文档操作安全审计系统.pdf

本发明涉及一种文档操作安全审计系统。整个监控系统由三个子系统组成：监控机、客户端、“移动式”管理平台。所述监控机负责记录监控客户端报告的日志信息和设置客户端的监控参数，并通过web机制向保密管理员提供系统配置、报警和日志分析等服务；所述客户端是安装在每台被监控主机上，负责监控主机上的所有文档操作行为，自动向监控中心报告监测情况和告警信息，并按应用策略实施禁用控制，其控制策略由监控机统一发送，并自动更新。所述“移动式”管理平台负责处理整个文档操作安全审计系的日志检查分析、安全审计、系统设置和远程管理。文档操作安全审计系统采用C/S结合B/S的架构设计，允许跨网部署，轻松实现多级分布式监管，协助保密管理部门监控整个监控网络中文档操作的安全状况。

1.   一种文档操作安全审计系统，其特征在于系统，包括：监控机、监测客户端和管理平台，监控机部署在每个单位的网络中心，每个单位部署一台，监测客户端安装在监控体系内的每台工作主机上，每台工作主机都可以通过Web端登陆到系统监控中心而成为系统管理台。

2.  根据权利要求1所述的文档操作安全审计系统，其特征在于所述的监控机，用于管理所有客户端的运行和记录客户端报告的监控日志信息，并通过web机制向保密管理员提供系统配置、报警信息和日志分析等服务；另外，监控机也负责安装管理、注册管理、同上下级的级联通讯、邮件告警等系统辅助功能。

3.  根据权利要求1所述的文档操作安全审计系统，其特征在于所述的监测客户端：负责对主机上的所有文档处理行为进行实时监控，自动向监控中心报告监测情况，按应用策略实施禁用控制，其控制策略由监控机统一发送，并自动更新。

4.   根据权利要求1所述的文档操作安全审计系统，其特征在于所述的所述的管理平台，负责处理整个文档操作安全审计系统的日志检查分析、安全审计、系统设置和远程管理。

