專利名稱:局域網(wǎng)內(nèi)共享文件操作的審計(jì)系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種局域網(wǎng)內(nèi)共享文件操作的審計(jì)系統(tǒng)。本發(fā)明還涉及基于上述系統(tǒng)的審計(jì)方法。
背景技術(shù):
在企業(yè)內(nèi)部局域網(wǎng)中,常常會(huì)配置一些允許內(nèi)部員工以共享方式訪問的公共服務(wù)器,員工之間也常常會(huì)采用文件共享的方式分享文件,尤其是在禁用外設(shè)和實(shí)行無紙化辦公的企業(yè)中,這種方式所具有的簡單、高效的優(yōu)點(diǎn)更為突出。但是,文件共享也會(huì)給內(nèi)網(wǎng)的管理帶來困擾,特別是在個(gè)人計(jì)算機(jī)數(shù)量較多時(shí),容易因內(nèi)部用戶將機(jī)密性文件非法設(shè)置成共享,并且沒有設(shè)置好共享權(quán)限,而導(dǎo)致機(jī)密信息外泄,此外,某些員工還可能在訪問公共服務(wù)器時(shí),私自篡改服務(wù)器上的文件或惡意向服務(wù)器上傳木馬病毒,給內(nèi)網(wǎng)的管理帶來混亂。為了防范上述問題,企業(yè)內(nèi)部通常會(huì)制訂相應(yīng)的管理制度來規(guī)范共享文件的訪問操作,但是,由于缺乏有效的審計(jì)手段,在出現(xiàn)違規(guī)操作時(shí),很難定位追蹤到當(dāng)事人,如此,就無法向當(dāng)事人追究責(zé)任,使得內(nèi)網(wǎng)的管理工作難有成效,且管理成本較高。目前,也有人采用域策略方式或者文件過濾驅(qū)動(dòng)方式,來解決共享文件的操作審計(jì)問題。域策略方式有存在三個(gè)主要的問題,一是企業(yè)必須配置有域,且所有內(nèi)部用戶都必須加入域中,對于那些沒有設(shè)置域服務(wù)器或者沒有加入域的用戶就無法進(jìn)行管理;二是通過域策略審計(jì)共享文件操作的信息比較簡單,無法追蹤定位到責(zé)任人;三是無法與其他內(nèi)網(wǎng)管理系統(tǒng)集成,形成一體化的內(nèi)網(wǎng)安全保護(hù)系統(tǒng)。文件過濾驅(qū)動(dòng)方式則是通過在目標(biāo)終端安裝文件過濾驅(qū)動(dòng),監(jiān)控本地共享文件操作,記錄審計(jì)信息,來進(jìn)行管理,這種方式只能監(jiān)控終端用戶做了哪些操作,無法獲取遠(yuǎn)程終端的IP地址(Internet Protocol Address, 網(wǎng)際協(xié)議地址)和MAC(Media Access Control,介質(zhì)訪問控制)地址等信息,因此,內(nèi)網(wǎng)管理員同樣無法追查遠(yuǎn)程終端的訪問操作。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種局域網(wǎng)內(nèi)共享文件操作的審計(jì)系統(tǒng),它簡單、高效,且易于集成。為解決上述技術(shù)問題,本發(fā)明的局域網(wǎng)內(nèi)共享文件操作的審計(jì)系統(tǒng),包括多個(gè)終端和一個(gè)用于存儲(chǔ)共享文件操作審計(jì)記錄的記錄存儲(chǔ)服務(wù)器,各終端包括有中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊,用于截獲終端發(fā)送和接收的所有共享訪問SMB包,記錄該 SMB包中包含的共享文件操作信息,并通知共享文件記錄處理器讀取該信息;文件過濾驅(qū)動(dòng)模塊,用于截獲終端所有文件操作的IRP包,并對屬于共享文件操作的IRP包,記錄該IRP包中包含的共享文件操作信息,并通知共享文件記錄處理器讀取該 fn息;共享文件記錄處理器,用于接收來自中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊和文件過濾驅(qū)動(dòng)模塊的通知,查詢相應(yīng)的共享文件操作信息,并獲取終端登陸用戶名,生成共享文件操作審計(jì)記錄,發(fā)送給記錄存儲(chǔ)服務(wù)器。本發(fā)明要解決的另一技術(shù)問題是提供一種利用上述系統(tǒng)對局域網(wǎng)內(nèi)共享文件操作進(jìn)行審計(jì)的方法。