[发明专利]应用于操作行为审计系统的操作行为记录方法及系统

说明书

技术领域

本发明属于操作行为审计技术领域，具体涉及一种应用于操作行为审计系 统的操作行为记录方法及系统。

背景技术

操作行为审计系统是一种保护企业内部信息安全，防止企业内部信息外泄 的系统，为银行、证券基金公司、电信公司、涉密单位等对安全等级要求较高 的行业带来了安全保障。

传统的操作行为审计系统中，所采取的记录策略为：将捕捉到的所有操作 行为数据均记录下来，包括应用名称、标题元数据、应用窗口内容以及操作行 为发生时的视频帧等。

上述操作行为数据记录方法存在以下不足：

(1)当需要对所记录的操作行为数据进行数据查找时，例如，系统管理员 在通过审计系统对问题进行定位为目的的数据检索时，需要使用大量的检索操 作，占用了系统管理员大量的时间，具有查找效率低的问题；

(2)由于审计策略只能到应用级进行针对性的存储设置，导致指定应用的 审计策略后，也会记录大量的用户不想要的无效数据，占用了大量的存储空间。

发明内容

针对现有技术存在的缺陷，本发明提供一种应用于操作行为审计系统的操 作行为记录方法及系统，可有效解决上述问题。

本发明采用的技术方案如下：

本发明提供一种应用于操作行为审计系统的操作行为记录方法，包括以下 步骤：

步骤1，定义与每种操作行为分别对应的至少一种违规规则；并将所制定的 违规规则与各个帐户ID绑定；

步骤2，定义与每个帐户ID分别对应的行为审计策略；其中，所述行为审计 策略包括违规行为审计策略和对非违规行为审计策略；

步骤3，实时对指定帐户ID所进行的操作行为进行监控，每当发生操作行为 时，获取操作行为内容数据；

然后，根据指定帐户ID获取该指定账户对应的违规规则；然后，判断所述 操作行为内容数据是否发生属于所述违规规则所定义的违规行为，如果判断结 果为是，则执行步骤4；否则，执行步骤5；

步骤4，获取与指定帐户ID对应的违规行为审计策略，并基于所述违规行为 审计策略记录相应的审计数据；

步骤5，获取与指定帐户ID对应的非违规行为审计策略，并基于所述非违规 行为审计策略记录相应的审计数据。

优选的，步骤1中，所定义的违规规则即为违规行为，采用以下两种方式定 义：第一类，对于无法取得操作具体文字内容的操作行为，采用元数据，即标 题定义方式，定义该操作行为所对应的违规行为：第二类，对于能够取得操作 具体文字内容的操作行为，采用内容级别的描述语言，定义该操作行为所对应 的违规行为。

优选的，所述违规行为审计策略是指：当分析到指定账户发生指定的违规 行为时，需要记录的审计数据；所述非违规行为审计策略是指：当分析到指定 账户发生指定的非违规行为时，需要记录的审计数据。

优选的，步骤3之后，还包括：

预定义与每个帐户ID分别对应的告警策略；当监控到指定帐户ID发生对应 的违规行为时，采用与帐户ID对应的告警策略进行告警。

优选的，步骤5之后，还包括：

将发生违规行为所记录的审计数据和发生非违规行所记录的审计数据分区 存储。

本发明还提供一种应用于操作行为审计系统的操作行为记录系统，包括：

违规规则定义模块，用于定义与每种操作行为分别对应的至少一种违规规 则；

违规规则账户绑定模块，用于将所述违规规则定义模块所定义的违规规则 绑定到对应的帐户ID；

账户审计策略定义模块，用于定义与每个帐户ID分别对应的行为审计策略； 其中，所述行为审计策略包括违规行为审计策略和对非违规行为审计策略；

操作行为内容数据获取模块，用于实时对指定帐户ID所进行的操作行为进 行监控，每当发生操作行为时，获取操作行为内容数据；

账户违规规则获取模块，用于根据指定帐户ID获取该指定账户对应的违规 规则；

违规性判断模块，用于判断所述操作行为内容数据是否发生属于所述违规 规则所定义的违规行为；

审计数据记录模块，用于当所述违规性判断模块判断到发生违规行为时， 获取与指定帐户ID对应的违规行为审计策略，并基于所述违规行为审计策略记 录相应的审计数据；