专利名称:基于rdp远程协议跳板机审计数据定位回放系统及方法
技术领域:
本发明属于计算机及网络安全审计技术领域,涉及一种运维审计的架构技术,具体的说是一种基于RDP远程协议的跳板机审计定位回放系统及方法。
背景技术:
随着计算机及网络技术的发展,越来越多的领域应用了计算机及网络,甚至许多领域基本上完全依赖计算机及网络,尤其是计算机及网络非常密集的领域,例如电信机房、 数据中心、银行等,对计算机及网络的运行维护,有着非常高的要求,同时对运维的审计需求,也日益增长。目前常用的运维主要有TELNET、SSH、VNC、RDP、KVM等方式。由于方式多样、且由于加密等条件的限制,其审计一般采用插件方式实现。但是客户端环境的多样化、 用户的随意使用、恶意破坏等,都给插件本身的兼容性、健壮性等带来挑战。另外审计数据需要实时传输到审计数据存储设备中,大量的客户端同时传输对带宽也会造成压力。RDP协议是微软公司Microsoft设计并在其Windows操作系统实现了服务器和客户端,故基于RDP 协议的跳板机模式,能够较好的解决插件部署及升级、带宽的占用等问题。通过申请人研究发现影响插件兼容性的主要因素在⑴客户端操作系统的多样性WIN2000、WINXP、WIN2003、WIN7、等等;⑵客户端浏览器的多样性IE6、IE7、IE8、等等;客户端其他软件的多样性防火墙、杀毒软件等等。
发明内容
本发明所要解决的技术问题是,针对以上现有技术存在的缺点,提出一种基于RDP 远程协议的跳板机审计定位回放系统及方法,可以实现客户端不需要安装审计插件,只需访问审计主机(跳板机)进行运维操作并被审计,具有较高的兼容性和健壮性,对网络带宽等资源的占用也较少。本发明解决以上技术问题的技术方案是
基于RDP远程协议的跳板机审计数据定位回放系统,包括 审计管理端,用于访问审计数据存储设备,检索并播放审计数据; 审计数据存储设备,用于存储审计数据,供审计管理端检索和播放; 审计主机,用于对运维操作进行审计,并将审计数据传输到审计数据存储设备上; 运维客户端,用于连接待运维设备,进行各种(TELNET、SSH、VNC, RDP等)运维操作; 待运运维设备,用于提供各种业务功能(例如WEB服务,数据库服务等); 运维客户端连接审计主机,审计主机连接待运维设备和审计数据存储设备,审计管理端连接审计数据存储设备; 审计管理端包括
WEB浏览器用浏览并检索审计数据; 审计播放器用于回放审计内容; 审计数据存储设备包括WEB服务器用于提供WEB功能,是用户的访问审计数据的界面; 数据库用于提供审计数据信息的存储与检索;
审计数据存储组件用于将审计主机传输过来的审计数据存储到磁盘文件中; 流媒体服务器用于提供审计管理端的在线播放服务; 审计主机包括
RDP服务器用于等待RDP客户端的连接;
RDP会话管理组件用于监控每一个RDP客户端的访问,创建独立的审计实例; 审计核心组件用于检测运维操作,进行审计,将审计的数据以磁盘文件的方式缓存起
来;
审计数据传输组件用于将缓存的审计数据传输到审计数据存储设备中; 运维工具软件用于对各种待运维设备进行运维;
运维客户端使用RDP客户端连接审计主机上的RDP服务器,运维客户端使用审计主机上的运维工具软件进行运维操作,审计主机上的审计核心组件产生审计数据;审计数据传输组件将产生的审计数据,通过TCP网络传输给审计数据存储设备上的审计数据存储组件;审计数据存储组件将审计数据存储到磁盘文件,同时将审计信息存储到数据库;审计管理端使用WEB浏览器访问审计数据存储设备上的WEB服务器,检索审计数据,审计管理端使用审计播放器连接审计数据存储设备上的流媒体服务器,请求审计数据,以查看审计内容。基于RDP远程协议的跳板机审计数据定位回放方法,按以下步骤进行
