技術領域

本發明涉及一種局域網內共享文件操作的審計系統。本發明還涉及基于上述系統的審計方法。

背景技術

在企業內部局域網中，常常會配置一些允許內部員工以共享方式訪問的公共服務器，員工之間也常常會采用文件共享的方式分享文件，尤其是在禁用外設和實行無紙化辦公的企業中，這種方式所具有的簡單、高效的優點更為突出。但是，文件共享也會給內網的管理帶來困擾，特別是在個人計算機數量較多時，容易因內部用戶將機密性文件非法設置成共享，并且沒有設置好共享權限，而導致機密信息外泄，此外，某些員工還可能在訪問公共服務器時，私自篡改服務器上的文件或惡意向服務器上傳木馬病毒，給內網的管理帶來混亂。為了防范上述問題，企業內部通常會制訂相應的管理制度來規范共享文件的訪問操作，但是，由于缺乏有效的審計手段，在出現違規操作時，很難定位追蹤到當事人，如此，就無法向當事人追究責任，使得內網的管理工作難有成效，且管理成本較高。

目前，也有人采用域策略方式或者文件過濾驅動方式，來解決共享文件的操作審計問題。域策略方式有存在三個主要的問題，一是企業必須配置有域，且所有內部用戶都必須加入域中，對于那些沒有設置域服務器或者沒有加入域的用戶就無法進行管理；二是通過域策略審計共享文件操作的信息比較簡單，無法追蹤定位到責任人；三是無法與其他內網管理系統集成，形成一體化的內網安全保護系統。文件過濾驅動方式則是通過在目標終端安裝文件過濾驅動，監控本地共享文件操作，記錄審計信息，來進行管理，這種方式只能監控終端用戶做了哪些操作，無法獲取遠程終端的IP地址(Internet?Protocol?Address，網際協議地址)和MAC(Media?Access?Control，介質訪問控制)地址等信息，因此，內網管理員同樣無法追查遠程終端的訪問操作。

發明內容

本發明要解決的技術問題是提供一種局域網內共享文件操作的審計系統，它簡單、高效，且易于集成。

為解決上述技術問題，本發明的局域網內共享文件操作的審計系統，包括多個終端和一個用于存儲共享文件操作審計記錄的記錄存儲服務器，各終端包括有：

中間層網絡驅動模塊，用于截獲終端發送和接收的所有共享訪問SMB包，記錄該SMB包中包含的共享文件操作信息，并通知共享文件記錄處理器讀取該信息；

文件過濾驅動模塊，用于截獲終端所有文件操作的IRP包，并對屬于共享文件操作的IRP包，記錄該IRP包中包含的共享文件操作信息，并通知共享文件記錄處理器讀取該信息；

共享文件記錄處理器，用于接收來自中間層網絡驅動模塊和文件過濾驅動模塊的通知，查詢相應的共享文件操作信息，并獲取終端登陸用戶名，生成共享文件操作審計記錄，發送給記錄存儲服務器。

本發明要解決的另一技術問題是提供一種利用上述系統對局域網內共享文件操作進行審計的方法。

為解決上述技術問題，本發明的局域網內共享文件操作的審計方法，在本地用戶訪問本地共享文件時，按照以下步驟進行審計：

11)本地文件過濾驅動模塊截獲文件操作的IRP包，獲取該IPR包對應的文件操作信息，判斷該操作是否是對共享文件進行的操作，若是，則將該文件操作信息記錄到文件操作記錄列表中，然后通知本地共享文件記錄處理器；

12)本地共享文件記錄處理器收到本地文件過濾驅動模塊的通知，查詢文件操作記錄列表，讀取該列表中保存的文件操作信息，生成共享文件操作審計記錄，發送給記錄存儲服務器；

在本地用戶通過局域網訪問遠程終端上的共享文件時，按照以下步驟進行審計：

21)本地中間層網絡驅動模塊截獲本地終端發送的SMB包，將該SMB包的信息記錄到本地終端訪問遠程共享文件記錄列表，并通知本地共享文件記錄處理器；

22)本地共享文件記錄處理器查詢本地終端訪問遠程共享文件記錄列表，獲取該列表中的信息，生成本地終端的共享文件操作審計記錄，發送給記錄存儲服務器；

23)被訪問終端的中間層網絡驅動模塊截獲該被訪問終端接收到的SMB包，將來訪終端的IP-MAC對和訪問的共享文件名保存到遠程終端訪問本地共享文件記錄列表；

24)被訪問終端的文件過濾驅動模塊截獲共享文件操作IRP包，將該IPR包對應的共享文件操作信息記錄到文件操作記錄列表中，并通知被訪問終端的共享文件記錄處理器；