一種基于日志的審計(jì)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于日志的審計(jì)方法及系統(tǒng),涉及計(jì)算機(jī)安全領(lǐng)域。獲取各系統(tǒng)登錄操作的原始日志;解析出源地址、操作賬號(hào)、設(shè)備IP和操作命令;定位所操作設(shè)備及所屬信息系統(tǒng)、操作人員、操作內(nèi)容和重要級(jí)別;建立以信息系統(tǒng)為索引,其對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別為內(nèi)容的審計(jì)視圖;監(jiān)控其中重要級(jí)別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將其記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以信息系統(tǒng)為視角的操作審計(jì)視圖,能對(duì)某信息系統(tǒng)中被操作的設(shè)備、具體操作人員、對(duì)應(yīng)的操作內(nèi)容及是否關(guān)鍵操作等自動(dòng)監(jiān)控報(bào)警,無需人工干預(yù),實(shí)現(xiàn)自動(dòng)化審計(jì),大大提高審計(jì)效率和準(zhǔn)確性。
【專利說明】一種基于日志的審計(jì)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)信息安全【技術(shù)領(lǐng)域】,特別涉及一種基于日志的審計(jì)方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著經(jīng)濟(jì)社會(huì)不斷發(fā)展,信息作為維持經(jīng)濟(jì)社會(huì)管理的社會(huì)基礎(chǔ)性資源,已經(jīng)成為政治、經(jīng)濟(jì)、國(guó)防、科技、文化等社會(huì)一切領(lǐng)域的基礎(chǔ)。信息系統(tǒng)作為信息的主要存儲(chǔ)、運(yùn)行的平臺(tái),在各個(gè)領(lǐng)域發(fā)揮著重要的作用。隨著信息系統(tǒng)的不斷發(fā)展,審計(jì)機(jī)關(guān)適時(shí)的提出了信息系統(tǒng)審計(jì)的概念,將信息系統(tǒng)作為對(duì)象納入到審計(jì)中來。近年來,各級(jí)審計(jì)機(jī)關(guān)不斷加大信息系統(tǒng)審計(jì)的力度,大大推進(jìn)了信息系統(tǒng)審計(jì)工作。
[0003]現(xiàn)有的信息系統(tǒng)操作行為的日志審計(jì)方案:收集信息系統(tǒng)各設(shè)備的登錄操作日志,制定審計(jì)規(guī)則,析取日志中的操作源地址、操作設(shè)備I?、操作賬號(hào)、操作內(nèi)容形成標(biāo)準(zhǔn)化日志,把這些標(biāo)準(zhǔn)化日志集中存儲(chǔ)在審計(jì)庫(kù)中,審計(jì)管理員可以在審計(jì)庫(kù)中通過信息系統(tǒng)各設(shè)備的I?地址檢索該設(shè)備詳細(xì)的操作。
[0004]現(xiàn)有的信息系統(tǒng)操作行為的日志審計(jì)方案中,如果對(duì)信息系統(tǒng)做審計(jì),需要在審計(jì)庫(kù)中,人工頻繁的用設(shè)備I?檢索,才能得到信息系統(tǒng)的操作日志,并且事后還需要人工分析日志間的關(guān)聯(lián)關(guān)系,判斷操作是否高危操作,審計(jì)工作繁瑣,效率非常低下。
【發(fā)明內(nèi)容】
[0005]鑒于上述問題,本發(fā)明實(shí)施例提供一種基于日志的審計(jì)方法及系統(tǒng),通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以信息系統(tǒng)為視角的操作審計(jì)視圖,以實(shí)現(xiàn)自動(dòng)化審計(jì),大大提聞審計(jì)效率和準(zhǔn)確性的目的。
[0006]本發(fā)明實(shí)施例采用了如下技術(shù)方案:
[0007]本發(fā)明一個(gè)實(shí)施例提供了一種基于日志的審計(jì)方法,所述方法包括:
[0008]獲取各系統(tǒng)登錄操作的原始日志;
[0009]對(duì)原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、操作賬號(hào)、設(shè)備I?地址和操作命令;
[0010]根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備,并獲取該設(shè)備所屬的信息系統(tǒng);
[0011]根據(jù)所述源地址定位操作人員,或根據(jù)源地址與操作賬號(hào)的組合定位操作人員;
[0012]根據(jù)所述操作命令確定操作內(nèi)容和重要級(jí)別;
[0013]建立以信息系統(tǒng)為索引,各信息系統(tǒng)對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別為內(nèi)各的申計(jì)視圖;
[0014]監(jiān)控所述審計(jì)視圖中重要級(jí)別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的信息系統(tǒng)及所對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
[0015]所述方法還包括:實(shí)時(shí)獲取各系統(tǒng)登錄操作的原始日志;
[0016]每獲取到一條新的原始日志,則在所述審計(jì)視圖中對(duì)應(yīng)信息系統(tǒng)為索引的內(nèi)容中,增加該新的原始日志中解析及定位得到的本次操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別。
