一种基于堡垒机的文件传输审计系统及方法
申请号 : CN.7
文献号 : CNA
本发明涉及文件传输审计技术领域，特别涉及一种基于堡垒机的文件传输审计系统及方法。本发明通过桥模式建立本地设备和远程FTP服务器的网络连接，并分析用户从本地设备向远程服务器上传/下载的文件；堡垒机根据安全策略，分析检测文件名和文件内容，当文件内容正常时，用户可以继续执行上传/下载操作，当文件中包含恶意代码和程序时，禁止用户继续执行，并给出警告和提示。该方法中，堡垒机通过定制安全策略，从而审计运维用户在本地设备对远程FTP服务器进行的文件操作，提高了文件服务器的安全性。
1.一种基于堡垒机的文件传输审计系统，包括设置于本地设备与远程FTP服务器之间的堡垒机，其特征在于，所述堡垒机通过桥模式建立本地设备和远程FTP服务器的连接；所述的堡垒机由专用文件传输管理工具、协议解码模块、文件审计模块和文件统计模块构成：堡垒机的协议解码模块可以将经过专用文件传输管理工具的协议，通过协议解码技术，分析出用户对远程FTP服务器上传/下载的文件名；堡垒机的文件审计模块，根据堡垒机制定的安全策略，分析用户上传/下载的文件，允许符合安全策略的文件进行上传/下载操作，并禁止不符合安全策略、包含恶意程序和代码的文件操作；堡垒机的文件统计模块，用以记录用户执行的所有文件名和文件，包括符合安全策略和不符合安全策略的文件名和文件。2.一种基于堡垒机的文件传输审计方法，其方法是：堡垒机通过桥模式建立本地设备和远程FTP服务器的连接；根据堡垒机上制定的安全策略，对上传/下载的文件进行审计；对于符合安全策略的文件，堡垒机允许继续操作，对于不符合安全策略、包含恶意代码和程序的文件，堡垒机禁止用户继续执行，并给出警告和提示。3.根据权利要求2所述的一种基于堡垒机的文件传输审计方法，其特征在于：堡垒机通过协议代理的方式，建立本地设备与远程FTP服务器的连接，并且提供专用的文件传输管理工具，支持FTP、SFTP协议的访问管理。4.根据权利要求2所述的一种基于堡垒机的文件传输审计方法，其特征在于：堡垒机的管理系统提供远程FTP服务器的虚拟连接，用户在本地设备上通过浏览器访问堡垒机的管理系统即可实现对远程FTP服务器的运维管理。5.根据权利要求2所述的一种基于堡垒机的文件传输审计方法，其特征在于：所述方法具体包括以下步骤： A、堡垒机网口配置成桥接模式，部署于本地设备和远程FTP服务器的中间路径上；B、在本地设备，通过浏览器登录堡垒机的管理系统，添加远程FTP服务器的IP地址、端口、用户名、密码信息；C、堡垒机的管理系统通过协议代理的方式，创建已添加的远程FTP服务器的虚拟连接，运维用户通过专用文件传输管理工具连接远程FTP服务器，进行相关运维管理操作；D、用户登录专用文件传输管理工具后，已经建立了与运程FTP服务器的网络连接，当用户上传/下载文件时，向远程FTP服务器发送的网络数据包先发送到堡垒机的协议解码模块；E、协议解码模块收到用户的网络数据包后，通过专业的协议解码技术，对网络数据包进行分析解码，还原出用户上传/下载的文件，然后将文件发送给文件审计模块；F、文件审计模块收到用户上传/下载的文件后，根据堡垒机制定的安全策略，分析用户的操作行为；对于符合安全策略的文件，堡垒机允许继续上传/下载操作，发送给文件统计模块，该模块统计用户上传/下载的文件历史记录，并将该文件上传到远程FTP服务器或下载到本地设备，完成运维用户在本地设备执行的文件上传/下载操作； 对于不符合安全策略、包含恶意代码和程序的文件，堡垒机禁止继续向远程FTP服务器上传或向本地设备下载，只发送给文件统计模块，记录本次文件操作历史记录，同时，返回提示信息给本地设备的运维用户。
本发明涉及文件传输审计技术领域，特别涉及一种基于堡垒机的文件传输审计系统及方法。[0002]
堡垒机是一种大型数据中心中面向运维用户的运维安全审计产品，运维用户通过堡垒机的集中管理和授权管理功能，完成对大量设备账号的运维管理操作，同时，堡垒机能够审计运维用户的操作过程。传统的运维模式中，运维用户直接通过本地设备连接远程服务器，进行运维管理操作，整个操作过程不可见、不可控，存在很大风险；采用堡垒机来进行运维，堡垒机充当了中间代理的角色，运维用户在本地设备先通过与堡垒机连接，从而间接建立与远程服务器的连接，进行运维管理操作，并且，堡垒机可以完全记录运维用户的完整运维过程。[0003]
