專利名稱:一種網(wǎng)絡(luò)安全審計(jì)方法�、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域���,尤其涉及一種網(wǎng)絡(luò)安全審計(jì)方法、裝置及系統(tǒng)�����。
背景技術(shù):
堡壘機(jī)是ー種面向用戶的集中控制的運(yùn)維安全審計(jì)產(chǎn)品�,其最主要的功能是對(duì)用戶的集中訪問(wèn)控制并對(duì)用戶從登陸到退出的全程操作行為進(jìn)行審計(jì)�����。用戶可以在本地設(shè)備利用設(shè)備賬號(hào)通過(guò)堡壘機(jī)去訪問(wèn)諸如遠(yuǎn)程服務(wù)器等目標(biāo)設(shè)備����,堡壘機(jī)則根據(jù)用戶在本地設(shè)備使用的設(shè)備賬號(hào)建立本地設(shè)備與對(duì)應(yīng)目標(biāo)設(shè)備之間的連接�,以使用戶可以通過(guò)本地設(shè)備訪問(wèn)對(duì)應(yīng)的目標(biāo)設(shè)備。其中���,本地設(shè)備和遠(yuǎn)程服務(wù)器分布于物理上隔離的兩個(gè)網(wǎng)絡(luò)����,堡壘機(jī)充當(dāng)了“中間人”的角色���,即用戶通過(guò)本地設(shè)備的操作數(shù)據(jù)被堡壘機(jī)轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器���,同時(shí)遠(yuǎn)程服務(wù)器返回的數(shù)據(jù)也通過(guò)堡壘機(jī)轉(zhuǎn)發(fā)給本地設(shè)備。圖I為現(xiàn)有技術(shù)中本地設(shè)備訪問(wèn)遠(yuǎn)程服務(wù)器的系統(tǒng)結(jié)構(gòu)示意圖���。在圖I中��,本地設(shè)備通過(guò)堡壘機(jī)訪問(wèn)局域網(wǎng)中的遠(yuǎn)程服務(wù)器����,其中,堡壘機(jī)通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)(VNC�,Virtual Network Computing)協(xié)議建立網(wǎng)絡(luò)I中的遠(yuǎn)程服務(wù)器至網(wǎng)絡(luò)2中的本地設(shè)備的遠(yuǎn)程桌面鏈接���,并審計(jì)和控制本地設(shè)備對(duì)遠(yuǎn)程服務(wù)器的操作���,以保證遠(yuǎn)程服務(wù)器的安全性。其中����,網(wǎng)絡(luò)I和網(wǎng)絡(luò)2是物理上隔離的兩個(gè)網(wǎng)絡(luò)。然而�����,由于VNC協(xié)議是基于遠(yuǎn)程巾貞緩存(Remote Frame Buffer, RFB)協(xié)議的顯示協(xié)議�����,其并不支持文件的傳輸��,因此通過(guò)堡壘機(jī)進(jìn)行網(wǎng)絡(luò)安全審計(jì)時(shí),無(wú)法實(shí)現(xiàn)本地設(shè)備與遠(yuǎn)程服務(wù)器之間的文件傳輸和審計(jì)�。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)安全審計(jì)方法、裝置及系統(tǒng)�����,用以解決現(xiàn)有技術(shù)中通過(guò)堡壘機(jī)無(wú)法實(shí)現(xiàn)本地設(shè)備與遠(yuǎn)程服務(wù)器之間的文件傳輸和審計(jì)的問(wèn)題�����。本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全審計(jì)方法���,包括堡壘機(jī)通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接�����;并接收所述本地設(shè)備通過(guò)文件傳輸協(xié)議FTP上傳的文件�;以及根據(jù)預(yù)先保存的審計(jì)策略���,對(duì)接收到的所述文件進(jìn)行審計(jì)����;所述堡壘機(jī)在確定對(duì)所述文件的審計(jì)通過(guò)時(shí)�,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器���,在確定對(duì)所述文件的審計(jì)不通過(guò)時(shí),將所述文件丟棄�����。本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全審計(jì)方法����,包括本地設(shè)備基于堡壘機(jī)通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器至所述本地設(shè)備的遠(yuǎn)程桌面鏈接�����,顯示所述遠(yuǎn)程服務(wù)器的桌面圖像����;并當(dāng)要向所述遠(yuǎn)程服務(wù)器上傳文件時(shí),通過(guò)文件傳輸協(xié)議FTP將要上傳的文件上傳到所述堡壘機(jī)進(jìn)行審計(jì)��,其中�����,所述堡壘機(jī)對(duì)所述文件的審計(jì)通過(guò)時(shí)����,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存��,對(duì)所述文件的審計(jì)不通過(guò)時(shí)�����,將所述文件丟棄�����。
