[发明专利]一种文件操作监控审计方法

说明书

技术领域

本发明涉及计算机领域，具体涉及一种文件操作监控审计方法。

背景技术

文件操作监控审计是主机安全保护的一项重要内容，它是指能够对打开、读/写、查询文件信息等文件操作进行监视、控制、记录。文件操作信息是指提供计算机文件操作的详细日志记录，包括操作时间，登录用户，操作方式，源文件和目的文件路径，其中操作方式包括文件打开、修改、创建、删除、复制、移动、重命名；目录创建、删除、复制、移动、重命名。文件操作监控审计应用领域非常广泛，在攻击方面(记录用户行为)和防御方面(检测系统文件变动)都能发挥很大用途，通过计算机文件操作监控审计的实现，可以为计算机数据安全提供更多保障。

现有的文件操作监控技术包括系统级和应用级两个层面。系统级的文件操作监控主要通过拦截系统调用和虚拟设备挂接等方式来实现，开发代价高，可能无法记录应用中的事件，也可能无法提供应用和数据拥有者需要的足够的细节信息。应用级的文件操作监控通过注册通知消息等方式，开发代价低，可以记录诸如打开和关闭文件，读取、删除和编辑等用户活动，但仍然不能满足实际监控审计需要。目前市场中现存的文件操作监控审计技术还存在以下问题：一是文件操作监控内容不全面，不能覆盖各种文件操作；二是文件操作监控审计日志不完整。

发明内容

为了解决上述问题，本发明在于提供一种文件操作监控审计方法，实现全面的文件操作监控和完整的审计记录。

为达到上述目的，本发明的技术方案为：

一种文件操作监控审计方法，包括以下步骤：

步骤A：用户通过控制台制定文件操作监控审计策略，下发至服务器；

步骤B：服务器接收策略后，将策略分发给客户端；

步骤C：客户端在接收策略后，通过共享内存方式发送策略到其所属的目录监控模块和文件监控模块；

步骤D：根据策略内容，目录监控模块通过采用CopyCallback回调函数的方式，执行相关目录操作监控；文件监控模块通过采用向Windows Shell注册通知消息的方式，执行相关目录/文件操作监控；

步骤E：目录监控模块和文件监控模块将操作结果存放在临时目录中，并将操作结果压缩上传至服务器。

优选地，所述步骤C进一步包括：客户端还包括守护进程模块，用于获取磁盘信息，并将信息发送给目录监控模块和文件监控模块。

优选地，所述步骤D中的目录操作为目录复制、目录删除或目录移动。

优选地，所述步骤D中的目录/文件操作为目录创建、文件创建、文件打开、文件修改、文件删除、文件复制、文件移动、文件重命名或目录重命名。

优选地，所述步骤D进一步包括：步骤D1：目录监控模块和文件监控模块通过进程间共享内存传递数据的方式协调工作，通知各自在操作的文件；步骤D2：记录和保存各种文件操作的日志。

优选地，所述步骤E中的操作结果为文件操作日志。

本发明的有益效果在于：在Windows操作系统用户接口进行工作，能够监控和记录所有应用级操作，如文件复制、重命名、打开等，文件操作监控全面，审计日志记录完整，而且开发的代价较低。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1是本发明提供的文件操作监控审计方法流程图；

图2是本发明提供的文件操作监控审计方法实施例数据流程图；

图3是本发明中目录监控模块处理流程图；

图4是本发明中文件监控模块处理流程图。

具体实施方式

如图1、图2所示，本发明提供的文件操作监控审计方法，涉及服务器和客户端，管理员通过控制台来管理服务器，并制定相关策略；服务器通过客户端的管理来实现对整个网络终端文件的管理和安全监控。其文件监控审计流程主要包括以下步骤：

步骤A：用户通过控制台制定文件操作监控审计策略，下发至服务器；

步骤B：服务器接收策略后，将策略分发给客户端；

步骤C：客户端在接收策略后，通过共享内存方式发送策略到其所属的目录监控模块和文件监控模块；

客户端还包括守护进程模块，用于获取磁盘信息，并将信息发送给目录监控模块和文件监控模块。