[0017]所述方法還包括:
[0018]預(yù)先建立操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識(shí)庫(kù);
[0019]所述根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備,并獲取該設(shè)備所屬的信息系統(tǒng)具體為:
[0020]查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備I?地址對(duì)應(yīng)的設(shè)備,及該設(shè)備所屬的信息系統(tǒng);所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備I?地址和設(shè)備及設(shè)備所屬信息系統(tǒng)的對(duì)應(yīng)關(guān)系;
[0021]所述根據(jù)所述源地址定位操作人員具體為:
[0022]查詢所述操作人員關(guān)系表,定位所述源地址對(duì)應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有操作人員和源地址的對(duì)應(yīng)關(guān)系;
[0023]所述根據(jù)源地址與操作賬號(hào)的組合定位操作人員具體為:
[0024]查詢所述操作人員關(guān)系表,定位所述源地址與操作賬號(hào)的組合對(duì)應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有所述組合和源地址的對(duì)應(yīng)關(guān)系;
[0025]所述根據(jù)所述操作命令確定操作內(nèi)容和重要級(jí)別具體為:
[0026]查詢所述第一知識(shí)庫(kù),定位所述操作命令對(duì)應(yīng)的操作內(nèi)容和重要級(jí)別;所述第一知識(shí)庫(kù)中記錄有操作命令與操作內(nèi)容和重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0027]所述方法還包括:對(duì)預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對(duì)于滿足修正條件的記錄,在第二知識(shí)庫(kù)中記錄操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0028]所述對(duì)預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對(duì)于滿足修正條件的記錄,在第二知識(shí)庫(kù)中記錄操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系具體為:
[0029]在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值,則將該操作命令的重要級(jí)別修正為高,并在所述第二知識(shí)庫(kù)中增加該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系;
[0030]所述方法還包括:在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識(shí)庫(kù)中刪除該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0031]根據(jù)所述操作命令確定重要級(jí)別具體為:
[0032]查詢所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù),若在所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù)中定位所述操作命令對(duì)應(yīng)的重要級(jí)別不一致,則以第二知識(shí)庫(kù)中定位的重要級(jí)別為該操作命令對(duì)應(yīng)的重要級(jí)別。
[0033]另外,本發(fā)明實(shí)施例還提供了一種基于日志的審計(jì)系統(tǒng),所述系統(tǒng)包括:
[0034]獲取模塊,用于獲取各系統(tǒng)登錄操作的原始日志;
[0035]內(nèi)容解析模塊,用于對(duì)原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、操作賬號(hào)、設(shè)備I?地址和操作命令;
[0036]設(shè)備定位模塊,用于根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備,并獲取該設(shè)備所屬的信息系統(tǒng);
[0037]操作人員定位模塊,用于根據(jù)所述源地址定位操作人員,或根據(jù)源地址與操作賬號(hào)的組合定位操作人員;
[0038]操作級(jí)別確定模塊,用于根據(jù)所述操作命令確定操作內(nèi)容和重要級(jí)別;
[0039]審計(jì)視圖建立模塊,用于建立以信息系統(tǒng)為索引,各信息系統(tǒng)對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別為內(nèi)容的審計(jì)視圖;
[0040]監(jiān)控報(bào)警記錄模塊,用于監(jiān)控所述審計(jì)視圖中重要級(jí)別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的信息系統(tǒng)及所對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
[0041]所述系統(tǒng)還包括操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識(shí)庫(kù);