本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全審計(jì)裝置��,包括遠(yuǎn)程桌面鏈接建立模塊��,用于通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接�����;文件傳輸協(xié)議FTP文件接收模塊�����,用于接收所述本地設(shè)備通過(guò)FTP上傳的文件��;文件審計(jì)模塊�,用于根據(jù)預(yù)先保存的審計(jì)策略,對(duì)接收到的所述文件進(jìn)行審計(jì)����;文件控制模塊,用于在所述文件審計(jì)模塊確定對(duì)所述文件的審計(jì)通過(guò)時(shí)�����,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存�����,在所述文件審計(jì)模塊確定對(duì)所述文件的審計(jì)不通過(guò)時(shí)�,將所述文件丟棄��。本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全審計(jì)裝置�,包括 桌面圖像顯示模塊,用于基于堡壘機(jī)通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器至所述本地設(shè)備的遠(yuǎn)程桌面鏈接��,顯示所述遠(yuǎn)程服務(wù)器的桌面圖像����;文件傳輸協(xié)議FTP文件上傳模塊,用于當(dāng)要向所述遠(yuǎn)程服務(wù)器上傳文件時(shí)�,通過(guò)FTP將要上傳的文件上傳到所述堡壘機(jī)進(jìn)行審計(jì)����,其中���,所述堡壘機(jī)對(duì)所述文件的審計(jì)通過(guò)時(shí)�,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存�����,對(duì)所述文件的審計(jì)不通過(guò)時(shí)����,將所述文件丟棄。本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全審計(jì)系統(tǒng)�����,包括本地設(shè)備��,用于基于堡壘機(jī)通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器至所述本地設(shè)備的遠(yuǎn)程桌面鏈接��,顯示所述遠(yuǎn)程服務(wù)器的桌面圖像����,當(dāng)要向所述遠(yuǎn)程服務(wù)器上傳文件時(shí)����,通過(guò)文件傳輸協(xié)議FTP將要上傳的文件上傳到所述堡壘機(jī)進(jìn)行審計(jì)��;堡壘機(jī)���,用于通過(guò)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接���,接收所述本地設(shè)備通過(guò)FTP上傳的文件,根據(jù)預(yù)先保存的審計(jì)策略�����,對(duì)接收到的所述文件進(jìn)行審計(jì)����,并在確定對(duì)所述文件的審計(jì)通過(guò)時(shí)��,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存�����,在確定對(duì)所述文件的審計(jì)不通過(guò)時(shí)����,將所述文件丟棄����;遠(yuǎn)程服務(wù)器���,用于基于堡壘機(jī)通過(guò)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器至所述本地設(shè)備的遠(yuǎn)程桌面鏈接�����,將桌面圖像通過(guò)所述堡壘機(jī)發(fā)送給所述本地設(shè)備顯示�����,保存所述堡壘機(jī)發(fā)送的文件�。本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)安全審計(jì)方法��、裝置及系統(tǒng)����,該方法堡壘機(jī)通過(guò)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接的同吋,接收本地設(shè)備通過(guò)文件傳輸協(xié)議(File Transfer Protocol, FTP)上傳的文件,并根據(jù)保存的審計(jì)策略對(duì)該文件進(jìn)行審計(jì)��,當(dāng)審計(jì)通過(guò)時(shí),將該文件發(fā)送給遠(yuǎn)程服務(wù)器保存�,當(dāng)審計(jì)不通過(guò)時(shí),丟棄該文件����。在上述方法中,通過(guò)VNC協(xié)議實(shí)現(xiàn)遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接�,同時(shí),通過(guò)FTP實(shí)現(xiàn)本地設(shè)備與遠(yuǎn)程服務(wù)器之間的文件傳輸����,因此堡壘機(jī)接收到本地設(shè)備通過(guò)FTP上傳的文件吋,可以對(duì)該文件進(jìn)行審計(jì)����,井根據(jù)審計(jì)結(jié)果對(duì)該文件進(jìn)行控制,提高了遠(yuǎn)程服務(wù)器的安全性�。
圖I為現(xiàn)有技術(shù)中本地設(shè)備訪問(wèn)遠(yuǎn)程服務(wù)器的系統(tǒng)結(jié)構(gòu)示意圖;圖2為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)安全審計(jì)過(guò)程�����;圖3為本發(fā)明實(shí)施例提供的另ー種網(wǎng)絡(luò)安全審計(jì)過(guò)程���;圖4為本發(fā)明實(shí)施例提供的將FTP客戶端的界面圖像嵌入在遠(yuǎn)程服務(wù)器的桌面圖像中顯示的示意圖;圖5為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)安全審計(jì)裝置�����;圖6為本發(fā)明實(shí)施例提供的另ー種網(wǎng)絡(luò)安全審計(jì)裝置;圖7為本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全審計(jì)系統(tǒng)��。
