2. 专利查询
  3. 安全审计方法、装置、系统、电子设备及可读存储介质与流程

安全审计方法、装置、系统、电子设备及可读存储介质与流程

专利查询2023-11-18  108


1.本技术涉及计算机技术领域,特别是涉及一种安全审计方法、装置、系统、电子设备及可读存储介质。


背景技术:

2.随着互联网计算和金融行业的快速发展,用户对金融信息系统的安全性能如金融信息系统本身的信息安全,对系统用户行为的安全审计和安全监控等要求越来越高。具体来说,包括信息的机密性,也即信息不泄露给未授权者;信息的完整性,也即保护信息正确、完整和未被篡改;信息不能脱离载体而独立存在。从金融信息系统的角度来看,信息安全包括设备安全、数据安全、内容安全和行为安全四个方面。特别是用户在操作系统后产生一系列行为,这些信息在系统中都要留痕。
3.在整个金融信息系统中,安全审计会记录业务系统的账户资源操作,通过安全审计可保存所有操作记录,业务系统可以实现行为分析、安全分析、资源变更追踪以及合规性审计。安全审计收集微服务的api(application programming interface,应用程序接口)调用记录,如包括业务系统通过控制台触发的api调用记录,然后将操作记录以日志的形式保存。一般情况下,当业务系统通过控制台或者app(application,应用程序)发起操作调用后,安全审计会在一定时间内传送操作记录到业务系统指定的存储产品中。业务系统可以通过安全审计控制台或api来查看历史操作记录。
4.相关技术中,各个微服务单独记录操作日志信息,自行开发和维护自己产品的审计服务,导致各微服务线都需要投入大量人力去维护安全审计服务,并进行版本迭代和优化,导致维护成本很高。业务系统想要获取在微服务上的安全审计信息时,需要登录各个微服务线的控制台去获取,由于各微服务线单独定义自己的安全审计样式信息,导致业务系统获取到的安全审计信息内容不统一、格式不规范,还需要进一步的梳理和整合,用户体验较差。
5.鉴于此,如何实现各微服务的安全审计信息的统一收集和处理,降低各微服务线的运维维护成本,是所属领域技术人员需要解决的技术问题。


技术实现要素:

6.本技术提供了一种安全审计方法、装置、系统、电子设备及可读存储介质,实现统一收集并处理各微服务的安全审计信息,有效降低各微服务线的运维维护成本。
7.为解决上述技术问题,本发明实施例提供以下技术方案:
8.本发明实施例一方面提供了一种安全审计方法,应用于微服务网关,包括:
9.当接收业务服务端的操作请求信息,获取安全审计服务的配置参数信息;
10.从所述操作请求信息中,获取与所述配置参数信息相对应的安全审计信息;
11.向所述安全审计服务发送所述安全审计信息,以使所述安全审计服务按照预设数据格式存储所述安全审计信息;
12.其中,所述安全审计服务和业务服务的配置参数信息预先按照相应的配置规则进行配置;所述操作请求信息下发至所述安全审计服务,所述安全审计服务拦截业务服务操作日志信息。
13.可选的,所述当接收业务服务端的操作请求信息之后,包括:
14.判断所述操作请求信息对应的业务服务端是否为授权用户;
15.若所述操作请求信息对应的业务服务端为授权用户,将所述操作请求信息发送至对应的微服务中。
16.可选的,所述操作请求信息为通过调用目标应用程序接口下发的请求信息,所述从所述操作请求信息中,获取与所述配置参数信息相对应的安全审计信息,包括:
17.判断是否获取到所述目标应用程序接口的配置参数;
18.若获取到所述目标应用程序接口的配置参数,判断所述安全审计服务的状态信息是否为启动状态;
19.若所述安全审计服务的状态信息为启动状态,对所述操作请求信息进行数据清洗和梳理;
20.根据所述配置参数信息,从所述操作请求信息中获取相应的安全审计信息。
21.可选的,所述向所述按照预设数据格式存储所述安全审计信息,包括:
22.根据所述安全审计信息对应的业务服务端所属业务系统类型,按照预设数据分类存储格式对所述安全审计信息进行相应的存储。
23.可选的,所述向所述安全审计服务发送所述安全审计信息之后,还包括:
24.将接收到的所述业务服务端的安全审计查询请求,分发至所述安全审计服务;
25.所述安全审计服务根据所述安全审计查询请求携带的信息筛选条件,获取目标安全审计信息,并将所述目标安全审计信息发送至所述业务服务端。
26.可选的,所述获取与所述配置参数信息相对应的安全审计信息之后,还包括:
27.判断所述安全审计信息是否包含预设敏感词汇;
28.若所述安全审计信息包含预设敏感词汇,则从所述安全审计信息中删除各预设敏感词汇;
29.相应的,所述向所述安全审计服务发送所述安全审计信息为:
30.将删除各预设敏感词汇的安全审计信息发送至所述安全审计服务。
31.本发明实施例另一方面提供了一种安全审计装置,应用于微服务网关,包括:
32.配置信息获取模块,用于当接收业务服务端的操作请求信息,获取所述安全审计服务的配置参数信息;所述安全审计服务和业务服务的配置参数信息预先进行配置;所述操作请求信息下发给所述安全审计服务,所述安全审计服务拦截业务服务操作日志信息;
33.审计信息获取模块,用于从所述操作请求信息中,获取与所述配置参数信息相对应的安全审计信息;
34.审计信息发送模块,用于向所述安全审计服务发送所述安全审计信息,以使所述安全审计服务按照预设数据格式存储所述安全审计信息。
35.本发明实施例还提供了一种电子设备,包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如前任一项所述安全审计方法的步骤。
36.本发明实施例还提供了一种可读存储介质,所述可读存储介质上存储有计算机程
序,所述计算机程序被处理器执行时实现如前任一项所述安全审计方法的步骤。
37.本发明实施例最后还提供了一种安全审计系统,包括微服务网关、业务服务端、安全审计服务端和配置中心平台;
38.所述配置中心平台用于预先配置安全审计服务和业务服务的配置参数信息;
39.所述微服务网关执行存储器存储的计算机程序时实现如上任一项所述的安全审计方法;
40.所述安全审计服务端用于拦截业务服务操作日志信息,按照预设数据存储格式、存储所述业务服务端下发的操作请求信息对应的安全审计信息。
41.可选的,所述安全审计系统部署在虚拟化集群的目标节点上,并对外提供接口,以用于接入业务系统。
42.本技术提供的技术方案的优点在于,通过微服务网关接收业务服务端的操作请求信息,微服务网关通过预先配置的安全审计服务的配置信息在该操作请求信息中获取相对应的安全审计信息,安全审计服务按照统一存储格式存储安全审计信息,从而实现了各微服务的安全审计信息的统一收集和处理,用户获取的安全审计信息始终是固定格式,无需进行梳理和整合,提升用户使用体验。安全审计服务会统一对业务服务端的操作日志信息进行管理,各微服务无需自己耗费人力去维护安全审计服务,从而可有效降低各微服务线的运维成本。进一步的,基于微服务架构不仅可以降低研发成本,而且对研发人员的专业技能要求不高,实用性更强。
43.此外,本发明实施例还针对安全审计方法提供了相应的实现装置、系统、电子设备及可读存储介质,进一步使得所述方法更具有实用性,所述装置、系统、电子设备及可读存储介质具有相应的优点。
44.应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
45.为了更清楚的说明本发明实施例或相关技术的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
46.图1为本发明实施例提供的在第一种实施方式中的安全审计方法的流程示意图;
47.图2为本发明实施例提供的在第二种实施方式中的安全审计方法的流程示意图;
48.图3为本发明实施例提供的在第三种实施方式中的安全审计方法的流程示意图;
49.图4为本发明实施例提供的在第四种实施方式中的安全审计方法的流程示意图;
50.图5为本发明实施例提供的在第五种实施方式中的安全审计方法的流程示意图;
51.图6为本发明实施例提供的在第六种实施方式中的安全审计方法的流程示意图;
52.图7为本发明实施例提供的在第七种实施方式中的安全审计方法的流程示意图;
53.图8为本发明实施例提供的安全审计装置的一种具体实施方式结构图;
54.图9为本发明实施例提供的电子设备的一种具体实施方式结构图;
55.图10为本发明实施例提供的安全审计系统的一种具体实施方式结构图;
56.图11为本发明实施例提供的安全审计系统的另一种具体实施方式结构图。
具体实施方式
57.为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
58.本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
59.在介绍了本发明实施例的技术方案后,下面详细的说明本技术的各种非限制性实施方式。
60.首先参见图1,图1为本发明实施例提供的一种安全审计方法的流程示意图,应用于微服务网关,本发明实施例可包括以下内容:
61.本实施例在执行安全审计方法过程中涉及业务服务端、微服务网关、安全审计服务端和配置中心端。业务服务端也即执行操作请求的用户端,微服务网关用于接收、处理并转发业务服务端的请求信息,网关为统一网关系统,该网关基于微服务机构。安全审计服务端用于存储安全审计信息,并统一管理业务操作日志信息,如图2所示,安全审计服务端在业务服务端下发操作请求信息之后,拦截业务操作日志信息,并记录用户操作。配置中心端用于预先按照相应的配置规则配置安全审计服务和业务服务的配置参数信息。配置中心端例如可为nacos(dynamic naming and configuration service),其提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据以及流量管理。
62.s101:当接收业务服务端的操作请求信息,获取安全审计服务的配置参数信息。
63.本实施例的操作请求信息是指业务服务端对某个微服务进行某种操作的请求,操作包括但并不限制于新建、删除和改变状态,改变状态例如可为微服务开机或微服务关机。业务服务端可通过调用业务服务接口api下发操作请求信息,也可通过控制台下发操作请求信息,这均不影响本技术实现。微服务网关接收业务服务接口api发送的操作请求信息,将操作请求信息分发到对应的微服务中。当安全审计服务接收业务服务接口api发送的操作请求信息,拦截业务服务操作日志信息;
64.在本实施例中,微服务网关接收业务服务接口api发送的操作请求信息前,还需要在诸如nacos的配置中心平台配置的安全审计服务和业务服务相关配置参数。具体来说,配置中心平台或者是配置中心端是业务服务的定义中心。在该配置中心平台上定义一个业务服务时,需要配置业务服务的配置参数,业务服务的配置参数包括但不限于以下几种参数:服务名称、是否读写、鉴权方式、流控方式、参数信息、参数信息是否敏感、后端服务、安全审计启动的状态信息。在配置中心平台上把业务服务对应的安全审计启动的状态配置成启动时,还可以配置安全审计信息的配置参数信息。安全审计服务的配置参数信息包括下述任意一项或任何组合:账号信息、时间信息、操作对象信息、操作类型信息和操作结果信息。通过在配置中心平台配置安全审计启动的状态和安全审计信息的配置参数信息,由微服务网
关在安全审计服务的状态处于启动的状态下,根据安全审计信息的配置参数信息实现安全审计信息的收集和处理,各微服务线不需要单独去实现安全审计服务,从而使得各微服务线无需投入人力去维护安全审计服务,降低了各微服务线的运维成本。
65.s102:从操作请求信息中,获取与配置参数信息相对应的安全审计信息。
66.微服务网关在安全审计服务处于启动的状态下,可根据安全审计信息的配置参数信息,基于安全审计配置规则,从业务服务的操作请求信息中获取与该配置参数信息对应的安全审计信息。
67.s103:向安全审计服务发送安全审计信息,以使安全审计服务按照预设数据格式存储安全审计信息。
68.为了实现安全审计信息的统一化,便于用户使用安全审计信息,本实施例的安全审计服务在获取到安全审计信息之后,会按照预先指定的数据格式存储这些安全审计信息,预设数据格式可根据实际应用场景进行设置,本技术对此不做任何限定。进一步的,安全审计服务可将安全审计信息存储至存储介质中,存储介质可以提供永久存储服务,用于存储需要永久存储的信息。如图3和图4所示,保证安全审计信息的安全性。
69.在本发明实施例提供的技术方案中,通过微服务网关接收业务服务端的操作请求信息,微服务网关通过预先配置的安全审计服务的配置信息在该操作请求信息中获取相对应的安全审计信息,安全审计服务按照统一存储格式存储安全审计信息,从而实现了各微服务的安全审计信息的统一收集和处理,用户获取的安全审计信息始终是固定格式,无需进行梳理和整合,提升用户使用体验。安全审计服务会统一对业务服务端的操作日志信息进行管理,各微服务无需自己耗费人力去维护安全审计服务,从而可有效降低各微服务线的运维成本。
70.为了进一步提高安全审计的安全性能,本技术基于上述实施例,还提供了鉴权实施例,在接收到操作请求信息之后,可包括下述内容:
71.判断操作请求信息对应的业务服务端是否为授权用户;
72.若操作请求信息对应的业务服务端为授权用户,将操作请求信息发送至对应的微服务中。