[0042]所述設(shè)備定位模塊,具體用于查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備I?地址對(duì)應(yīng)的設(shè)備,及該設(shè)備所屬的信息系統(tǒng);所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備I?地址和設(shè)備及設(shè)備所屬信息系統(tǒng)的對(duì)應(yīng)關(guān)系;
[0043]所述操作人員定位模塊,具體包括第一人員定位單元和第二人員定位單元,
[0044]所述第一人員定位單元,用于查詢所述操作人員關(guān)系表,定位所述源地址對(duì)應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有操作人員和源地址的對(duì)應(yīng)關(guān)系;
[0045]所述第二人員定位單元,用于查詢所述操作人員關(guān)系表,定位所述源地址與操作賬號(hào)的組合對(duì)應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有所述組合和源地址的對(duì)應(yīng)關(guān)系;
[0046]所述操作級(jí)別確定模塊,具體用于查詢所述第一知識(shí)庫(kù),定位所述操作命令對(duì)應(yīng)的操作內(nèi)容和重要級(jí)別;所述第一知識(shí)庫(kù)中記錄有操作命令與操作內(nèi)容和重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0047]所述系統(tǒng)還包括第二知識(shí)庫(kù)和修正模塊,所述修正模塊用于對(duì)預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對(duì)于滿足修正條件的記錄,在第二知識(shí)庫(kù)中記錄操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系;
[0048]所述修正模塊具體包括:
[0049]判斷單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值;
[0050]修正單元,用于當(dāng)所述判斷單元的判斷結(jié)果為是,則將該操作命令的重要級(jí)別修正為高;
[0051]增加單元,用于在所述第二知識(shí)庫(kù)中增加該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系;
[0052]所述修正模塊還包括刪除單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識(shí)庫(kù)中刪除該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0053]所述操作級(jí)別確定模塊具體用于:
[0054]查詢所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù),若在所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù)中定位所述操作命令對(duì)應(yīng)的重要級(jí)別不一致,則以第二知識(shí)庫(kù)中定位的重要級(jí)別為該操作命令對(duì)應(yīng)的重要級(jí)別。
[0055]可見,本發(fā)明實(shí)施例提供一種基于日志的審計(jì)方法及系統(tǒng),通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以信息系統(tǒng)為視角的操作審計(jì)視圖,能夠?qū)δ承畔⑾到y(tǒng)中被操作的設(shè)備、具體操作人員、對(duì)應(yīng)的操作內(nèi)容及是否關(guān)鍵操作等信息進(jìn)行自動(dòng)監(jiān)控及報(bào)警,無需人工干預(yù),實(shí)現(xiàn)自動(dòng)化審計(jì),大大提高審計(jì)效率和準(zhǔn)確性的目的。
【專利附圖】
【附圖說明】
[0056]圖1為本發(fā)明實(shí)施例提供的一種基于日志的審計(jì)方法流程圖;
[0057]圖2為本發(fā)明實(shí)施例提供的基于日志的審計(jì)方法的一個(gè)具體實(shí)例的邏輯層次示意圖;
[0058]圖3為本發(fā)明實(shí)施例提供的一種基于日志的審計(jì)系統(tǒng)結(jié)構(gòu)框圖。
【具體實(shí)施方式】
[0059]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述。
[0060]為了從海量日志中審計(jì)出操作人員的行為,本發(fā)明實(shí)施例提出一種以操作人員為視角的信息系統(tǒng)操作審計(jì)日志組織方法。本發(fā)明實(shí)施例要解決的技術(shù)問題是:解決審計(jì)管理員面對(duì)海量日志無法高效對(duì)操作人員的操作行為審計(jì),即通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以操作人員為視角的操作審計(jì)視圖,以實(shí)現(xiàn)自動(dòng)化審計(jì),大大提高審計(jì)效率和準(zhǔn)確性的目的。
[0061]參見圖1,本發(fā)明實(shí)施例提供一種日志審計(jì)方法,具體包括如下步驟:
[0062]8101:獲取各系統(tǒng)登錄操作的原始日志。
[0063]3102:對(duì)原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、操作賬號(hào)、設(shè)備I?地址和操作命令。
[0064]8103:根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備,并獲取該設(shè)備所屬的信息系統(tǒng)。
[0065]3104:根據(jù)所述源地址定位操作人員,或根據(jù)源地址與操作賬號(hào)的組合定位操作人員。