具體實(shí)施例方式由于VNC協(xié)議本身并不支持文件的傳輸��,因此通過(guò)堡壘機(jī)進(jìn)行網(wǎng)絡(luò)安全審計(jì)時(shí)����,無(wú)法實(shí)現(xiàn)本地設(shè)備與遠(yuǎn)程服務(wù)器之間的文件傳輸和審計(jì)。本發(fā)明實(shí)施例在通過(guò)VNC協(xié)議實(shí)現(xiàn)遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接的同時(shí)���,通過(guò)FTP實(shí)現(xiàn)本地設(shè)備與遠(yuǎn)程服務(wù)器之間的文件傳輸�����,因此堡壘機(jī)可以對(duì)本地設(shè)備上傳的文件進(jìn)行審計(jì)���,井根據(jù)審計(jì)結(jié)果對(duì)該文件進(jìn)行控制,提高了遠(yuǎn)程服務(wù)器的安全性���。
下面結(jié)合說(shuō)明書附圖�,對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述。圖2為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)安全審計(jì)過(guò)程���,具體包括以下步驟S201 :堡壘機(jī)通過(guò)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接����。在本發(fā)明實(shí)施例中�,堡壘機(jī)仍然通過(guò)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接,遠(yuǎn)程服務(wù)器通過(guò)VNC協(xié)議將當(dāng)前顯示的桌面圖像發(fā)送給本地設(shè)備進(jìn)行顯示����,具體的,遠(yuǎn)程服務(wù)器先將通過(guò)VNC協(xié)議將桌面圖像發(fā)送給堡壘機(jī)��,由堡壘機(jī)將該桌面圖像轉(zhuǎn)發(fā)給本地設(shè)備顯示�����。S202 :堡壘機(jī)接收本地設(shè)備通過(guò)FTP上傳的文件���。由于堡壘機(jī)是部署在本地設(shè)備與遠(yuǎn)程服務(wù)器之間的���,具體部署在該遠(yuǎn)程服務(wù)器所在的局域網(wǎng)中,因此本地設(shè)備與與遠(yuǎn)程服務(wù)器進(jìn)行的所有信息交互都要通過(guò)中間的堡壘機(jī)進(jìn)行轉(zhuǎn)發(fā)�����,從而���,當(dāng)本地設(shè)備要向遠(yuǎn)程服務(wù)器上傳文件時(shí)��,上傳的該文件也要先發(fā)送到堡壘機(jī)轉(zhuǎn)���。在本發(fā)明實(shí)施例中,本地設(shè)備在上傳文件時(shí)���,是通過(guò)FTP進(jìn)行上傳的�����。S203 :根據(jù)預(yù)先保存的審計(jì)策略�����,對(duì)接收到的該文件進(jìn)行審計(jì)����。由于FTP不會(huì)對(duì)本地設(shè)備上傳的文件進(jìn)行加密���,因此堡壘機(jī)接收到的本地設(shè)備通過(guò)FTP上傳的文件實(shí)際上就是本地設(shè)備所要上傳的原始文件�,因此,堡壘機(jī)可以根據(jù)預(yù)先保存的審計(jì)策略�,對(duì)接收到的該文件進(jìn)行審計(jì)。其中����,堡壘機(jī)中預(yù)先保存的審計(jì)策略可以根據(jù)實(shí)際應(yīng)用的需要進(jìn)行配置。S204 :判斷是否對(duì)該文件審計(jì)通過(guò)��,若是���,則執(zhí)行步驟S205�,否則執(zhí)行步驟S206�。S205 :堡壘機(jī)將該文件發(fā)送給遠(yuǎn)程服務(wù)器保存。當(dāng)堡壘機(jī)根據(jù)預(yù)先保存的審計(jì)策略�,確定對(duì)本地設(shè)備上傳的該文件的審計(jì)通過(guò)吋,說(shuō)明該文件對(duì)于遠(yuǎn)程服務(wù)器而言是安全的��,因此放行該文件�,將該文件發(fā)送給遠(yuǎn)程服務(wù)器保存。具體的���,堡壘機(jī)將文件發(fā)送給遠(yuǎn)程服務(wù)器保存時(shí)�����,可以通過(guò)服務(wù)器信息塊(ServerMessage Block, SMB)協(xié)議將該文件發(fā)送給遠(yuǎn)程服務(wù)器保存�。另外,堡壘機(jī)在將該文件發(fā)送給遠(yuǎn)程服務(wù)器保存的同時(shí)�����,還可以記錄對(duì)該文件進(jìn)行審計(jì)的日志��,向本地設(shè)備返回文件上傳成功信息���。S206 :堡壘機(jī)將該文件丟棄。當(dāng)堡壘機(jī)根據(jù)預(yù)先保存的審計(jì)策略��,確定對(duì)本地設(shè)備上傳的該文件的審計(jì)不通過(guò)吋��,說(shuō)明該文件對(duì)于遠(yuǎn)程服務(wù)器而言存在安全性風(fēng)險(xiǎn)����,因此直接將該文件丟棄。另外��,堡壘機(jī)在確定對(duì)該文件的審計(jì)不通過(guò)時(shí)���,也可以記錄對(duì)該文件進(jìn)行審計(jì)的日志��,并向本地設(shè)備返回文件上傳失敗信息���,返回的文件上傳失敗信息中攜帯本次上傳失敗的原因�����。