一种用户违规行为的审计系统、日志采集终端及实现方法

本发明属于电数字数据处理，更进一步涉及电数字数据处理安全中的一种用户违规行为的审计系统、日志采集终端及实现方法。本发明可用于终端安全措施，可以降低从内部发起的网络攻击的风险，确保数据处理和传输中的安全性。

背景技术：

1、随着办公自动化、无纸化的大范围应用与普及，作为数据承载与操作的终端计算机在各个领域扮演着越来越重要的角色。与此同时，用户在终端机上的操作行为的安全问题也日益凸显，尤其是企事业等组织机构需要保护企业数据、敏感信息和业务机密等。为此，针对内部人员泄密事件的发生终端的安全登录认证与用户终端行为审计尤为重要。在现有的终端操作系统的用户认证方式中，通过使用电子密码钥匙进行数字证书认证是一种安全的用户认证方式，但当完成用户认证后终端即进入了一种相对受信状态，因此一方面对用户违规操作敏感信息行为进行有效识别至关重要，另一方面对违规行为被审计到后将审计信息上报到管理后台也面临信息的保密性、完整性、可靠性和抗抵赖性的安全问题。

2、北京鼎普科技股份有限公司在其申请的专利文献“防范终端计算机违规外联保障涉密内网的方法及系统(申请号：202111122093.1，申请公布号：cn113821411a)中公开了一种防范终端计算机违规外联保障涉密内网的方法及系统方法。该专利实现的技术方案是：终端计算机上安装客户端插入key对其进行配置；向控制台数据库发送信息；控制台经ukey授权登录并显示接收到的信息，生成默认策略；修改策略，对互联网违规和usb违规进行设置；绑定对应的用户，插入usb，出现告警信息；控制台的屏幕上弹出提示告警信息，控制台对告警信息进行处理。该发明提供的技术方案虽然增加了控制台的安全性，对各用户终端进行统一管理，对不同的终端设置不同的策略，极大的增加灵活性，并通过记录违规报警日志可以随时查看违规信息，方便后续的安全风险查证。但是，该方法仍然存在的不足之处是，当完成用户认证后终端即进入了一种受信状态，或是对用户违规操作敏感信息行为的信息采集不够完善或只针对特定行为，并且对违规行为被审计到后将审计信息上报也面临信息的完整性和抗抵赖性等安全问题。

技术实现思路

1、本发明的目的在于针对上述现有技术的不足，提出一种用户违规行为的审计系统、日志采集终端及实现方法，用于解决现有技术对用户违规操作敏感信息行为无法进行有效识别，以及对违规行为被审计到后将审计信息上报到管理后台后面临信息的保密性、完整性、可靠性和抗抵赖性的安全问题。

2、实现本发明目的的技术思路是：针对本发明要解决的问题,通过用户违规行为的审计系统，基于ukey身份认证的条件下，提供及管理用户智能密码钥匙ukey和统一配置与下发用户违规行为策略；管控用户登录审计系统以及保证用户身份的可信性。本发明通过日志采集终端对审计系统环境持续校验并及时发现和识别用户基于审计系统配置策略的违规行为，使用ukey对用户违规行为进行审计，并使用ukey对审计内容进行签名，防止用户抵赖。本发明的采集终端通过超文本传输安全协议，将审计信息发送至审计系统，审计系统采用预留的基于国密非对称签名算法的公钥对接收的签名信息进行验签，确保审计信息的可靠性。当审计系统对审计信息验签及校验通过后，将包含违规行为及证明信息等信息的审计信息写入数据库，同时按照管理员预置途径进行告警。

3、本发明的技术方案包含如下：

4、本发明的用户违规行为的审计系统包括：认证和智能密码钥匙管理模块，违规行为策略配置和发放模块，违规日志存储和查询模块；其中：

5、所述认证和智能密码钥匙管理模块，用于提供及管理用户智能密码钥匙ukey；

6、所述违规行为策略配置和发放模块，用于统一配置与下发用户违规行为策略；

7、所述违规日志存储和查询模块，用于对日志采集终端上报违规日志的统一存储和查询。

8、本发明的用户违规行为的日志采集终端包括：系统登录模块，违规行为识别模块，违规审计日志签名上报模块；其中：

9、所述系统登录模块，用于为用户提供基于ukey的系统登录；

10、所述违规行为识别模块，用于识别用户基于审计系统配置策略的违规行为；

11、所述违规审计日志签名上报模块，用于用户使用ukey实现违规审计日志的签名上报。

12、本发明的审计系统、日志采集终端实现方法的步骤包括如下：

13、步骤1，审计系统中的认证和智能密码钥匙管理模块，对通过认证的用户签发智能密码钥匙ukey；审计系统中的违规行为策略配置和发放模块，将管理员设置的违规行为策略发放给日志采集终端；

