[发明专利]一种保护敏感资源的日志记录系统及事故取证方法

权利要求书

1.一种保护敏感资源的日志记录系统及事故取证方法，其特征在于，所述日志记录系统包括权限管理器、云计算系统和日志数据库，

所述云计算系统使用基于RBAC(基于角色的访问控制)访问控制模型的访问控制系统，所述日志记录系统与云计算系统的访问控制系统相结合；

所述日志记录系统会在云计算系统的不同工作阶段介入，会根据RBAC模型的要求，管理员在部署应用程序前，根据访问不同资源的需要，可以建立不同权限的角色，不同的角色可以分别访问不同的资源，应用程序在访问日志数据库中的资源时，作为用户向权限管理器申请访问资源，权限管理器参考访问控制系统存储的权限状态，判断用户所具有的权限是否具有访问资源的资格，从而做出批准或者拒绝的决定。

2.根据权利要求1所述的一种保护敏感资源的日志记录系统及事故取证方法，其特征在于，所述日志记录系统在管理员创建角色时介入，记录管理员建立角色以及分配权限的过程，从而记录访问控制系统的状态改变，存储为管理日志。

3.根据权利要求1所述的一种保护敏感资源的日志记录系统及事故取证方法，其特征在于，所述日志记录系统会记录用户请求访问资源的事件，存储为访问日志。

4.根据权利要求1所述的一种保护敏感资源的日志记录系统及事故取证方法，其特征在于，当开发人员部署应用程序时，所述日志记录系统会在开发人员上传资源时介入，此时所述日志记录系统会与开发人员交互，使其指定上传资源里的敏感资源，其中，敏感资源包括计算、文件、数据库等资源。

5.根据权利要求1所述的一种保护敏感资源的日志记录系统及事故取证方法，其特征在于，所述日志记录系统会根据用户手动标注的敏感资源，分析出访问控制系统中对敏感资源有访问权限的用户主体，每当开发者更改访问控制系统中的用户时，所述日志记录系统都会记录下当前状态，同时分析出基于该状态有哪些用户对于敏感资源具有访问权限。

6.根据权利要求1-5任一所述的一种保护敏感资源的日志记录系统及事故取证方法，其特征在于，所述事故取证方法包括:

当安全事故发生时，为了追踪违规访问资源的用户主体，安全人员通过分析事故情况，生成取证问题，并且通过分析已有证据回答取证问题，所述取证问题包括以下类型：

第一类：某用户是否有可能有权限访问某一资源；

第二类：某用户是否有权限访问某一资源；

第三类：某用户是否访问过某一资源；

在进行取证分析时，对于敏感文件被违规访问的情形，所述日志记录系统通过检索日志数据库，先确定该文件是否属于用户标注的敏感文件，对于敏感文件，安全人员基于对时间的分析，提出上述三类取证问题。

7.根据权利要求6所述的一种保护敏感资源的日志记录系统及事故取证方法，其特征在于，对于所述第三类取证问题，需要分析系统存储的访问日志，当默认访问日志不足时，可以借助本系统记录的权限系统日志对问题进行推断。

8.根据权利要求6所述的一种保护敏感资源的日志记录系统及事故取证方法，其特征在于，对于所述第一类取证问题和所述第二类取证问题，所述日志记录系统可以在线性时间内遍历日志数据库中涉及该文件的权限变化，可以确定在事故发生时间段内，某一用户是否对该文件有访问权限。