①运维客户端通过RDP客户端程序连接审计主机,建立标准的RDP会话;
②审计主机自动检测刚建立的RDP会话,创建独立的审计核心组件,用于对刚建立的 RDP会话进行审计;
③审计核心组件自动识别需要审计的内容,以录像文件的方式缓存到本地磁盘文件
中;
④传输组件实时检测磁盘上的录像文件,通过TCP/IP方式传输到审计数据存储设备
中;
⑤传输审计数据的同时,在数据库中记录运维操作的起始时间、运维客户端信息(IP 地址,使用的RDP帐号等)、会话编号和状态。本发明进一步限定的技术方案是
前述的基于RDP远程协议的跳板机审计数据定位回放方法,步骤②中,RDP会话审计按以下步骤进行
i监测审计主机上RDP会话,如有新的会话,则在该会话下运行审计插件的一个实例, 该审计插件的实例只审计该会话中发生的运维操作,不影响其他会话;
ii会话管理组件获取会话客户端的IP地址和用户名信息,记录并关联到该会话中发生的审计录像上;
iii审计生成的数据将自动在后台,通过TCP/IP协议的方式连接并传输给审计数据存储设备;
iv审计数据存储设备中的存储组件侦听并接收审计数据,存储到磁盘文件中。前述的基于RDP远程协议的跳板机审计数据定位回放方法,步骤②中,审计主机支持多个RDP会话的并发连接,多个会话进行运维操作均能被审计。本发明的有益效果是本发明可以实现客户端不需要安装审计插件,只需访问审计主机(跳板机)进行运维操作并被审计,具有较高的兼容性和健壮性,对网络带宽等资源的占用也较少,可以为使用人节省大量的传输带宽、缩小维护管理的时间,提高工作效率。
图1为本发明的系统连接框图。图2是本发明的各模块连接示意图。
具体实施例方式实施例1
本实施例提出的一种基于RDP远程协议的跳板机审计数据定位回放系统,连接如图1 和图2所示,包括
审计管理端,用于访问审计数据存储设备,检索并播放审计数据; 审计数据存储设备,用于存储审计数据,供审计管理端检索和播放; 审计主机,用于对运维操作进行审计,并将审计数据传输到审计数据存储设备上; 运维客户端,用于连接待运维设备,进行各种(TELNET、SSH、VNC, RDP等)运维操作; 待运运维设备,用于提供各种业务功能(例如WEB服务,数据库服务等); 运维客户端连接审计主机,审计主机连接待运维设备和审计数据存储设备,审计管理端连接审计数据存储设备; 审计管理端包括
WEB浏览器用浏览并检索审计数据; 审计播放器用于回放审计内容; 审计数据存储设备包括
WEB服务器用于提供TOB功能,是用户的访问审计数据的界面; 数据库用于提供审计数据信息的存储与检索;
审计数据存储组件用于将审计主机传输过来的审计数据存储到磁盘文件中; 流媒体服务器用于提供审计管理端的在线播放服务; 审计主机包括
RDP服务器用于等待RDP客户端的连接;
RDP会话管理组件用于监控每一个RDP客户端的访问,创建独立的审计实例; 审计核心组件用于检测运维操作,进行审计,将审计的数据以磁盘文件的方式缓存起
来;
审计数据传输组件用于将缓存的审计数据传输到审计数据存储设备中; 运维工具软件用于对各种待运维设备进行运维;
运维客户端使用RDP客户端连接审计主机上的RDP服务器,运维客户端使用审计主机上的运维工具软件进行运维操作,审计主机上的审计核心组件产生审计数据;审计数据传输组件将产生的审计数据,通过TCP网络传输给审计数据存储设备上的审计数据存储组件;审计数据存储组件将审计数据存储到磁盘文件,同时将审计信息存储到数据库;审计管理端使用WEB浏览器访问审计数据存储设备上的WEB服务器,检索审计数据,审计管理端使用审计播放器连接审计数据存储设备上的流媒体服务器,请求审计数据,以查看审计内容。基于RDP远程协议的跳板机审计数据定位回放方法,按以下步骤进行
