CN108810069A - 一种云审计系统 - Google Patents
一种云审计系统 Download PDFInfo
- Publication number
- CN108810069A CN108810069A CN201810247358.2A CN201810247358A CN108810069A CN 108810069 A CN108810069 A CN 108810069A CN 201810247358 A CN201810247358 A CN 201810247358A CN 108810069 A CN108810069 A CN 108810069A
- Authority
- CN
- China
- Prior art keywords
- module
- audit
- auditing system
- destination host
- backup data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Abstract
本发明公开了一种云审计系统,包括文件监控模块、审计模块和标识模块,文件监控模块与目标主机和审计模块连接,用于实时监控目标主机正在使用的原数据,并获知该原数据在云审计系统中的位置,然后将该位置信息发送给审计模块。审计模块与文件监控模块和标识模块连接,用于根据文件监控模块发送的位置信息,在云审计系统中调出该位置信息中的原数据的备份数据,并对该备份数据进行审计。标识模块与审计模块连接,用于对审计模块审计通过的备份数据进行标识。本发明与目标主机连接,可以及时了解主机的分组、系统、状态和远程等信息,可以对管理中的用户进行授权、锁定和移除等操作,解决了现有审计系统中管理者无法对主机进行有效管理的问题。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种针对远程主机进行管理的云审计系统。
背景技术
云审计是利用互联网的云计算概念,通过数据的云存储,使得各种审计资源(参与审计的人员、程序和相关的硬件设备)通过云来协同,从而为审计人员提供更富有效率,更科学的审计过程。
随着人们对云审计的不断深入认识,现有审计系统中管理员不了解主机信息,导致无法对主机进行有效管理的问题日益突出。而本发明就旨在提供一种针对远程主机进行管理的云审计系统。
发明内容
针对上述现有技术的缺点,本发明的目的是提供一种针对远程主机进行管理的云审计系统,解决现有审计系统中管理者无法对主机进行有效管理的问题。
本发明实施例提供的一种云审计系统,包括:
文件监控模块,与目标主机和审计模块连接,用于实时监控目标主机正在使用的原数据,并获知该原数据在云审计系统中的位置,然后将该位置信息发送给审计模块;
审计模块,与文件监控模块和标识模块连接,用于根据文件监控模块发送的位置信息,在云审计系统中调出该位置信息中的原数据的备份数据,并对该备份数据进行审计;
标识模块,与审计模块连接,用于对审计模块审计通过的备份数据进行标识。
进一步地,上述云审计系统中,所述审计模块若对备份数据进行审计后不通过,则立即停止目标主机对该备份数据的原数据的使用。
进一步地,上述云审计系统中,所述标识模块,还用于当备份数据在审计通过后被重新修改,则删除对该备份数据的标识。
进一步地,上述云审计系统中,所述文件监控模块与目标主机通过安全层协议SSH和/或远程桌面协议RDP远程连接。
进一步地,上述云审计系统中,所述文件监控模块还用于查看目标主机信息以及对目标主机用户进行管理操作。
进一步地,上述云审计系统中,所述查看目标主机信息,包括但不限于:分组信息、系统信息、状态信息和远程连接信息。
进一步地,上述云审计系统中,所述对目标主机用户进行管理操作包括:对用户进行授权、锁定和移除操作。
与现有技术相比,本发明云审计系统包括文件监控模块、审计模块和标识模块,其中,所述文件监控模块与目标主机和审计模块连接,用于实时监控目标主机正在使用的原数据,并获知该原数据在云审计系统中的位置,然后将该位置信息发送给审计模块。所述审计模块与文件监控模块和标识模块连接,用于根据文件监控模块发送的位置信息,在云审计系统中调出该位置信息中的原数据的备份数据,并对该备份数据进行审计。所述标识模块与审计模块连接,用于对审计模块审计通过的备份数据进行标识。本发明优势在于可以与目标主机连接,可以及时了解主机的分组、系统、状态和远程等信息,可以对管理中的用户进行授权、锁定和移除等操作,解决了现有审计系统中管理者无法对主机进行有效管理的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明云审计系统组成结构示意图;
图2为本发明云审计系统逻辑原理示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
下面结合说明书附图对本发明实例作进一步详细描述。
如图1所示,本发明提供的一种云审计系统,包括:
文件监控模块,与目标主机和审计模块连接,用于实时监控目标主机正在使用的原数据,并获知该原数据在云审计系统中的位置,然后将该位置信息发送给审计模块;
审计模块,与文件监控模块和标识模块连接,用于根据文件监控模块发送的位置信息,在云审计系统中调出该位置信息中的原数据的备份数据,并对该备份数据进行审计;
标识模块,与审计模块连接,用于对审计模块审计通过的备份数据进行标识。
本发明实施例文件监控模块实时监控用户端(目标主机)正在使用的数据,并获知该数据在云审计系统中的位置。然后将该位置信息发送给审计模块,所述审计模块则根据位置信息在云审计系统中调出该数据的备份数据,并对该备份数据进行审核。对备份数据进行审计,若审计通过,则对审计通过后的备份数据打上审计通过的标记。
进一步地,上述云审计系统中,所述审计模块若对备份数据进行审计后不通过,则立即停止目标主机对该备份数据的原数据的使用。
进一步地,上述云审计系统中,所述标识模块,还用于当备份数据在审计通过后被重新修改,则删除对备份数据的标识。
