CN102868738A - 基于Web代理的HTTP/HTTPS行为管控的审计方法 - Google Patents
基于Web代理的HTTP/HTTPS行为管控的审计方法 Download PDFInfo
- Publication number
- CN102868738A CN102868738A CN2012103173592A CN201210317359A CN102868738A CN 102868738 A CN102868738 A CN 102868738A CN 2012103173592 A CN2012103173592 A CN 2012103173592A CN 201210317359 A CN201210317359 A CN 201210317359A CN 102868738 A CN102868738 A CN 102868738A
- Authority
- CN
- China
- Prior art keywords
- user
- module
- strategy
- download
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于Web代理的HTTP/HTTPS行为管控的审计方法,所述审计方法配置有一注册管理模块、一安全策略库模块、一数据监听模块、一数据分析模块和一审计控制模块;所述安全策略库模块中定义有监听策略、页面访问控制策略、上传策略和下载策略;本发明能从用户的访问数据包中提取用户的访问列表、Web系统的响应内容,能实现用户的上传/下载权限授权、上传下载文件的审批、异常事件的阻断等,本发明解决了现有的审计装置存在的需在用户端设置代理服务器地址,需用户端频繁地更改代理服务器配置的问题。
Description
【技术领域】
本发明具体涉及一种基于Web代理的HTTP/HTTPS行为管控的审计方法。
【背景技术】
现有的基于Web代理的HTTP/HTTPS审计装置和用户端配置是一一对应的,当用户要访问被托管的一业务系统(指OA(办公自动化)、CRM(客户关系管理系统)或ERP(企业资源计划)等类管理信息系统。)时必须先通过代理服务器,才可以访问,每新加或去除一审计装置,使用该审计装置的所有用户端都必须进行配置修改才可以使用,如有a1、a2、a3、a4、a5五个业务系统被托管,目前只有一台审计装置B1进行审计,而审计装置B 1只审计对a1、a2、a3的访问,目前用户端上的代理地址设的是B1;当要新加一台审计装置B2来审计对a4、a5的访问,那么如果要访问a4、a5这两个业务系统时,必须把代理服务器设置成B2。
因而,现有的基于Web代理的HTTP/HTTPS审计装置要求用户修改代理服务器地址,修改方式为:打开控制面板→选择Inernet选项→局域网设置→输入代理服务器IP和端口号。设定好WEB代理服务器后,用户会被要求登陆代理服务器,经过认证授权后才可以访问被托管的业务系统。如果用户要访问另一非托管的业务系统时,必须删除现有代理服务器的地址,重新配置代理服务器地址,才可进行访问,因此用户在访问被托管的业务系统和非托管的业务系统时必须进行频繁的代理服务器地址的配置切换。
【发明内容】
本发明所要解决的技术问题在于提供一种基于Web代理的HTTP/HTTPS行为管控的审计方法,无需用户端频繁地更改代理服务器的配置。
本发明是通过以下技术方案解决上述技术问题的:一种基于Web代理的HTTP/HTTPS行为管控的审计方法,所述审计方法配置有一注册管理模块、一安全策略库模块、一数据监听模块、一数据分析模块和一审计控制模块;所述安全策略库模块中定义有监听策略、页面访问控制策略、上传策略和下载策略;
所述监听策略包括需被监听的服务器的IP和端口;所述上传策略包括各使用者的上传权限,所述上传权限为各使用者能上传的文件名规则和文件内容规则;所述下载策略包括各使用者的下载权限,所述下载权限为各使用者能下载的文件名规则;
所述审计方法具体包括以下步骤:
步骤100:用户在所述注册管理模块上填写注册信息,进行实名注册;然后根据所述注册信息进行登录,并选择要访问的服务器;所述注册信息包括帐号、用户真实姓名和用户的IP;
步骤200:所述数据监听模块从安全策略库模块中获取监听策略,并根据所述监听策略监听服务器,将用户访问该服务器上的业务系统所产生的数据包进行捕获,然后数据监听模块还原出所述数据包的网络数据,并将所述数据包和用户的IP做关联,从而使数据包和用户真实姓名进行关联,然后将所述网络数据发送给数据分析模块;
步骤300:所述数据分析模块根据HTTP协议和HTTPS协议分析所述步骤200得到的网络数据,从中分析出用户的HTTP/HTTPS请求事件;所述请求事件包括如下三种:
