一种支持业务安全标记的文件操作审计方法及装置制造方法及图纸

本发明专利技术公开了一种支持业务安全标记的文件操作审计方法及装置。本方法为：1)监控系统对象O对文件R的操作行为，并识别系统对象O的业务安全标记和文件R的业务安全标记；如果系统对象O或文件R不带有业务安全标记，则记录系统对象O对文件R的操作，生成安全日志；否则进入步骤2)；2)对系统对象O的业务安全标记与其访问的文件R的业务安全标记进行匹配检查，如果不匹配，进入步骤3)；如果匹配，则检查文件的业务安全标记内是否设置了相应的操作控制要求，若标记内设置了则记录对文件执行的操作；3)记录系统对象O对文件R的操作及匹配检查结果，生成安全日志。本发明专利技术能够发现文件异常操作并进行控制。

A file operation audit method and device supporting business security mark

The invention discloses a document operation audit method and a device supporting a service security mark. This method is as follows: 1) monitor the operation of system object o on file R, and identify the business security mark of system object o and the business security mark of file R; if system object o or file r does not have the business security mark, record the operation of system object o on file R, and generate the security log; otherwise, go to step 2); 2) business security mark of system object o and the file r it accesses If there is no match, go to step 3); if there is a match, check whether the corresponding operation control requirements are set in the business security tag of the file; if there is a match, record the operation on the file; 3) record the system's operation on the file R and the result of the match check, and generate the security log. The invention can discover and control the abnormal operation of documents.

【技术实现步骤摘要】
一种支持业务安全标记的文件操作审计方法及装置
本专利技术涉及一种文件操作审计方法及装置，尤其涉及一种基于业务安全标记的文件操作审计方法及装置，属于计算机信息安全领域。
技术介绍
目前的主机监控与审计产品大多数可以做到对文件的操作进行实时监控和审计，公开号CN1881213B的专利申请公开了一种文档审计跟踪系统，包括：数据通信装置，所述数据通信装置包括文档数据输入装置，所述文档数据输入装置用于接收代表相关文档的历史特性的文档数据；适于在文档数据和代表其编码的直观表示的标记数据之间进行转换的转换装置；数据通信装置还包括适于和相关的文档处理装置交换标记数据的装置，所述文档处理装置包括打印机、扫描仪、复印机、传真机、多功能外围设备以及客户应用程序中的至少一个；适于接收代表用户指定的用于相关文档的文档处理操作的文档处理指令的装置；适于根据接收到的文档处理指令产生文档数据的装置；检测装置，所述检测装置适于检测相关文档的标记或已编码的跟踪数据，所述已编码的跟踪数据表示与在相关文档上执行的文档处理操作的历史；适于收集跟踪数据的装置；适于将标记应用于相关文档的装置，所述标记表示与用户指定的文档处理操作或跟踪数据有关的经过编码的信息；以及重现装置，所述重现装置适于生成与接收到的文档数据相对应的实际的文档输出，实际的文档包括标记。目前现有的文件操作审计均无法高效区分文件的业务类别，难以按照业务安全要求对超出业务授权的异常访问操作进行精准发现。
技术实现思路
针对目前文件操作审计方法难以对超出业务授权的异常操作进行精准发现等问题，本专利技术的目的在于提出一种基于安全标记的文件操作审计方法，通过匹配检查主体及文件的业务安全标记发现文件异常操作。本专利技术的思路是：本专利技术基于文件的业务安全属性及进程等的业务安全属性对文件操作行为进行检查，发现文件的异常操作行为。本专利技术通过监控进程对文件操作的请求，识别进程与文件的业务安全标记；对进程与文件的业务安全标记进行匹配检查，从而判断进程是否允许对文件进行相关操作。为实现上述目的，本专利技术提供基于业务安全标记的文件操作审计方法，具体步骤如下：步骤1：识别进程与文件的业务安全标记。监控各类进程或服务对文件的操作行为，分别识别进程和文件的业务安全标记。如果进程或文件不带有业务安全标记，则记录进程对文件的操作，生成安全日志，否则进入步骤2。步骤2：匹配检查进程与文件的业务安全标记。对进程的业务安全标记与其访问的文件的业务安全标记进行匹配检查，如果不匹配，进入步骤3；如果匹配，则进一步检查文件的业务安全标记内是否设置了相应的操作控制要求，若标记内设置了某些特定操作的控制要求(如禁止打印、禁止刻录等)，则记录对文件执行这些特定操作。步骤3：记录进程对文件的操作及匹配检查结果，生成安全日志。预设信息1：文件应具有业务安全标记，表明文件的安全级别、业务类别、环境要求、操作控制要求等业务安全属性。预设信息2：进程应配置有业务安全标记，表明其安全等级、业务类别等业务安全属性。为实现以上的目的，本专利技术还提供了一种支持业务安全标记的文件操作审计装置，包括文件操作监控模块、标记识别与匹配模块，其特征在于：文件操作监控模块：用于监控各类进程对文件的操作行为。标记识别与匹配模块：识别进程与文件的业务安全标记，匹配检查进程与文件的业务安全标记，对文件的异常操作行为进行审计。与现有技术相比，本专利技术的积极效果为：本专利技术提供的支持业务安全标记的文件操作审计方法，可有效识别进程和文件的业务安全标记，并依据文件的业务安全属性与进程的业务安全属性对文件访问操作进行审计，可有效发现进程超出业务授权指定的业务安全属性值访问该授权范围之外的文件，并能根据文件的操作控制属性限制进程对其执行特定的操作。附图说明图1为本专利技术实例提供的支持业务安全标记的文件操作审计方法流程图；图2为本专利技术实例提供的支持业务安全标记的文件操作审计装置图。具体实施方式以下结合附图对本专利技术的优选实施例进行说明，应当理解，此处所描述的实施例仅用于说明和解释本专利技术，并不用于限定本专利技术。图1为支持业务安全标记的文件监控与审计方法流程示意图，下面将参考图1，对本专利技术的基于业务安全标记的文件监控与审计方法详述：1、业务安全标记说明业务安全标记M为一个包含多种业务安全属性的多元组，M＝<C，G，F>。其中C为安全级别；G为多个业务安全属性Gi的集合，G＝{g1,g2,…gn}，gi可以为业务类别、工作组、角色、环境要求等业务安全属性；F为操作控制属性fj的集合，F＝{f1,f2,…fm}，fj可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。数据等信息对象(资源)R的业务安全标记记为M(r)＝<Cr，Gr，Fr>，应用、服务和进程等系统对象(主体)O的业务安全标记记为M(o)＝<Co，Go>。主体标记M(o)与资源标记M(r)之间的关系有两种：支配关系与不可比。标记M(o)支配标记M(r)，当Co≥Cr且我们记为M(o)≥M(r)，表示主体可支配客体。如果M(o)与M(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体。如果则主体应根据该标记包含的具体操作控制属性fj限制对资源进行相应操作。根据上述抽象定义，在本实施例中进程的业务安全标记可定为M(p)＝<Cp，Gp>，文件的业务安全标记可定为M(f)＝<Cf，Gf，Ff>。2、识别进程与文件的业务安全标记监控各类进程或服务对文件的操作行为，识别调用请求的进程的业务安全标记M(p)以及文件的业务安全标记M(f)。如果进程或文件不带有业务安全标记，则记录进程对文件的操作，生成安全日志。3、匹配检查进程与文件的业务安全标记对进程的业务安全标记M(p)和文件的业务安全标记M(f)进行匹配检查，若M(p)≥M(f)则匹配成功，执行如下的操作控制属性检查；若匹配不成功，则跳转到步骤3。操作控制属性检查规则：设进程对文件执行的操作为a，如果且a∈Ff，则记录对文件执行的该操作。4、记录进程对文件的操作行为及匹配检查结果记录进程对文件的访问操作结果，生成安全日志。安全日志中至少需要包含进程和文件名称、操作行为、相关业务安全标记及标记匹配检查结果等信息。5、对匹配检查未通过的文件操作行为进行管控。此步骤对于文件操作审计方法来说是非必要的步骤，但是可以使得文件操作审计功能更全面。具体表现为：若进程和文件的业务安全标记不匹配，则禁止进程对文件执行请求的操作；若匹配成功后进一步检查发现且a∈Ff，则不允许对文件执行a操作。图2是支持业务安全标记的文件操作审计装置示意图，下面结合图2对该装置进行说明文件操作监控模块：用于监控进程对文件的操作行为，针对不同的操作行为监听不同的调用请求。针对文件的创建、访问、删除等操作，需要截获进程对操作系本文档来自技高网...

