專利名稱：基于Web代理的HTTP/HTTPS行為管控的審計方法
基于Web代理的HTTP/HTTPS行為管控的審計方法
技術(shù)領(lǐng)域：
本發(fā)明具體涉及ー種基于Web代理的HTTP/HTTPS行為管控的審計方法。
背景技木現(xiàn)有的基于Web代理的HTTP/HTTPS審計裝置和用戶端配置是——對應(yīng)的，當用戶要訪問被托管的ー業(yè)務(wù)系統(tǒng)(指OA(辦公自動化)、CRM(客戶關(guān)系管理系統(tǒng))或ERP(企業(yè)資源計劃)等類管理信息系統(tǒng)。)時必須先通過代理服務(wù)器，才可以訪問，每新加或去除一審計裝置，使用該審計裝置的所有用戶端都必須進行配置修改才可以使用，如有al、a2、a3、a4、a5五個業(yè)務(wù)系統(tǒng)被托管，目前只有一臺審計裝置BI進行審計，而審計裝置B I只審計對al、a2、a3的訪問，目前用戶端上的代理地址設(shè)的是BI ;當要新加一臺審計裝置B2來審計對a4、a5的訪問，那么如果要訪問a4、a5這兩個業(yè)務(wù)系統(tǒng)時，必須把代理服務(wù)器設(shè)置成 B2。因而，現(xiàn)有的基于Web代理的HTTP/HTTPS審計裝置要求用戶修改代理服務(wù)器地址，修改方式為打開控制面板一選擇Inernet選項一局域網(wǎng)設(shè)置一輸入代理服務(wù)器IP和端口號。設(shè)定好WEB代理服務(wù)器后，用戶會被要求登陸代理服務(wù)器，經(jīng)過認證授權(quán)后才可以訪問被托管的業(yè)務(wù)系統(tǒng)。如果用戶要訪問另一非托管的業(yè)務(wù)系統(tǒng)時，必須刪除現(xiàn)有代理服務(wù)器的地址，重新配置代理服務(wù)器地址，才可進行訪問，因此用戶在訪問被托管的業(yè)務(wù)系統(tǒng)和非托管的業(yè)務(wù)系統(tǒng)時必須進行頻繁的代理服務(wù)器地址的配置切換。

發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題在于提供一種基于Web代理的HTTP/HTTPS行為管控的審計方法，無需用戶端頻繁地更改代理服務(wù)器的配置。本發(fā)明是通過以下技術(shù)方案解決上述技術(shù)問題的一種基于Web代理的HTTP/HTTPS行為管控的審計方法，所述審計方法配置有ー注冊管理模塊、一安全策略庫模塊、一數(shù)據(jù)監(jiān)聽模塊、一數(shù)據(jù)分析模塊和一審計控制模塊；所述安全策略庫模塊中定義有監(jiān)聽策略、頁面訪問控制策略、上傳策略和下載策略；所述監(jiān)聽策略包括需被監(jiān)聽的服務(wù)器的IP和端ロ ；所述上傳策略包括各使用者的上傳權(quán)限，所述上傳權(quán)限為各使用者能上傳的文件名規(guī)則和文件內(nèi)容規(guī)則；所述下載策略包括各使用者的下載權(quán)限，所述下載權(quán)限為各使用者能下載的文件名規(guī)則；所述審計方法具體包括以下步驟步驟100 :用戶在所述注冊管理模塊上填寫注冊信息，進行實名注冊；然后根據(jù)所述注冊信息進行登錄，并選擇要訪問的服務(wù)器；所述注冊信息包括帳號、用戶真實姓名和用戶的IP ；步驟200 :所述數(shù)據(jù)監(jiān)聽模塊從安全策略庫模塊中獲取監(jiān)聽策略，并根據(jù)所述監(jiān)聽策略監(jiān)聽服務(wù)器，將用戶訪問該服務(wù)器上的業(yè)務(wù)系統(tǒng)所產(chǎn)生的數(shù)據(jù)包進行捕獲，然后數(shù)據(jù)監(jiān)聽模塊還原出所述數(shù)據(jù)包的網(wǎng)絡(luò)數(shù)據(jù)，并將所述數(shù)據(jù)包和用戶的IP做關(guān)聯(lián)，從而使數(shù)據(jù)包和用戶真實姓名進行關(guān)聯(lián)，然后將所述網(wǎng)絡(luò)數(shù)據(jù)發(fā)送給數(shù)據(jù)分析模塊；步驟300 :所述數(shù)據(jù)分析模塊根據(jù)HTTP協(xié)議和HTTPS協(xié)議分析所述步驟200得到的網(wǎng)絡(luò)數(shù)據(jù)，從中分析出用戶的HTTP/HTTPS請求事件；所述請求事件包括如下三種當請求事件為訪問某個網(wǎng)頁時，則將該用戶和所述網(wǎng)頁的地址與安全策略庫模塊中的頁面訪問控制策略進行匹配，判斷請求事件是否合法，若是，則執(zhí)行步驟400 ;若否，則向所述審計控制模塊發(fā)送阻斷指令，并執(zhí)行步驟500 ；
當請求事件為上傳文件時，則將該文件與所述上傳策略中的該用戶的上傳權(quán)限進行匹配，分別根據(jù)文件名規(guī)則和文件內(nèi)容規(guī)則判斷該文件的文件名格式、文件內(nèi)容是否合法，若是，則允許該用戶上傳該文件，并執(zhí)行步驟400 ;若否，則向所述審計控制模塊發(fā)送阻斷指令，并執(zhí)行步驟500;當請求事件為下載文件時，則將該文件與所述下載策略中的該用戶的下載權(quán)限進行匹配，根據(jù)文件名規(guī)則判斷該用戶是否有權(quán)限下載所述文件，若是，則允許該用戶下載所述文件，并執(zhí)行步驟400 ;若否，則向所述審計控制模塊發(fā)送阻斷指令，并執(zhí)行步驟500 ；步驟400 :所述審計控制模塊記錄該用戶的操作行為，并結(jié)束流程；步驟500 :所述審計控制模塊利用TCP網(wǎng)絡(luò)協(xié)議的特性，向通信的雙方偽造斷開連接的報文，強制切斷非法的網(wǎng)絡(luò)連接，然后記錄用戶的操作行為，并結(jié)束流程。進ー步地，所述頁面訪問控制策略包含敏感網(wǎng)頁的URL地址、允許訪問所述敏感網(wǎng)頁的人員名單，禁止訪問所述敏感網(wǎng)頁的人員名単；所述步驟300中的當請求事件為訪問某個網(wǎng)頁時，則將該用戶和所述網(wǎng)頁的地址與安全策略庫模塊中的頁面訪問控制策略進行匹配具體為將所述網(wǎng)頁的地址與所述敏感網(wǎng)頁的URL地址進行匹配，同時將該用戶與所述允許訪問所述敏感網(wǎng)頁的人員名單或與所述禁止訪問所述敏感網(wǎng)頁的人員名單進行匹配。本發(fā)明的有益效果在于與現(xiàn)有的審計裝置相比，本發(fā)明的審計裝置無需在用戶端設(shè)置代理服務(wù)器地址，無需用戶端頻繁地更改代理服務(wù)器的配置；本發(fā)明從用戶、業(yè)務(wù)系統(tǒng)角色兩個維度對業(yè)務(wù)系統(tǒng)的訪問做統(tǒng)ー授權(quán)，按照最小權(quán)限原則分配；本發(fā)明可以實現(xiàn)將每一條操作記錄都和用戶真實姓名對應(yīng)，進行實名審計；本發(fā)明能實現(xiàn)對異常訪問、非法的越權(quán)操作及時進行阻斷；本發(fā)明可以實現(xiàn)按照最小審計粒度的原則記錄用戶的操作行為，從而全面監(jiān)測各種非法操作及合法用戶的違規(guī)操作。

下面參照附圖結(jié)合實施例對本發(fā)明作進ー步的描述。圖I為本發(fā)明的審計裝置的框架圖。