当请求事件为访问某个网页时,则将该用户和所述网页的地址与安全策略库模块中的页面访问控制策略进行匹配,判断请求事件是否合法,若是,则执行步骤400;若否,则向所述审计控制模块发送阻断指令,并执行步骤500;
当请求事件为上传文件时,则将该文件与所述上传策略中的该用户的上传权限进行匹配,分别根据文件名规则和文件内容规则判断该文件的文件名格式、文件内容是否合法,若是,则允许该用户上传该文件,并执行步骤400;若否,则向所述审计控制模块发送阻断指令,并执行步骤500;
当请求事件为下载文件时,则将该文件与所述下载策略中的该用户的下载权限进行匹配,根据文件名规则判断该用户是否有权限下载所述文件,若是,则允许该用户下载所述文件,并执行步骤400;若否,则向所述审计控制模块发送阻断指令,并执行步骤500;
步骤400:所述审计控制模块记录该用户的操作行为,并结束流程;
步骤500:所述审计控制模块利用TCP网络协议的特性,向通信的双方伪造断开连接的报文,强制切断非法的网络连接,然后记录用户的操作行为,并结束流程。
进一步地,所述页面访问控制策略包含敏感网页的URL地址、允许访问所述敏感网页的人员名单,禁止访问所述敏感网页的人员名单;所述步骤300中的当请求事件为访问某个网页时,则将该用户和所述网页的地址与安全策略库模块中的页面访问控制策略进行匹配具体为:将所述网页的地址与所述敏感网页的URL地址进行匹配,同时将该用户与所述允许访问所述敏感网页的人员名单或与所述禁止访问所述敏感网页的人员名单进行匹配。
本发明的有益效果在于:与现有的审计装置相比,本发明的审计装置无需在用户端设置代理服务器地址,无需用户端频繁地更改代理服务器的配置;本发明从用户、业务系统角色两个维度对业务系统的访问做统一授权,按照最小权限原则分配;本发明可以实现将每一条操作记录都和用户真实姓名对应,进行实名审计;本发明能实现对异常访问、非法的越权操作及时进行阻断;本发明可以实现按照最小审计粒度的原则记录用户的操作行为,从而全面监测各种非法操作及合法用户的违规操作。
【附图说明】
下面参照附图结合实施例对本发明作进一步的描述。
图1为本发明的审计装置的框架图。
【具体实施方式】
请参阅图1,一种基于Web代理的HTTP/HTTPS行为管控的审计方法,所述审计方法配置有一注册管理模块、一安全策略库模块、一数据监听模块、一数据分析模块和一审计控制模块;所述安全策略库模块中定义有监听策略、页面访问控制策略、上传策略和下载策略;
所述监听策略包括需被监听的服务器的IP和端口,所述服务器上运行有业务系统,所述业务系统指OA(办公自动化)、CRM(客户关系管理系统),ERP(企业资源计划)等类管理信息系统;所述页面访问控制策略包含敏感网页(如防火墙、业务系统的配置网页)的URL地址、允许访问所述敏感网页的人员名单,禁止访问所述敏感网页的人员名单;所述上传策略包括各使用者的上传权限,所述上传权限为各使用者能上传的文件名规则和文件内容规则;所述下载策略包括各使用者的下载权限,所述下载权限为各使用者能下载的文件名规则;
请再参阅图1,所述审计方法具体包括以下步骤:
步骤100:用户在所述注册管理模块上填写注册信息,进行实名注册;然后根据所述注册信息进行登录,并选择要访问的服务器;所述注册信息包括帐号、用户真实姓名和用户的IP;所述账号必须和用户真实姓名一一对应。
步骤200:所述数据监听模块从安全策略库模块中获取监听策略,并根据所述监听策略监听服务器,将用户访问该服务器上的业务系统所产生的数据包进行捕获,然后数据监听模块还原出所述数据包的网络数据,并将所述数据包和用户的IP做关联,从而使数据包和用户真实姓名进行关联,然后将所述网络数据发送给数据分析模块。
步骤300:所述数据分析模块根据HTTP协议和HTTPS协议分析所述步骤200得到的网络数据,从中分析出用户的HTTP/HTTPS请求事件;所述请求事件包括如下三种:
(1)当请求事件为访问某个网页时,则将该用户和所述网页的地址与安全策略库模块中的页面访问控制策略进行匹配,即将所述网页的地址与所述敏感网页的URL地址进行匹配,同时将该用户与所述允许访问所述敏感网页的人员名单或与所述禁止访问所述敏感网页的人员名单进行匹配,判断请求事件是否合法,若是,则执行步骤400;若否,则向所述审计控制模块发送阻断指令,并执行步骤500。
(2)当请求事件为上传文件时,则将该文件与所述上传策略中的该用户的上传权限进行匹配,分别根据文件名规则和文件内容规则判断该文件的文件名格式、文件内容是否合法,若是,则允许该用户上传该文件,并执行步骤400;若否,则向所述审计控制模块发送阻断指令,并执行步骤500。
(3)当请求事件为下载文件时,则将该文件与所述下载策略中的该用户的下载权限进行匹配,根据文件名规则判断该用户是否有权限下载所述文件,若是,则允许该用户下载所述文件,并执行步骤400;若否,则向所述审计控制模块发送阻断指令,并执行步骤500。
