一种邮件检测与监控系统的制作方法

本发明属于网络安全领域，尤其涉及一种适用于各企业内网或者局域网邮件系统，提供了一种对用户使用邮件系统的操作行为审计及监控功能的邮件检测与监控系统。

背景技术：

随着网络信息系统的不断发展，以及国际相关方案对企业内控的要求下，基于4A的集成解决方案成为保障企业信息安全的必要措施。

近几年，随着各大企业的业务系统和支撑系统的用户数量快速增加，企业内部的邮件审计操作，已日渐不能满足信息安全的要求，因而急需解决以下问题：用户的登录信息问题；用户邮箱安全性问题；用户行为的审计和跟踪的缺失。因此，邮件安全审计监测系统，为信息安全管理，提供高效安全的4A系统，不仅可以从技术上保证各系统安全策略的实施，而且是系统地解决上述问题的最好方案。

技术实现要素：

本发明所要解决的技术问题在于提供一种邮件检测与监控系统，旨在解决用户的登录信息问题；用户邮箱安全性问题；用户行为的审计和跟踪的缺失。

本发明是这样实现的，一种邮件检测与监控系统，用于内网邮件系统及Webmail系统用户，包括设置在服务器端的监控中心、数据库、数据分析模块以及设置在用户端的数据采集客户端，当用户登录Webmail系统时，数据采集客户端根据审计管理配置的邮件地址决定是否对该用户电脑进行审计；如需审计，获取用户电脑终端的IP地址，并将用户电脑终端的IP地址信息，通过Webmail系统与邮件信息相关联后传递给服务器端的监控中心，监控中心将关联有IP地址信息的邮件信息建立日志文件，并存储日志信息，通过日志实时采 集将审计日志信息发送到数据库中，在数据分析模块中设置关键词以及特征阈值，通过数据分析模块调取数据库中的数据进行关键词以及特征阈值的分析，并将邮件信息结果通过web浏览器进行展现。

进一步地，所述数据采集客户端包括通过功能实现模块对邮件信息进行基础核心审计、邮件过程审计、操作行为审计、邮件内容审计、邮件账号审计的过程；

基础核心审计：当用户操作Webmail邮件系统时，将对当前时间、当前登陆的用户帐号、服务器后台取得的用户客户端IP地址、从前台取得的用户客户端IP地址进行审计记录，并作为基础核心审计内容，作为后续其他审计功能的前缀一同审计入库；

邮件过程审计：用户写完一封邮件，在点击发送时，将对此封邮件的主题、正文、收件人、发件人、附件标题内容进行审计；用户邮箱收到新邮件的时候，对此封邮件的主题、正文、收件人、发件人、附件标题内容进行审计；

操作行为审计：记录用户所有的针对Webmail系统的使用行为，包括用户登录、查看邮件、接收邮件、下载附件、删除邮件、通讯录；

邮件内容审计：对用户邮件标题、邮件内容、附件名称、发件人、收件人、抄送人、暗送人、发送时间、用户信息进行审计，同时标识为邮件发送动作。

进一步地，所述数据采集客户端包括通过检测分析模块将功能实现模块的分析结果存储后将分析结果通过用户的设置监控外设及接口、网络连接及文件数据库存取、应用服务和外联传送给监控中心。

进一步地，数据分析模块由防护模块、过滤模块以及告警模块组成，防护模块根据网络数据的分析对病毒邮件信息采用隔离措施，过滤模块根据系统采用的策略库对邮件数据进行过滤并通过告警模块通知用户。

本发明与现有技术相比，有益效果在于：提供了一种对用户使用邮件系统的操作行为审计及监控功能，支持基于扩展名过滤含指定文件类型的邮件外发行为，支持识别删除、篡改文件扩展名的邮件附件外发行为并报警，支持根据 附件大小、附件个数限制外发邮件、邮件关键字过滤支持同时匹配三个以上关键字的邮件主题、正文、和附件的过滤行为，现了邮件网络安全检测类产品和邮件监控审计产品的联动，进而避免了现有安全产品不断发生安全事故的问题，还可减少用户的重复投资。本发明保证了企业邮箱的安全，提高了企业的安全保密工作。