【技术保护点】
1.一种支持业务安全标记的文件操作审计方法，其步骤包括：/n1)监控系统对象O对文件R的操作行为，并识别系统对象O的业务安全标记和文件R的业务安全标记；如果系统对象O或文件R不带有业务安全标记，则记录系统对象O对文件R的操作，生成安全日志；否则进入步骤2)；/n2)对系统对象O的业务安全标记与其访问的文件R的业务安全标记进行匹配检查，如果不匹配，进入步骤3)；/n3)记录系统对象O对文件R的操作及匹配检查结果，生成安全日志。/n

【技术特征摘要】
1.一种支持业务安全标记的文件操作审计方法，其步骤包括：
1)监控系统对象O对文件R的操作行为，并识别系统对象O的业务安全标记和文件R的业务安全标记；如果系统对象O或文件R不带有业务安全标记，则记录系统对象O对文件R的操作，生成安全日志；否则进入步骤2)；
2)对系统对象O的业务安全标记与其访问的文件R的业务安全标记进行匹配检查，如果不匹配，进入步骤3)；
3)记录系统对象O对文件R的操作及匹配检查结果，生成安全日志。


2.如权利要求1所述方法，其特征在于，步骤2)中，如果匹配，则允许系统对象O对文件R的操作；如果不匹配，则拒绝操作对象O操作该文件R。


3.如权利要求1所述的方法，其特征在于，步骤2)中，如果匹配，则进一步检查文件R的业务安全标记内是否设置了禁止当前操作的操作控制要求，若该文件R设置了相应的操作控制要求，则拒绝该操作对象O操作该文件R。


4.如权利要求1所述的方法，其特征在于，文件R的业务安全标记包括文件的安全级别、业务类别和操作控制要求；系统对象O为应用、服务或进程，系统对象O的业务安全标记包括系统对象的安全等级和业务类别。


5.如权利要求4所述的方法，其特征在于，文件R的业务安全标记还包括文件的环境要求。


6.一种支持业务安全标记的文件操作审计装置，其特征在于，包括文件操作监控模块、标记识别与匹配模...

【专利技术属性】
技术研发人员：于海波，王振继，刘坤颖，贾亚敏，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11