技術領域

本發明涉及運維審計技術領域，具體的說，是一種用于運維審計系統的Windows遠程桌面文件傳輸審計方法。

背景技術

隨著網絡技術的逐漸普及，人們的生活和工作對網絡的依賴越來越緊密，而和網絡相關的安全問題也越來越受到關注。Windows遠程運維是圖像運維中用得最廣泛的，Windows遠程運維除了圖形運維也可以進行文件的上傳下載。因此，在公司的Windows服務器或者個人Windows電腦上文件的安全得到更多關注，往往會產生一些安全問題，如下：1）運維人員可能會誤上傳病毒文件到Windows主機，導致中毒并且會感染到內網的其他電腦；2）運維人員也有可能會下載Windows主機上的數據，導致公司機密或者個人隱私數據泄露。而針對windows主機運維，現有的審計手段往往只有單一的圖形審計，無法對于運維人員的文件上傳下載等操作進行精確的事后定位。

發明內容

本發明的目的在于提供一種用于運維審計系統的Windows遠程桌面文件傳輸審計方法，用于解決現有技術中無法對運維過程中文件的上傳、下載操作進行精確的事后定位的問題。

為了達到上述目的，本發明通過下述技術方案實現：

一種用于運維審計系統的Windows遠程桌面文件傳輸審計方法，包括：

步驟S100：在運維客戶端與目標服務器之間建立代理模塊；

步驟S200：所述代理模塊采集運維客戶端與目標服務器的通信數據，解析并提取協議數據，所述協議數據包括圖像數據和文件數據，將所述圖像數據存儲至數據庫中，并將所述文件數據還原成文件信息數據后存儲至數據庫中；

步驟S300：從數據庫中讀取所述圖像數據進行數據還原后進行數據展示，從數據庫中讀取所述文件信息數據并進行展示。

工作原理：

運維審計系統中包括運維客戶端、代理模塊、目標服務器、數據庫和展示模塊，所述運維客戶端連接代理模塊，代理模塊連接目標服務器，所述數據庫分別連接代理模塊和展示模塊，所述展示模塊部署在瀏覽器上。代理模塊在運維客戶端與目標服務器之間，用于通過網絡監控運維客戶端與目標服務器之間的通信數據，運維人員在運維客戶端訪問目標服務器的時候，運維人員的文件操作記錄和文件操作過程以通信數據的方式在運維客戶端與目標服務器之間傳輸，經過代理模塊時，代理模塊獲得通信數據，解析出協議數據，并提取協議數據中的圖像數據和文件數據，將圖像數據存儲在數據庫中，并將提取的文件數據還原為可讀的文件信息數據后存儲至數據庫中。審計員使用瀏覽器訪問數據庫，讀取數據庫中圖像數據，進行數據還原成圖像視頻數據后通過瀏覽器的頁面回放，審計員可查看運維人員的文件操作過程。瀏覽器從數據庫中讀取文件信息數據，將文件的操作記錄單獨展示出來，審計員通過網頁閱覽文件的操作記錄，包括文件大小、傳輸起止時間、傳輸速率、文件操作結果等信息，并且可以下載，以用于取證。因此對運維人員的每次訪問目標服務器的操作進行了圖像審計和文件審計兩種審計方式，并且文件審計對運維過程中的文件上傳、下載等文件操作提供了有效、精確的事后定位。

進一步地，所述步驟S100中的代理模塊包括與所述運維客戶端連接的模擬服務端和與所述目標服務器連接的模擬客戶端，具體步驟包括：

步驟S110：運維人員在運維客戶端操作客戶端工具連接所述模擬服務端，所述模擬服務端與所述運維客戶端完成連接的初始化以及連接權限設置；

步驟S120：代理模塊的模擬客戶端連接服務器，所述模擬客戶端與所述服務器完成連接初始化以及連接權限設置；

步驟S130：代理模塊的模擬服務端接收運維客戶端發送的數據后調用模擬客戶端，模擬客戶端將數據轉發給目標服務器；目標服務器返回數據至代理模塊的模擬客戶端，模擬客戶端調用模擬服務端，模擬服務器將數據轉發給運維客戶端。

工作原理：

代理模塊分為與運維客戶端通信的模擬服務端和與目標服務器通信的模擬客戶端，模擬服務端與運維客戶端以及模擬客戶端與目標服務器的連接初始化以及連接權限設置，通過協商的方式實現，協商包括以下幾個階段：

連接的初始化：協商出本次連接所使用的安全加密協議，安全加密協議包括RDP、SSL、NLA；

基礎設置信息交換：這一步客戶端和服務端雙方聲明彼此的基本參數，比如系統/協議版本、顯示分辨率、圖像顯示色深、安全數據、網絡數據等一系列信息交換；