[发明专利]一种基于堡垒机的文件传输审计系统及方法

权利要求书

1.一种基于堡垒机的文件传输审计系统，包括设置于本地设备与远程FTP服务器之间的堡垒机，其特征在于，所述堡垒机通过桥模式建立本地设备和远程FTP服务器的连接；所述的堡垒机由专用文件传输管理工具、协议解码模块、文件审计模块和文件统计模块构成：

堡垒机的协议解码模块可以将经过专用文件传输管理工具的协议，通过协议解码技术，分析出用户对远程FTP服务器上传/下载的文件名；

堡垒机的文件审计模块，根据堡垒机制定的安全策略，分析用户上传/下载的文件，允许符合安全策略的文件进行上传/下载操作，并禁止不符合安全策略、包含恶意程序和代码的文件操作；

堡垒机的文件统计模块，用以记录用户执行的所有文件名和文件，包括符合安全策略和不符合安全策略的文件名和文件。

2.一种基于堡垒机的文件传输审计方法，其方法是：堡垒机通过桥模式建立本地设备和远程FTP服务器的连接；根据堡垒机上制定的安全策略，对上传/下载的文件进行审计；对于符合安全策略的文件，堡垒机允许继续操作，对于不符合安全策略、包含恶意代码和程序的文件，堡垒机禁止用户继续执行，并给出警告和提示。

3.根据权利要求2所述的一种基于堡垒机的文件传输审计方法，其特征在于：堡垒机通过协议代理的方式，建立本地设备与远程FTP服务器的连接，并且提供专用的文件传输管理工具，支持FTP、SFTP协议的访问管理。

4.根据权利要求2所述的一种基于堡垒机的文件传输审计方法，其特征在于：堡垒机的管理系统提供远程FTP服务器的虚拟连接，用户在本地设备上通过浏览器访问堡垒机的管理系统即可实现对远程FTP服务器的运维管理。

5.根据权利要求2所述的一种基于堡垒机的文件传输审计方法，其特征在于：所述方法具体包括以下步骤： 

A、堡垒机网口配置成桥接模式，部署于本地设备和远程FTP服务器的中间路径上；

B、在本地设备，通过浏览器登录堡垒机的管理系统，添加远程FTP服务器的IP地址、端口、用户名、密码信息；

C、堡垒机的管理系统通过协议代理的方式，创建已添加的远程FTP服务器的虚拟连接，运维用户通过专用文件传输管理工具连接远程FTP服务器，进行相关运维管理操作；

D、用户登录专用文件传输管理工具后，已经建立了与运程FTP服务器的网络连接，当用户上传/下载文件时，向远程FTP服务器发送的网络数据包先发送到堡垒机的协议解码模块；

E、协议解码模块收到用户的网络数据包后，通过专业的协议解码技术，对网络数据包进行分析解码，还原出用户上传/下载的文件，然后将文件发送给文件审计模块；

F、文件审计模块收到用户上传/下载的文件后，根据堡垒机制定的安全策略，分析用户的操作行为；

对于符合安全策略的文件，堡垒机允许继续上传/下载操作，发送给文件统计模块，该模块统计用户上传/下载的文件历史记录，并将该文件上传到远程FTP服务器或下载到本地设备，完成运维用户在本地设备执行的文件上传/下载操作； 

对于不符合安全策略、包含恶意代码和程序的文件，堡垒机禁止继续向远程FTP服务器上传或向本地设备下载，只发送给文件统计模块，记录本次文件操作历史记录，同时，返回提示信息给本地设备的运维用户。