①运维客户端通过RDP客户端程序连接审计主机,建立标准的RDP会话;
②审计主机自动检测刚建立的RDP会话,创建独立的审计核心组件,用于对刚建立的 RDP会话进行审计,审计主机支持多个RDP会话的并发连接,多个会话进行运维操作均能被审计;
③审计核心组件自动识别需要审计的内容,以录像文件的方式缓存到本地磁盘文件
中;
④传输组件实时检测磁盘上的录像文件,通过TCP/IP方式传输到审计数据存储设备
中;
⑤传输审计数据的同时,在数据库中记录运维操作的起始时间、运维客户端信息、会话编号和状态。步骤②中,RDP会话审计按以下步骤进行
i监测审计主机上RDP会话,如有新的会话,则在该会话下运行审计插件的一个实例, 该审计插件的实例只审计该会话中发生的运维操作,不影响其他会话;
ii会话管理组件获取会话客户端的IP地址和用户名信息,记录并关联到该会话中发生的审计录像上;
iii审计生成的数据将自动在后台,通过TCP/IP协议的方式连接并传输给审计数据存储设备;
iv审计数据存储设备中的存储组件侦听并接收审计数据,存储到磁盘文件中。本实施例的基于RDP远程协议的跳板机审计数据定位回放方法,步骤①中,RDP 客户端为微软公司Windows操作系统缺省自带的程序名为MSTSC. EXE的客户端。步骤② 中,RDP会话管理组件以服务的形式存活,程序名为SVCH0ST.EXE ;创建的审计核心组件以进程的方式存活,程序名为DSAClient. exe0步骤③中缓存的磁盘路径为“%SETUP_PATH%\ Media\”,缓存的审计数据以时间戳为文件名,后缀为MP4;审计信息以时间戳为文件名, 后缀为INI (%SETUP_PATH%R表审计核心组件的安装路径)。步骤④中,审计数据存储设备中审计数据的磁盘组织方式为以时间戳中的年月日信息,建立“%MEDIA_PATH%\YEAR\ M0NTH\DAY\”的目录,将审计数据按目录存储(%MEDIA_PATH%代表审计数据的存储路径)。本实施例应用在某IT基本设施运维管理系统中,用来对KVM类的运维操作进行审计,其具体部署方式为
审计数据存储设备的部署在Linux服务器上部署TOB服务器、数据库、审计数据存储组件、流媒体服务器等组件;
审计主机的部署在Windows服务器上部署RDP会话管理器、核心审计组件、审计数据传输组件、运维工具软件,并配置审计数据存储设备的IP地址、端口、等必须的参数;
运维客户端的部署无需额外部署组件,在Windows客户端启动RDP客户端远程访问该服务器,进行各类运维、操作等,都将会被记录并通过TCP/IP网络传输到审计数据存储设备中;审计管理端的部署在Windows上部署审计数据回放组件,审计管理员可以通过访问审计数据存储设备的WEB,以检索、回放审计数据。本发明可以实现客户端不需要安装审计插件,只需访问审计主机(跳板机)进行运维操作并被审计,具有较高的兼容性和健壮性,对网络带宽等资源的占用也较少,可以为使用人节省大量的传输带宽、缩小维护管理的时间,提高工作效率。除上述实施例外,本发明还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案,均落在本发明要求的保护范围。
权利要求