[0066]8105:根據(jù)所述操作命令確定操作內(nèi)容和重要級(jí)別。
[0067]優(yōu)選的,本發(fā)明實(shí)施例還包括:
[0068]預(yù)先建立操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識(shí)庫(kù)。
[0069]相應(yīng)的,上述步驟3103根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備,并獲取該設(shè)備所屬的信息系統(tǒng)具體為:
[0070]查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備I?地址對(duì)應(yīng)的設(shè)備,及該設(shè)備所屬的信息系統(tǒng);所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備I?地址和設(shè)備及設(shè)備所屬信息系統(tǒng)的對(duì)應(yīng)關(guān)系。
[0071]所述操作人員關(guān)系表中記錄有操作人員和源地址的對(duì)應(yīng)關(guān)系,則上述步驟3104根據(jù)所述源地址定位操作人員具體為:查詢所述操作人員關(guān)系表,定位所述源地址對(duì)應(yīng)的操作人員。
[0072]所述操作人員關(guān)系表中記錄有所述組合和源地址的對(duì)應(yīng)關(guān)系,則上述步驟3104根據(jù)源地址與操作賬號(hào)的組合定位操作人員具體為:查詢所述操作人員關(guān)系表,定位所述源地址與操作賬號(hào)的組合對(duì)應(yīng)的操作人員。
[0073]上述步驟3105根據(jù)所述操作命令確定操作內(nèi)容和重要級(jí)別具體為:
[0074]查詢所述第一知識(shí)庫(kù),定位所述操作命令對(duì)應(yīng)的操作內(nèi)容和重要級(jí)別;所述第一知識(shí)庫(kù)中記錄有操作命令與操作內(nèi)容和重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0075]3106:建立以信息系統(tǒng)為索引,各信息系統(tǒng)對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別為內(nèi)容的審計(jì)視圖。
[0076]具體的,所述方法還包括:實(shí)時(shí)獲取各系統(tǒng)登錄操作的原始日志。
[0077]每獲取到一條新的原始日志,則在所述審計(jì)視圖中對(duì)應(yīng)信息系統(tǒng)為索引的內(nèi)容中,增加該新的原始日志中解析及定位得到的本次操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別。
[0078]也就是說,本發(fā)明實(shí)施例提供的方法是一個(gè)不斷更新的過程,即隨著原始日志的不斷獲取,沒獲取到一條新的原始日志,則在審計(jì)視圖中對(duì)應(yīng)該信息系統(tǒng)為索引的內(nèi)容中,增加該新的原始日志中根據(jù)上述步驟3102-3105解析及定位得到的本次操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別。當(dāng)然,若審計(jì)視圖中沒有該信息系統(tǒng),則在審計(jì)視圖中以該信息系統(tǒng)為索引新建一條記錄,并添加該信息系統(tǒng)對(duì)應(yīng)的本次操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別。
[0079]優(yōu)選的,為了進(jìn)一步提升審計(jì)結(jié)果的準(zhǔn)確性,本發(fā)明另一實(shí)施例中還包括有第二知識(shí)庫(kù),相應(yīng)的,還包括如下步驟:
[0080]對(duì)預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對(duì)于滿足修正條件的記錄,在第二知識(shí)庫(kù)中記錄操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0081]具體的,不斷統(tǒng)計(jì)一定周期內(nèi)(如最近一周時(shí)間內(nèi))的新記錄,分析這些記錄中是否有滿足修正條件的記錄,若有,則對(duì)滿足修正條件的操作命令的重要級(jí)別進(jìn)行修正,并在第二知識(shí)庫(kù)中記錄該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0082]舉例說明,上述對(duì)預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對(duì)于滿足修正條件的記錄,在第二知識(shí)庫(kù)中記錄操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系的一種【具體實(shí)施方式】可以為:
[0083]在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值,則將該操作命令的重要級(jí)別修正為高,并在所述第二知識(shí)庫(kù)中增加該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0084]也就是說,若在一定周期內(nèi),某項(xiàng)操作命令被執(zhí)行的過于頻繁,則認(rèn)為在該段時(shí)間內(nèi),該項(xiàng)操作命令相對(duì)重要,需要審計(jì)中對(duì)其進(jìn)行關(guān)注,因此,修改該項(xiàng)操作命令的重要級(jí)別為高級(jí)別,并在第二知識(shí)庫(kù)中增加該記錄,體現(xiàn)其當(dāng)前的重要程度。