传统堡垒机采用旁路部署方式，如图1所示，要想规范只允许通过堡垒机来连接远程服务器进行运维管理操作，必须借助路由器和交换机的访问控制列表和端口转发来实现，一旦这些规则失效，远程服务器就处于危险状态。而且，传统堡垒机只能对服务器和网络设备进行运维管理，不能审计基于FTP/SFTP协议的文件服务器。[0004]
为了解决现有技术的问题，本发明提供了一种基于堡垒机的文件传输审计系统及方法，用以解决无法通过传统堡垒机对FTP服务器进行运维，并且不能审计上传/下载文件的问题。[0005]
本发明所采用的技术方案如下：一种基于堡垒机的文件传输审计系统，包括设置于本地设备与远程FTP服务器之间的堡垒机，其特征在于，所述堡垒机通过桥模式建立本地设备和远程FTP服务器的连接；所述的堡垒机由专用文件传输管理工具、协议解码模块、文件审计模块和文件统计模块构成：堡垒机的协议解码模块可以将经过专用文件传输管理工具的协议，通过协议解码技术，分析出用户对远程FTP服务器上传/下载的文件名；堡垒机的文件审计模块，根据堡垒机制定的安全策略，分析用户上传/下载的文件，允许符合安全策略的文件进行上传/下载操作，并禁止不符合安全策略、包含恶意程序和代码的文件操作；堡垒机的文件统计模块，用以记录用户执行的所有文件名和文件，包括符合安全策略和不符合安全策略的文件名和文件。[0006]
一种基于堡垒机的文件传输审计方法，其方法是：堡垒机通过桥模式建立本地设备和远程FTP服务器的连接；根据堡垒机上制定的安全策略，对上传/下载的文件进行审计；对于符合安全策略的文件，堡垒机允许继续操作，对于不符合安全策略、包含恶意代码和程序的文件，堡垒机禁止用户继续执行，并给出警告和提示。[0007]
堡垒机通过协议代理的方式，建立本地设备与远程FTP服务器的连接，并且提供专用的文件传输管理工具，支持FTP、SFTP协议的访问管理。[0008]
堡垒机的管理系统提供远程FTP服务器的虚拟连接，用户在本地设备上通过浏览器访问堡垒机的管理系统即可实现对远程FTP服务器的运维管理。[0009]
方法具体包括以下步骤：A、堡垒机网口配置成桥接模式，部署于本地设备和远程FTP服务器的中间路径上；B、在本地设备，通过浏览器登录堡垒机的管理系统，添加远程FTP服务器的IP地址、端口、用户名、密码信息；C、堡垒机的管理系统通过协议代理的方式，创建已添加的远程FTP服务器的虚拟连接，运维用户通过专用文件传输管理工具连接远程FTP服务器，进行相关运维管理操作；D、用户登录专用文件传输管理工具后，已经建立了与运程FTP服务器的网络连接，当用户上传/下载文件时，向远程FTP服务器发送的网络数据包先发送到堡垒机的协议解码模块；E、协议解码模块收到用户的网络数据包后，通过专业的协议解码技术，对网络数据包进行分析解码，还原出用户上传/下载的文件，然后将文件发送给文件审计模块；F、文件审计模块收到用户上传/下载的文件后，根据堡垒机制定的安全策略，分析用户的操作行为；对于符合安全策略的文件，堡垒机允许继续上传/下载操作，发送给文件统计模块，该模块统计用户上传/下载的文件历史记录，并将该文件上传到远程FTP服务器或下载到本地设备，完成运维用户在本地设备执行的文件上传/下载操作；对于不符合安全策略、包含恶意代码和程序的文件，堡垒机禁止继续向远程FTP服务器上传或向本地设备下载，只发送给文件统计模块，记录本次文件操作历史记录，同时，返回提示信息给本地设备的运维用户。[0010]
本发明通过桥模式部署于本地设备与远程FTP服务器之间，通过协议代理的方式建立本地设备和远程FTP服务器的网络连接，并且堡垒机提供专用的文件传输管理工具，支持FTP、SFTP协议的访问管理；运维用户在本地设备通过浏览器登录堡垒机的管理系统，建立与远程FTP服务器的连接，并借助堡垒机提供的专用文件传输管理工具，对远程FTP服务器进行运维管理操作；在运维管理操作的过程中，堡垒机的文件审计模块，通过协议解码技术，分析运维用户在本地设备上对远程FTP服务器上传/下载的文件，并根据堡垒机上制定的安全策略，对上传/下载的文件进行审计，对于符合安全策略的文件，堡垒机允许上传/下载操作，对于不符合安全策略、包含恶意代码和程序的文件，堡垒机禁止用户操作，并给出警告和提示；堡垒机的文件统计模块，还可以记录用户执行的所有文件名和文件，包括符合安全策略和不符合安全策略的文件名和文件，以列表的形式展现运维用户的操作记录。[0011]