73.在本实施例中,以微服务网关接收api发送的操作请求信息为例,所有调用api的请求消息都要经过网关进行路由分发。微服务网关还提供了用户鉴权、签名验证等服务。当业务系统通过控制台发起操作触发,本发明的鉴权功能如图2所示。用户在客户端操作系统发送http或https请求,若以http请求,则请求头包含用户令牌。用户令牌由头部、载荷、签名三部分组成。头部包含当前基本信息,即类型和签名算法。载荷包含存放有效信息、公共声明、私有声明。存放有效信息,即标准中注册的声明,参与令牌校验,包含iss(签发者)、sub(当前令牌的描述说明)、aud(接收的一方)、exp(过期时间)、nbf(在某一时间之前,不能使用)、iat(签发时间)和jti(唯一身份标识)。其中,jti用来作为一次性tocken,从而回避重放攻击。过期时间必须要大于签发时间。为方便后面服务的鉴权处理,可将令牌放入到操作请求信息的请求头中。若以https请求,还应包含ssl(secure sockets layer,安全套接字协议)或tls(transport layer security,安全传输层协议)提供加密处理数据、验证对方身份以及数据完整性保护等处理。
74.在上述实施例中,对于如何执行步骤s102并不做限定,本实施例中给出安全审计
信息的一种可选的获取方式,可包括如下步骤:
75.操作请求信息为通过调用目标应用程序接口下发的请求信息,判断是否获取到目标应用程序接口的配置参数;若获取到目标应用程序接口的配置参数,判断安全审计服务的状态信息是否为启动状态;若安全审计服务的状态信息为启动状态,对操作请求信息进行数据清洗和梳理;根据配置参数信息,从操作请求信息中获取相应的安全审计信息。
76.在本实施例中,为了进一步确定安全审计信息的准确度,微服务网关收到api发送的操作请求信息后,需要判断api是否存在。具体的,微服务网关可从配置中心平台获取业务服务的配置参数,如果能获取到api的配置参数,则确定api存在。微服务网关判断api的配置参数中的安全审计服务的状态信息是否处于启动的状态。网关在安全审计服务的状态信息处于启动的状态下,根据api的配置参数中的安全审计信息的配置参数信息,从操作请求信息中获取配置参数信息对应的安全审计信息。
77.可选的,微服务网关可根据安全审计服务的配置参数信息对操作请求信息进行数据清洗和梳理,例如,可对操作请求信息中的安全审计信息的配置参数信息对应的数据进行统一的格式化和命名规则处理,再对操作请求信息进行数据清洗和梳理之后,在从操作请求信息中获取相应的安全审计信息。如图5所示。
78.本实施例通过微服务网关对操作请求信息进行数据清洗和梳理,获取配置参数信息对应的安全审计信息,使得微服务网关获取到的安全审计信息的配置参数信息对应的安全审计信息具有统一的格式和统一的字段,从而实现了各微服务的安全审计信息的统一处理,降低了各微服务线的运维成本。
79.为了进一步安全审计信息的管理性能,便于用户使用,本实施例还可根据安全审计信息对应的业务服务端所属业务系统类型,按照预设数据分类存储格式对安全审计信息进行相应的存储。
80.在本实施例中,预设数据分类存储格式是预设数据存储格式的一种具体存储格式,其旨在按照业务系统类型进行数据存储,也即可在预设数据存储格式中添加业务系统类型字段。通过本实施例所提供的数据存储方式,可将隶属于同一个业务系统类型的所有安全审计信息存储至同一位置并采用相同的存储格式,可提高安全审计信息的查询效率,进一步提升用户使用体验。
81.不可避免的是,用户会查询安全审计信息,基于此,本技术基于上述实施例,还提供了安全审计信息查询实施例,可包括下述内容:将接收到的业务服务端的安全审计查询请求,分发至安全审计服务;
82.安全审计服务根据安全审计查询请求携带的信息筛选条件,获取目标安全审计信息,并将目标安全审计信息发送至业务服务端。
83.在本实施例中,筛选条件包括下述至少一个或任何组合:账号信息、时间信息、操作对象信息、操作类型信息和操作结果信息。安全审计服务接收业务服务发送的查询请求信息,查询请求信息用于请求查询安全审计信息,查询请求信息中包含筛选条件;安全审计服务根据该筛选条件,获取查询响应信息,查询响应信息中包含筛选条件对应的安全审计信息。其中,安全审计服务可接收服务通过控制台发送的查询请求信息,也可接收服务通过调用api发送的查询请求信息,如图6所示。安全审计服务接收业务系统通过控制台发送的查询请求信息。业务系统通过控制台发起查询安全审计信息的操作时触发安全审计调用,
微服务网关作为api的入口,接收查询请求信息,分发给安全审计服务。安全审计服务接收业务系统通过调用api发送的查询请求信息。业务系统通过调用api查询安全审计信息,对应的查询请求信息经过网关分发给安全审计服务。安全审计服务从查询请求信息中获取发起查询请求信息的业务系统的标识,根据业务系统的标识和查询请求信息中的筛选条件从存储媒介中获取对应的安全审计信息,把响应消息返回给业务系统。
84.本实施例通过安全审计服务接收业务系统发送的查询请求信息,安全审计服务根据查询请求信息中包含的筛选条件,获取查询响应信息,由于安全审计服务提供的安全审计信息数据全面,并且具有统一的格式和统一的字段,从而使得业务系统无需对响应信息中的安全审计信息进行梳理和整合,简化了业务系统获取安全审计信息的操作,提升了用户体验。
