[发明专利]一种基于代理技术的SSH协议运维审计系统的审计方法

摘要

本发明公开了一种基于代理技术的SSH协议运维审计系统的审计方法，在代理服务器中设置了监控回放模块，通过监控回放模块审计人员对客户端和目标服务器之间的运维会话进行实时监测，同时运维人员也可以根据自己的需求回放已经完成的运维会话。实现了在运维人员对目标服务器进行运维操作中对操作过程的命令分析、会话监控、切断、回放功能，实现了运维操作的事前预防、事中干预和事后分析处理。本发明在一定程度上帮助企业提升内部风险控制水平，提高信息系统运维管理水平，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，使运维操作更加安全。

主权项

一种基于代理技术的SSH协议运维审计系统的审计方法，其特征在于：包括代理服务器，客户端和目标服务器，所述客户端通过所述代理服务器与所述目标服务器进行运维会话通信；其中，所述代理服务器包括：Web管理模块、代理模块和回放监控模块；所述Web管理模块分别与客户端和所述代理模块连接，用于连接代理服务器和客户端；所述代理模块将Web管理模块传输的运维会话通信数据经检测后传输至目标服务器，并将目标服务器的反馈信息通过Web管理模块传输至客户端；其中所述代理模块包括认证服务模块、数据记录模块和数据库，其中，认证服务模块用于认证客户端的身份和权限；所述数据记录模块用于存储客户端与目标服务器之间所有的运维会话通信数据；所述数据库用于存储目标服务器的相关信息；所述回放监控模块用于从所述数据记录模块中提取监控回放所需的运维会话通信数据，通过回放监控模块中的回放监控插件将对应的运维会话通信数据反馈到客户端；包括以下步骤：步骤1：运维人员或审计人员通过客户端的Web浏览器登录代理服务器，代理服务器中的认证服务模块对客户端的身份和权限进行认证；步骤2：身份认证通过后，客户端和目标服务器通过代理服务器建立通信，所述代理服务器中的数据记录模块记录客户端和目标服务器之间所有的运维会话通信数据；步骤3：代理服务器对客户端和目标服务器之间的运维会话通信数据进行检测，发现异常的运维会话通信数据，则中断客户端和目标服务器之间的所有的运维会话通信；步骤4：所述监控回放模块根据客户端发来的监控回放指令，从所述数据记录模块中提取监控回放所需的运维会话通信数据，通过回放监控插件将对应的运维会话通信数据反馈到客户端；其中，所述步骤4中，如果客户端发来的是监控指令，所述监控回放模块从数据记录模块中调取客户端和目标服务器之间通信的实时运维会话通信数据；如果客户端发来的是回放指令，所述监控回放模块根据监控指令从数据记录模块中调取客户端和目标服务器之间通信的已经完成的运维会话通信数据；所述运维人员发送回放监控指令时，监控回放模块进行回放的方法为：步骤401：代理服务器生成一个32位的随机用户名和32位的随机密码；步骤402：代理服务器利用ActiveX控件将32位的随机用户名、32位的随机密码、运维会话号、目标服务器端口号、目标服务器IP地址作为命令行参数启动监控回放模块中的回放监控插件；步骤403：回放监控插件将ActiveX控件传来的命令行参数和其他参数组合成一个认证数据包；其他参数包括代理服务器的IP地址及服务监听端口位置，所述其他参数组合用来查找内存数据库，以完成身份认证；步骤404：回放监控插件将认证数据包发动到认证服务模块中，认证服务模块验证32位的随机用户名和32位的随机密码是否正确，如果正确，回放监控模块在数据记录模块中查找需要的运维会话对应的数据结构，如果发现运维会话还没有结束，那么将不能回放；如果发现运维会话已经结束，就在数据记录模块中查找运维会话数据，并将查找的数据发送至客户端；如果32位的随机用户名和32位的随机密码不正确，则将错误信息反馈至客户端；其中，存储回放数据的文件是以运维会话号作为文件的名称的，通过在路径下寻找是否有名称为运维会话号的文件，就可以判断是否存在回放数据，如果没有查找到，则不能回放，如果查找到开始向客户端发送数据，发送数据的格式如下：首先发送文件的大小，然后发送文件头，文件头由版本号，会话起始时间，会话起始时间，会话结束时间，会话结束时间组成，然后开始发送命令；回放插件逐条解析数据，并通过VT100的方式将数据显示出来；回放程序将运维回话记录数据从数据文件中读取出来并将其显示在界面上；回放线程中涉及到播放控制，同时实现了快进，向前跳转，向后跳转，暂停的功能。