一种支持业务安全标记的文件操作审计方法及装置与流程

本发明涉及一种文件操作审计方法及装置，尤其涉及一种基于业务安全标记的文件操作审计方法及装置，属于计算机信息安全领域。

背景技术：

目前的主机监控与审计产品大多数可以做到对文件的操作进行实时监控和审计，公开号cn1881213b的专利申请公开了一种文档审计跟踪系统，包括：数据通信装置，所述数据通信装置包括文档数据输入装置，所述文档数据输入装置用于接收代表相关文档的历史特性的文档数据；适于在文档数据和代表其编码的直观表示的标记数据之间进行转换的转换装置；数据通信装置还包括适于和相关的文档处理装置交换标记数据的装置，所述文档处理装置包括打印机、扫描仪、复印机、传真机、多功能外围设备以及客户应用程序中的至少一个；适于接收代表用户指定的用于相关文档的文档处理操作的文档处理指令的装置；适于根据接收到的文档处理指令产生文档数据的装置；检测装置，所述检测装置适于检测相关文档的标记或已编码的跟踪数据，所述已编码的跟踪数据表示与在相关文档上执行的文档处理操作的历史；适于收集跟踪数据的装置；适于将标记应用于相关文档的装置，所述标记表示与用户指定的文档处理操作或跟踪数据有关的经过编码的信息；以及重现装置，所述重现装置适于生成与接收到的文档数据相对应的实际的文档输出，实际的文档包括标记。

目前现有的文件操作审计均无法高效区分文件的业务类别，难以按照业务安全要求对超出业务授权的异常访问操作进行精准发现。

技术实现要素：

针对目前文件操作审计方法难以对超出业务授权的异常操作进行精准发现等问题，本发明的目的在于提出一种基于安全标记的文件操作审计方法，通过匹配检查主体及文件的业务安全标记发现文件异常操作。

本发明的思路是：本发明基于文件的业务安全属性及进程等的业务安全属性对文件操作行为进行检查，发现文件的异常操作行为。本发明通过监控进程对文件操作的请求，识别进程与文件的业务安全标记；对进程与文件的业务安全标记进行匹配检查，从而判断进程是否允许对文件进行相关操作。

为实现上述目的，本发明提供基于业务安全标记的文件操作审计方法，具体步骤如下：

步骤1：识别进程与文件的业务安全标记。监控各类进程或服务对文件的操作行为，分别识别进程和文件的业务安全标记。如果进程或文件不带有业务安全标记，则记录进程对文件的操作，生成安全日志，否则进入步骤2。

步骤2：匹配检查进程与文件的业务安全标记。对进程的业务安全标记与其访问的文件的业务安全标记进行匹配检查，如果不匹配，进入步骤3；如果匹配，则进一步检查文件的业务安全标记内是否设置了相应的操作控制要求，若标记内设置了某些特定操作的控制要求(如禁止打印、禁止刻录等)，则记录对文件执行这些特定操作。

步骤3：记录进程对文件的操作及匹配检查结果，生成安全日志。

预设信息1：文件应具有业务安全标记，表明文件的安全级别、业务类别、环境要求、操作控制要求等业务安全属性。

预设信息2：进程应配置有业务安全标记，表明其安全等级、业务类别等业务安全属性。

为实现以上的目的，本发明还提供了一种支持业务安全标记的文件操作审计装置，包括文件操作监控模块、标记识别与匹配模块，其特征在于：

文件操作监控模块：用于监控各类进程对文件的操作行为。

标记识别与匹配模块：识别进程与文件的业务安全标记，匹配检查进程与文件的业务安全标记，对文件的异常操作行为进行审计。

与现有技术相比，本发明的积极效果为：

本发明提供的支持业务安全标记的文件操作审计方法，可有效识别进程和文件的业务安全标记，并依据文件的业务安全属性与进程的业务安全属性对文件访问操作进行审计，可有效发现进程超出业务授权指定的业务安全属性值访问该授权范围之外的文件，并能根据文件的操作控制属性限制进程对其执行特定的操作。