具體實施方式請參閱圖1，一種基于Web代理的HTTP/HTTPS行為管控的審計方法，所述審計方法配置有ー注冊管理模塊、一安全策略庫模塊、一數(shù)據(jù)監(jiān)聽模塊、一數(shù)據(jù)分析模塊和ー審計控制模塊；所述安全策略庫模塊中定義有監(jiān)聽策略、頁面訪問控制策略、上傳策略和下載策略；所述監(jiān)聽策略包括需被監(jiān)聽的服務(wù)器的IP和端ロ，所述服務(wù)器上運行有業(yè)務(wù)系統(tǒng)，所述業(yè)務(wù)系統(tǒng)指OA (辦公自動化)、CRM(客戶關(guān)系管理系統(tǒng))，ERP (企業(yè)資源計劃)等類管理信息系統(tǒng)；所述頁面訪問控制策略包含敏感網(wǎng)頁(如防火墻、業(yè)務(wù)系統(tǒng)的配置網(wǎng)頁)的URL地址、允許訪問所述敏感網(wǎng)頁的人員名單，禁止訪問所述敏感網(wǎng)頁的人員名単；所述上傳策略包括各使用者的上傳權(quán)限，所述上傳權(quán)限為各使用者能上傳的文件名規(guī)則和文件內(nèi)容規(guī)則；所述下載策略包括各使用者的下載權(quán)限，所述下載權(quán)限為各使用者能下載的文件名規(guī)則；
請再參閱圖I，所述審計方法具體包括以下步驟步驟100 :用戶在所述注冊管理模塊上填寫注冊信息，進行實名注冊；然后根據(jù)所述注冊信息進行登錄，并選擇要訪問的服務(wù)器；所述注冊信息包括帳號、用戶真實姓名和用戶的IP;所述賬號必須和用戶真實姓名一一對應(yīng)。步驟200 :所述數(shù)據(jù)監(jiān)聽模塊從安全策略庫模塊中獲取監(jiān)聽策略，并根據(jù)所述監(jiān)聽策略監(jiān)聽服務(wù)器，將用戶訪問該服務(wù)器上的業(yè)務(wù)系統(tǒng)所產(chǎn)生的數(shù)據(jù)包進行捕獲，然后數(shù)據(jù)監(jiān)聽模塊還原出所述數(shù)據(jù)包的網(wǎng)絡(luò)數(shù)據(jù)，并將所述數(shù)據(jù)包和用戶的IP做關(guān)聯(lián)，從而使數(shù)據(jù)包和用戶真實姓名進行關(guān)聯(lián)，然后將所述網(wǎng)絡(luò)數(shù)據(jù)發(fā)送給數(shù)據(jù)分析模塊。步驟300 :所述數(shù)據(jù)分析模塊根據(jù)HTTP協(xié)議和HTTPS協(xié)議分析所述步驟200得到的網(wǎng)絡(luò)數(shù)據(jù)，從中分析出用戶的HTTP/HTTPS請求事件；所述請求事件包括如下三種(I)當請求事件為訪問某個網(wǎng)頁時，則將該用戶和所述網(wǎng)頁的地址與安全策略庫模塊中的頁面訪問控制策略進行匹配，即將所述網(wǎng)頁的地址與所述敏感網(wǎng)頁的URL地址進行匹配，同時將該用戶與所述允許訪問所述敏感網(wǎng)頁的人員名單或與所述禁止訪問所述敏感網(wǎng)頁的人員名單進行匹配，判斷請求事件是否合法，若是，則執(zhí)行步驟400;若否，則向所述審計控制模塊發(fā)送阻斷指令，并執(zhí)行步驟500。(2)當請求事件為上傳文件吋，則將該文件與所述上傳策略中的該用戶的上傳權(quán)限進行匹配，分別根據(jù)文件名規(guī)則和文件內(nèi)容規(guī)則判斷該文件的文件名格式、文件內(nèi)容是否合法，若是，則允許該用戶上傳該文件，并執(zhí)行步驟400 ;若否，則向所述審計控制模塊發(fā)送阻斷指令，并執(zhí)行步驟500。(3)當請求事件為下載文件吋，則將該文件與所述下載策略中的該用戶的下載權(quán)限進行匹配，根據(jù)文件名規(guī)則判斷該用戶是否有權(quán)限下載所述文件，若是，則允許該用戶下載所述文件，并執(zhí)行步驟400 ;若否，則向所述審計控制模塊發(fā)送阻斷指令，并執(zhí)行步驟500。