附图说明

图1是本发明实施例提供的模块结构框图；

图2是本发明实施例提供的数据采集客户端的模块框图；

图3是本发明实施例提供的数据分析模块的模块框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，一种邮件检测与监控系统，用于内网邮件系统及Webmail系统用户，包括设置在服务器端的监控中心、数据库、数据分析模块以及设置在用户端的数据采集客户端，当用户登录Webmail系统时，数据采集客户端根据审计管理配置的邮件地址决定是否对该用户电脑进行审计；如需审计，获取用户电脑终端的IP地址，并将用户电脑终端的IP地址信息，通过Webmail系统与邮件信息相关联后传递给服务器端的监控中心，监控中心将关联有IP地址信息的邮件信息建立日志文件，并存储日志信息，通过日志实时采集将审计日志信息发送到数据库中，在数据分析模块中设置关键词以及特征阈值，通过数据分析模块调取数据库中的数据进行关键词以及特征阈值的分析，并将邮件信息结果通过web浏览器进行展现。

如图2所示，数据采集客户端包括通过功能实现模块对邮件信息进行基础核心审计、邮件过程审计、操作行为审计、邮件内容审计、邮件账号审计的过程；

基础核心审计：当用户操作Webmail邮件系统时，将对当前时间、当前登陆的用户帐号、服务器后台取得的用户客户端IP地址、从前台取得的用户客户端IP地址进行审计记录，并作为基础核心审计内容，作为后续其他审计功能的前缀一同审计入库；

邮件过程审计：用户写完一封邮件，在点击发送时，将对此封邮件的主题、正文、收件人、发件人、附件标题内容进行审计；用户邮箱收到新邮件的时候，对此封邮件的主题、正文、收件人、发件人、附件标题内容进行审计；同理，在邮件转发、回复的时候也将对上述相关内容信息进行审计。将审计信息记录，并进行存储，以便日后查询。

操作行为审计：记录用户所有的针对Webmail系统的使用行为，包括用户登录、查看邮件、接收邮件、下载附件、删除邮件、通讯录；

用户登录：

对使用Webmail邮件系统的用户登录行为进行审计。当用户登录邮件系统时，审计系统会对用户登录的用户名、登录时间等信息进行审计。

查看邮件：

对使用Webmail邮件系统的用户查看邮件操作行为进行审计。当用户对邮件进行查看时，系统会对用户查看邮件的标题名、包含的附件名、用户查看邮件的时间等信息进行审计。

接收邮件：

对使用Webmail邮件系统的用户接收邮件操作行为进行审计。当用户接收邮件时，系统对用户接收邮件的正文、收件人、发件人、附件标题、接收时间等内容进行审计。

下载附件：

对使用Webmail邮件系统的用户下载附件行为进行审计。当用户对邮件附件下载时，系统对用户下载附件的名称、文件类型、下载时间等信息进行审计。

删除邮件：

对使用Webmail邮件系统的用户删除邮件操作行为进行审计。当用户删除邮件时，系统对用户进行的删除操作进行记录，同时记录被删除的邮件正文、收件人、发件人、附件标题、删除时间等内容。

通讯录:

对使用Webmail邮件系统的用户的通讯录操作行为进行审计。当用户添加、修改、删除个人通讯录时，系统对用户对个人通讯录的操作进行记录，对个人通讯录中的添、删、改的邮件联系人，建立时间，修改时间、删除时间等内容进行审计。

邮件内容审计：对用户邮件标题、邮件内容、附件名称、发件人、收件人、抄送人、暗送人、发送时间、用户信息进行审计，同时标识为邮件发送动作。

数据采集客户端包括通过检测分析模块将功能实现模块的分析结果存储后再根据功能实现模块将分析结果通过用户的设置监控外设及接口、网络连接及文件数据库存取、应用服务和外联传送给监控中心。

如图3所示，数据分析模块由防护模块、过滤模块以及告警模块组成，防护模块根据网络数据的分析对病毒邮件信息采用隔离措施，过滤模块根据系统采用的策略库对邮件数据进行过滤并通过告警模块通知用户。

web浏览器进行展现包括：

邮件过程审计的展现：用户包括邮件的主题、正文、收件人、发件人、附件标题等内容。

操作行为审计的展现：包括记录用户所有的针对Webmail系统的使用行为，包括用户名、用户登录IP地址、查看的邮件、接收的邮件、下载的附件、删除的邮件、操作个人通讯录等信息根据需求自定义进行查询展现。

邮件内容审计的展现：通过用户自定义需求，进行审计内容进行查询。包括用户邮件标题、邮件内容、邮件附件、发件人、收件人、发送时间、用户信息等内容。

邮件帐户审计的展现：包括用户名、所属部门、地市单位、直属单位等信 息进行展现。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。