上述方法在通過(guò)VNC協(xié)議實(shí)現(xiàn)遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面圖像鏈接的同吋��,通過(guò)FTP實(shí)現(xiàn)本地設(shè)備的文件上傳����,堡壘機(jī)接收到本地設(shè)備通過(guò)FTP上傳的文件后���,就可以對(duì)上傳的該文件進(jìn)行審計(jì)�,并在審計(jì)通過(guò)時(shí)��,將該文件發(fā)送到遠(yuǎn)程服務(wù)器保存�,審計(jì)不通過(guò)時(shí)丟棄該文件,從而可以保證遠(yuǎn)程服務(wù)器中保存的文件是安全的�����,提高了遠(yuǎn)程服務(wù)器的安全性。另外�����,雖然現(xiàn)有技術(shù)中也有通過(guò)遠(yuǎn)程顯示協(xié)議(Remote Display Protocol, RDP)同時(shí)實(shí)現(xiàn)遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接�����,以及在本地設(shè)備與遠(yuǎn)程服務(wù)器之間傳輸文件的方法��,但是通過(guò)RDP上傳文件時(shí)���,RDP會(huì)對(duì)傳輸?shù)奈募M(jìn)行加密,因此通過(guò)RDP協(xié)議堡壘機(jī)也同樣不能對(duì)本地設(shè)備上傳到遠(yuǎn)程服務(wù)器的文件進(jìn)行審計(jì)和控制��。而采用上述圖2 所示的方法�,由于FTP不會(huì)對(duì)本地設(shè)備上傳的文件進(jìn)行加密,因此堡壘機(jī)接收到本地設(shè)備通過(guò)FTP上傳的文件后��,可以直接對(duì)該文件進(jìn)行審計(jì)����,提高了遠(yuǎn)程服務(wù)器的安全性。在本發(fā)明實(shí)施例中�����,堡壘機(jī)在接收本地設(shè)備通過(guò)FTP上傳的文件時(shí),可以針對(duì)該本地設(shè)備創(chuàng)建一個(gè)對(duì)應(yīng)的文件目錄���,將接收到的該本地設(shè)備上傳的文件均保存在創(chuàng)建的該文件目錄下���。在對(duì)本地設(shè)備上傳的文件進(jìn)行審計(jì)時(shí),則可以對(duì)該文件目錄下的文件進(jìn)行審計(jì)�。相應(yīng)的,堡壘機(jī)如果對(duì)本地設(shè)備上傳的文件審計(jì)通過(guò)����,則可以將該文件目錄掛載到遠(yuǎn)程服務(wù)器上,以實(shí)現(xiàn)將該文件發(fā)送給遠(yuǎn)程服務(wù)器保存���。進(jìn)ー步的��,在圖2所示的步驟S203中�����,堡壘機(jī)根據(jù)預(yù)先保存的審計(jì)策略���,對(duì)接收到的文件進(jìn)行審計(jì)的方法具體可以為堡壘機(jī)根據(jù)預(yù)先保存的最大數(shù)據(jù)量��,判斷接收到的該文件的數(shù)據(jù)量是否超過(guò)該最大數(shù)據(jù)量��,若是����,則確定對(duì)該文件的審計(jì)不通過(guò)���,否則�,確定對(duì)該文件的審計(jì)通過(guò)�。其中,該最大數(shù)據(jù)量可以根據(jù)需要進(jìn)行設(shè)定��,例如設(shè)定為10M�����,則當(dāng)本地設(shè)備上傳的文件的數(shù)據(jù)量超過(guò)IOM時(shí)�����,堡壘機(jī)丟棄該文件���?����;蛘?���,步驟S203中的審計(jì)方法也可以為堡壘機(jī)根據(jù)預(yù)先保存的指定文件類型���,判斷接收到的該文件的文件類型是否為該指定文件類型�����,若是�,則確定對(duì)該文件的審計(jì)不通過(guò)��,否則��,確定對(duì)該文件的審計(jì)通過(guò)����。其中,該指定文件類型也可以根據(jù)需要進(jìn)行設(shè)定�,例如設(shè)定為可執(zhí)行文件類型(.exe類型)�����,則當(dāng)本地設(shè)備上傳的文件的文件類型為可執(zhí)行文件類型時(shí)���,堡壘機(jī)丟棄該文件。當(dāng)然��,堡魚機(jī)也可以通過(guò)其他審計(jì)策略審計(jì)本地設(shè)備上傳的文件,例如判斷本地設(shè)備當(dāng)前坊問(wèn)的遠(yuǎn)程服務(wù)器是否為可上傳文件的服務(wù)器����,若是,則確定對(duì)該文件的審計(jì)通過(guò)����,否則確定對(duì)該文件的審計(jì)不通過(guò)。在實(shí)際應(yīng)用中���,可以結(jié)合上述審計(jì)方法中的一種或幾種對(duì)本地設(shè)備上傳的文件進(jìn)行審計(jì)���,這里就不再一一贅述���。相應(yīng)的��,本發(fā)明實(shí)施例還提供另ー種網(wǎng)絡(luò)安全審計(jì)的方法�����,如圖3所示�����。圖3為本發(fā)明實(shí)施例提供的另ー種網(wǎng)絡(luò)安全審計(jì)的過(guò)程�,具體包括以下步驟S301 :本地設(shè)備基于堡壘機(jī)通過(guò)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接,顯示遠(yuǎn)程服務(wù)器的桌面圖像���。其中��,堡壘機(jī)通過(guò)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接��,接收遠(yuǎn)程服務(wù)器通過(guò)VNC協(xié)議發(fā)送的桌面圖像���,并將該桌面圖像轉(zhuǎn)發(fā)給本地設(shè)備顯示。