85.为例进一步提高安全审计的安全性能,基于上述实施例,本技术还可在获取与配置参数信息相对应的安全审计信息之后,包括:
86.判断安全审计信息是否包含预设敏感词汇;若安全审计信息包含预设敏感词汇,则从安全审计信息中删除各预设敏感词汇;相应的,向安全审计服务发送安全审计信息为:将删除各预设敏感词汇的安全审计信息发送至安全审计服务。
87.如图7所示,在本实施例中,微服务网关可调用日志工具类对安全审计信息进行敏感词汇脱敏处理。敏感词汇例如包括但并不限制于账户密码、电话号码、银行卡号、身份证号码。微服务网关根据从配置中心平台所获取的配置参数中的参数信息的是否敏感字段中,确定安全审计信息的敏感词汇。如果参数信息的是否敏感字段的取值为是,则对应的参数是敏感词汇。微服务网关使用预定义的脱敏规则对安全审计信息进行敏感词汇脱敏处理,具体脱敏规则可预先设置。然后,微服务网关向安全审计服务发送脱敏处理之后的安全审计信息。
88.本实施例通过微服务网关对安全审计信息对敏感词汇进行脱敏处理,安全审计服务最终存储的是脱敏处理之后的安全审计信息,从而可有效地保护了敏感隐私数据,提高了数据信息的安全性,降低了各微服务线的运维成本。
89.需要说明的是,本技术中各步骤之间没有严格的先后执行顺序,只要符合逻辑上的顺序,则这些步骤可以同时执行,也可按照某种预设顺序执行,图1-图7只是一种示意方式,并不代表只能是这样的执行顺序。
90.本发明实施例还针对安全审计方法提供了相应的装置,进一步使得方法更具有实用性。其中,装置可从功能模块的角度和硬件的角度分别说明。下面对本发明实施例提供的安全审计装置进行介绍,下文描述的安全审计装置与上文描述的安全审计方法可相互对应参照。
91.基于功能模块的角度,参见图8,图8为本发明实施例提供的安全审计装置在一种具体实施方式下的结构图,应用于微服务网关,该装置可包括:
92.配置信息获取模块801,用于当接收业务服务端的操作请求信息,获取安全审计服务的配置参数信息;安全审计服务和业务服务的配置参数信息预先进行配置;操作请求信息下发给安全审计服务,安全审计服务拦截业务服务操作日志信息。
93.审计信息获取模块802,用于从操作请求信息中,获取与配置参数信息相对应的安全审计信息;
94.审计信息发送模块803,用于向安全审计服务发送安全审计信息,以使安全审计服务按照预设数据格式存储安全审计信息。
95.可选的,在本实施例的一些实施方式中,上述装置还可以包括鉴权模块,用于判断操作请求信息对应的业务服务端是否为授权用户;若操作请求信息对应的业务服务端为授权用户,将操作请求信息发送至对应的微服务中。
96.作为本实施例的一种可选的实施方式,上述审计信息获取模块802可进一步用于:判断是否获取到目标应用程序接口的配置参数;若获取到目标应用程序接口的配置参数,判断安全审计服务的状态信息是否为启动状态;若安全审计服务的状态信息为启动状态,对操作请求信息进行数据清洗和梳理;根据配置参数信息,从操作请求信息中获取相应的安全审计信息。
97.作为本实施例的另一种可选的实施方式,上述审计信息发送模块803还可进一步用于:安全审计服务根据安全审计信息对应的业务服务端所属业务系统类型,安全审计服务按照预设数据分类存储格式对安全审计信息进行相应的存储。
98.可选的,在本实施例的另一些实施方式中,上述装置例如还可以包括查询模块,用于将接收到的业务服务端的安全审计查询请求,分发至安全审计服务;安全审计服务根据安全审计查询请求携带的信息筛选条件,获取目标安全审计信息,并将目标安全审计信息发送至业务服务端。
99.可选的,在本实施例的另一些实施方式中,上述装置例如还可包括脱敏处理模块,用于判断安全审计信息是否包含预设敏感词汇;若安全审计信息包含预设敏感词汇,则从安全审计信息中删除各预设敏感词汇。相应的,审计信息发送模块803为将删除各预设敏感词汇的安全审计信息发送至安全审计服务的模块。
100.本发明实施例安全审计装置的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
101.由上可知,本发明实施例实现统一收集并处理各微服务的安全审计信息,有效降低各微服务线的运维维护成本。
102.上文中提到的安全审计装置是从功能模块的角度描述,进一步的,本技术还提供一种电子设备,是从硬件角度描述。图9为本技术实施例提供的电子设备在一种实施方式下的结构示意图。如图9所示,该电子设备包括存储器90,用于存储计算机程序;处理器91,用于执行计算机程序时实现如上述任一实施例提到的安全审计方法的步骤。
