2. 专利
  3. 操作审计方法、装置及电子设备和计算机可读存储介质与流程

操作审计方法、装置及电子设备和计算机可读存储介质与流程

专利2022-06-30  64

本申请涉及操作审计
技术领域
,更具体地说,涉及操作审计方法、装置及电子设备和计算机可读存储介质。
背景技术
:目前,监管机构对于企业内部如何使用用户个人信息的情况并没有直接的技术手段进行监控,更多的是依赖企业进行内审、内控,监管机构通过对企业进行定期的抽查、审计、合规检查来确定企业是否合规,存在很大的盲点,即对企业操作审计的实时性较差。因此,如何实现对企业进行实时的操作审计是本领域技术人员需要解决的技术问题。技术实现要素:本申请的目的在于提供一种操作审计方法、装置及一种电子设备和一种计算机可读存储介质,实现对企业进行实时的操作审计。为实现上述目的,本申请第一方面提供了一种操作审计方法,包括:获取目标企业的操作原始日志,并提取所述操作原始日志的要素;其中,所述要素包括标准要素和自定义要素,所述标准要素包括主体、客体、时间和操作类型;对所述操作原始日志进行散列计算得到所述操作原始日志对应的散列值,并保存所述操作原始日志与所述散列值的映射关系;将所述散列值和所述要素存储至母区块链网络中所述目标企业对应的目标子区块链网络中,以便所述目标子区块链网络中的监管区块链节点对所述目标企业进行操作审计;其中,所述母区块链网络中包括多个子区块链网络,每个所述子区块链网络之间进行数据隔离。为实现上述目的,本申请第二方面提供了一种操作审计装置,包括:提取模块,用于获取目标企业的操作原始日志,并提取所述操作原始日志的要素;其中,所述要素包括标准要素和自定义要素,所述标准要素包括主体、客体、时间和操作类型;计算模块,用于对所述操作原始日志进行散列计算得到所述操作原始日志对应的散列值,并保存所述操作原始日志与所述散列值的映射关系;存储模块,用于将所述散列值和所述要素存储至母区块链网络中所述目标企业对应的目标子区块链网络中,以便所述目标子区块链网络中的监管区块链节点对所述目标企业进行操作审计;其中,所述母区块链网络中包括多个子区块链网络,每个所述子区块链网络之间进行数据隔离。为实现上述目的,本申请第三方面提供了一种电子设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如上述操作审计方法的步骤。为实现上述目的,本申请第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述操作审计方法的步骤。通过以上方案可知,本申请提供的一种操作审计方法,包括:获取目标企业的操作原始日志,并提取所述操作原始日志的要素;其中,所述要素包括标准要素和自定义要素,所述标准要素包括主体、客体、时间和操作类型;对所述操作原始日志进行散列计算得到所述操作原始日志对应的散列值,并保存所述操作原始日志与所述散列值的映射关系;将所述散列值和所述要素存储至母区块链网络中所述目标企业对应的目标子区块链网络中,以便所述目标子区块链网络中的监管区块链节点对所述目标企业进行操作审计;其中,所述母区块链网络中包括多个子区块链网络,每个所述子区块链网络之间进行数据隔离。本申请提供的操作审计方法,利用区块链网络存储操作信息,即从操作原始日志中提取的要素和操作原始日志的散列值。在母区块链网络中,每个子区块链网络存储一个企业的操作信息,仅向子区块链网络上传散列值而不直接上传操作原始日志,保证操作信息的安全性。每个子区块链网络之间进行数据隔离,使得不同企业的操作信息在母区块链网络中相互隔离开来,保证企业的操作信息的安全性。对目标企业进行操作审计的监管机构作为区块链节点加入该目标企业对应的目标子区块链网络中,实时从目标子区块链网络获取要素进行操作审计,需要时可以基于目标子区块链网络存储的散列值在目标企业的服务器中查询到操作原始日志。由此可见,本申请提供的操作审计方法,利用区块链的共享账本、不可篡改和及时同步的特性,保证企业操作信息的及时性和不可篡改性,打通从企业到监管机构的系统壁垒,实现对企业进行实时的操作审计。本申请还公开了一种操作审计装置及一种电子设备和一种计算机可读存储介质,同样能实现上述技术效果。应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:图1为本申请实施例提供的一种操作审计系统的架构图;图2为本申请实施例提供的一种操作审计方法的流程图;图3为本申请实施例提供的另一种操作审计方法的流程图;图4为本申请实施例提供的又一种操作审计方法的流程图;图5为本申请实施例提供的一种操作审计装置的结构图;图6为本申请实施例提供的一种电子设备的结构图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。