S302 :當(dāng)要向遠(yuǎn)程服務(wù)器上傳文件時(shí)���,通過(guò)FTP將要上傳的文件上傳到堡壘機(jī)進(jìn)行審計(jì)����。當(dāng)本地設(shè)備接收到用戶發(fā)出的上傳文件指令時(shí),則通過(guò)FTP將要上傳的文件上傳到堡壘機(jī)進(jìn)行審計(jì)���。相應(yīng)的�,由于通過(guò)FTP上傳文件時(shí)����,F(xiàn)TP不會(huì)對(duì)上傳的文件加密,因此堡壘機(jī)接收到本地設(shè)備通過(guò)FTP上傳的文件后��,則可以通過(guò)如圖2所示的步驟S203對(duì)該文件進(jìn)行審計(jì)�����,并在審計(jì)通過(guò)時(shí)��,將該文件發(fā)送給遠(yuǎn)程服務(wù)器保存�����,審計(jì)不通過(guò)時(shí)���,將該文件丟棄�����。具體的���,本地設(shè)備顯示遠(yuǎn)程服務(wù)器的桌面圖像時(shí),由于該桌面圖像是遠(yuǎn)程服務(wù)器通過(guò)VNC協(xié)議發(fā)送的��,因此本地設(shè)備可以通過(guò)瀏覽器創(chuàng)建虛擬桌面���,并在該虛擬桌面中添 加第一窗體�,通過(guò)該第一窗體顯示遠(yuǎn)程服務(wù)器的桌面圖像���。相應(yīng)的���,本地設(shè)備在通過(guò)FTP上傳文件吋,也要在虛擬桌面中添加第二窗體�,通過(guò)該第二窗體建立與堡壘機(jī)中FTP服務(wù)器的連接,基于建立的與FTP服務(wù)器的連接將要上傳的文件上傳到堡壘機(jī)進(jìn)行審計(jì)���,并顯示FTP客戶端的界面圖像��。其中���,第一窗器是VNC客戶端插件�����,用于顯示遠(yuǎn)程服務(wù)器的桌面圖像����,第二窗體是FTP客戶端插件�,用于建立與堡壘機(jī)中FTP服務(wù)器的連接,并顯示FTP客戶端的界面圖像���。也即�����,本地設(shè)備啟動(dòng)自身的瀏覽器���,通過(guò)瀏覽器運(yùn)行的VNC客戶端插件,顯示遠(yuǎn)程服務(wù)器的桌面圖像����。當(dāng)本地設(shè)備要上傳文件時(shí),通過(guò)瀏覽器運(yùn)行的FTP客戶端插件����,將要上傳的文件通過(guò)FTP上傳到堡壘機(jī)進(jìn)行審計(jì)��。其中����,本地設(shè)備的VNC客戶端插件是預(yù)先在從堡壘機(jī)中下載并安裝的��。上述VNC客戶端插件和FTP客戶端插件都是瀏覽器插件��,本地設(shè)備啟動(dòng)瀏覽器后����,可以調(diào)用相應(yīng)的插件完成相應(yīng)的功能���。本發(fā)明實(shí)施例中為了便于使用本地設(shè)備的用戶的操作��,本地設(shè)備可以在顯示遠(yuǎn)程服務(wù)器的桌面圖像的同時(shí)����,將FTP客戶端的界面圖像嵌入在遠(yuǎn)程服務(wù)器的桌面圖像中顯示��,也即將FTP客戶端的界面圖像作為ー個(gè)窗ロ圖像顯示在該桌面圖像中����。具體方法為本地設(shè)備通過(guò)瀏覽器運(yùn)行的Applet程序的JDesktopPane容器中包含的第一 JInernalFrame和第二 JInternalFrame�����,將FTP客戶端的界面圖像嵌入在遠(yuǎn)程服務(wù)器的桌面圖像中顯示�,其中����,第一 JInernalFrame為用于顯示該桌面圖像的第一窗體,第二 JInternalFrame為用于顯示FTP客戶端的界面圖像的第二窗體。也即��,本發(fā)明實(shí)施例中實(shí)際上是將VNC客戶端插件和FTP客戶端插件整合成了一個(gè)瀏覽器插件�,并通過(guò)瀏覽器運(yùn)行的Applet程序的JDesktopPane容器同時(shí)管理兩個(gè)窗體(第一 JInernalFrame和第二 JInternalFrame),來(lái)實(shí)現(xiàn)同時(shí)顯示遠(yuǎn)程服務(wù)器的桌面圖像和FTP客戶端的界面圖像,如圖4所示�。圖4為本發(fā)明實(shí)施例提供的將FTP客戶端的界面圖像嵌入在遠(yuǎn)程服務(wù)器的桌面圖像中顯示的示意圖,在圖4中��,本地設(shè)備將遠(yuǎn)程服務(wù)器的桌面圖像作為ー個(gè)在背景顯示的圖像���,將FTP客戶端的界面圖像作為在前景顯示的ー個(gè)窗ロ圖像����,可以便于使用該本地設(shè)備的用戶通過(guò)FTP客戶端的界面圖像進(jìn)行文件的上傳操作�。另外,本發(fā)明實(shí)施例提供的上述網(wǎng)絡(luò)安全審計(jì)方法中,由于本地設(shè)備上傳文件時(shí)是通過(guò)FTP上傳的���,與堡壘機(jī)建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接時(shí)所采用的VNC協(xié)議并不相關(guān)�,因此堡壘機(jī)也可以通過(guò)RDP建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接��,也即遠(yuǎn)程服務(wù)器將桌面圖像通過(guò)堡壘機(jī)發(fā)送給本地設(shè)備顯示吋�����,也可以通過(guò)RDP進(jìn)行發(fā)送��。