為解決上述技術(shù)問題,本發(fā)明的局域網(wǎng)內(nèi)共享文件操作的審計(jì)方法,在本地用戶訪問本地共享文件時(shí),按照以下步驟進(jìn)行審計(jì)11)本地文件過濾驅(qū)動(dòng)模塊截獲文件操作的IRP包,獲取該II3R包對應(yīng)的文件操作信息,判斷該操作是否是對共享文件進(jìn)行的操作,若是,則將該文件操作信息記錄到文件操作記錄列表中,然后通知本地共享文件記錄處理器;12)本地共享文件記錄處理器收到本地文件過濾驅(qū)動(dòng)模塊的通知,查詢文件操作記錄列表,讀取該列表中保存的文件操作信息,生成共享文件操作審計(jì)記錄,發(fā)送給記錄存儲(chǔ)服務(wù)器;在本地用戶通過局域網(wǎng)訪問遠(yuǎn)程終端上的共享文件時(shí),按照以下步驟進(jìn)行審計(jì)21)本地中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊截獲本地終端發(fā)送的SMB包,將該SMB包的信息記錄到本地終端訪問遠(yuǎn)程共享文件記錄列表,并通知本地共享文件記錄處理器;22)本地共享文件記錄處理器查詢本地終端訪問遠(yuǎn)程共享文件記錄列表,獲取該列表中的信息,生成本地終端的共享文件操作審計(jì)記錄,發(fā)送給記錄存儲(chǔ)服務(wù)器;23)被訪問終端的中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊截獲該被訪問終端接收到的SMB包,將來訪終端的IP-MAC對和訪問的共享文件名保存到遠(yuǎn)程終端訪問本地共享文件記錄列表;24)被訪問終端的文件過濾驅(qū)動(dòng)模塊截獲共享文件操作IRP包,將該ira包對應(yīng)的共享文件操作信息記錄到文件操作記錄列表中,并通知被訪問終端的共享文件記錄處理器;25)被訪問終端的共享文件記錄處理器查詢步驟的文件操作記錄列表,獲取該列表中保存的共享文件操作信息,然后根據(jù)共享文件名查詢遠(yuǎn)程終端訪問本地共享文件記錄列表,獲取來訪終端的IP-MAC對,生成被訪問終端的共享文件操作審計(jì)記錄,發(fā)送給紀(jì)錄存儲(chǔ)服務(wù)器。與現(xiàn)有技術(shù)相比,本發(fā)明的局域網(wǎng)內(nèi)共享文件操作的審計(jì)系統(tǒng)及方法,具有以下優(yōu)點(diǎn)和有益效果1、文件過濾驅(qū)動(dòng)模塊和中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊僅僅是分別讀取IRP包和SMB包的信息,不進(jìn)行其他復(fù)雜的操作,因此,不僅不會(huì)影響到系統(tǒng)的文件操作速度或用戶的網(wǎng)絡(luò)速度,還能提高審計(jì)的效率。2、支持全天候不間斷地工作,從而保證了審計(jì)的連續(xù)和穩(wěn)定。3、審計(jì)記錄完整并可追溯,從而在發(fā)生違規(guī)操作行為時(shí),能夠有效地追究違規(guī)操作者的責(zé)任。4、系統(tǒng)集成性高,易與其他內(nèi)網(wǎng)產(chǎn)品集成為一體化的內(nèi)網(wǎng)安全管理系統(tǒng)。
下面結(jié)合附圖與具體實(shí)施方式
對本發(fā)明作進(jìn)一步詳細(xì)的說明附圖是本發(fā)明的審計(jì)方法流程圖。
具體實(shí)施例方式為對本發(fā)明的技術(shù)內(nèi)容、特點(diǎn)與功效有更具體的了解,現(xiàn)結(jié)合圖示的實(shí)施方式,詳述如下本發(fā)明的局域網(wǎng)內(nèi)共享文件操作的審計(jì)系統(tǒng),包括多個(gè)終端和一個(gè)記錄存儲(chǔ)服務(wù)器,各終端包括有中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊,位于內(nèi)核層,用于截獲終端發(fā)送和接收的所有共享訪問 SMB (Sever Message Block protocol,服務(wù)器信息塊協(xié)議)包,獲取并記錄SMB包中包含的源IP-MAC對、目的IP-MAC對以及操作類型等共享文件操作信息,并通知共享文件記錄處理器讀取該信息;文件過濾驅(qū)動(dòng)模塊,位于內(nèi)核層,用于截獲終端所有文件操作的IRPd/ORequest