例如A是管理員，他可以上傳和下載用戶信息文件，而用戶信息文件的文件名中含有關(guān)鍵字CRM. xlc ;而B是普通用戶，他只能查詢用戶信息文件，若他要下載含有關(guān)鍵字CRM. xlc的文件名，就會被攔截。步驟400 :所述審計控制模塊記錄該用戶的操作行為，并結(jié)束流程；即記錄用戶的訪問記錄，記錄文件上傳記錄，或記錄文件下載記錄，以提供歷史報表，供審計用；步驟500 :所述審計控制模塊利用TCP網(wǎng)絡(luò)協(xié)議的特性，向通信的雙方偽造斷開連接的報文，強制切斷非法的網(wǎng)絡(luò)連接，然后記錄用戶的操作行為，并結(jié)束流程。與現(xiàn)有的審計裝置相比，本發(fā)明的審計裝置無需在用戶端設(shè)置代理服務(wù)器地址，無需用戶端頻繁地更改代理服務(wù)器的配置，只需登錄本發(fā)明的審計裝置即可；本發(fā)明從用戶、業(yè)務(wù)系統(tǒng)角色兩個維度對業(yè)務(wù)系統(tǒng)的訪問做統(tǒng)ー授權(quán)，按照最小權(quán)限原則分配，即每個用戶的訪問權(quán)限僅按照他的需要進行分配，例如XX用戶，從他的工作角度出發(fā)，他只需要可以訪問A、B兩個網(wǎng)站，因此按照‘按照最小權(quán)限原則’不能給他分配整個網(wǎng)絡(luò)的訪問權(quán)限。本發(fā)明可以實現(xiàn)將每一條操作記錄都和用戶真實姓名對應(yīng)，進行實名審計；本發(fā)明能實現(xiàn)對異常訪問、非法的越權(quán)操作及時進行阻斷；本發(fā)明可以實現(xiàn)按照最小審計粒度的原則 記錄用戶的操作行為，從而全面監(jiān)測各種非法操作及合法用戶的違規(guī)操作，即可以細到用戶在某個網(wǎng)頁的某個操作，如可以記錄下用戶在A頁面內(nèi)下載某個文件。
權(quán)利要求
1.一種基于Web代理的HTTP/HTTPS行為管控的審計方法，其特征在于所述審計方法配置有ー注冊管理模塊、一安全策略庫模塊、一數(shù)據(jù)監(jiān)聽模塊、一數(shù)據(jù)分析模塊和ー審計控制模塊；所述安全策略庫模塊中定義有監(jiān)聽策略、頁面訪問控制策略、上傳策略和下載策略； 所述監(jiān)聽策略包括需被監(jiān)聽的服務(wù)器的IP和端ロ ；所述上傳策略包括各使用者的上傳權(quán)限，所述上傳權(quán)限為各使用者能上傳的文件名規(guī)則和文件內(nèi)容規(guī)則；所述下載策略包括各使用者的下載權(quán)限，所述下載權(quán)限為各使用者能下載的文件名規(guī)則； 所述審計方法具體包括以下步驟 步驟100 :用戶在所述注冊管理模塊上填寫注冊信息，進行實名注冊；然后根據(jù)所述注冊信息進行登錄，并選擇要訪問的服務(wù)器；所述注冊信息包括帳號、用戶真實姓名和用戶的IP ； 步驟200 :所述數(shù)據(jù)監(jiān)聽模塊從安全策略庫模塊中獲取監(jiān)聽策略，并根據(jù)所述監(jiān)聽策略監(jiān)聽服務(wù)器，將用戶訪問該服務(wù)器上的業(yè)務(wù)系統(tǒng)所產(chǎn)生的數(shù)據(jù)包進行捕獲，然后數(shù)據(jù)監(jiān)聽模塊還原出所述數(shù)據(jù)包的網(wǎng)絡(luò)數(shù)據(jù)，并將所述數(shù)據(jù)包和用戶的IP做關(guān)聯(lián)，從而使數(shù)據(jù)包和用戶真實姓名進行關(guān)聯(lián)，然后將所述網(wǎng)絡(luò)數(shù)據(jù)發(fā)送給數(shù)據(jù)分析模塊； 