103.其中,处理器91可以包括一个或多个处理核心,比如4核心处理器、8核心处理器,处理器91还可为控制器、微控制器、微处理器或其他数据处理芯片等。处理器91可以采用dsp(digital signal processing,数字信号处理)、fpga(field-programmable gate array,现场可编程门阵列)、pla(programmable logic array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器91也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称cpu(central processing unit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器91可以集成有gpu(graphics processing unit,图像处理器),gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器91还可以包括ai(artificial intelligence,人工智能)处理器,该ai处理器用于处理有关机器学习的计算操作。
104.存储器90可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器90还可包括高速随机存取存储器以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。存储器90在一些实施例中可以是电子设备的内部存储单元,例如服务器的硬盘。存储器90在另一些实施例中也可以是电子设备的外部存储设备,例如服务器上配备的插接式硬盘,智能存储卡(smart media card,smc),安全数字(secure digital,sd)卡,闪存卡(flash card)等。进一步地,存储器90还可以既包括电子设备的内部存储单元也包括外部存储设备。存储器90不仅可以用于存储安装于电子设备的应用软件及各类数据,例如:执行漏洞处理方法的程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。本实施例中,存储器90至少用于存储以下计算机程序901,其中,该计算机程序被处理器91加载并执行之后,能够实现前述任一实施例公开的安全审计方法的相关步骤。另外,存储器90所存储的资源还可以包括操作系统902和数据903等,存储方式可以是短暂存储或者永久存储。其中,操作系统902可以包括windows、unix、linux等。数据903可以包括但不限于安全审计结果对应的数据等。
105.在一些实施例中,上述电子设备还可包括有显示屏92、输入输出接口93、通信接口94或者称为网络接口、电源95以及通信总线96。其中,显示屏92、输入输出接口93比如键盘(keyboard)属于用户接口,可选的用户接口还可以包括标准的有线接口、无线接口等。可选地,在一些实施例中,显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organic light-emitting diode,有机发光二极管)触摸器等。显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。通信接口94可选的可以包括有线接口和/或无线接口,如wi-fi接口、蓝牙接口等,通常用于在电子设备与其他电子设备之间建立通信连接。通信总线96可以是外设部件互连标准(peripheral component interconnect,简称pci)总线或扩展工业标准结构(extended industry standard architecture,简称eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
106.本领域技术人员可以理解,图9中示出的结构并不构成对该电子设备的限定,可以包括比图示更多或更少的组件,例如还可包括实现各类功能的传感器97。
107.本发明实施例电子设备的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
108.由上可知,本发明实施例实现统一收集并处理各微服务的安全审计信息,有效降低各微服务线的运维维护成本。