例如:A是管理员,他可以上传和下载用户信息文件,而用户信息文件的文件名中含有关键字CRM.xlc;而B是普通用户,他只能查询用户信息文件,若他要下载含有关键字CRM.xlc的文件名,就会被拦截。
步骤400:所述审计控制模块记录该用户的操作行为,并结束流程;即记录用户的访问记录,记录文件上传记录,或记录文件下载记录,以提供历史报表,供审计用;
步骤500:所述审计控制模块利用TCP网络协议的特性,向通信的双方伪造断开连接的报文,强制切断非法的网络连接,然后记录用户的操作行为,并结束流程。
与现有的审计装置相比,本发明的审计装置无需在用户端设置代理服务器地址,无需用户端频繁地更改代理服务器的配置,只需登录本发明的审计装置即可;本发明从用户、业务系统角色两个维度对业务系统的访问做统一授权,按照最小权限原则分配,即每个用户的访问权限仅按照他的需要进行分配,例如XX用户,从他的工作角度出发,他只需要可以访问A、B两个网站,因此按照‘按照最小权限原则’不能给他分配整个网络的访问权限。本发明可以实现将每一条操作记录都和用户真实姓名对应,进行实名审计;本发明能实现对异常访问、非法的越权操作及时进行阻断;本发明可以实现按照最小审计粒度的原则记录用户的操作行为,从而全面监测各种非法操作及合法用户的违规操作,即可以细到用户在某个网页的某个操作,如可以记录下用户在A页面内下载某个文件。
Claims (2)
1.一种基于Web代理的HTTP/HTTPS行为管控的审计方法,其特征在于:所述审计方法配置有一注册管理模块、一安全策略库模块、一数据监听模块、一数据分析模块和一审计控制模块;所述安全策略库模块中定义有监听策略、页面访问控制策略、上传策略和下载策略;
所述监听策略包括需被监听的服务器的IP和端口;所述上传策略包括各使用者的上传权限,所述上传权限为各使用者能上传的文件名规则和文件内容规则;所述下载策略包括各使用者的下载权限,所述下载权限为各使用者能下载的文件名规则;
所述审计方法具体包括以下步骤:
步骤100:用户在所述注册管理模块上填写注册信息,进行实名注册;然后根据所述注册信息进行登录,并选择要访问的服务器;所述注册信息包括帐号、用户真实姓名和用户的IP;
步骤200:所述数据监听模块从安全策略库模块中获取监听策略,并根据所述监听策略监听服务器,将用户访问该服务器上的业务系统所产生的数据包进行捕获,然后数据监听模块还原出所述数据包的网络数据,并将所述数据包和用户的IP做关联,从而使数据包和用户真实姓名进行关联,然后将所述网络数据发送给数据分析模块;
步骤300:所述数据分析模块根据HTTP协议和HTTPS协议分析所述步骤200得到的网络数据,从中分析出用户的HTTP/HTTPS请求事件;所述请求事件包括如下三种:
当请求事件为访问某个网页时,则将该用户和所述网页的地址与安全策略库模块中的页面访问控制策略进行匹配,判断请求事件是否合法,若是,则执行步骤400;若否,则向所述审计控制模块发送阻断指令,并执行步骤500;
当请求事件为上传文件时,则将该文件与所述上传策略中的该用户的上传权限进行匹配,分别根据文件名规则和文件内容规则判断该文件的文件名格式、文件内容是否合法,若是,则允许该用户上传该文件,并执行步骤400;若否,则向所述审计控制模块发送阻断指令,并执行步骤500;
当请求事件为下载文件时,则将该文件与所述下载策略中的该用户的下载权限进行匹配,根据文件名规则判断该用户是否有权限下载所述文件,若是,则允许该用户下载所述文件,并执行步骤400;若否,则向所述审计控制模块发送阻断指令,并执行步骤500;
步骤400:所述审计控制模块记录该用户的操作行为,并结束流程;
步骤500:所述审计控制模块利用TCP网络协议的特性,向通信的双方伪造断开连接的报文,强制切断非法的网络连接,然后记录用户的操作行为,并结束流程。
2.如权利要求1所述的基于Web代理的HTTP/HTTPS行为管控的审计方法,其特征在于:所述页面访问控制策略包含敏感网页的URL地址、允许访问所述敏感网页的人员名单,禁止访问所述敏感网页的人员名单;所述步骤300中的当请求事件为访问某个网页时,则将该用户和所述网页的地址与安全策略库模块中的页面访问控制策略进行匹配具体为:将所述网页的地址与所述敏感网页的URL地址进行匹配,同时将该用户与所述允许访问所述敏感网页的人员名单或与所述禁止访问所述敏感网页的人员名单进行匹配。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103173592A CN102868738A (zh) | 2012-08-30 | 2012-08-30 | 基于Web代理的HTTP/HTTPS行为管控的审计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103173592A CN102868738A (zh) | 2012-08-30 | 2012-08-30 | 基于Web代理的HTTP/HTTPS行为管控的审计方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102868738A true CN102868738A (zh) | 2013-01-09 |