lockage,輸入輸出請求包),對屬于共享文件操作的IRP,記錄該IRP包中包含的操作的共享文件名、路徑以及操作類型等共享文件操作信息,并通知共享文件記錄處理器讀取該信息;共享文件記錄處理器,位于應(yīng)用層,用于接收來自中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊和文件過濾驅(qū)動(dòng)模塊的通知,查詢中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊和文件過濾驅(qū)動(dòng)模塊記錄的共享文件操作信息,獲取終端登陸用戶名,生成詳細(xì)的共享文件操作審計(jì)記錄,并匯報(bào)到記錄存儲(chǔ)服務(wù)器。該記錄存儲(chǔ)服務(wù)器,用于存儲(chǔ)共享文件記錄處理器所生成的共享文件操作審計(jì)記錄。以下通過本發(fā)明的一個(gè)具體實(shí)施例,同時(shí)結(jié)合附圖,對應(yīng)用上述審計(jì)系統(tǒng)對局域網(wǎng)內(nèi)共享文操作進(jìn)行審計(jì)的方法做一詳細(xì)介紹。終端A 的 IP 地址是 192. 168. 1. 3,MAC 地址是 01 33 32 44 55 :66。終端B 的 IP 地址是 192. 168. 1. 2,MAC 地址是 00 22 11 33 44 :55。當(dāng)名為sharetest的用戶在終端A訪問終端A的共享文件夾share內(nèi)的名稱為 Book, txt的文件時(shí),終端A的文件過濾驅(qū)動(dòng)模塊截獲該共享文件操作的IRP包,獲取該IPR 包對應(yīng)的文件操作信息,判斷該操作是否是對共享文件進(jìn)行的操作,如果是,則將文件操作信息(包括操作的共享文件名、路徑和操作類型等)記錄到文件操作記錄列表(簡稱F0RL) 中,然后,通知終端A的共享文件記錄處理器;終端A的共享文件記錄處理器收到本地文件過濾驅(qū)動(dòng)模塊的通知后,查詢該文件過濾驅(qū)動(dòng)模塊的F0RL,讀取FORL中保存的共享文件操作信息,生成如表1所示的包含有當(dāng)前登錄用戶、操作的共享文件名、路徑、操作類型以及本機(jī)IP-MAC信息的共享文件操作審計(jì)記錄,匯報(bào)給記錄存儲(chǔ)服務(wù)器。表1用戶在終端A操作本地共享文件的審計(jì)記錄
權(quán)利要求
1.一種局域網(wǎng)內(nèi)共享文件操作的審計(jì)系統(tǒng),包括多個(gè)終端和一個(gè)用于存儲(chǔ)共享文件操作審計(jì)記錄的記錄存儲(chǔ)服務(wù)器,其特征在于,各終端包括有中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊,用于截獲終端發(fā)送和接收的所有共享訪問SMB包,記錄該SMB包中包含的共享文件操作信息,并通知共享文件記錄處理器讀取該信息;文件過濾驅(qū)動(dòng)模塊,用于截獲終端所有文件操作的IRP包,并對屬于共享文件操作的 IRP包,記錄該IRP包中包含的共享文件操作信息,并通知共享文件記錄處理器讀取該信息;共享文件記錄處理器,用于接收來自中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊和文件過濾驅(qū)動(dòng)模塊的通知,查詢相應(yīng)的共享文件操作信息,并獲取終端登陸用戶名,生成共享文件操作審計(jì)記錄, 發(fā)送給記錄存儲(chǔ)服務(wù)器。
2.如權(quán)利要求1所述的審計(jì)系統(tǒng),其特征在于所述中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊記錄的共享文件操作信息包括源IP-MAC對、目的IP-MAC對、訪問的共享文件名以及操作類型。
3.如權(quán)利要求1所述的審計(jì)系統(tǒng),其特征在于所述文件過濾驅(qū)動(dòng)模塊記錄的共享文件操作信息包括操作的共享文件名、路徑以及操作類型。