为了便于理解本申请提供的操作审计方法,下面对其使用的系统进行介绍。参见图1,其示出了本申请实施例提供的一种操作审计系统的架构图,如图1所示,包括目标企业的日志源100、目标企业的服务器200和母区块链网络,母区块链网络中包括多个子区块链网络,每个企业对应一个子区块链网络,即一个子区块链网络用于存储一个企业的操作信息,每个子区块链网络之间进行数据隔离,使得不同企业的操作信息在母区块链网络中相互隔离开来,保证企业的操作信息的安全性。其中,目标企业对应的子区块链网络为目标子区块链网络300。此处不限定日志源的数量,即日志源100可以包括多个日志源,每个日志源可以理解为一个用于存储日志的存储器,如kafka队列或数据库等。每个日志源可以维护一个系统产生的操作原始日志,也可以维护多个系统产生的操作原始日志,在此不进行具体限定,这些操作原始日志在后续实施例中统一称为操作原始日志。服务器200为企业内部审计系统的服务器,其中包括多个日志源插件,多个日志源插件可以以集群的方式存储在服务器200中,每个日志源插件用于获取其对应的日志源中的操作原始日志,并将其传输至服务器200中,因此,随着日志源100种类的增加,上述集群可扩展。服务器200中还包括多个标记提取插件,多个标记提取插件可以以集群的方式存储在服务器200中,每个标记提取插件用于从其对应的日志类型的操作原始日志中提取要素,可以理解的是,随着日志类型的增加,上述存储标记提取插件的集群也为可扩展集群。另外,为了提取更加贴近业务的信息,服务器200中还可以包括多个要素扩展插件,用于在各要素对应的管理系统中提取各要素的扩展字段。管理系统用于记录各要素的基本信息,例如,主体管理系统可以包括hr系统等,客体管理系统可以包括资源管理系统等。目标子区块链网络300包括用于对目标企业进行操作审计的监管区块链节点31,即监管机构利用监管区块链节点31对目标企业进行操作审计。当然目标子区块链网络300还包括其他区块链节点,服务器200可以利用区块链节点32将从操作原始日志中提取的要素和操作原始日志对应的散列值存储至目标子区块链网络300中,监管区块链节点31可以从目标子区块链网络300中获取要素进行操作审计,需要时还可以目标子区块链网络300获取散列值,以便在服务器200中查询操作原始日志进行操作审计。本申请实施例公开了一种操作审计方法,实现对企业进行实时的操作审计。参见图2,本申请实施例提供的一种操作审计方法的流程图,如图2所示,包括:s101:服务器从日志源获取目标企业的操作原始日志;在本步骤中,服务器从日志源获取操作原始日志,优选的,本步骤包括:利用日志源插件从日志源中获取操作原始日志。此处的操作原始日志可以包括互联网应用日志、即时通讯日志、数据块日志、攻击/扫描日志、文件传输日志、远程控制日志和邮件日志等,互联网应用日志可以包括http(中文全称:超文本传输协议,英文全称:hypertexttransferprotocol)应用日志、娱乐软件日志和基于c/s(中文全称:客户机/服务器,英文全称:client/server)架构的应用软件使用日志等。http应用日志为监测访问互联网网页的内容信息、记录用户所设关键词信息、针对httpup的信息和记录所有dns(中文全称:域名系统,英文全称:domainnamesystem)协议请求的日志,监测访问互联网网页的内容信息包括基于http协议的发布和浏览。即时通讯日志为记录各类即时通讯软件使用信息以即虚拟身份信息的日志,数据库日志为记录各类数据块的操作和用户信息的日志,攻击/扫描日志为记录ddos攻击(中文全称:分布式拒绝服务攻击,英文全称:distributeddenialofserviceattack)和端口扫描的行为日志,文件传输日志包括各类下载工具、ftp协议(中文全称:文件传输协议,英文全称:filetransferprotocol)、smb(中文全称:服务器信息块,英文全称:servermessageblock)协议进行的文件传输信息,还包括即时聊天软件点对点传输文件的以及文件名的信息,远程控制日志为记录各类远程控制软件或协议的使用情况的日志,包括telnet协议(中文全称:远程终端协议)、windows远程桌面和ssh(中文全称:安全外壳协议,英文全称:secureshell),邮件日志为记录smtp协议(中文全称:简单邮件传输协议,英文全称:simplemailtransferprotocol)、pop3协议(中文全称:邮局协议版本3,英文全称:postofficeprotocol-version3)、以及主流web邮件的日志,包括收件人、主题、抄送、正文、附件等。