14、步骤2，采集终端中的系统登录模块，根据违规行为策略监控用户是否有违规行为；

15、步骤3，采集终端中的违规行为识别模块，对发现的违规行为进行识别并予以审计；

16、步骤4，采集终端中的日志存储和查询模块调用ukey对相关证据进行签名，以抗违规用户抵赖；并将违规信息、证据、签名发送至审计系统中的违规日志存储和查询模块；

17、步骤5，审计系统中的违规日志存储和查询模块对上报的违规信息、证据、签名进行统一存储，提供查询。

18、本发明与现有技术相比具有以下优点：

19、第一，由于本发明基于ukey身份认证的条件下，提供及管理用户智能密码钥匙ukey和统一配置与下发用户违规行为策略；克服了现有技术对用户违规操作敏感信息行为无法进行有效识别的问题，使得本发明具有持续对采集终端进行管控和环境验证，随时保证用户身份的可信性的优点。

20、第二，发明通过日志采集终端对审计系统环境持续校验并及时发现和识别用户基于审计系统配置策略的违规行为，使用ukey对用户违规行为进行审计，并对审计内容进行签名，有效规避了现有技术审计信息面临的伪造、抵赖、冒充和篡改的问题，使得本发明的方法具有防止用户抵赖的功能，提高了抗抵赖性，具备防篡改和防抵赖优点，且审计系统和日志采集终端具有自主可控，安全高效的优点。

21、第三，本发明的采集终端将审计信息发送至审计系统，审计系统采用预留的基于国密非对称签名算法的公钥对接收的签名信息进行验签，确保审计信息的可靠性。当审计系统对审计信息验签及校验通过后，将审计信息写入数据库，同时按照管理员预置途径进行告警，克服了现有技术对违规行为被审计到后将审计信息上报到管理后台后面临信息的安全问题，使得本发明对终端一旦出现违规行为立即进行证明信息采集，提高了系统的保密性、完整性和可靠性。

技术特征：

1.一种用户违规行为的审计系统，其特征在于，该审计系统包括：认证和智能密码钥匙管理模块，违规行为策略配置和发放模块，违规日志存储和查询模块；其中：

2.根据权利要求1所述审计系统的一种用户违规行为的日志采集终端，其特征在于，该终端包括：系统登录模块，违规行为识别模块，违规审计日志签名上报模块；其中：

3.根据权利要求1、2所述的审计系统、日志采集终端的一种用户违规行为的审计系统、日志采集终端实现方法，其特征在于，基于ukey身份认证的条件下，使用ukey对用户违规行为进行审计，并使用ukey对审计内容进行签名，防止用户抵赖；该实现方法的步骤包括如下：

4.根据权利要求3所述的实现方法，其特征在于，步骤2中所述的用户是否有违规行为指的是，采集终端会以ukey中用户身份信息持续与审计系统进行通讯，获取并执行管理员预置的安全策略；终端操作系统根据系统所处时段自动执行策略，采集终端根据违规行为策略监控用户的操作行为，对于满足违规行为策略阈值的行为识别为违规行为。

5.根据权利要求3所述的实现方法，其特征在于，步骤3中所述的予以证明信息采集是指，对违规行为进行包含记录事件触发时间、用户信息、违规操作的证明信息采集，即根据管理员预置策略执行网络通信报文抓取、系统截屏等方式开展额外佐证信息的采集。

6.根据权利要求3所述的实现方法，其特征在于，步骤4中所述的违规日志存储和查询模块调用ukey对相关证据进行签名的步骤如下：

7.根据权利要求3所述的实现方法，其特征在于，步骤5中所述审计系统中的违规日志存储和查询模块对上报的违规信息、证据、签名进行统一存储是指，当审计系统对证明信息采集信息验签及校验通过后，将证明信息采集信息写入数据库，同时按照管理员预置途径进行告警。

技术总结本发明公开了一种用户违规行为的审计系统、日志采集终端及实现方法，其技术方案为：基于Ukey身份认证的条件下，提供及管理用户智能密码钥匙Ukey和统一配置与下发用户违规行为策略；通过日志采集终端对审计系统环境持续校验并及时发现和识别用户基于审计系统配置策略的违规行为，使用Ukey对用户违规行为进行审计，并对审计内容进行签名，通过超文本传输安全协议，将取证信息发送至审计系统，审计系统采用预留的基于国密非对称签名算法的公钥对接收的签名信息进行验签，本发明具有持续对采集终端进行管控和环境验证，具有确保取证信息的可靠性、防篡改和防抵赖的优点。技术研发人员：石莎,尚瑜,宋志群,王强,王云江受保护的技术使用者：西安电子科技大学技术研发日：技术公布日：2024/9/26