[发明专利]一种基于WEB代理进行录屏审计的方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于WEB代理进行录屏审计的方法及系统。

背景技术

WEB代理是指在用户浏览器(客户端)和目标网站(目标WEB服务器)之间部署一种WEB代理服务器，用于转发客户端浏览器到目标WEB服务器及目标WEB服务器到客户端浏览器之间的请求和响应。WEB代理服务器中，可以实现多种功能，比如权限控制、访问的目标WEB服务器文件审计等。

传统的WEB审计方式中，在客户端浏览器设置WEB代理服务器地址，当客户端浏览器访问目标WEB服务器时，发送的请求会首先到达WEB代理服务器，WEB代理服务器再转发客户端的请求。在WEB代理服务器中，则可以记录该请求的URL信息，这样用户所有访问的URL都会被记录，形成WEBURL审计日志文件。

在传统方案中，根据WEB URL审计日志文件，WEB代理的安全审计只能审计到用户访问目标WEB服务器的文件，该日志文件很难追踪用户操作WEB服务器的具体过程，也不能发现一些高危操作具体是谁操作的，比如：删除用户，设置错误的权限等。

有可能目标WEB服务器本身的系统日志会包含一些高危操作的日志，但很难面面俱到，并且很多目标WEB服务器还没有一些高危操作的日志。所以一种能跟踪用户操作，记录高危操作的审计方法是非常迫切需要的。

堡垒机是一种运维安全审计系统，主要的功能是单点登录、帐号管理、资源授权和操作审计。堡垒机通过对常用的运维协议(RDP(Remote DisplayProtocol，远程显示协议)、VNC、HTTP等)采用协议代理的方式，切断了运维人员对服务器的直接访问，所有运维操作都需要经过堡垒机进行。堡垒机将运维人员的操作记录至日志文件中，供审计人员进行安全审计和追责。

堡垒机的功能通常在一个服务器上实现，包括RDP代理模块、前置机、WEB服务器等。

现有技术中堡垒机通过录屏审计可以实现操作审计功能，具体方式如下：

堡垒机的前置机作为浏览器的运行端，用户PC作为浏览器的显示端，RDP代理模块复制和转发用户PC和堡垒机的前置机之间交互的图形数据，将复制的图形数据发送到RDP日志记录模块作为审计日志，然后就可以使用专用的日志播放工具，播放堡垒机的前置机浏览器的所有操作，从而以轻松实现审计日志的录屏功能。录屏日志能够追踪用户的所有操作过程，出现问题时能准确的定位责任人，达到高精确度审计的目的。

但是现有的录屏审计方法具有以下缺点：

1)堡垒机的前置机作为浏览器的运行端，用户PC作为浏览器的显示端，而目前用户使用PC时，浏览器的运行端和显示端均在用户PC上，用户要想实现录屏审计功能，需要手动配置堡垒机的IP和RDP代理模块监听的端口与RDP代理建立连接，而许多用户是不知道这些信息的，因此普通用户一般无法通过PC实现录屏审计功能；

2)堡垒机中的前置机与目标WEB服务器之间采用直接通信方式进行通信，不经过web代理服务器，因此在得到录屏审计日志的同时不能得到URL日志，在查看录屏审计日志时，由于没有URL日志，审计非常耗费时间，需要从头开始看录屏日志，若有多个人同时操作了目标WEB服务器，则每个目标WEB服务器对应的录屏日志都需要看，无法实现将两个日志结合实现更精确的安全审计和追责。

发明内容

本发明提供一种基于WEB代理进行录屏审计的方法及系统，通过登录客户端的浏览器即可实现将浏览器的运行端部署在堡垒机的前置机上，将浏览器的显示及操作端部署在所述客户端，方便实现录屏审计且在录屏审计可以结合URL日志，从而实现更精确的安全审计。

一种基于WEB代理进行录屏审计的方法，包括：

WEB服务器与客户端的浏览器建立连接后，将RDP连接信息发送给客户端的浏览器，由所述客户端根据通过浏览器获取的所述RDP连接信息与RDP代理模块建立连接；

RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览器，通过转发和保存前置机和客户端之间的图形界面数据，实现将浏览器的运行端部署到前置机上，将浏览器的显示及操作端部署在所述客户端；

前置机在运行浏览器的过程中，通过WEB代理服务器与目标WEB服务器通信，由所述WEB代理服务器转发和保存前置机与目标WEB服务器之间的http数据；

审计模块将所述RDP代理模块保存的图形界面数据，及所述WEB代理服务器模块保存的http数据关联起来进行录屏审计。

优选地，WEB服务器将RDP连接信息发送给客户端的浏览器之前，还包括：