Family
ID=47447324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012103173592A Pending CN102868738A (zh) | 2012-08-30 | 2012-08-30 | 基于Web代理的HTTP/HTTPS行为管控的审计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102868738A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103399939A (zh) * | 2013-08-09 | 2013-11-20 | 深圳市中科新业信息科技发展有限公司 | 帐号和文件审计关联分析方法及系统 |
| CN103780690A (zh) * | 2014-01-20 | 2014-05-07 | 北京集奥聚合科技有限公司 | 用户数据的安全共享方法和系统 |
| CN103873466A (zh) * | 2014-03-04 | 2014-06-18 | 深信服网络科技(深圳)有限公司 | Https网站过滤及阻断告警的方法和装置 |
| CN103944885A (zh) * | 2014-03-24 | 2014-07-23 | 汉柏科技有限公司 | 控制Web数据上传的方法及网关设备 |
| CN104378228A (zh) * | 2014-09-30 | 2015-02-25 | 上海宾捷信息科技有限公司 | 网络数据安全管理系统及方法 |
| CN105550593A (zh) * | 2015-12-11 | 2016-05-04 | 北京奇虎科技有限公司 | 一种基于局域网的云盘文件监控方法和装置 |
| CN108337322A (zh) * | 2018-03-15 | 2018-07-27 | 深圳市中科新业信息科技发展有限公司 | 一种前置审计方法 |
| CN109379364A (zh) * | 2018-10-29 | 2019-02-22 | 深圳同耕科技股份有限公司 | 一种应用系统间的自动化网络数据传输方法及系统 |
| CN110493318A (zh) * | 2019-07-23 | 2019-11-22 | 北京字节跳动网络技术有限公司 | Http请求信息的处理方法、装置、介质和设备 |
| CN112491902A (zh) * | 2020-12-01 | 2021-03-12 | 北京中软华泰信息技术有限责任公司 | 一种基于URL的web应用权限访问控制系统及方法 |
| CN113810366A (zh) * | 2021-08-02 | 2021-12-17 | 厦门天锐科技股份有限公司 | 一种网站上传文件安全识别系统及方法 |
| CN114095213A (zh) * | 2021-10-29 | 2022-02-25 | 中国电子科技集团公司第三十研究所 | 一种网络访问控制策略管理系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005401A (zh) * | 2006-12-31 | 2007-07-25 | 深圳市中科新业信息科技发展有限公司 | 一种网络数据分析和控制系统及方法 |
| CN101442449A (zh) * | 2008-12-18 | 2009-05-27 | 中国移动通信集团浙江有限公司 | 一种集中访问模式下用户行为全面审计的方法 |
| US20100050263A1 (en) * | 2008-08-25 | 2010-02-25 | International Business Machines Corporation | Browser based method of assessing web application vulnerability |
-
2012
- 2012-08-30 CN CN2012103173592A patent/CN102868738A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005401A (zh) * | 2006-12-31 | 2007-07-25 | 深圳市中科新业信息科技发展有限公司 | 一种网络数据分析和控制系统及方法 |