[0085]相應(yīng)的,本發(fā)明實(shí)施例提供的方法還包括:在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識(shí)庫(kù)中刪除該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0086]可見,第一知識(shí)庫(kù)相對(duì)穩(wěn)定,第二知識(shí)庫(kù)中的內(nèi)容會(huì)實(shí)時(shí)更新,主要用于體現(xiàn)最近某一時(shí)間段內(nèi)的情況。
[0087]基于第二知識(shí)庫(kù)存在的具體實(shí)施例中,根據(jù)所述操作命令確定重要級(jí)別具體為:
[0088]查詢所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù),若在所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù)中定位所述操作命令對(duì)應(yīng)的重要級(jí)別不一致,則以第二知識(shí)庫(kù)中定位的重要級(jí)別為該操作命令對(duì)應(yīng)的重要級(jí)別。也就是說,當(dāng)?shù)谝恢R(shí)庫(kù)和第二知識(shí)庫(kù)中查詢到的重要級(jí)別不一致時(shí),以第二知識(shí)庫(kù)為準(zhǔn)。
[0089]3107:監(jiān)控所述審計(jì)視圖中重要級(jí)別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的信息系統(tǒng)及所對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
[0090]可見,本發(fā)明實(shí)施例提供的一種基于日志的審計(jì)方法,通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以信息系統(tǒng)為視角的操作審計(jì)視圖,能夠?qū)δ承畔⑾到y(tǒng)中被操作的設(shè)備、具體操作人員、對(duì)應(yīng)的操作內(nèi)容及是否關(guān)鍵操作等信息進(jìn)行自動(dòng)監(jiān)控及報(bào)警,無需人工干預(yù),實(shí)現(xiàn)自動(dòng)化審計(jì),大大提高審計(jì)效率和準(zhǔn)確性的目的。
[0091]以下為本發(fā)明實(shí)施例的一個(gè)具體實(shí)例,用于舉例具體說明。參見圖2,具體示出本具體實(shí)例方法所基于的邏輯層次圖。
[0092]在該實(shí)例中,具體建立了一條以信息系統(tǒng)設(shè)備操作人員操作內(nèi)容是否關(guān)鍵操作(即重要級(jí)別)的信息系統(tǒng)視角完整審計(jì)信息鏈。
[0093]處理步驟具體為:
[0094]1.基礎(chǔ)數(shù)據(jù)維護(hù):根據(jù)II環(huán)境定義各信息系統(tǒng),并將設(shè)備按信息系統(tǒng)分類,在數(shù)據(jù)庫(kù)中建立信息系統(tǒng)分類表維護(hù)信息系統(tǒng)、設(shè)備類型、設(shè)備I?的對(duì)應(yīng)關(guān)系;將源地址、操作賬號(hào)與操作人員綁定,建立操作人員表,維護(hù)源地址、操作賬號(hào)與操作人員的對(duì)應(yīng)關(guān)系;為操作內(nèi)容/命令建立一套重要級(jí)別知識(shí)庫(kù),維護(hù)操作內(nèi)容/命令與重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0095]2.日志內(nèi)容分析:收集各系統(tǒng)的登錄操作日志,進(jìn)行日志分析,析取日志中的源地址、被操作設(shè)備I?、操作命令、操作賬號(hào)等字段。
[0096]3.設(shè)備定位:析取日志中的設(shè)備I?,通過信息系統(tǒng)分類表查找到該I?對(duì)應(yīng)的設(shè)備,并獲得該設(shè)備所屬的信息系統(tǒng)。
[0097]4.操作人員定位:析取日志中的源地址與操作賬號(hào),通過源地址或者源地址與操作賬號(hào)的組合在操作人員表中查找到對(duì)應(yīng)的操作人員。
[0098]5.操作重要級(jí)別定位:用日志中析取出來的操作命令在知識(shí)庫(kù)中查找相應(yīng)的重要級(jí)別;
[0099]6.建立一張以信息系統(tǒng)為視角的操作審計(jì)視圖,記錄日志中對(duì)應(yīng)出的設(shè)備、操作人員、操作內(nèi)容、是否關(guān)鍵操作等字段,完成信息系統(tǒng)-? 設(shè)備-? 操作人員-? 操作內(nèi)容-?是否關(guān)鍵操作的信息系統(tǒng)視角完整審計(jì)信息鏈。
[0100]可見,自動(dòng)對(duì)操作人員進(jìn)行分類,審計(jì)人員可以以業(yè)務(wù)部門下的人員為主線,查看其操作過哪些設(shè)備、產(chǎn)生的操作、操作設(shè)備發(fā)生的告警信息,全面、準(zhǔn)確的監(jiān)控重點(diǎn)人員在重要設(shè)備上的敏感操作。
[0101]另外,參見圖3,本發(fā)明實(shí)施例提供了一種基于日志的審計(jì)系統(tǒng),所述系統(tǒng)具體包括:
[0102]獲取模塊301,用于獲取各系統(tǒng)登錄操作的原始日志;
[0103]內(nèi)容解析模塊302,用于對(duì)原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、操作賬號(hào)、設(shè)備I?地址和操作命令;
[0104]設(shè)備定位模塊303,用于根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備,并獲取該設(shè)備所屬的信息系統(tǒng);
[0105]操作人員定位模塊304,用于根據(jù)所述源地址定位操作人員,或根據(jù)源地址與操作賬號(hào)的組合定位操作人員;