附图说明

图1为本发明实例提供的支持业务安全标记的文件操作审计方法流程图；

图2为本发明实例提供的支持业务安全标记的文件操作审计装置图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的实施例仅用于说明和解释本发明，并不用于限定本发明。

图1为支持业务安全标记的文件监控与审计方法流程示意图，下面将参考图1，对本发明的基于业务安全标记的文件监控与审计方法详述：

1、业务安全标记说明

业务安全标记m为一个包含多种业务安全属性的多元组，m＝<c，g，f>。其中c为安全级别；g为多个业务安全属性gi的集合，g＝{g1,g2,…gn}，gi可以为业务类别、工作组、角色、环境要求等业务安全属性；f为操作控制属性fj的集合，f＝{f1,f2,…fm}，fj可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。

数据等信息对象(资源)r的业务安全标记记为m(r)＝<cr，gr，fr>，应用、服务和进程等系统对象(主体)o的业务安全标记记为m(o)＝<co，go>。主体标记m(o)与资源标记m(r)之间的关系有两种：支配关系与不可比。标记m(o)支配标记m(r)，当co≥cr且我们记为m(o)≥m(r)，表示主体可支配客体。如果m(o)与m(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体。如果则主体应根据该标记包含的具体操作控制属性fj限制对资源进行相应操作。

根据上述抽象定义，在本实施例中进程的业务安全标记可定为m(p)＝<cp，gp>，文件的业务安全标记可定为m(f)＝<cf，gf，ff>。

2、识别进程与文件的业务安全标记

监控各类进程或服务对文件的操作行为，识别调用请求的进程的业务安全标记m(p)以及文件的业务安全标记m(f)。如果进程或文件不带有业务安全标记，则记录进程对文件的操作，生成安全日志。

3、匹配检查进程与文件的业务安全标记

对进程的业务安全标记m(p)和文件的业务安全标记m(f)进行匹配检查，若m(p)≥m(f)则匹配成功，执行如下的操作控制属性检查；若匹配不成功，则跳转到步骤3。

操作控制属性检查规则：设进程对文件执行的操作为a，如果且a∈ff，则记录对文件执行的该操作。

4、记录进程对文件的操作行为及匹配检查结果

记录进程对文件的访问操作结果，生成安全日志。安全日志中至少需要包含进程和文件名称、操作行为、相关业务安全标记及标记匹配检查结果等信息。

5、对匹配检查未通过的文件操作行为进行管控。

此步骤对于文件操作审计方法来说是非必要的步骤，但是可以使得文件操作审计功能更全面。具体表现为：若进程和文件的业务安全标记不匹配，则禁止进程对文件执行请求的操作；若匹配成功后进一步检查发现且a∈ff，则不允许对文件执行a操作。

图2是支持业务安全标记的文件操作审计装置示意图，下面结合图2对该装置进行说明

文件操作监控模块：用于监控进程对文件的操作行为，针对不同的操作行为监听不同的调用请求。针对文件的创建、访问、删除等操作，需要截获进程对操作系统中文件操作的api函数的调用请求；针对文件的打印、刻录等操作，需要监听调用系统服务端口、进程等的请求。

标记识别与匹配模块：用于识别进程与文件的业务安全标记，匹配检查进程与文件的业务安全标记，判断进程对文件的异常操作行为并记录日志，该模块包含安全标记识别功能和安全标记匹配检查功能。针对文件的创建、访问、删除等操作，识别进程的业务安全标记以和文件的业务安全标记，并进行匹配检查；针对文件的打印、刻录等操作，识别打印进程的业务安全标记以及文件的业务安全标记，匹配检查支配关系后，还需进一步检查判定文件的操作控制要求。

尽管为说明目的公开了本发明的具体内容以及附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。