技術領域

本發明涉及一種Unix類主機用戶操作指令審計的方法和系統，屬于通信領域。

背景技術

互聯網數據中心（Internet Data Center，簡稱IDC）是基于Internet網絡，為集中式收集、存儲、處理和發送數據的設備提供運行維護的設施基地并提供相關的服務。IDC提供的主要業務包括主機托管（機位、機架、機房出租）、資源出租（如虛擬主機業務、數據存儲服務）、系統維護（系統配置、數據備份、故障排除服務）、以及負載均衡、流量分析等其他支撐、運行服務等。

目前，在絕大多數互聯網數據中心內部幾乎都部署了防火墻、IDS、IPS系統等安全設施，IDC運營者將這些網絡安全設施承租給IDC內高端、重要業務客戶使用。同時高端、重要業務客戶利用這些防火墻、IDS、IPS等常規的網絡安全產品建立了基礎的網絡安全防護措施，雖然這些基礎網絡安全防護措施可以解決一部分安全問題，并在實際中取得了一定效果。但是在現實中針對IDC承租客戶來說IDC內網絡安全事件仍時有發生，造成這些不合規、不合法的行為很多來源于承租IDC計算資源客戶中內部“合法”的用戶違規操作，這種由于“合法”違規操作而導致數據誤刪除、數據破壞、數據泄密等致使IDC承租企業利益受損的行為，而上述防火墻、IDS、IPS等常規的網絡安全產品卻顯得無能為力。

針對IDC內承租客戶這種“合法”違規操作發生的情況，由于UNIX類主機系統自身的Syslog日志不記錄用戶的操作指令日志，所以目前IDC內一般會采用以下兩種方式來進行處理，一種方式是人工方式，即在“合法”違規事件發生并對承租人造成具體損失后，由承租人事后聘請專業的安全專家通過人工提取系統環境參數、日志文件等信息，并經過關聯分析、邏輯推理來推定是哪位內部“合法”用戶的違規操作行為；另一種方式是通過單獨部署運維審計型堡壘機方式（公司內部4A方式），即堡壘主機部署在內網中的服務器和網絡設備等核心資源的邏輯前端，通過堡壘主機來記錄承租IDC內計算資源的用戶操作行為，以此來發現“合法”用戶的違規操作行為。

針對IDC承租企業內部“合法”違規操作而致使本企業利益受損后處置追查的第一種方式，即人工方式屬于被動式追查方式，這種方式往往要求專業的安全專家依據最后現場所收集到的系統環境參數、日志文件等基礎信息并根據自身的經驗對該違規操作進行關聯分析，來推定具體違規人員，但是一般“合法”用戶在進行違規操作后，均會主動清除本次所有的操作信息、日志記錄避免被追查，從而無法追蹤的具體人員，即使能夠推測出具體“合法”用戶，也無法最終進行確認，同時該種方式無法滿足自定義高危操作指令準實時性提醒的要求。

針對第二種方式，由于考慮到UNIX類主機自身的Syslog日志自身不包含操作日志，需通過單獨部署運維審計型堡壘機方式（公司內部4A方式），這就要求我們IDC運營單位先期購買并部署大量的物理實體堡壘主機，占用公司大量前期投資；同時由于這些堡壘主機均是各個安全廠家專用的物理實體機器，沒有統一的標準，所以與目前IDC內基于云計算的虛擬主機難以融合，占用公司的日常維護資源。

同時對于IDC承租方來說，額外租用這些物理實體堡壘主機，增加了IDC承租方的經濟負擔，即使IDC承租人經濟上不是問題，由于運維審計型堡壘機（公司內部4A方式）部署在內網中的服務器和網絡設備等核心資源的邏輯前端，從目前來看在具體維護人員實際的日常使用過程中還是存在一定的時延、斷線等問題，影響具體使用人員的用戶感知，針對公司內部員工可通過集團公司規章制度要求讓公司具體一線維護人員堅持使用，但是針對IDC承租方外部客戶來說這種時延、斷線可能造成客戶的流失。同時單個堡壘機存在單點故障的可能，最后個別運維審計型堡壘機（公司內部4A方式）要求保存IDC承租人用戶的所有賬號信息和密碼，增加了IDC承租人的安全管理風險。

發明內容

本發明所要解決的技術問題是提供一種安全和方便的用戶操作指令審計的方法和系統。

本發明解決上述技術問題所采取的技術方案如下：

一種Unix類主機用戶操作指令審計的方法，包括：

采集當前登錄用戶在主機上的操作指令和/或屏幕顯示內容，并將所述用戶操作指令和/或屏幕顯示內容發送到一準實時日志中；

對所述準實時日志進行篩選，并根據關聯規則進行關聯，形成帶有賬號的操作日志；

對所述操作日志進行定期展示或者按照告警提醒規則對所述操作日志進行逐一匹配，并在發現高危操作指令時通知給用戶。