1.基于RDP远程协议的跳板机审计数据定位回放系统,其特征在于包括 审计管理端,用于访问审计数据存储设备,检索并播放审计数据;审计数据存储设备,用于存储审计数据,供审计管理端检索和播放; 审计主机,用于对运维操作进行审计,并将审计数据传输到审计数据存储设备上; 运维客户端,用于连接待运维设备,进行各种(TELNET、SSH、VNC, RDP等)运维操作; 待运运维设备,用于提供各种业务功能(例如WEB服务,数据库服务等); 所述运维客户端连接审计主机,所述审计主机连接待运维设备和审计数据存储设备, 所述审计管理端连接审计数据存储设备; 所述审计管理端包括 WEB浏览器用浏览并检索审计数据; 审计播放器用于回放审计内容; 所述审计数据存储设备包括WEB服务器用于提供TOB功能,是用户的访问审计数据的界面; 数据库用于提供审计数据信息的存储与检索;审计数据存储组件用于将审计主机传输过来的审计数据存储到磁盘文件中; 流媒体服务器用于提供审计管理端的在线播放服务; 所述审计主机包括RDP服务器用于等待RDP客户端的连接;RDP会话管理组件用于监控每一个RDP客户端的访问,创建独立的审计实例; 审计核心组件用于检测运维操作,进行审计,将审计的数据以磁盘文件的方式缓存起来;审计数据传输组件用于将缓存的审计数据传输到审计数据存储设备中; 运维工具软件用于对各种待运维设备进行运维;所述运维客户端使用RDP客户端连接所述审计主机上的RDP服务器,所述运维客户端使用所述审计主机上的运维工具软件进行运维操作,所述审计主机上的审计核心组件产生审计数据;所述审计数据传输组件将产生的审计数据,通过TCP网络传输给所述审计数据存储设备上的审计数据存储组件;审计数据存储组件将审计数据存储到磁盘文件,同时将审计信息存储到数据库;所述审计管理端使用所述WEB浏览器访问所述审计数据存储设备上的WEB服务器,检索审计数据,所述审计管理端使用所述审计播放器连接所述审计数据存储设备上的流媒体服务器,请求审计数据,以查看审计内容。
2.基于RDP远程协议的跳板机审计数据定位回放方法,其特征在于按以下步骤进行①运维客户端通过RDP客户端程序连接审计主机,建立标准的RDP会话;②审计主机自动检测刚建立的RDP会话,创建独立的审计核心组件,用于对刚建立的 RDP会话进行审计;③审计核心组件自动识别需要审计的内容,以录像文件的方式缓存到本地磁盘文件中;④传输组件实时检测磁盘上的录像文件,通过TCP/IP方式传输到审计数据存储设备中;⑤传输审计数据的同时,在数据库中记录运维操作的起始时间、运维客户端信息、会话编号和状态。
3.如权利要求2所述的基于RDP远程协议的跳板机审计数据定位回放方法,其特征在于所述步骤②中,RDP会话审计按以下步骤进行i监测审计主机上RDP会话,如有新的会话,则在该会话下运行审计插件的一个实例, 该审计插件的实例只审计该会话中发生的运维操作,不影响其他会话;ii会话管理组件获取会话客户端的IP地址和用户名信息,记录并关联到该会话中发生的审计录像上;iii审计生成的数据将自动在后台,通过TCP/IP协议的方式连接并传输给审计数据存储设备;iv审计数据存储设备中的存储组件侦听并接收审计数据,存储到磁盘文件中。
4.如权利要求2或3所述的基于RDP远程协议的跳板机审计数据定位回放方法,其特征在于所述步骤②中,审计主机支持多个RDP会话的并发连接,多个会话进行运维操作均能被审计。
全文摘要
本发明属于计算机及网络安全审计技术领域,一种基于RDP远程协议的跳板机审计定位回放系统及方法,包括审计管理端、审计数据存储设备、审计主机、运维客户端和待运运维设备,审计管理端包括WEB浏览器和审计播放器;审计数据存储设备包括WEB服务器、数据库、审计数据存储组件、和流媒体服务器,审计主机包括RDP服务器、RDP会话管理组件、审计核心组件、审计数据传输组件和运维工具软件。本发明可以实现客户端不需要安装审计插件,只需访问审计主机(跳板机)进行运维操作并被审计,具有较高的兼容性和健壮性,对网络带宽等资源的占用也较少。
文档编号H04L12/24GK102215133SQ20111016710
公开日2011年10月12日 申请日期2011年6月21日 优先权日2011年6月21日
发明者李曙强, 郑龙 申请人:德讯科技股份有限公司