[发明专利]文件压缩操作的审计方法、装置、电子设备及存储介质

说明书

本申请提供一种文件压缩操作的审计方法、装置、电子设备及存储介质。方法包括：接收对目标文件进行关闭的操作请求；根据操作请求从目标文件上下文对象中提取对应的目标跟踪项；目标跟踪项中包括一个源跟踪项记录链表，用于记录被完全读取过的源文件对应的源跟踪项；若目标跟踪项的源跟踪项记录链表不为空，且目标文件的格式是压缩文件格式，则确定目标文件是压缩操作的目标文件，根据目标跟踪项及其源跟踪项记录链表构造审计信息，实现对压缩操作的审计。本申请实施例无需针对每种压缩工具设计对应的审计系统，从而降低了工作量，并且不会遗漏对新出现的压缩工具进行文件压缩的审计，进而提高了对压缩文件审计的准确性，保证了数据的安全。

技术领域

本申请涉及数据安全技术领域，具体而言，涉及一种文件压缩操作的审计方法、装置、电子设备及存储介质。

背景技术

在信息安全系统中，尤其数据安全方面，对于敏感文件的外传要有审计和控制技术，除了常规的拷贝文件操作，还要对间接的外传手段有所控制，例如，将文件压缩后再外传。

压缩工具程序品类繁多，压缩文件的格式多种多样，包括操作系统自带的程序(如Windows系统的资源管理器)，以及独立发行的工具(如7Z、WinRAR等等)。现有技术中，对压缩文件的审计通常是针对每种压缩工具设计对应的审计系统，这种方法导致了工作量大，并且，也无法解决新出现的工具或格式的审计问题。

发明内容

本申请实施例的目的在于提供一种文件压缩操作的审计方法、装置、电子设备及存储介质，用以实现不依赖于具体工具软件的压缩行为审计，以及提高审计准确性。

第一方面，本申请实施例提供一种文件压缩操作的审计方法，应用于文件系统，包括：接收对目标文件进行关闭的操作请求；根据所述操作请求从目标文件上下文对象中提取所述目标文件对应的目标跟踪项；其中，目标跟踪项中包括一个源跟踪项记录链表，用于记录被完全读取过的源文件对应的源跟踪项；源跟踪项和目标跟踪项包括对文件的各操作请求进行监测获得的文件信息；若目标跟踪项的源跟踪项记录链表不为空，且目标文件的格式是压缩文件格式，则确定目标文件是压缩操作的目标文件，根据目标跟踪项及其源跟踪项记录链表，构造审计信息，实现对压缩操作的审计。

本申请实施例通过根据压缩操作的通用流程，对文件的操作进行监测，并在监测到对文件进行关闭操作后，根据监测获得到文件的跟踪项确定对该文件的压缩操作，进而根据跟踪项获得审计信息，因此，对于各种审计工具来说，均可以采用上述审计方法进行审计，无需针对每种压缩工具设计对应的审计系统，从而降低了工作量，并且不会遗漏对新出现的压缩工具进行文件压缩的审计，进而提高了对压缩文件审计的准确性，保证了数据的安全。

进一步地，在接收对目标文件进行关闭的操作请求之前，所述方法还包括：初始化全局数据结构，其中，所述全局数据结构包括目标跟踪项链表、重命名跟踪项链表和定时器。

进一步地，在初始化全局数据结构之后，所述方法还包括：实时进行文件操作的监测，获得所述源文件和目标文件的操作请求；根据所述操作请求执行相应的操作。

本申请实施例通过实时对文件操作进行监测，从而不会遗漏对文件的监控，并且能够快速确定对文件的操作是否为压缩操作。

进一步地，所述操作请求为新建目标文件的请求或以写入方式打开目标文件的请求；所述根据所述操作请求执行相应的操作，包括：建立所述目标文件对应的目标跟踪项；所述目标跟踪项包括打开所述目标文件的进程、线程、文件路径、文件名称、文件打开时间、初始写入数据长度和文件读取记录链表；将所述目标跟踪项关联到所述目标文件上下文对象中，以及将所述目标跟踪项插入到所述目标跟踪项链表中。

由于压缩文件时首先需要以写方式打开目标文件，因此，本申请实施例通过监测文件以写方式打开，并且建立目标跟踪项来存储该文件的文件信息，进而能够根据目标跟踪项进行压缩操作的确认以及审计信息的获得。