| US20100050263A1 (en) * | 2008-08-25 | 2010-02-25 | International Business Machines Corporation | Browser based method of assessing web application vulnerability |
| CN101442449A (zh) * | 2008-12-18 | 2009-05-27 | 中国移动通信集团浙江有限公司 | 一种集中访问模式下用户行为全面审计的方法 |
Non-Patent Citations (2)
| Title |
|---|
| 刘勇生等: "适于中小型企业的实名管理审计系统的设计", 《电脑知识与技术》, vol. 6, no. 22, 31 August 2010 (2010-08-31), pages 6193 - 6195 * |
| 邵英浩: "面向网络安全监控的上网行为审计系统", 《中国优秀硕士学位论文全文数据库(电子期刊)》, no. 8, 31 August 2010 (2010-08-31), pages 23 - 25 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103399939A (zh) * | 2013-08-09 | 2013-11-20 | 深圳市中科新业信息科技发展有限公司 | 帐号和文件审计关联分析方法及系统 |
| CN103780690A (zh) * | 2014-01-20 | 2014-05-07 | 北京集奥聚合科技有限公司 | 用户数据的安全共享方法和系统 |
| CN103780690B (zh) * | 2014-01-20 | 2015-09-30 | 北京集奥聚合科技有限公司 | 用户数据的安全共享方法和系统 |
| CN103873466A (zh) * | 2014-03-04 | 2014-06-18 | 深信服网络科技(深圳)有限公司 | Https网站过滤及阻断告警的方法和装置 |
| CN103944885A (zh) * | 2014-03-24 | 2014-07-23 | 汉柏科技有限公司 | 控制Web数据上传的方法及网关设备 |
| CN104378228A (zh) * | 2014-09-30 | 2015-02-25 | 上海宾捷信息科技有限公司 | 网络数据安全管理系统及方法 |
| CN105550593A (zh) * | 2015-12-11 | 2016-05-04 | 北京奇虎科技有限公司 | 一种基于局域网的云盘文件监控方法和装置 |
| CN108337322A (zh) * | 2018-03-15 | 2018-07-27 | 深圳市中科新业信息科技发展有限公司 | 一种前置审计方法 |
| CN109379364A (zh) * | 2018-10-29 | 2019-02-22 | 深圳同耕科技股份有限公司 | 一种应用系统间的自动化网络数据传输方法及系统 |
| CN109379364B (zh) * | 2018-10-29 | 2021-01-22 | 深圳同耕科技股份有限公司 | 一种应用系统间的自动化网络数据传输方法及系统 |
| CN110493318A (zh) * | 2019-07-23 | 2019-11-22 | 北京字节跳动网络技术有限公司 | Http请求信息的处理方法、装置、介质和设备 |
| CN110493318B (zh) * | 2019-07-23 | 2022-03-15 | 北京字节跳动网络技术有限公司 | Http请求信息的处理方法、装置、介质和设备 |
| CN112491902A (zh) * | 2020-12-01 | 2021-03-12 | 北京中软华泰信息技术有限责任公司 | 一种基于URL的web应用权限访问控制系统及方法 |
| CN113810366A (zh) * | 2021-08-02 | 2021-12-17 | 厦门天锐科技股份有限公司 | 一种网站上传文件安全识别系统及方法 |
| CN114095213A (zh) * | 2021-10-29 | 2022-02-25 | 中国电子科技集团公司第三十研究所 | 一种网络访问控制策略管理系统 |
| CN114095213B (zh) * | 2021-10-29 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种网络访问控制策略管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102868738A (zh) | 基于Web代理的HTTP/HTTPS行为管控的审计方法 | |
| CN109831327B (zh) | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 | |