圖5為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)安全審計(jì)裝置����,具體包括遠(yuǎn)程桌面鏈接建立模塊501���,用于通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接�����;FTP文件接收模塊502����,用于接收所述本地設(shè)備通過(guò)FTP上傳的文件;文件審計(jì)模塊503���,用于根據(jù)預(yù)先保存的審計(jì)策略���,對(duì)接收到的所述文件進(jìn)行審計(jì);文件控制模塊504��,用于在所述文件審計(jì)模塊503確定對(duì)所述文件的審計(jì)通過(guò)時(shí)�����, 將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存�����,在所述文件審計(jì)模塊503確定對(duì)所述文件的審計(jì)不通過(guò)時(shí)�,將所述文件丟棄。所述文件控制模塊503具體用于��,通過(guò)服務(wù)器信息塊SMB協(xié)議將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存�。具體的,上述如圖5所示的裝置可以位于堡壘機(jī)中�����。圖6為本發(fā)明實(shí)施例提供的另ー種網(wǎng)絡(luò)安全審計(jì)裝置,具體包括桌面圖像顯示模塊601�,用于基于堡壘機(jī)通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器至所述本地設(shè)備的遠(yuǎn)程桌面鏈接,顯示所述遠(yuǎn)程服務(wù)器的桌面圖像����;FTP文件上傳模塊602,用于當(dāng)要向所述遠(yuǎn)程服務(wù)器上傳文件吋��,通過(guò)FTP將要上傳的文件上傳到所述堡壘機(jī)進(jìn)行審計(jì)�,其中,所述堡壘機(jī)對(duì)所述文件的審計(jì)通過(guò)時(shí)�����,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存����,對(duì)所述文件的審計(jì)不通過(guò)時(shí)�����,將所述文件丟棄�����。所述桌面圖像顯示模塊601具體用于,通過(guò)瀏覽器創(chuàng)建虛擬桌面���,并在所述虛擬桌面中添加第一窗體����,通過(guò)所述第一窗體顯示所述遠(yuǎn)程服務(wù)器的桌面圖像�;所述FTP文件上傳模塊602具體用于,在所述虛擬桌面中添加第二窗體��,通過(guò)所述第二窗體建立與所述堡壘機(jī)中FTP服務(wù)器的連接��,基于建立的與所述FTP服務(wù)器的連接將要上傳的文件上傳到所述堡壘機(jī)進(jìn)行審計(jì)�,并顯示FTP客戶端的界面圖像。所述FTP文件上傳模塊602還用于����,將所述FTP客戶端的界面圖像嵌入在所述遠(yuǎn)程服務(wù)器的桌面圖像中顯示。具體的��,上述如圖6所示的裝置可以位于本地設(shè)備中�����。圖7為本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全審計(jì)系統(tǒng)�����,具體包括本地設(shè)備701,用于基于堡壘機(jī)702通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器703至所述本地設(shè)備701的遠(yuǎn)程桌面鏈接��,顯示所述遠(yuǎn)程服務(wù)器703的桌面圖像��,當(dāng)要向所述遠(yuǎn)程服務(wù)器703上傳文件吋���,通過(guò)文件傳輸協(xié)議FTP將要上傳的文件上傳到所述堡壘機(jī)702進(jìn)行審計(jì)�;堡壘機(jī)702�,用于通過(guò)VNC協(xié)議建立遠(yuǎn)程服務(wù)器703至本地設(shè)備701的遠(yuǎn)程桌面鏈接,接收所述本地設(shè)備701通過(guò)FTP上傳的文件��,根據(jù)預(yù)先保存的審計(jì)策略�,對(duì)接收到的所述文件進(jìn)行審計(jì),并在確定對(duì)所述文件的審計(jì)通過(guò)時(shí)�,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器703保存���,在確定對(duì)所述文件的審計(jì)不通過(guò)時(shí)�,將所述文件丟棄���;遠(yuǎn)程服務(wù)器703��,用于基于堡壘機(jī)702通過(guò)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器703至所述本地設(shè)備701的遠(yuǎn)程桌面鏈接�,將桌面圖像通過(guò)所述堡壘機(jī)702發(fā)送給所述本地設(shè)備701顯示,保存所述堡壘機(jī)702發(fā)送的文件��。在如圖7所示的系統(tǒng)中����,堡壘機(jī)702通過(guò)VNC協(xié)議建立遠(yuǎn)程服務(wù)器703至本地設(shè)備701的遠(yuǎn)程桌面鏈接,其中��,堡壘機(jī)702與遠(yuǎn)程服務(wù)器703建立遠(yuǎn)程桌面鏈接吋����,除了可以通過(guò)VNC協(xié)議建立之外,也可以通過(guò)RDP協(xié)議建立����。另ー方面,本地設(shè)備701通過(guò)FTP將文件上傳到堡壘機(jī)702����,堡壘機(jī)702對(duì)該文件進(jìn)行審計(jì)通過(guò)后,再通過(guò)SMB協(xié)議將該文件發(fā)送給遠(yuǎn)程服務(wù)器703保存����。本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)安全審計(jì)方法��、裝置及系統(tǒng)��,該方法堡壘機(jī)通過(guò)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接的同時(shí)�,接收本地設(shè)備通過(guò)FTP上傳的文件����,并根據(jù)保存的審計(jì)策略對(duì)該文件進(jìn)行審計(jì),當(dāng)審計(jì)通過(guò)時(shí)�����,將該文件發(fā)送給遠(yuǎn)程服務(wù)器保存��,當(dāng)審計(jì)不通過(guò)時(shí)���,丟棄該文件��。