本發明屬于系統安防技術領域，具體涉及一種違規操作的發現和響應方法。為了對違規行為進行即時阻斷，提高響應效率，同時提升身份認證安全性，及時止損，本發明方法所依托實施的系統包括包括服務器端及客戶端兩部分；所述服務器端包括：Web服務模塊、登錄認證服務模塊；所述客戶端包括：策略代理模塊、登錄認證模塊；與現有技術相比較，本發明根據密級、違規行為的嚴重程度、設備的保密要求等制定詳細的安全策略。根據審計日志信息和相應策略分析出嚴重違規行為。身份認證機制中的反饋機制，即在用戶行為異常的情況下，可以實時阻止損害的發生。

技術領域

本發明屬于系統安防技術領域，具體涉及一種違規操作的發現和響應方法。

背景技術

針對違規操作的處理主要是發出告警和斷網等簡單操作，而對于安全要求較高的單位不能滿足即時響應和阻斷繼續使用的要求。

終端登錄操作系統時，對用戶身份進行認證，其方法包括：用戶名密碼認證，USBKey認證，和數字證書認證等。這些認證方式都是在安裝時固定下來的，不能與服務器有互動。

市場產品對用戶登錄行為的身份認證，集中在對預設用戶身份的各種認證，這些認證信息固定存儲在終端操作系統或者USB Key認證設備中，雖有審計信息，但是對審計信息的檢查，停留在人工檢查層面，或者被擱置。這樣的認證方式是固定的，不能實現對新增信息的利用，對認證方式的修改，設計對硬件的升級，成本高，靈活性差。

發明內容

(一)要解決的技術問題

本發明要解決的技術問題是：通過對審計信息的分析和聯動，如何對違規行為進行即時阻斷，提高響應效率，同時提升身份認證安全性，及時止損。

(二)技術方案

為解決上述技術問題，本發明提供一種違規操作的發現和響應方法，所述方法基于違規操作的發現和響應系統來實施，所述系統包括包括服務器端及客戶端兩部分；所述服務器端包括：Web服務模塊、登錄認證服務模塊；所述客戶端包括：策略代理模塊、登錄認證模塊；

所述方法包括如下步驟：

步驟1：所述Web服務模塊預先由系統安全管理員通過Web頁面將部門、人員、密級以及相應的安全策略數據錄入至服務器端數據庫；

步驟2：所述登錄認證模塊在客戶端登錄時向服務器端發送登錄請求信息，請求服務器端發送安全策略數據；所述登錄請求信息包含客戶端主機標志、登錄操作生成的登錄用戶標志；

步驟3：所述登錄認證服務模塊接收客戶端的登錄請求信息，并根據登錄請求信息中的客戶端主機標志和登錄用戶標志在服務器端數據庫中查詢對應登錄用戶，根據登錄用戶查詢對應的安全策略數據，發送至客戶端；所述安全策略數據中包含該登錄用戶對應該客戶端主機的登錄權限信息；

步驟4：所述策略代理模塊接收安全策略數據并轉發至登錄認證模塊，由登錄認證模塊分析其中的該登錄用戶對應該客戶端主機的登錄權限信息，根據登錄權限信息判斷當前登錄操作中，登錄用戶是否可登錄該客戶端主機桌面。

其中，所述安全策略數據中登錄權限信息允許當前登錄用戶登錄則可登錄，不允許當前登錄用戶登錄則拒絕登錄并提示用戶拒絕原因。

其中，所述服務器端還包括：審計服務模塊；所述客戶端還包括：日志代理模塊；

所述方法還包括：

步驟5：所述日志代理模塊在登錄認證模塊判斷過程中，實時收集客戶端的登錄審計信息，并發送至審計服務模塊；

步驟6：所述審計服務模塊對登錄審計信息進行分析，如果出現違規行為，則向管理員發送對應違規行為級別的警告信息，并向登錄認證模塊發送下線命令，同時將行為和處理操作寫入日志；