技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于WEB代理進行錄屏審計的方法及系統(tǒng)。

背景技術(shù)

WEB代理是指在用戶瀏覽器(客戶端)和目標網(wǎng)站(目標WEB服務(wù)器)之間部署一種WEB代理服務(wù)器，用于轉(zhuǎn)發(fā)客戶端瀏覽器到目標WEB服務(wù)器及目標WEB服務(wù)器到客戶端瀏覽器之間的請求和響應(yīng)。WEB代理服務(wù)器中，可以實現(xiàn)多種功能，比如權(quán)限控制、訪問的目標WEB服務(wù)器文件審計等。

傳統(tǒng)的WEB審計方式中，在客戶端瀏覽器設(shè)置WEB代理服務(wù)器地址，當客戶端瀏覽器訪問目標WEB服務(wù)器時，發(fā)送的請求會首先到達WEB代理服務(wù)器，WEB代理服務(wù)器再轉(zhuǎn)發(fā)客戶端的請求。在WEB代理服務(wù)器中，則可以記錄該請求的URL信息，這樣用戶所有訪問的URL都會被記錄，形成WEBURL審計日志文件。

在傳統(tǒng)方案中，根據(jù)WEB URL審計日志文件，WEB代理的安全審計只能審計到用戶訪問目標WEB服務(wù)器的文件，該日志文件很難追蹤用戶操作WEB服務(wù)器的具體過程，也不能發(fā)現(xiàn)一些高危操作具體是誰操作的，比如：刪除用戶，設(shè)置錯誤的權(quán)限等。

有可能目標WEB服務(wù)器本身的系統(tǒng)日志會包含一些高危操作的日志，但很難面面俱到，并且很多目標WEB服務(wù)器還沒有一些高危操作的日志。所以一種能跟蹤用戶操作，記錄高危操作的審計方法是非常迫切需要的。

堡壘機是一種運維安全審計系統(tǒng)，主要的功能是單點登錄、帳號管理、資源授權(quán)和操作審計。堡壘機通過對常用的運維協(xié)議(RDP(Remote DisplayProtocol，遠程顯示協(xié)議)、VNC、HTTP等)采用協(xié)議代理的方式，切斷了運維人員對服務(wù)器的直接訪問，所有運維操作都需要經(jīng)過堡壘機進行。堡壘機將運維人員的操作記錄至日志文件中，供審計人員進行安全審計和追責。

堡壘機的功能通常在一個服務(wù)器上實現(xiàn)，包括RDP代理模塊、前置機、WEB服務(wù)器等。

現(xiàn)有技術(shù)中堡壘機通過錄屏審計可以實現(xiàn)操作審計功能，具體方式如下：

堡壘機的前置機作為瀏覽器的運行端，用戶PC作為瀏覽器的顯示端，RDP代理模塊復(fù)制和轉(zhuǎn)發(fā)用戶PC和堡壘機的前置機之間交互的圖形數(shù)據(jù)，將復(fù)制的圖形數(shù)據(jù)發(fā)送到RDP日志記錄模塊作為審計日志，然后就可以使用專用的日志播放工具，播放堡壘機的前置機瀏覽器的所有操作，從而以輕松實現(xiàn)審計日志的錄屏功能。錄屏日志能夠追蹤用戶的所有操作過程，出現(xiàn)問題時能準確的定位責任人，達到高精確度審計的目的。

但是現(xiàn)有的錄屏審計方法具有以下缺點：

1)堡壘機的前置機作為瀏覽器的運行端，用戶PC作為瀏覽器的顯示端，而目前用戶使用PC時，瀏覽器的運行端和顯示端均在用戶PC上，用戶要想實現(xiàn)錄屏審計功能，需要手動配置堡壘機的IP和RDP代理模塊監(jiān)聽的端口與RDP代理建立連接，而許多用戶是不知道這些信息的，因此普通用戶一般無法通過PC實現(xiàn)錄屏審計功能；

2)堡壘機中的前置機與目標WEB服務(wù)器之間采用直接通信方式進行通信，不經(jīng)過web代理服務(wù)器，因此在得到錄屏審計日志的同時不能得到URL日志，在查看錄屏審計日志時，由于沒有URL日志，審計非常耗費時間，需要從頭開始看錄屏日志，若有多個人同時操作了目標WEB服務(wù)器，則每個目標WEB服務(wù)器對應(yīng)的錄屏日志都需要看，無法實現(xiàn)將兩個日志結(jié)合實現(xiàn)更精確的安全審計和追責。

發(fā)明內(nèi)容

本發(fā)明提供一種基于WEB代理進行錄屏審計的方法及系統(tǒng)，通過登錄客戶端的瀏覽器即可實現(xiàn)將瀏覽器的運行端部署在堡壘機的前置機上，將瀏覽器的顯示及操作端部署在所述客戶端，方便實現(xiàn)錄屏審計且在錄屏審計可以結(jié)合URL日志，從而實現(xiàn)更精確的安全審計。

一種基于WEB代理進行錄屏審計的方法，包括：

WEB服務(wù)器與客戶端的瀏覽器建立連接后，將RDP連接信息發(fā)送給客戶端的瀏覽器，由所述客戶端根據(jù)通過瀏覽器獲取的所述RDP連接信息與RDP代理模塊建立連接；

RDP代理模塊在與客戶端建立連接后，與前置機建立連接并啟動前置機上的瀏覽器，通過轉(zhuǎn)發(fā)和保存前置機和客戶端之間的圖形界面數(shù)據(jù)，實現(xiàn)將瀏覽器的運行端部署到前置機上，將瀏覽器的顯示及操作端部署在所述客戶端；

前置機在運行瀏覽器的過程中，通過WEB代理服務(wù)器與目標WEB服務(wù)器通信，由所述WEB代理服務(wù)器轉(zhuǎn)發(fā)和保存前置機與目標WEB服務(wù)器之間的http數(shù)據(jù)；

審計模塊將所述RDP代理模塊保存的圖形界面數(shù)據(jù)，及所述WEB代理服務(wù)器模塊保存的http數(shù)據(jù)關(guān)聯(lián)起來進行錄屏審計。

優(yōu)選地，WEB服務(wù)器將RDP連接信息發(fā)送給客戶端的瀏覽器之前，還包括：