本发明实施例提供的技术方案带来的有益效果是：通过定制安全策略，从而审计运维用户在本地设备对远程FTP服务器进行的文件操作，提高了文件服务器的安全性。[0012]
图1为传统堡垒机的部署结构图；图2为本发明中堡垒机桥模式部署及业务流程图。[0013]
为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。[0014]
实施例一一种基于堡垒机的文件传输审计系统，包括设置于本地设备与远程FTP服务器之间的堡垒机，其特征在于，所述堡垒机通过桥模式建立本地设备和远程FTP服务器的连接；所述的堡垒机由专用文件传输管理工具、协议解码模块、文件审计模块和文件统计模块构成：堡垒机的协议解码模块可以将经过专用文件传输管理工具的协议，通过协议解码技术，分析出用户对远程FTP服务器上传/下载的文件名；堡垒机的文件审计模块，根据堡垒机制定的安全策略，分析用户上传/下载的文件，允许符合安全策略的文件进行上传/下载操作，并禁止不符合安全策略、包含恶意程序和代码的文件操作；堡垒机的文件统计模块，用以记录用户执行的所有文件名和文件，包括符合安全策略和不符合安全策略的文件名和文件。[0015]
实施例二如附图2所示，本实施例的具体实施方式如下：1、堡垒机网口配置成桥接模式，部署于本地设备和远程FTP服务器的中间路径上；2、在本地设备，通过浏览器登录堡垒机的管理系统，添加远程FTP服务器的IP地址、端口、用户名、密码等信息；3、堡垒机的管理系统可以通过协议代理的方式，创建已添加的远程FTP服务器的虚拟连接，运维用户通过专用文件传输管理工具21即可连接远程FTP服务器，进行相关运维管理操作；4、用户登录专用文件传输管理工具后，已经建立了与运程FTP服务器的网络连接，当用户上传/下载文件时，向远程FTP服务器发送的网络数据包先发送到堡垒机的协议解码模块22；5、协议解码模块22收到用户的网络数据包后，通过专业的协议解码技术，对网络数据包进行分析解码，还原出用户上传/下载的文件，然后将文件发送给文件审计模块23；6、文件审计模块23收到用户上传/下载的文件后，根据堡垒机制定的安全策略，分析用户的操作行为。[0016]
对于符合安全策略的文件，堡垒机允许继续上传/下载操作，发送给文件统计模块24，该模块统计用户上传/下载的文件历史记录，并将该文件上传到远程FTP服务器或下载到本地设备，完成运维用户在本地设备执行的文件上传/下载操作。[0017]
对于不符合安全策略、包含恶意代码和程序的文件，堡垒机禁止继续向远程FTP服务器上传或向本地设备下载，只发送给文件统计模块24，记录本次文件操作历史记录，同时，返回提示信息给本地设备的运维用户。[0018]
至此，运维用户在本地设备，通过堡垒机对远程FTP服务器执行的一次数据库操作结束。[0019]
以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。5添加评论分享收藏感谢收起日，第三届中国创新挑战赛暨中关村第二届科技军民融合专题赛在北京中关村国家自主创新示范区展示中心启动，本次比赛由科技部火炬中心
『赢』领分布式KVM坐席协作新时代　　七月的北京，骄阳似火。日&4日，由中国科学技术协会指导，中国指挥与控制学会主办的『第六
日，由中国指挥与控制学会、中国国防工业企业协会联合主办的第四届中国（北京）军民融合技术装备博览会在北京国家会议中心拉开帷
在这炎炎夏日中，人们的目光都锁定在 恨铁不成钢的国足和白岩松的犀利吐槽除了中国足球队没去，其他基本上都去了中。然而有这样一个地方，
2018 年将是我国军民融合由初步融合迈向深度融合的关键之年，十九届中央军民融合发展委员会第一次全体会议通过了《军民融合发展战略纲要》
日，第三届中国创新挑战赛暨中关村第二届科技军民融合专题赛在北京中关村国家自主创新示范区展示中心启动，本次比...
国防信息化
经中央军委批准，我军新编修的首批军事训练大纲正式颁发。军委训练管理部领导近日在接受本报独家专访时说，颁布施行新大纲，...
内容提要：美军为摆脱网络中心战时代信息过载，知识缺乏的困境，于2006年正式提出知识中心战的概念，旨在实现信息的海量获取...
云计算产品
物联网产品
无人机产品
军工电子产品
微信公众号}