在上述方法中�,通過(guò)VNC協(xié)議實(shí)現(xiàn)遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接����,同時(shí)���,通過(guò)FTP實(shí)現(xiàn)本地設(shè)備與遠(yuǎn)程服務(wù)器之間的文件傳輸��,因此堡 壘機(jī)接收到本地設(shè)備通過(guò)FTP上傳的文件時(shí)�,可以對(duì)該文件進(jìn)行審計(jì),井根據(jù)審計(jì)結(jié)果對(duì)該文件進(jìn)行控制��,提高了遠(yuǎn)程服務(wù)器的安全性�����。顯然����,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣���,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)���,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1.一種網(wǎng)絡(luò)安全審計(jì)方法���,其特征在于�����,包括 堡壘機(jī)通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接�����;并 接收所述本地設(shè)備通過(guò)文件傳輸協(xié)議FTP上傳的文件���;以及 根據(jù)預(yù)先保存的審計(jì)策略����,對(duì)接收到的所述文件進(jìn)行審計(jì)��; 所述堡壘機(jī)在確定對(duì)所述文件的審計(jì)通過(guò)時(shí)�����,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存��,在確定對(duì)所述文件的審計(jì)不通過(guò)時(shí)�����,將所述文件丟棄����。
2.如權(quán)利要求I所述的方法,其特征在于���,所述方法還包括 當(dāng)所述堡壘機(jī)通過(guò)VNC協(xié)議建立所述遠(yuǎn)程服務(wù)器至所述本地設(shè)備的遠(yuǎn)程桌面鏈接時(shí)���,所述本地設(shè)備通過(guò)瀏覽器創(chuàng)建虛擬桌面,并在所述虛擬桌面中添加第一窗體和第二窗體��,其中���,所述第一窗體用于顯示所述遠(yuǎn)程服務(wù)器的桌面圖像�,所述第二窗體用于建立與所述堡壘機(jī)中FTP服務(wù)器的連接��,并顯示FTP客戶端的界面圖像��。
3.如權(quán)利要求I所述的方法����,其特征在于,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存�,具體包括 所述堡壘機(jī)通過(guò)服務(wù)器信息塊SMB協(xié)議將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存。
4.一種網(wǎng)絡(luò)安全審計(jì)方法���,其特征在于����,包括 本地設(shè)備基于堡壘機(jī)通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器至所述本地設(shè)備的遠(yuǎn)程桌面鏈接,顯示所述遠(yuǎn)程服務(wù)器的桌面圖像���;并 當(dāng)要向所述遠(yuǎn)程服務(wù)器上傳文件時(shí)�����,通過(guò)文件傳輸協(xié)議FTP將要上傳的文件上傳到所述堡壘機(jī)進(jìn)行審計(jì)���,其中,所述堡壘機(jī)對(duì)所述文件的審計(jì)通過(guò)時(shí)�����,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存�,對(duì)所述文件的審計(jì)不通過(guò)時(shí),將所述文件丟棄����。
5.如權(quán)利要求4所述的方法,其特征在于�����,顯示所述遠(yuǎn)程服務(wù)器的桌面圖像,具體包括 所述本地設(shè)備通過(guò)瀏覽器創(chuàng)建虛擬桌面����,并在所述虛擬桌面中添加第一窗體�����,通過(guò)所述第一窗體顯示所述遠(yuǎn)程服務(wù)器的桌面圖像��; 所述本地設(shè)備通過(guò)FTP將要上傳的文件上傳到所述堡壘機(jī)進(jìn)行審計(jì)����,具體包括 所述本地設(shè)備在所述虛擬桌面中添加第二窗體,通過(guò)所述第二窗體建立與所述堡壘機(jī)中FTP服務(wù)器的連接����,基于建立的與所述FTP服務(wù)器的連接將要上傳的文件上傳到所述堡壘機(jī)進(jìn)行審計(jì),并顯示FTP客戶端的界面圖像���。
6.如權(quán)利要求5所述的方法�,其特征在于�����,所述方法還包括 所述本地設(shè)備將所述FTP客戶端的界面圖像嵌入在所述遠(yuǎn)程服務(wù)器的桌面圖像中顯/Jn o
7.一種網(wǎng)絡(luò)安全審計(jì)裝置,其特征在于���,包括 遠(yuǎn)程桌面鏈接建立模塊�,用于通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接�; 文件傳輸協(xié)議FTP文件接收模塊,用于接收所述本地設(shè)備通過(guò)FTP上傳的文件�; 文件審計(jì)模塊,用于根據(jù)預(yù)先保存的審計(jì)策略���,對(duì)接收到的所述文件進(jìn)行審計(jì)���; 文件控制模塊,用于在所述文件審計(jì)模塊確定對(duì)所述文件的審計(jì)通過(guò)時(shí)���,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存��,在所述文件審計(jì)模塊確定對(duì)所述文件的審計(jì)不通過(guò)時(shí)�,將所述文件丟棄�����。
