载权限,所述下载权限为各使用者能下载的文件名规则;
请再參阅图I,所述审计方法具体包括以下步骤步骤100 :用户在所述注册管理模块上填写注册信息,进行实名注册;然后根据所述注册信息进行登录,并选择要访问的服务器;所述注册信息包括帐号、用户真实姓名和用户的IP;所述账号必须和用户真实姓名一一对应。步骤200 :所述数据监听模块从安全策略库模块中获取监听策略,并根据所述监听策略监听服务器,将用户访问该服务器上的业务系统所产生的数据包进行捕获,然后数据监听模块还原出所述数据包的网络数据,并将所述数据包和用户的IP做关联,从而使数据包和用户真实姓名进行关联,然后将所述网络数据发送给数据分析模块。步骤300 :所述数据分析模块根据HTTP协议和HTTPS协议分析所述步骤200得到的网络数据,从中分析出用户的HTTP/HTTPS请求事件;所述请求事件包括如下三种(I)当请求事件为访问某个网页时,则将该用户和所述网页的地址与安全策略库模块中的页面访问控制策略进行匹配,即将所述网页的地址与所述敏感网页的URL地址进行匹配,同时将该用户与所述允许访问所述敏感网页的人员名单或与所述禁止访问所述敏感网页的人员名单进行匹配,判断请求事件是否合法,若是,则执行步骤400;若否,则向所述审计控制模块发送阻断指令,并执行步骤500。(2)当请求事件为上传文件吋,则将该文件与所述上传策略中的该用户的上传权限进行匹配,分别根据文件名规则和文件内容规则判断该文件的文件名格式、文件内容是否合法,若是,则允许该用户上传该文件,并执行步骤400 ;若否,则向所述审计控制模块发送阻断指令,并执行步骤500。(3)当请求事件为下载文件吋,则将该文件与所述下载策略中的该用户的下载权限进行匹配,根据文件名规则判断该用户是否有权限下载所述文件,若是,则允许该用户下载所述文件,并执行步骤400 ;若否,则向所述审计控制模块发送阻断指令,并执行步骤500。例如A是管理员,他可以上传和下载用户信息文件,而用户信息文件的文件名中含有关键字CRM. xlc ;而B是普通用户,他只能查询用户信息文件,若他要下载含有关键字CRM. xlc的文件名,就会被拦截。步骤400 :所述审计控制模块记录该用户的操作行为,并结束流程;即记录用户的访问记录,记录文件上传记录,或记录文件下载记录,以提供历史报表,供审计用;步骤500 :所述审计控制模块利用TCP网络协议的特性,向通信的双方伪造断开连接的报文,強制切断非法的网络连接,然后记录用户的操作行为,并结束流程。与现有的审计装置相比,本发明的审计装置无需在用户端设置代理服务器地址,无需用户端频繁地更改代理服务器的配置,只需登录本发明的审计装置即可;本发明从用户、业务系统角色两个维度对业务系统的访问做统ー授权,按照最小权限原则分配,即每个用户的访问权限仅按照他的需要进行分配,例如XX用户,从他的工作角度出发,他只需要可以访问A、B两个网站,因此按照‘按照最小权限原则’不能给他分配整个网络的访问权限。本发明可以实现将每一条操作记录都和用户真实姓名对应,进行实名审计;本发明能实现对异常访问、非法的越权操作及时进行阻断;本发明可以实现按照最小审计粒度的原则 记录用户的操作行为,从而全面监测各种非法操作及合法用户的违规操作,即可以细到用户在某个网页的某个操作,如可以记录下用户在A页面内下载某个文件。
权利要求
