技術(shù)領(lǐng)域

基于文件軌跡追蹤樹的審計(jì)分析方法屬于電子文件安全管控領(lǐng)域。

背景技術(shù)

為了易于觀察及審計(jì)某文件及其副本文件的流轉(zhuǎn)過程，提出一種名為“文件軌跡追蹤樹”的數(shù)據(jù)結(jié)構(gòu)體表示方法，簡化審計(jì)分析的工作量。文件軌跡追蹤樹在從更新中的數(shù)據(jù)庫表提取出所需信息之后，經(jīng)過一定的數(shù)據(jù)關(guān)聯(lián)、劃分和重組，形成具有文件軌跡傳播樹圖樣式的數(shù)據(jù)存儲結(jié)構(gòu)體，每一棵“樹”的頂點(diǎn)代表文件創(chuàng)建者，其子節(jié)點(diǎn)則代表文件的傳播范圍，“樹枝”則代表傳播軌跡。

電子文件安全管控系統(tǒng)的核心功能之一是通過對文件添加標(biāo)簽信息并實(shí)時(shí)更新標(biāo)簽信息來追蹤文件的流轉(zhuǎn)軌跡，在每個(gè)流轉(zhuǎn)節(jié)點(diǎn)審計(jì)用戶對文件的操作，包括文件在本地的編輯狀態(tài)、在用戶間的流轉(zhuǎn)狀態(tài)、在部門間的擴(kuò)散范圍等。

電子文件安全管控系統(tǒng)的數(shù)據(jù)庫中動態(tài)存儲著數(shù)以千萬計(jì)的文件標(biāo)簽信息，由于文件編輯和流轉(zhuǎn)的需要，每條標(biāo)簽信息都處于不停更新的狀態(tài)。傳統(tǒng)的數(shù)據(jù)庫查詢和審計(jì)方法能夠解決大量“靜態(tài)”數(shù)據(jù)的檢索和分析，但是在本系統(tǒng)的應(yīng)用模式下，如此頻繁更新的“動態(tài)”標(biāo)簽信息將會成為準(zhǔn)確追蹤和全面審計(jì)的一大挑戰(zhàn)。因此需要研究出一種高效可靠的標(biāo)簽信息審計(jì)分析技術(shù)以滿足大數(shù)據(jù)量、動態(tài)更新、多維流轉(zhuǎn)情況下的電子文件審計(jì)需要。

針對上述需求提出一種名為“文件軌跡追蹤樹”的數(shù)據(jù)結(jié)構(gòu)體表示方法，以此來簡化審計(jì)分析的工作量。文件軌跡追蹤樹處在數(shù)據(jù)庫層和審計(jì)分析層之間，在從更新中的數(shù)據(jù)庫表提取出標(biāo)簽信息之后，經(jīng)過一定的數(shù)據(jù)關(guān)聯(lián)、劃分和重組，形成具有文件軌跡傳播樹圖樣式的數(shù)據(jù)存儲結(jié)構(gòu)體，每一棵“樹”的頂點(diǎn)代表文件創(chuàng)建者，其子節(jié)點(diǎn)則代表文件的傳播范圍，“樹枝”則代表傳播軌跡。隨后審計(jì)分析層則直接對文件軌跡追蹤樹進(jìn)行操作，減少了計(jì)算 量。

發(fā)明內(nèi)容

一種用于觀察展現(xiàn)文件傳播軌跡的樹結(jié)構(gòu)(稱文件軌跡追蹤樹)，其特征在于：樹內(nèi)節(jié)點(diǎn)結(jié)構(gòu)體包括每個(gè)文件接收者對該文件及其產(chǎn)生的副本文件的操作行為的統(tǒng)計(jì)；樹內(nèi)節(jié)點(diǎn)結(jié)構(gòu)體中包括由該文件衍生出的副本文件的相關(guān)屬性信息；能根據(jù)該樹結(jié)構(gòu)得知該文件及由其衍生出的多個(gè)副本文件的傳播軌跡。

