[发明专利]一种基于AOP与注解信息系统的安全审计方法

说明书

【技术领域】

本发明涉及计算机软件技术领域，具体涉及一种基于AOP与注解信息系统的安全审计方法。

【背景技术】

计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性（抗抵赖），简称“五性”。安全审计是这“五性”的重要保障之一，它对计算机信息系统中的所有网络资源（包括数据库、主机、操作系统、安全设备等）进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。一旦有突发事件可以快速的查阅进出记录和行为记录，确定问题所在，以便采取相应的处理措施。

随着涉密系统规模不断扩大，每个系统都带有自己的审计模块。审计模块与具体业务并无关联，但基于面向对象的设计，往往在业务逻辑中嵌入审计代码，耦合度较高，逻辑负责，代码混乱。再者，不同系统的审计模块，审计内容基本相同，在各自系统中重复建设审计系统，造成资源浪费，另外审计数据格式不统一、审计分析规则无法统一，给安全审计的业务部门造成工作困扰。

AOP为Aspect Oriented Programming的缩写，意为：面向切面编程（也叫面向方面），可以通过预编译方式和运行期动态代理实现在不修改源代码的情况下给程序动态统一添加功能的一种技术。Annotation（注解）是JDK5.0及以后版本引入的。它可以用于创建文档，跟踪代码中的依赖性，甚至执行基本编译时检查。它们都不会直接影响到程序的语义，只是作为注解（标识）存在，可以通过反射机制编程实现对这些元数据（用来描述数据的数据）的访问。

中国发明专利201110418958.9公开了一种基于Hadoop的分布式日志分析系统，解决了海量日志分析中实效，存储，计算的瓶颈。但是未解决审计日志与业务逻辑混乱，耦合度高的问题。

中国发明专利201110144104.6公开了一种日志写入方法和日志系统，将日志信息写入内存，在数据达到预置数量时，在存储到磁盘中，减少了I/O操作，减少写入时间，提供并发能力。此方法如果系统异常，容易造成，日志丢失，在安全审计业务中不可取。

中国发明专利201110124967.7公开了一种ERP系统中基于规则配置的数据安全审计方法，属于ERP系统安全审计领域。将安全审计功能封装，后在业务中调用安全审计变成接口，在具体需求中进行审计数据项，审计主体等配置，审计方法灵活，快速满足不同的审计需求。但是在业务逻辑中调用安全审计接口，业务逻辑与安全审计无法脱离，耦合度高。

中国发明专利201110143035.7公开了一种记录日志的方法，通过提出一个基于AOP进行拦截，应用于设计通用审计日志再在AOP中进行日志信息组织并处理，将导致这种处理非常复杂，且业务类中不标识审计的业务信息，不够人性化，代码可读性大大降低。

中国发明专利201110321921.4公开了一种基于AOP技术进行拦截来处理业务通用逻辑的方法，此方法可以应用于设计通用审计日志，但是审计日志的业务属性如果只提供一个属性标识，再在AOP进行处理，将导致这种处理非常复杂，且业务类中的标识不够人性化，代码可读性大大降低。

不管是以上何种方案都无法同时解决耦合度与统一安全审计的需求，使用内存缓存日志或者hadoop进行分布式分析都未解决业务与代码解耦问题，单纯使用AOP方式只解决了耦合度高的问题，但是在AOP中无法根据具体的业务获得业务相关的审计信息，导致审计信息技术性太强，人性化不足，对审计管理员的技术要求太高。

有鉴于此，本发明人针对现有技术的缺陷深入研究，遂有本案产生。

【发明内容】

本发明所要解决的技术问题在于提供一种使用AOP结合注解技术，解决安全审计与业务的解耦，可提供人性化的安全审计信息。

本发明是这样实现的：

一种基于AOP与注解信息系统的安全审计方法，包括如下步骤：

第一步骤：根据审计需求，设计审计注解类：

具体包括：

根据企业审计日志的需求，设计好审计所需信息项，分析并将审计信息项拆分为公共运行信息与具体业务信息；根据企业审计业务信息，设计审计注解类，要求注解类字段要完全覆盖审计业务信息；

第二步骤：在业务类中加入审计注解：

具体包括：

在具体业务类中加入审计注解类，根据不同业务操作类传入相对应的审计需要的业务信息，包括系统名、模块名、操作类型、操作名、操作描述；

第三步骤：通过AOP拦截业务操作：

具体包括：