[0106]操作級(jí)別確定模塊305,用于根據(jù)所述操作命令確定操作內(nèi)容和重要級(jí)別;
[0107]審計(jì)視圖建立模塊306,用于建立以信息系統(tǒng)為索引,各信息系統(tǒng)對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別為內(nèi)容的審計(jì)視圖;
[0108]監(jiān)控報(bào)警記錄模塊307,用于監(jiān)控所述審計(jì)視圖中重要級(jí)別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的信息系統(tǒng)及所對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
[0109]具體的,本發(fā)明實(shí)施例提供的系統(tǒng)還包括實(shí)時(shí)更新模塊,用于實(shí)時(shí)獲取各系統(tǒng)登錄操作的原始日志;每獲取到一條新的原始日志,則在所述審計(jì)視圖中對(duì)應(yīng)信息系統(tǒng)為索引的內(nèi)容中,增加該新的原始日志中解析及定位得到的本次操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別。
[0110]優(yōu)選的,本發(fā)明實(shí)施例提供的系統(tǒng)還包括操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識(shí)庫(kù)。
[0111]相應(yīng)的,上述設(shè)備定位模塊,具體用于查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備I?地址對(duì)應(yīng)的設(shè)備,及該設(shè)備所屬的信息系統(tǒng);所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備I?地址和設(shè)備及設(shè)備所屬信息系統(tǒng)的對(duì)應(yīng)關(guān)系。
[0112]上述操作人員定位模塊,具體包括第一人員定位單元和第二人員定位單元:
[0113]所述第一人員定位單元,用于查詢所述操作人員關(guān)系表,定位所述源地址對(duì)應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有操作人員和源地址的對(duì)應(yīng)關(guān)系。
[0114]所述第二人員定位單元,用于查詢所述操作人員關(guān)系表,定位所述源地址與操作賬號(hào)的組合對(duì)應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有所述組合和源地址的對(duì)應(yīng)關(guān)系。
[0115]上述操作級(jí)別確定模塊,具體用于查詢所述第一知識(shí)庫(kù),定位所述操作命令對(duì)應(yīng)的操作內(nèi)容和重要級(jí)別;所述第一知識(shí)庫(kù)中記錄有操作命令與操作內(nèi)容和重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0116]進(jìn)一步的,本發(fā)明實(shí)施例提供的系統(tǒng)還包括第二知識(shí)庫(kù)和修正模塊,所述修正模塊用于對(duì)預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對(duì)于滿足修正條件的記錄,在第二知識(shí)庫(kù)中記錄操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0117]具體的,所述修正模塊具體包括如下單元:
[0118]判斷單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值;
[0119]修正單元,用于當(dāng)所述判斷單元的判斷結(jié)果為是,則將該操作命令的重要級(jí)別修正為高;
[0120]增加單元,用于在所述第二知識(shí)庫(kù)中增加該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0121]相應(yīng)的,修正模塊還包括刪除單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識(shí)庫(kù)中刪除該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
[0122]基于第二知識(shí)庫(kù)存在的實(shí)施例中,所述操作級(jí)別確定模塊具體用于:
[0123]查詢所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù),若在所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù)中定位所述操作命令對(duì)應(yīng)的重要級(jí)別不一致,則以第二知識(shí)庫(kù)中定位的重要級(jí)別為該操作命令對(duì)應(yīng)的重要級(jí)別。
[0124]需要說明的是,本發(fā)明系統(tǒng)實(shí)施例中的各個(gè)模塊或者子模塊的工作原理和處理過程可以參見上述圖1及圖2所示方法實(shí)施例中的相關(guān)描述,此處不再贅述。
[0125]可見,本發(fā)明實(shí)施例提供的一種基于日志的審計(jì)方法,通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以信息系統(tǒng)為視角的操作審計(jì)視圖,能夠?qū)δ承畔⑾到y(tǒng)中被操作的設(shè)備、具體操作人員、對(duì)應(yīng)的操作內(nèi)容及是否關(guān)鍵操作等信息進(jìn)行自動(dòng)監(jiān)控及報(bào)警,無需人工干預(yù),實(shí)現(xiàn)自動(dòng)化審計(jì),大大提高審計(jì)效率和準(zhǔn)確性的目的。