一種使用文件軌跡追蹤樹針對文件操作以及傳播記錄的審計(jì)方法，其特征在于：利用樹形圖表示文件的傳播軌跡；利用文件軌跡追蹤樹內(nèi)節(jié)點(diǎn)結(jié)構(gòu)體表示對文件及由其衍生出的副本文件的操作等其他屬性；利用樹內(nèi)節(jié)點(diǎn)審計(jì)文件流轉(zhuǎn)次數(shù)。

基于文件軌跡追蹤樹的審計(jì)分析方法，其特征在于：

當(dāng)一個(gè)文件產(chǎn)生的時(shí)候，系統(tǒng)會為文件創(chuàng)建一個(gè)標(biāo)簽，標(biāo)簽內(nèi)容包含有文件的唯一ID，不論對其進(jìn)行什么操作，文件的唯一ID不變，若存在復(fù)制、保存或另存為操作的時(shí)候會生成一個(gè)新的副本，且所述的保存代表對文件修改后的保存而不是接收時(shí)的保存，接收時(shí)出現(xiàn)的保存或者覆蓋不會生成新副本；通過文件副本ID進(jìn)行區(qū)分，文件副本ID在保存、另存為和復(fù)制的操作中被創(chuàng)建，一個(gè)文件副本只有一個(gè)文件副本ID，其在發(fā)送、打印、修改操作中不會改變，文件副本能生成新的文件副本；若存在刪除操作，該文件的標(biāo)簽記錄不會被刪除；每個(gè)文件副本也會生成自己的標(biāo)簽；

通過對某文件名稱的查詢，得知想要查詢的文件ID，關(guān)聯(lián)操作表、用戶表、文件表和數(shù)據(jù)字典，構(gòu)建該文件的傳播軌跡表；傳播軌跡表至少包括文件ID、文件名、文件副本ID、文件副本名、操作ID、操作名稱、操作時(shí)間、操作用戶ID、用戶名和層級；通過判斷操作ID是否為“發(fā)送”的代號，構(gòu)造層級信息，每當(dāng)操作為發(fā)送時(shí)，會同時(shí)寫入發(fā)送者和接收者的信息記錄，選取其中的操作用戶ID即“發(fā)送者ID接收者ID”，按發(fā)送時(shí)間的先后順序?qū)?“發(fā)送者ID接收者ID”前添加標(biāo)號即為“m發(fā)送者ID接收者ID”，m表示第m個(gè)發(fā)送者或接收者，以此構(gòu)造層級信息；

依據(jù)文件的傳播軌跡表構(gòu)建某文件的傳播軌跡樹，根據(jù)操作名稱判定是否為根節(jié)點(diǎn)，若為“創(chuàng)建”則為根節(jié)點(diǎn)，其余為子節(jié)點(diǎn)；根據(jù)文件傳播軌跡表中的文件及其副本的層級信息構(gòu)造文件軌跡追蹤樹，對文件及由該文件生成的副本文件的流轉(zhuǎn)過程進(jìn)行全程跟蹤記錄，以樹節(jié)點(diǎn)代表文件或副本文件，樹節(jié)點(diǎn)結(jié)構(gòu)體內(nèi)包含該文件或副本文件的常規(guī)屬性及操作記錄，操作記錄是一個(gè)三列n行的表格，三列分別記錄操作者、操作類型、操作時(shí)間；n表示操作次數(shù)；每個(gè)樹節(jié)點(diǎn)的孩子節(jié)點(diǎn)代表該文件發(fā)送到的其他用戶，樹節(jié)點(diǎn)之間的連線即樹枝信息包含所發(fā)送的文件及其文件ID；

構(gòu)造傳播軌跡樹的具體步驟如下：

1)將文件創(chuàng)建者作為樹的根節(jié)點(diǎn)；