4.一種利用權(quán)利要求1所述的系統(tǒng)實(shí)現(xiàn)的局域網(wǎng)內(nèi)共享文件操作的審計(jì)方法,其特征在于,當(dāng)用戶訪問本地共享文件時(shí),審計(jì)步驟包括11)本地文件過濾驅(qū)動(dòng)模塊截獲文件操作的IRP包,獲取該II3R包對應(yīng)的文件操作信息,判斷該操作是否是對共享文件進(jìn)行的操作,若是,則將該文件操作信息記錄到文件操作記錄列表中,然后通知本地共享文件記錄處理器;12)本地共享文件記錄處理器收到本地文件過濾驅(qū)動(dòng)模塊的通知,查詢文件操作記錄列表,讀取該列表中保存的文件操作信息,生成共享文件操作審計(jì)記錄,發(fā)送給記錄存儲(chǔ)服務(wù)器;當(dāng)用戶訪問遠(yuǎn)程共享文件時(shí),審計(jì)步驟包括21)本地中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊截獲本地終端發(fā)送的SMB包,將該SMB包的信息記錄到本地終端訪問遠(yuǎn)程共享文件記錄列表,并通知本地共享文件記錄處理器;22)本地共享文件記錄處理器查詢本地終端訪問遠(yuǎn)程共享文件記錄列表,獲取該列表中的信息,生成本地終端的共享文件操作審計(jì)記錄,發(fā)送給記錄存儲(chǔ)服務(wù)器;23)被訪問終端的中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊截獲該被訪問終端接收到的SMB包,將來訪終端的IP-MAC對和訪問的共享文件名保存到遠(yuǎn)程終端訪問本地共享文件記錄列表;24)被訪問終端的文件過濾驅(qū)動(dòng)模塊截獲共享文件操作IRP包,將該P(yáng)R包對應(yīng)的共享文件操作信息記錄到文件操作記錄列表中,并通知被訪問終端的共享文件記錄處理器;25)被訪問終端的共享文件記錄處理器查詢步驟24)的文件操作記錄列表,獲取該列表中保存的共享文件操作信息,然后根據(jù)共享文件名查詢遠(yuǎn)程終端訪問本地共享文件記錄列表,獲取來訪終端的IP-MAC對,生成被訪問終端的共享文件操作審計(jì)記錄,發(fā)送給紀(jì)錄存儲(chǔ)服務(wù)器。
5.如權(quán)利要求4所述的審計(jì)方法,其特征在于所述文件過濾驅(qū)動(dòng)模塊記錄的文件操作信息包括操作的共享文件名、路徑和操作類型。
6.如權(quán)利要求4所述的審計(jì)方法,其特征在于所述步驟12)中生成的共享文件操作審計(jì)記錄,包含有當(dāng)前登錄用戶、操作的共享文件名、路徑、操作類型以及本機(jī)IP。
7.如權(quán)利要求4所述的審計(jì)方法,其特征在于所述中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊記錄的信息包括源IP-MAC對、目的IP-MAC對、訪問的共享文件名以及操作類型。
8.如權(quán)利要求4所述的審計(jì)方法,其特征在于所述步驟22)中生成的本地終端的共享文件操作審計(jì)記錄,包含有訪問的共享文件名、操作類型、目的IP-MAC對、本機(jī)IP-MAC對以及登陸用戶。
9.如權(quán)利要求4所述的審計(jì)方法,其特征在于所述步驟25)中生成的被訪問終端的共享文件操作審計(jì)記錄,包含有操作的共享文件名、路徑、操作類型、來訪終端IP-MAC對、 本機(jī)IP-MAC對。
全文摘要
本發(fā)明公開了一種局域網(wǎng)內(nèi)共享文件操作的審計(jì)系統(tǒng),包括有多個(gè)終端和一個(gè)記錄存儲(chǔ)服務(wù)器,各終端包括有中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊、文件過濾驅(qū)動(dòng)模塊和共享文件記錄處理器。本發(fā)明還公開了應(yīng)用上述系統(tǒng)進(jìn)行審計(jì)的方法。該審計(jì)系統(tǒng)及方法簡單、高效,且易于集成。審計(jì)時(shí),中間層網(wǎng)絡(luò)驅(qū)動(dòng)模塊和文件過濾驅(qū)動(dòng)模塊分別截獲共享訪問SMB包和文件操作的IRP包,并記錄下共享文件的操作信息,共享文件記錄處理器根據(jù)這些信息及終端登陸用戶名,生成詳細(xì)的共享文件操作審計(jì)記錄,匯報(bào)到記錄存儲(chǔ)服務(wù)器,如此,內(nèi)網(wǎng)管理員就可輕松地實(shí)現(xiàn)對共享文件操作的管理。
文檔編號(hào)H04L12/28GK102467618SQ201010531320
公開日2012年5月23日 申請日期2010年11月4日 優(yōu)先權(quán)日2010年11月4日
發(fā)明者代真虎, 徐培杰, 李剛, 鮑遠(yuǎn)松 申請人:上海寶信軟件股份有限公司