1.一种基于Web代理的HTTP/HTTPS行为管控的审计方法,其特征在于所述审计方法配置有ー注册管理模块、一安全策略库模块、一数据监听模块、一数据分析模块和ー审计控制模块;所述安全策略库模块中定义有监听策略、页面访问控制策略、上传策略和下载策略; 所述监听策略包括需被监听的服务器的IP和端ロ ;所述上传策略包括各使用者的上传权限,所述上传权限为各使用者能上传的文件名规则和文件内容规则;所述下载策略包括各使用者的下载权限,所述下载权限为各使用者能下载的文件名规则; 所述审计方法具体包括以下步骤 步骤100 :用户在所述注册管理模块上填写注册信息,进行实名注册;然后根据所述注册信息进行登录,并选择要访问的服务器;所述注册信息包括帐号、用户真实姓名和用户的IP ; 步骤200 :所述数据监听模块从安全策略库模块中获取监听策略,并根据所述监听策略监听服务器,将用户访问该服务器上的业务系统所产生的数据包进行捕获,然后数据监听模块还原出所述数据包的网络数据,并将所述数据包和用户的IP做关联,从而使数据包和用户真实姓名进行关联,然后将所述网络数据发送给数据分析模块; 步骤300 :所述数据分析模块根据HTTP协议和HTTPS协议分析所述步骤200得到的网络数据,从中分析出用户的HTTP/HTTPS请求事件;所述请求事件包括如下三种 当请求事件为访问某个网页时,则将该用户和所述网页的地址与安全策略库模块中的页面访问控制策略进行匹配,判断请求事件是否合法,若是,则执行步骤400 ;若否,则向所述审计控制模块发送阻断指令,并执行步骤500 ; 当请求事件为上传文件时,则将该文件与所述上传策略中的该用户的上传权限进行匹配,分别根据文件名规则和文件内容规则判断该文件的文件名格式、文件内容是否合法,若是,则允许该用户上传该文件,并执行步骤400 ;若否,则向所述审计控制模块发送阻断指令,并执行步骤500 ; 当请求事件为下载文件时,则将该文件与所述下载策略中的该用户的下载权限进行匹配,根据文件名规则判断该用户是否有权限下载所述文件,若是,则允许该用户下载所述文件,并执行步骤400 ;若否,则向所述审计控制模块发送阻断指令,并执行步骤500 ; 步骤400 :所述审计控制模块记录该用户的操作行为,并结束流程; 步骤500 :所述审计控制模块利用TCP网络协议的特性,向通信的双方伪造断开连接的报文,強制切断非法的网络连接,然后记录用户的操作行为,并结束流程。
2.如权利要求I所述的基于Web代理的HTTP/HTTPS行为管控的审计方法,其特征在干所述页面访问控制策略包含敏感网页的URL地址、允许访问所述敏感网页的人员名単,禁止访问所述敏感网页的人员名单;所述步骤300中的当请求事件为访问某个网页时,则将该用户和所述网页的地址与安全策略库模块中的页面访问控制策略进行匹配具体为将所述网页的地址与所述敏感网页的URL地址进行匹配,同时将该用户与所述允许访问所述敏感网页的人员名单或与所述禁止访问所述敏感网页的人员名单进行匹配。
全文摘要
本发明提供了一种基于Web代理的HTTP/HTTPS行为管控的审计方法,所述审计方法配置有一注册管理模块、一安全策略库模块、一数据监听模块、一数据分析模块和一审计控制模块;所述安全策略库模块中定义有监听策略、页面访问控制策略、上传策略和下载策略;本发明能从用户的访问数据包中提取用户的访问列表、Web系统的响应内容,能实现用户的上传/下载权限授权、上传下载文件的审批、异常事件的阻断等,本发明解决了现有的审计装置存在的需在用户端设置代理服务器地址,需用户端频繁地更改代理服务器配置的问题。
文档编号H04L29/06GK102868738SQ201210317359
公开日2013年1月9日 申请日期2012年8月30日 优先权日2012年8月30日
发明者蒋锋, 范清华, 陈冬冬, 涂大志, 潘颖 申请人:福建富士通信息软件有限公司