[0126]為了便于清楚描述本發(fā)明實(shí)施例的技術(shù)方案,在發(fā)明的實(shí)施例中,采用了“第一”、“第二”等字樣對(duì)功能和作用基本相同的相同項(xiàng)或相似項(xiàng)進(jìn)行區(qū)分,本領(lǐng)域技術(shù)人員可以理解“第一”、“第二”等字樣并不對(duì)數(shù)量和執(zhí)行次序進(jìn)行限定。
[0127]本領(lǐng)域普通技術(shù)人員可以理解,實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成,所述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),包括如下步驟:(方法的步驟),所述的存儲(chǔ)介質(zhì),如#01/狀1、磁碟、光盤坐寸。
[0128]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進(jìn)等,均包含在本發(fā)明的保護(hù)范圍內(nèi)。
【權(quán)利要求】
1.一種基于日志的審計(jì)方法,其特征在于,所述方法包括: 獲取各系統(tǒng)登錄操作的原始日志; 對(duì)原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、操作賬號(hào)、設(shè)備IP地址和操作命令; 根據(jù)所述設(shè)備IP地址定位所操作的設(shè)備,并獲取該設(shè)備所屬的信息系統(tǒng); 根據(jù)所述源地址定位操作人員,或根據(jù)源地址與操作賬號(hào)的組合定位操作人員; 根據(jù)所述操作命令確定操作內(nèi)容和重要級(jí)別; 建立以信息系統(tǒng)為索引,各信息系統(tǒng)對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別為內(nèi)容的審計(jì)視圖; 監(jiān)控所述審計(jì)視圖中重要級(jí)別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的信息系統(tǒng)及所對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:實(shí)時(shí)獲取各系統(tǒng)登錄操作的原始日志; 每獲取到一條新的原始日志,則在所述審計(jì)視圖中對(duì)應(yīng)信息系統(tǒng)為索引的內(nèi)容中,增加該新的原始日志中解析及定位得到的本次操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括: 預(yù)先建立操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識(shí)庫(kù); 所述根據(jù)所述設(shè)備IP地址定位所操作的設(shè)備,并獲取該設(shè)備所屬的信息系統(tǒng)具體為:查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備IP地址對(duì)應(yīng)的設(shè)備,及該設(shè)備所屬的信息系統(tǒng);所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備IP地址和設(shè)備及設(shè)備所屬信息系統(tǒng)的對(duì)應(yīng)關(guān)系;所述根據(jù)所述源地址定位操作人員具體為: 查詢所述操作人員關(guān)系表,定位所述源地址對(duì)應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有操作人員和源地址的對(duì)應(yīng)關(guān)系; 所述根據(jù)源地址與操作賬號(hào)的組合定位操作人員具體為: 查詢所述操作人員關(guān)系表,定位所述源地址與操作賬號(hào)的組合對(duì)應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有所述組合和源地址的對(duì)應(yīng)關(guān)系; 所述根據(jù)所述操作命令確定操作內(nèi)容和重要級(jí)別具體為: 查詢所述第一知識(shí)庫(kù),定位所述操作命令對(duì)應(yīng)的操作內(nèi)容和重要級(jí)別;所述第一知識(shí)庫(kù)中記錄有操作命令與操作內(nèi)容和重要級(jí)別的對(duì)應(yīng)關(guān)系。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述方法還包括:對(duì)預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對(duì)于滿足修正條件的記錄,在第二知識(shí)庫(kù)中記錄操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述對(duì)預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對(duì)于滿足修正條件的記錄,在第二知識(shí)庫(kù)中記錄操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系具體為: 在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值,則將該操作命令的重要級(jí)別修正為高,并在所述第二知識(shí)庫(kù)中增加該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系; 所述方法還包括:在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識(shí)庫(kù)中刪除該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,根據(jù)所述操作命令確定重要級(jí)別具體為: 查詢所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù),若在所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù)中定位所述操作命令對(duì)應(yīng)的重要級(jí)別不一致,則以第二知識(shí)庫(kù)中定位的重要級(jí)別為該操作命令對(duì)應(yīng)的重要級(jí)別。