步驟300 :所述數(shù)據(jù)分析模塊根據(jù)HTTP協(xié)議和HTTPS協(xié)議分析所述步驟200得到的網(wǎng)絡(luò)數(shù)據(jù)，從中分析出用戶的HTTP/HTTPS請求事件；所述請求事件包括如下三種 當請求事件為訪問某個網(wǎng)頁時，則將該用戶和所述網(wǎng)頁的地址與安全策略庫模塊中的頁面訪問控制策略進行匹配，判斷請求事件是否合法，若是，則執(zhí)行步驟400 ;若否，則向所述審計控制模塊發(fā)送阻斷指令，并執(zhí)行步驟500 ； 當請求事件為上傳文件時，則將該文件與所述上傳策略中的該用戶的上傳權(quán)限進行匹配，分別根據(jù)文件名規(guī)則和文件內(nèi)容規(guī)則判斷該文件的文件名格式、文件內(nèi)容是否合法，若是，則允許該用戶上傳該文件，并執(zhí)行步驟400 ;若否，則向所述審計控制模塊發(fā)送阻斷指令，并執(zhí)行步驟500 ； 當請求事件為下載文件時，則將該文件與所述下載策略中的該用戶的下載權(quán)限進行匹配，根據(jù)文件名規(guī)則判斷該用戶是否有權(quán)限下載所述文件，若是，則允許該用戶下載所述文件，并執(zhí)行步驟400 ;若否，則向所述審計控制模塊發(fā)送阻斷指令，并執(zhí)行步驟500 ； 步驟400 :所述審計控制模塊記錄該用戶的操作行為，并結(jié)束流程； 步驟500 :所述審計控制模塊利用TCP網(wǎng)絡(luò)協(xié)議的特性，向通信的雙方偽造斷開連接的報文，強制切斷非法的網(wǎng)絡(luò)連接，然后記錄用戶的操作行為，并結(jié)束流程。
2.如權(quán)利要求I所述的基于Web代理的HTTP/HTTPS行為管控的審計方法，其特征在干所述頁面訪問控制策略包含敏感網(wǎng)頁的URL地址、允許訪問所述敏感網(wǎng)頁的人員名単，禁止訪問所述敏感網(wǎng)頁的人員名單；所述步驟300中的當請求事件為訪問某個網(wǎng)頁時，則將該用戶和所述網(wǎng)頁的地址與安全策略庫模塊中的頁面訪問控制策略進行匹配具體為將所述網(wǎng)頁的地址與所述敏感網(wǎng)頁的URL地址進行匹配，同時將該用戶與所述允許訪問所述敏感網(wǎng)頁的人員名單或與所述禁止訪問所述敏感網(wǎng)頁的人員名單進行匹配。
全文摘要
本發(fā)明提供了一種基于Web代理的HTTP/HTTPS行為管控的審計方法，所述審計方法配置有一注冊管理模塊、一安全策略庫模塊、一數(shù)據(jù)監(jiān)聽模塊、一數(shù)據(jù)分析模塊和一審計控制模塊；所述安全策略庫模塊中定義有監(jiān)聽策略、頁面訪問控制策略、上傳策略和下載策略；本發(fā)明能從用戶的訪問數(shù)據(jù)包中提取用戶的訪問列表、Web系統(tǒng)的響應(yīng)內(nèi)容，能實現(xiàn)用戶的上傳/下載權(quán)限授權(quán)、上傳下載文件的審批、異常事件的阻斷等，本發(fā)明解決了現(xiàn)有的審計裝置存在的需在用戶端設(shè)置代理服務(wù)器地址，需用戶端頻繁地更改代理服務(wù)器配置的問題。
文檔編號H04L29/06GK102868738SQ201210317359
公開日2013年1月9日 申請日期2012年8月30日 優(yōu)先權(quán)日2012年8月30日
發(fā)明者蔣鋒, 范清華, 陳冬冬, 涂大志, 潘穎 申請人:福建富士通信息軟件有限公司