8.如權(quán)利要求7所述的裝置,其特征在于�����,所述文件控制模塊具體用于���,通過(guò)服務(wù)器信息塊SMB協(xié)議將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存���。
9.一種網(wǎng)絡(luò)安全審計(jì)裝置�,其特征在于,包括 桌面圖像顯示模塊�����,用于基于堡壘機(jī)通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器至所述本地設(shè)備的遠(yuǎn)程桌面鏈接�����,顯示所述遠(yuǎn)程服務(wù)器的桌面圖像�; 文件傳輸協(xié)議FTP文件上傳模塊,用于當(dāng)要向所述遠(yuǎn)程服務(wù)器上傳文件時(shí)����,通過(guò)FTP將要上傳的文件上傳到所述堡壘機(jī)進(jìn)行審計(jì)��,其中����,所述堡壘機(jī)對(duì)所述文件的審計(jì)通過(guò)時(shí)�,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存,對(duì)所述文件的審計(jì)不通過(guò)時(shí)�����,將所述文件丟棄��。
10.如權(quán)利要求9所述的裝置�,其特征在于,所述桌面圖像顯示模塊具體用于���,通過(guò)瀏覽器創(chuàng)建虛擬桌面�����,并在所述虛擬桌面中添加第一窗體���,通過(guò)所述第一窗體顯示所述遠(yuǎn)程服務(wù)器的桌面圖像; 所述FTP文件上傳模塊具體用于���,在所述虛擬桌面中添加第二窗體����,通過(guò)所述第二窗體建立與所述堡壘機(jī)中FTP服務(wù)器的連接,基于建立的與所述FTP服務(wù)器的連接將要上傳的文件上傳到所述堡壘機(jī)進(jìn)行審計(jì)�,并顯示FTP客戶端的界面圖像。
11.如權(quán)利要求10所述的裝置�,其特征在于,所述FTP文件上傳模塊還用于��,將所述FTP客戶端的界面圖像嵌入在所述遠(yuǎn)程服務(wù)器的桌面圖像中顯示���。
12.—種網(wǎng)絡(luò)安全審計(jì)系統(tǒng)�����,其特征在于,包括 本地設(shè)備����,用于基于堡壘機(jī)通過(guò)虛擬網(wǎng)絡(luò)計(jì)算機(jī)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器至所述本地設(shè)備的遠(yuǎn)程桌面鏈接,顯示所述遠(yuǎn)程服務(wù)器的桌面圖像���,當(dāng)要向所述遠(yuǎn)程服務(wù)器上傳文件時(shí)���,通過(guò)文件傳輸協(xié)議FTP將要上傳的文件上傳到所述堡壘機(jī)進(jìn)行審計(jì)�����; 堡壘機(jī)��,用于通過(guò)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接���,接收所述本地設(shè)備通過(guò)FTP上傳的文件,根據(jù)預(yù)先保存的審計(jì)策略�,對(duì)接收到的所述文件進(jìn)行審計(jì),并在確定對(duì)所述文件的審計(jì)通過(guò)時(shí)��,將所述文件發(fā)送給所述遠(yuǎn)程服務(wù)器保存��,在確定對(duì)所述文件的審計(jì)不通過(guò)時(shí)�����,將所述文件丟棄�����; 遠(yuǎn)程服務(wù)器,用于基于堡壘機(jī)通過(guò)VNC協(xié)議建立的遠(yuǎn)程服務(wù)器至所述本地設(shè)備的遠(yuǎn)程桌面鏈接�,將桌面圖像通過(guò)所述堡壘機(jī)發(fā)送給所述本地設(shè)備顯示,保存所述堡壘機(jī)發(fā)送的文件�����。
全文摘要
本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)安全審計(jì)方法���、裝置及系統(tǒng)���,用以解決現(xiàn)有技術(shù)中遠(yuǎn)程服務(wù)器的安全性較低的問(wèn)題。該方法堡壘機(jī)通過(guò)VNC協(xié)議建立遠(yuǎn)程服務(wù)器至本地設(shè)備的遠(yuǎn)程桌面鏈接的同時(shí)��,接收本地設(shè)備通過(guò)FTP上傳的文件����,并根據(jù)保存的審計(jì)策略對(duì)該文件進(jìn)行審計(jì),當(dāng)審計(jì)通過(guò)時(shí)��,將該文件發(fā)送給遠(yuǎn)程服務(wù)器保存���,當(dāng)審計(jì)不通過(guò)時(shí),丟棄該文件�����。上述方法中通過(guò)FTP實(shí)現(xiàn)本地設(shè)備與遠(yuǎn)程服務(wù)器之間的文件傳輸,因此堡壘機(jī)接收到本地設(shè)備通過(guò)FTP上傳的文件時(shí)��,可以對(duì)該文件進(jìn)行審計(jì)�����,并根據(jù)審計(jì)結(jié)果對(duì)該文件進(jìn)行控制���,提高了遠(yuǎn)程服務(wù)器的安全性�。
文檔編號(hào)H04L12/46GK102821161SQ20121030583
公開(kāi)日2012年12月12日 申請(qǐng)日期2012年8月24日 優(yōu)先權(quán)日2012年8月24日
發(fā)明者王偉 申請(qǐng)人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司