7.一種基于日志的審計(jì)系統(tǒng),其特征在于,所述系統(tǒng)包括: 獲取模塊,用于獲取各系統(tǒng)登錄操作的原始日志; 內(nèi)容解析模塊,用于對(duì)原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、操作賬號(hào)、設(shè)備IP地址和操作命令; 設(shè)備定位模塊,用于根據(jù)所述設(shè)備IP地址定位所操作的設(shè)備,并獲取該設(shè)備所屬的信息系統(tǒng); 操作人員定位模塊,用于根據(jù)所述源地址定位操作人員,或根據(jù)源地址與操作賬號(hào)的組合定位操作人員; 操作級(jí)別確定模塊,用于根據(jù)所述操作命令確定操作內(nèi)容和重要級(jí)別; 審計(jì)視圖建立模塊,用于建立以信息系統(tǒng)為索引,各信息系統(tǒng)對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別為內(nèi)容的審計(jì)視圖; 監(jiān)控報(bào)警記錄模塊,用于監(jiān)控所述審計(jì)視圖中重要級(jí)別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的信息系統(tǒng)及所對(duì)應(yīng)的操作設(shè)備、操作人員、操作內(nèi)容及重要級(jí)別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識(shí)庫(kù); 所述設(shè)備定位模塊,具體用于查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備IP地址對(duì)應(yīng)的設(shè)備,及該設(shè)備所屬的信息系統(tǒng);所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備IP地址和設(shè)備及設(shè)備所屬信息系統(tǒng)的對(duì)應(yīng)關(guān)系; 所述操作人員定位模塊,具體包括第一人員定位單元和第二人員定位單元, 所述第一人員定位單元,用于查詢所述操作人員關(guān)系表,定位所述源地址對(duì)應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有操作人員和源地址的對(duì)應(yīng)關(guān)系; 所述第二人員定位單元,用于查詢所述操作人員關(guān)系表,定位所述源地址與操作賬號(hào)的組合對(duì)應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有所述組合和源地址的對(duì)應(yīng)關(guān)系;所述操作級(jí)別確定模塊,具體用于查詢所述第一知識(shí)庫(kù),定位所述操作命令對(duì)應(yīng)的操作內(nèi)容和重要級(jí)別;所述第一知識(shí)庫(kù)中記錄有操作命令與操作內(nèi)容和重要級(jí)別的對(duì)應(yīng)關(guān)系O
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括第二知識(shí)庫(kù)和修正模塊,所述修正模塊用于對(duì)預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對(duì)于滿足修正條件的記錄,在第二知識(shí)庫(kù)中記錄操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系; 所述修正模塊具體包括: 判斷單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值; 修正單元,用于當(dāng)所述判斷單元的判斷結(jié)果為是,則將該操作命令的重要級(jí)別修正為聞; 增加單元,用于在所述第二知識(shí)庫(kù)中增加該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系; 所述修正模塊還包括刪除單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識(shí)庫(kù)中刪除該操作命令與操作內(nèi)容和修正后重要級(jí)別的對(duì)應(yīng)關(guān)系。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述操作級(jí)別確定模塊具體用于:查詢所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù),若在所述第一知識(shí)庫(kù)和第二知識(shí)庫(kù)中定位所述操作命令對(duì)應(yīng)的重要級(jí)別不一致,則以第二知識(shí)庫(kù)中定位的重要級(jí)別為該操作命令對(duì)應(yīng)的重要級(jí)別。
【文檔編號(hào)】G06F17/30GK104376023SQ201310359606
【公開日】2015年2月25日 申請(qǐng)日期:2013年8月16日 優(yōu)先權(quán)日:2013年8月16日
【發(fā)明者】羅波, 高金明, 臧守湃, 陳尊, 王智江, 張建軍, 蘇砫, 唐楚榮 申請(qǐng)人:北京神州泰岳軟件股份有限公司