| US11222111B2 (en) | Techniques for sharing network security event information | |
| US9465953B2 (en) | Secure virtual file management system | |
| JP6608948B2 (ja) | マルチテナント環境のためのネットワークフローログ | |
| US20200137097A1 (en) | System and method for securing an enterprise computing environment | |
| US20180181387A1 (en) | Method and system for providing software updates to local machines | |
| EP2036305B1 (en) | Communication network application activity monitoring and control | |
| US20120216133A1 (en) | Secure cloud computing system and method | |
| US8266687B2 (en) | Discovery of the use of anonymizing proxies by analysis of HTTP cookies | |
| US8713633B2 (en) | Security access protection for user data stored in a cloud computing facility | |
| US10728216B2 (en) | Web application security architecture | |
| US20110247074A1 (en) | Metadata-based access, security, and compliance control of software generated files | |
| US20210200595A1 (en) | Autonomous Determination of Characteristic(s) and/or Configuration(s) of a Remote Computing Resource to Inform Operation of an Autonomous System Used to Evaluate Preparedness of an Organization to Attacks or Reconnaissance Effort by Antagonistic Third Parties | |
| CN100586123C (zh) | 基于角色管理的安全审计方法及系统 | |
| US20110289548A1 (en) | Guard Computer and a System for Connecting an External Device to a Physical Computer Network | |
| GB2618652A (en) | Aggregating security events | |
| US20220335141A1 (en) | Secure data collection from an air-gapped network | |
| Chin et al. | A context-constrained authorisation (cocoa) framework for pervasive grid computing | |
| De | API patterns | |
| Dev et al. | AntiqueData: A proxy to maintain computational transparency in cloud | |
| Hu et al. | Education technology cloud platform framework establishment and security | |
| Tyagi et al. | Watchguard Status and Task Management Tool | |
| CN112910976A (zh) | 基于浏览器技术的应用数据分析方法、系统和电子设备 | |
| Sharma et al. | Securing the ELK Stack with Shield |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130109 |