文档操作安全审计系统
技术领域
本发明涉及一种文档操作安全审计系统。 
背景技术
传统的文档安全解决方案都是把重点放到边界上，在一定程度上忽略了内部网络的安全问题，在政府机关、保密部门、科研机构、银行与证券及企事业等单位的办公网、内部业务网与涉密网中，终端设备安全管理薄弱，存在较大的安全隐患，同时致使现有安全措施不能充分发挥其作用。防火墙，入侵检测或专网，可以很大程度有效防止外部人员非法访问，但不能防止内部人员通过电子邮件或者移动存储介质将一些敏感文件发送给其他人。尽管有些单位制订了严格的安全管理制度，但是由于缺乏有效的技术手段，安全策略无法有效落实，导致机密信息泄露、黑客攻击和蠕虫病毒传播等安全事件频繁发生，这对内网安全提出了新的挑战。 
内网的安全，其实质就是数据的安全。文档是网络信息最主要的载体，大量的涉密信息都以电子文档形式保存和传输，保护好文档安全，在一定程度上就是保护好内网安全。因此，电子文档的安全存储和传输对于信息安全建设具有重大意义。在内网建立一套完善的文档安全防护机制，在终端直接对文档的行为进行监控和审计，是防止文档泄露的最佳解决方案之一。对文档的监控和审计，能杜绝很大一部分泄密事件的发生，即使泄密事件发生，也能够很快找到泄密途径,追究责任，挽回损失；同时，通过对大量行为数据的分析，能够为管理者找到安全管理漏洞，不断完善安全管理机制。 
发明内容
本发明所要解决的技术问题是：提供一种文档操作安全审计系统，能实时监控监考体系内所有主机上DOC、PDF、PPT、XLS等四种文档的一系列操作行为（包括创建、修改、移动、拷贝及删除），并将文档标题以及相关进程的网络行为记录成日志发往监控机，供保密主管部门审计，为日后追究责任、改善网络安全管理手段提供充足的依据。 
为解决上述技术问题，本发明所采取的的技术方案是：一种文档操作安全审计系统，包括：监控机、监测客户端和管理平台，监控机部署在每个单位的网络中心，每个单位部署一台，监测客户端安装在监控体系内的每台工作主机上，每台工作主机都可以通过Web端登陆到系统监控中心而成为系统管理台，实现移动式管理。 
所述的监控机，用于管理所有客户端的运行和记录客户端报告的监控日志信息，并通过web机制向保密管理员提供系统配置、报警信息和日志分析等服务；另外，监控机也负责安装管理、注册管理、同上下级的级联通讯、邮件告警等系统辅助功能。。 
所述的监测客户端：负责对主机上的所有文档处理行为进行实时监控，自动向监控中心报告监测情况，按应用策略实施禁用控制，其控制策略由监控机统一发送，并自动更新。 
所述的管理平台，负责处理整个文档操作安全审计系统的日志检查分析、安全审计、系统设置和远程管理。； 
采用了上述技术方案，本发明的有益效果为：文档操作安全审计系统采用C/S结合B/S的架构设计，能有效监测和审计局域网中各主机的文档操作行为。该允许跨网部署，实现多级分布式监管。具有实时监控、精度高、开销小，扩展性好和操作简单等特点. 允许跨网部署，轻松实现多级分布式监管，协助保密管理部门监控整个外网中涉密文档的安全状况。
附图说明
图1是文档操作安全审计系统的系统结构图。 
图2是文档操作安全审计系统的部署拓扑。 
具体实施方式
本发明是一种文档操作安全审计系统，如图1所示，包括 ： 
S0、监控机：采用安装windows server 2003系统的工控机，并集成了web服务器和数据库服务器软件。监控机主要运行两个服务进程：监控服务进程和级联通信进程。监控服务进程用于接收和记录客户端的报告信息，并向客户端发送配置信息和控制各功能模块的运行。级联通信进程用于同上下级监控机进行级联通信。监控机通过web服务向管理员和客户机提供安装管理、注册管理、系统配置、报警信息和日志分析等服务。监控机部署在每个单位的网络中心，每个单位部署一台。监控机和客户端的相互通讯使用内部局域网，一个监控机可以管理整个监控体系内的所有监控客户端，并连接多个管理台和告警台。
S1、客户端：客户端包括4个模块：监测消息钩子、客户端控制中心、文档涉密评估系统和涉密文档特征库。客户端控制中心根据监测钩子的消息报告，实时监测主机上DOC、PPT、XLS、PDF等四种文档的处理行为和相关进程的网络行为，并将监控情况报告给监控机。同时调用文档涉密评估系统对文档内容进行涉密评估，涉密文档特征库提供国家保密标记、机关公文标题、涉密关键词等定密规则，分别用于国家秘密、红头文件和工作秘密等涉密文档的识别和定密评估。 
S2、“移动式”管理平台：负责处理整个文档操作安全审计系统的日志检查分析、安全审计、系统设置和远程管理。 
   在本实施例中，文档操作安全审计系统主要的功能包括： 
实时监控局域网各主机上DOC、PDF、PPT、XLS等四种文档的一系列操作行为（包括创建、修改、移动、拷贝及删除），并将文档标题以及相关进程的网络行为记录成日志发往监控机，供保密主管部门审计，为日后追究责任、改善网络安全管理手段提供充足的依据。另外，客户端也配置一个文档涉密评估模块，能自动根据标题、关键词以及保密标记等策略对文档进行涉密评估，并按预定策略对可能涉密的文档执行相应的安全措施，包括日志告警、计算机截屏、邮件告警、屏蔽网络和USB接口等，第一时间发现和阻止信息泄露。
本文档操作安全审计系统的技术特点包括： 
1、不间断的实时监控机制；天普文档操作安全审计系统在监控文档操作行为、终端软硬件资产信息的基础上，主动分析和抓捕文档的操作行为，并利用特征匹配来分析操作行为是否合法，实时监控文档相关进程的网络行为，一旦发现威胁，能够主动及时地切断网络，避免文档泄露。
2、采用灵活的多级分布式监控机制；一方面，分布式监控的客户端是嵌入到每个主机的操作系统中进行现场监控，具有精确度高和系统开销小等技术优势，并且有利于主动拦截和计算机取证等实时处理技术的实现；另一方面，多级监控体制能较好地适应单位的组织结构和网络结构，每个监控中心可以独立运行，也可以跨公网部署，组成一个树形的多级监控体系，实现反泄密的统一管理和分布管理，提高监控的扩展性和灵活性，使对多个离散分布的局域网进行联合审计和管理成为可能。 
3、采用灵活的B/S管理模式，管理员只要拥有管理员账号和口令，就能在网络上任何一台计算机上实现对整个网络上所有计算机的集中管理。 
4、提供完善的保密解决方案，审计系统包含监控、分析、审计和防护等完善的文档安全防护策略，从文档的操作行为和内容行为监视，直至发现威胁并能处理威胁，能有效地保护文档安全，最大限度地避免文档的泄露，也提高了保密管理部门的安全管理水平。