本发明实施例,对备份数据审计完毕后且审计通过的,可以给该备份数据打上审计通过的标记,当数据下次再被使用时就无需再审计,从而节省了审计人员的时间和工作量;但如果该备份数据在审计通过之后被修改了,所述的审计通过标记就会自动的被去掉。
本发明云审计系统包括文件监控模块、审计模块和标识模块,其中,所述文件监控模块用于当某个数据被用户端(目标主机)使用时,获知用户端在使用什么数据,然后告知给审计模块。所述审计模块用于从文件监控模块获取用户端正在使用的数据,然后在云审计系统中调用并审计用户端正在使用的原数据的备份数据。所述标识模块用于对审计模块审计通过的备份数据进行标识;还用于当备份数据被重新修改后,删除对备份数据的标识。
需要说明的是,本发明云审计系统中每个数据都有多个备份,且所有备份数据与原数据是一致的,所以在用户端使用数据文件的时候,同时对备份文件进行审计是不会对用户端的使用产生任何影响的。另外,通过审计模块对用户端使用的数据内容、使用权限进行审查,一旦发现不符合审查规定的立即停止用户端对其数据文件进行继续访问。
本发明云审计系统的工作原理为:首先通过文件监控模块调用获得用户使用的文件和数据,然后再通过审计模块对备份数据进行审计,审计通过的放行,审计不符合规定的立即停止用户端的使用。其中,审计是监视特定的信息,被审计的信息包括但不限于非法信息、使用权限信息等。
进一步地,本发明文件监控模块与目标主机通过安全层协议SSH和/或远程桌面协议RDP远程连接。
如图2所示,本发明实施中所述文件监控模块和目标主机通过SSH协议和/或RDP协议来进行远程连接,以此获得所需要的目标主机的信息。
可选的,当目标主机的操作系统为Linux时,选用SSH协议(Secure Shell,安全壳协议)。SSH是建立在应用层基础上的安全协议,是目前较可靠且专为远程登录会话和其他网络服务提供安全性的协议。
本发明利用SSH协议可以有效防止远程管理过程中的信息泄露问题。本发明SSH提供两种级别的安全验证。第一种级别是基于口令的安全验证,即只要知道账号和口令,就可以登录到远程主机。所有传输的数据都会被加密,但是不能保证正在连接的服务器就是预计连接的服务器。可能会有别的服务器在冒充真正的服务器,也就是受到″中间人″这种方式的攻击。第二种级别是基于密匙的安全验证,这种方式需要依靠密匙,也就是必须创建一对密匙,并把公用密匙放在需要访问的服务器上。如果需要连接到SSH服务器上,客户端软件就会向服务器发出请求,请求用密匙进行安全验证。服务器收到请求之后,先在该服务器上主目录下寻找公用密匙,然后将两个密钥进行比较。如果两个密匙一致,服务器就用公用密匙加密″质询″并把它发送给客户端软件。客户端软件收到″质询″之后就可以用私人密匙解密再把它发送给服务器。
可选的,当目标主机的操作系统是Windows时,选用RDP协议(Remote DesktopProtocol,远程桌面协议)。本发明RDP协议是一个多通道的协议,让用户(客户端或称″本地电脑″)连上提供微软终端机服务的电脑(服务器端或称″远程电脑″)即可。
优选的,如图2所示,本发明所述文件监控模块和目标主机通过SSH协议和/或RDP协议来进行远程连接后,云端处理方式包括以下一种或多种:亚马逊云AWS、微软云AZURE、阿里云、威睿VMware以及OpenStack。
进一步地,上述云审计系统中,所述文件监控模块还用于查看目标主机信息以及对目标主机用户进行管理操作。
进一步地,上述云审计系统中,所述查看目标主机信息,包括但不限于:分组信息、系统信息、状态信息和远程连接信息。
进一步地,上述云审计系统中,所述对目标主机用户进行管理操作包括:对用户进行授权、锁定和移除操作。
本发明可以对主机的基本信息进行查看,包括分组、系统、状态和远程连接,除此之外,还可以对用户进行基本的管理操作,包括添加、编辑和移除。
综上,本发明解决了现有审计系统中管理者无法对主机进行有效管理的问题。通过本发明可以及时了解目标主机的分组、系统、状态和远程等信息,可以对管理中的用户进行授权、锁定和移除等操作,还可以对秘钥进行添加和删除,对分组进行创建和删除,对日志进行日志查看和录像查看等操作。并且在此基础上,还可以在配置管理中进行导出数据库和导入数据库等操作。本发明包括主机管理、用户管理、密钥管理、分组管理、日志查询、配置管理和助手配置等功能。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (7)
1.一种云审计系统,其特征在于,包括:
文件监控模块,与目标主机和审计模块连接,用于实时监控目标主机正在使用的原数据,并获知该原数据在云审计系统中的位置,然后将该位置信息发送给审计模块;
审计模块,与文件监控模块和标识模块连接,用于根据文件监控模块发送的位置信息,在云审计系统中调出该位置信息中的原数据的备份数据,并对该备份数据进行审计;
标识模块,与审计模块连接,用于对审计模块审计通过的备份数据进行标识。
2.根据权利要求1所述的云审计系统,其特征在于:所述审计模块若对备份数据进行审计后不通过,则立即停止目标主机对该备份数据的原数据的使用。
3.根据权利要求1所述的云审计系统,其特征在于:所述标识模块,还用于当备份数据在审计通过后被重新修改,则删除对该备份数据的标识。
4.根据权利要求1所述的云审计系统,其特征在于:所述文件监控模块与目标主机通过安全层协议SSH和/或远程桌面协议RDP远程连接。
5.根据权利要求4所述的云审计系统,其特征在于:所述文件监控模块还用于查看目标主机信息以及对目标主机用户进行管理操作。
6.根据权利要求5所述的云审计系统,其特征在于:所述查看目标主机信息,包括但不限于:分组信息、系统信息、状态信息和远程连接信息。