109.可以理解的是,如果上述实施例中的安全审计方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read-only memory,rom)、随机存取存储器(random access memory,ram)、电可擦除可编程rom、寄存器、硬盘、多媒体卡、卡型存储器(例如sd或dx存储器等)、磁性存储器、可移动磁盘、cd-rom、磁碟或者光盘等各种可以存储程序代码的介质。
110.基于此,本发明实施例还提供了一种可读存储介质,存储有计算机程序,计算机程序被处理器执行时如上任意一实施例安全审计方法的步骤。
111.本发明实施例还提供了一种安全审计系统,参见图10,可包括:
112.对于传统的应用研发过程,由于传统的垂直的架构、产品功能开发模式导致代码重复率过高,代码冲突不断,导致整个应用开发效率低。代码功能耦合在一起,会使得所有的功能模块运维困难,整个项目构建时间长,任何小修改必须重新构建整个项目,导致整个研发时间很长,部署不灵活。此外,稳定性不高,而且无法满足高并发情况下的业务需求,扩展性差。这些均导致传统的应用研发成本高。基于此,本技术整个安全审计系统是基于微服务架构,安全审计系统可包括微服务网关101、业务服务端102、安全审计服务端103和配置中心平台104。其中,业务服务端102可为任何一个客户端,安全审计服务端103为内置安全审计服务的客户端,配置中心平台104例如可为nacos,微服务网关101、nacos和安全审计服务端103的结构可如图11所示。
113.在本实施例中,配置中心平台104用于预先配置安全审计服务和业务服务的配置参数信息;微服务网关101用于执行存储器存储的计算机程序时实现如上述任一项的安全审计方法实施例的步骤;安全审计服务端103可用于拦截业务服务操作日志信息,按照预设数据存储格式、存储业务服务端下发的操作请求信息对应的安全审计信息。整个安全审计系统可部署在任何一个工作节点上,并对外提供接口,以用于接入业务系统,如其可部署在虚拟化集群的目标节点上。
114.本实施例可通过微服务来实现,将复杂的业务抽离出来简单化,对一些功能服务化,在技术上易于开发和维护、按需收缩、局部修改易部署等等比较友好。在其他业务系统对接提供方便的快捷入口,调用安全审计系统暴露出的接口,无需二次开发,直接使用。对于规则可以灵活化配置和修改,业务人员可以快速使用和学习,实时全局监控各个账号的登录信息和用户角色变更等记录。针对用户在登录系统过程中、用户密码规则配置、用户在系统数据记录,数据展示及数据统计并对这些信息进行预警处理,如:可以发送邮件、短信等等。
115.进一步的,微服务是松藕合的,无论是在开发阶段或部署阶段都是独立的。能够快速响应,局部修改容易,一个服务出现问题不会影响整个应用。易于和第三方应用系统集成,支持使用不同的语言开发,允许你利用融合最新技术。每个微服务都很小,足够内聚,足够小,代码容易理解。团队能够更关注自己的工作成果,聚焦指定的业务功能或业务需求。从而实现一次部署,其他业务系统都可以使用。本实施例可将上述安全审计平台部署在虚拟化集群的目标节点上。docker作为一种开源的应用容器引擎,帮助开发者将应用以及依赖打包到一个可移植的容器中,便于应用的部署和扩展。而随之产生的微容器概念和微服务正好相辅相成。通过一键部署、横向扩展、持续集成等特性,助力微服务架构在企业应用环境的实践。具体的,本实施例可通过docker进行虚拟化集群部署。运行docker集群命令使得docker进入集群模式,并制定其中某台设备为集群管理器,将上述安全审计平台部署在某个集群节点中完成集群部署。
116.本发明实施例安全审计系统的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
117.由上可知,本发明实施例实现统一收集并处理各微服务的安全审计信息,有效降
低各微服务线的运维维护成本。
118.本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的硬件包括装置及电子设备而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
119.专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
120.以上对本技术所提供的一种安全审计方法、装置、系统、电子设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本技术进行若干改进和修饰,这些改进和修饰也落入本技术权利要求的保护范围内。

技术特征:
