技術(shù)領(lǐng)域

本發(fā)明涉及運維審計技術(shù)領(lǐng)域，具體的說，是一種用于運維審計系統(tǒng)的Windows遠(yuǎn)程桌面文件傳輸審計方法。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的逐漸普及，人們的生活和工作對網(wǎng)絡(luò)的依賴越來越緊密，而和網(wǎng)絡(luò)相關(guān)的安全問題也越來越受到關(guān)注。Windows遠(yuǎn)程運維是圖像運維中用得最廣泛的，Windows遠(yuǎn)程運維除了圖形運維也可以進(jìn)行文件的上傳下載。因此，在公司的Windows服務(wù)器或者個人Windows電腦上文件的安全得到更多關(guān)注，往往會產(chǎn)生一些安全問題，如下：1）運維人員可能會誤上傳病毒文件到Windows主機(jī)，導(dǎo)致中毒并且會感染到內(nèi)網(wǎng)的其他電腦；2）運維人員也有可能會下載Windows主機(jī)上的數(shù)據(jù)，導(dǎo)致公司機(jī)密或者個人隱私數(shù)據(jù)泄露。而針對windows主機(jī)運維，現(xiàn)有的審計手段往往只有單一的圖形審計，無法對于運維人員的文件上傳下載等操作進(jìn)行精確的事后定位。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種用于運維審計系統(tǒng)的Windows遠(yuǎn)程桌面文件傳輸審計方法，用于解決現(xiàn)有技術(shù)中無法對運維過程中文件的上傳、下載操作進(jìn)行精確的事后定位的問題。

為了達(dá)到上述目的，本發(fā)明通過下述技術(shù)方案實現(xiàn)：

一種用于運維審計系統(tǒng)的Windows遠(yuǎn)程桌面文件傳輸審計方法，包括：

步驟S100：在運維客戶端與目標(biāo)服務(wù)器之間建立代理模塊；

步驟S200：所述代理模塊采集運維客戶端與目標(biāo)服務(wù)器的通信數(shù)據(jù)，解析并提取協(xié)議數(shù)據(jù)，所述協(xié)議數(shù)據(jù)包括圖像數(shù)據(jù)和文件數(shù)據(jù)，將所述圖像數(shù)據(jù)存儲至數(shù)據(jù)庫中，并將所述文件數(shù)據(jù)還原成文件信息數(shù)據(jù)后存儲至數(shù)據(jù)庫中；

步驟S300：從數(shù)據(jù)庫中讀取所述圖像數(shù)據(jù)進(jìn)行數(shù)據(jù)還原后進(jìn)行數(shù)據(jù)展示，從數(shù)據(jù)庫中讀取所述文件信息數(shù)據(jù)并進(jìn)行展示。

工作原理：

運維審計系統(tǒng)中包括運維客戶端、代理模塊、目標(biāo)服務(wù)器、數(shù)據(jù)庫和展示模塊，所述運維客戶端連接代理模塊，代理模塊連接目標(biāo)服務(wù)器，所述數(shù)據(jù)庫分別連接代理模塊和展示模塊，所述展示模塊部署在瀏覽器上。代理模塊在運維客戶端與目標(biāo)服務(wù)器之間，用于通過網(wǎng)絡(luò)監(jiān)控運維客戶端與目標(biāo)服務(wù)器之間的通信數(shù)據(jù)，運維人員在運維客戶端訪問目標(biāo)服務(wù)器的時候，運維人員的文件操作記錄和文件操作過程以通信數(shù)據(jù)的方式在運維客戶端與目標(biāo)服務(wù)器之間傳輸，經(jīng)過代理模塊時，代理模塊獲得通信數(shù)據(jù)，解析出協(xié)議數(shù)據(jù)，并提取協(xié)議數(shù)據(jù)中的圖像數(shù)據(jù)和文件數(shù)據(jù)，將圖像數(shù)據(jù)存儲在數(shù)據(jù)庫中，并將提取的文件數(shù)據(jù)還原為可讀的文件信息數(shù)據(jù)后存儲至數(shù)據(jù)庫中。審計員使用瀏覽器訪問數(shù)據(jù)庫，讀取數(shù)據(jù)庫中圖像數(shù)據(jù)，進(jìn)行數(shù)據(jù)還原成圖像視頻數(shù)據(jù)后通過瀏覽器的頁面回放，審計員可查看運維人員的文件操作過程。瀏覽器從數(shù)據(jù)庫中讀取文件信息數(shù)據(jù)，將文件的操作記錄單獨展示出來，審計員通過網(wǎng)頁閱覽文件的操作記錄，包括文件大小、傳輸起止時間、傳輸速率、文件操作結(jié)果等信息，并且可以下載，以用于取證。因此對運維人員的每次訪問目標(biāo)服務(wù)器的操作進(jìn)行了圖像審計和文件審計兩種審計方式，并且文件審計對運維過程中的文件上傳、下載等文件操作提供了有效、精確的事后定位。

進(jìn)一步地，所述步驟S100中的代理模塊包括與所述運維客戶端連接的模擬服務(wù)端和與所述目標(biāo)服務(wù)器連接的模擬客戶端，具體步驟包括：

步驟S110：運維人員在運維客戶端操作客戶端工具連接所述模擬服務(wù)端，所述模擬服務(wù)端與所述運維客戶端完成連接的初始化以及連接權(quán)限設(shè)置；

步驟S120：代理模塊的模擬客戶端連接服務(wù)器，所述模擬客戶端與所述服務(wù)器完成連接初始化以及連接權(quán)限設(shè)置；

步驟S130：代理模塊的模擬服務(wù)端接收運維客戶端發(fā)送的數(shù)據(jù)后調(diào)用模擬客戶端，模擬客戶端將數(shù)據(jù)轉(zhuǎn)發(fā)給目標(biāo)服務(wù)器；目標(biāo)服務(wù)器返回數(shù)據(jù)至代理模塊的模擬客戶端，模擬客戶端調(diào)用模擬服務(wù)端，模擬服務(wù)器將數(shù)據(jù)轉(zhuǎn)發(fā)給運維客戶端。

工作原理：

代理模塊分為與運維客戶端通信的模擬服務(wù)端和與目標(biāo)服務(wù)器通信的模擬客戶端，模擬服務(wù)端與運維客戶端以及模擬客戶端與目標(biāo)服務(wù)器的連接初始化以及連接權(quán)限設(shè)置，通過協(xié)商的方式實現(xiàn)，協(xié)商包括以下幾個階段：

連接的初始化：協(xié)商出本次連接所使用的安全加密協(xié)議，安全加密協(xié)議包括RDP、SSL、NLA；

基礎(chǔ)設(shè)置信息交換：這一步客戶端和服務(wù)端雙方聲明彼此的基本參數(shù)，比如系統(tǒng)/協(xié)議版本、顯示分辨率、圖像顯示色深、安全數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)等一系列信息交換；