7.根据权利要求5所述的云审计系统,其特征在于:所述对目标主机用户进行管理操作包括:对目标主机用户进行授权、锁定和移除操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810247358.2A CN108810069A (zh) | 2018-03-23 | 2018-03-23 | 一种云审计系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810247358.2A CN108810069A (zh) | 2018-03-23 | 2018-03-23 | 一种云审计系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108810069A true CN108810069A (zh) | 2018-11-13 |
Family
ID=64095333
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810247358.2A Pending CN108810069A (zh) | 2018-03-23 | 2018-03-23 | 一种云审计系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108810069A (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040260927A1 (en) * | 2003-06-20 | 2004-12-23 | Grobman Steven L. | Remote data storage validation |
CN101950296A (zh) * | 2010-08-24 | 2011-01-19 | 中国科学院深圳先进技术研究院 | 云数据审计的方法及系统 |
-
2018
- 2018-03-23 CN CN201810247358.2A patent/CN108810069A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040260927A1 (en) * | 2003-06-20 | 2004-12-23 | Grobman Steven L. | Remote data storage validation |
CN101950296A (zh) * | 2010-08-24 | 2011-01-19 | 中国科学院深圳先进技术研究院 | 云数据审计的方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109831327B (zh) | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 | |
US10616237B2 (en) | Trust relationships in a computerized system | |
US8254579B1 (en) | Cryptographic key distribution using a trusted computing platform | |
EP0779570B1 (en) | System and method for supporting distributed computing mechanisms in a local area network server environment | |
CN110957025A (zh) | 一种医疗卫生信息安全管理系统 | |
CN105430000A (zh) | 云计算安全管理系统 | |
US20040088560A1 (en) | Secure system access | |
DE19960977A1 (de) | System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Datenabruf | |
DE10125952A1 (de) | Authentifizierter Zugang zu einem Storage Area Network | |
CN108701094A (zh) | 在基于云的应用中安全地存储和分发敏感数据 | |
US7823190B1 (en) | System and method for implementing a distributed keystore within an enterprise network | |
CN102571380A (zh) | 多实例gis平台统一用户管理方法和系统 | |
CN110719298A (zh) | 支持自定义更改特权账号密码的方法及装置 | |
CN110602054A (zh) | 基于代理的特权凭证认证保护方法及装置 | |
DE112020003699T5 (de) | Gleichzeitige aktivierung von verschlüsselung auf einem betriebspfad an einem speicheranschluss | |
CN105072138B (zh) | 一种云系统安全访问方法 | |
CN109547402A (zh) | 数据保护方法、装置、电子设备和可读存储介质 | |
CN112989320A (zh) | 一种用于密码设备的用户状态管理系统及方法 | |
US20050055556A1 (en) | Policy enforcement | |
CN108810069A (zh) | 一种云审计系统 | |
CN110572279A (zh) | 特权账号安全管理系统 | |
CN111769956B (zh) | 业务处理方法、装置、设备及介质 | |
CN111107105B (zh) | 一种身份认证系统及其身份认证方法 | |
Simpson et al. | Cloud forensics issues | |
US11308243B2 (en) | Maintenance of access for security enablement in a storage device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181113 |