1.一种安全审计方法,其特征在于,应用于微服务网关,包括:当接收业务服务端的操作请求信息,获取安全审计服务的配置参数信息;从所述操作请求信息中,获取与所述配置参数信息相对应的安全审计信息;向所述安全审计服务发送所述安全审计信息,以使所述安全审计服务按照预设数据格式存储所述安全审计信息;其中,所述安全审计服务和业务服务的配置参数信息预先按照相应的配置规则进行配置;所述操作请求信息下发至所述安全审计服务,所述安全审计服务拦截业务服务操作日志信息。2.根据权利要求1所述的安全审计方法,其特征在于,所述当接收业务服务端的操作请求信息之后,包括:判断所述操作请求信息对应的业务服务端是否为授权用户;若所述操作请求信息对应的业务服务端为授权用户,将所述操作请求信息发送至对应的微服务中。3.根据权利要求1所述的安全审计方法,其特征在于,所述操作请求信息为通过调用目标应用程序接口下发的请求信息,所述从所述操作请求信息中,获取与所述配置参数信息相对应的安全审计信息,包括:判断是否获取到所述目标应用程序接口的配置参数;若获取到所述目标应用程序接口的配置参数,判断所述安全审计服务的状态信息是否为启动状态;若所述安全审计服务的状态信息为启动状态,对所述操作请求信息进行数据清洗和梳理;根据所述配置参数信息,从所述操作请求信息中获取相应的安全审计信息。4.根据权利要求1所述的安全审计方法,其特征在于,所述向所述按照预设数据格式存储所述安全审计信息,包括:根据所述安全审计信息对应的业务服务端所属业务系统类型,按照预设数据分类存储格式对所述安全审计信息进行相应的存储。5.根据权利要求1至4任意一项所述的安全审计方法,其特征在于,所述向所述安全审计服务发送所述安全审计信息之后,还包括:将接收到的所述业务服务端的安全审计查询请求,分发至所述安全审计服务;所述安全审计服务根据所述安全审计查询请求携带的信息筛选条件,获取目标安全审计信息,并将所述目标安全审计信息发送至所述业务服务端。6.根据权利要求1至4任意一项所述的安全审计方法,其特征在于,所述获取与所述配置参数信息相对应的安全审计信息之后,还包括:判断所述安全审计信息是否包含预设敏感词汇;若所述安全审计信息包含预设敏感词汇,则从所述安全审计信息中删除各预设敏感词汇;相应的,所述向所述安全审计服务发送所述安全审计信息为:将删除各预设敏感词汇的安全审计信息发送至所述安全审计服务。7.一种安全审计装置,其特征在于,应用于微服务网关,包括:
配置信息获取模块,用于当接收业务服务端的操作请求信息,获取所述安全审计服务的配置参数信息;所述安全审计服务和业务服务的配置参数信息预先进行配置;所述操作请求信息下发给所述安全审计服务,所述安全审计服务拦截业务服务操作日志信息;审计信息获取模块,用于从所述操作请求信息中,获取与所述配置参数信息相对应的安全审计信息;审计信息发送模块,用于向所述安全审计服务发送所述安全审计信息,以使所述安全审计服务按照预设数据格式存储所述安全审计信息。8.一种电子设备,其特征在于,包括处理器和存储器,所述处理器用于执行所述存储器中存储的计算机程序时实现如权利要求1至6任一项所述安全审计方法的步骤。9.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述安全审计方法的步骤。10.一种安全审计系统,其特征在于,包括微服务网关、业务服务端、安全审计服务端和配置中心平台;所述配置中心平台用于预先配置安全审计服务和业务服务的配置参数信息;所述微服务网关执行存储器存储的计算机程序时实现如权利要求1至6任一项所述的安全审计方法;所述安全审计服务端用于拦截业务服务操作日志信息,按照预设数据存储格式、存储所述业务服务端下发的操作请求信息对应的安全审计信息。11.根据权利要求10所述的安全审计系统,其特征在于,所述安全审计系统部署在虚拟化集群的目标节点上,并对外提供接口,以用于接入业务系统。

技术总结
本申请公开了一种安全审计方法、装置、系统、电子设备及可读存储介质。其中,预先按照相应的配置规则配置安全审计服务和业务服务的配置参数信息,且操作请求信息下发至安全审计服务,安全审计服务拦截业务服务操作日志信息。适用于微服务网关的方法包括:当接收业务服务端的操作请求信息,获取安全审计服务的配置参数信息;从操作请求信息中,获取与配置参数信息相对应的安全审计信息;向安全审计服务发送安全审计信息,安全审计服务按照预设数据格式存储安全审计信息;从而可统一收集并处理各微服务的安全审计信息,有效地降低各微服务线的运维维护成本。线的运维维护成本。线的运维维护成本。


技术研发人员:周磊 毛骏
受保护的技术使用者:上海畅容信息科技有限公司
技术研发日:2021.11.30
技术公布日:2022/3/8

专利

最新回复(0)