服务器中包含多个日志源插件,每个日志源插件用于从一种日志源中获取操作原始日志,即服务器利用多个日志源插件从多个日志源中获取操作原始日志。具体的,本步骤可以包括:利用kafka源插件获取kafka队列中的操作原始日志;和/或,利用数据插件获取数据库中的操作原始日志;和/或,利用上报接口插件通过接口获取上报的操作原始日志。在具体实施中,对于存放在kafka队列中的操作原始日志,可以通过kafka源插件将该操作原始日志读取到服务器中,对于存放在数据库中的操作原始日志,则可以通过数据插件从数据库中。服务器中还可以包含上报接口插件,可以利用该上报接口插件通过接口将操作原始日志上报到服务器中。上述kafka源插件、数据插件和上报接口插件可以以集群的方式存储在服务器中,随着日志源种类的增加,该集群可扩展。s102:服务器提取所述操作原始日志的要素;其中,所述要素包括标准要素和自定义要素,所述标准要素包括主体、客体、时间和操作类型;优选的,服务器提取所述操作原始日志的要素的步骤包括:确定所述操作原始日志的日志类型,并利用所述日志类型对应的标记提取插件提取所述操作原始日志的要素。在上述日志源插件中,操作原始日志将被打上基本的标签,例如,server表示该操作原始日志是由哪个系统产生的,service表示该操作原始日志是哪个服务接口产生的,这些标签可以通过操作原始日志的来源系统或对操作原始日志进行简单的读取分析得到。服务器可以根据上述标签确定各操作原始日志的日志类型,此处的日志类型可以包括结构化类型、sql类型和文本类型等,结构化日类型例如json结构、xml结构等,在此不进行具体限定。服务器中包含多个标记提取插件,每个标记提取插件用于从其对应的日志类型的操作原始日志中提取要素,即服务器利用不同的标记提取插件提取不同日志类型的操作原始日志的要素。此处的要素可以包括主体、客体、时间和操作类型,即本步骤中的标准要素,还可以包括其他用户自定义的要素。多个标记提取插件可以以集合的方式存储于服务器中,这个集合是可以扩展的。服务器可以提供一个映射表来指明不同日志类型的操作原始日志可以被哪一个标记提取插件处理,例如表1所示:表1日志类型标记提取插件结构化类型标记提取插件asql类型标记提取插件b文本类型标记提取插件c可以理解的是,同一系统的不同服务接口产生的操作原始日志的日志类型可能不同,因此,对于同一系统的操作原始日志,可以同时采用多种标记提取插件进行要素提取。表1可以扩展为表2:表2serverservice日志类型标记提取插件serveraservice1sql类型标记提取插件bserveraservice2结构化类型标记提取插件aserverbservice3sql类型标记提取插件bservercservice4文本类型标记提取插件c具体的,利用所述日志类型对应的标记提取插件提取所述操作原始日志的要素的步骤可以包括:对所述操作原始日志进行结构化解析,从解析结果中提取所述操作原始日志的要素;和/或,通过druid库对所述操作原始日志中的sql语句进行解析,从解析结果中提取所述操作原始日志的要素;和/或,利用正则表达式提取所述操作原始日志的要素。在具体实施中,若日志类型为json或者xml等结构化类型,可以通过对结构进行解析,进而获取操作原始日志的各要素。若日志类型为sql类型,即操作原始日志中包含sql语句,可以通过druid库对该sql语句进行解析,进而获取操作原始日志的各要素。由于结构化类型和sql类型的操作原始日志中具体特定的标签和关键字,可以通过识别标签和关键字提取要素。druid是一个开源的、分布式的、列存储的、适用于实时数据分析的系统,可以总结出基础的统计指标,即本实施例中的要素,可以用一个字段表示。若日志类型为文本类型,可以采用正则表达式方式获取操作原始日志的各要素。需要说明的是,对于本步骤中的标记提取插件,本实施例不对其实现方式进行具体限定,例如,可以采用java代码来实现,也可以通过python脚本等方式实现。上述提取的操作原始日志的原始可以包括标准要素和自定义要素,标准要素即为操作审计四要素,包括主体、客体、时间和操作类型。从每条操作原始日志都可以提取这四个要素,这四个要素为每条操作原始日志定义了一个标准的故事/事件,即什么人(主体)在什么时间对什么客体做了什么类型的操作。主体表示操作的执行者,客体表示操作实际被作用的对象,例如服务器主机、服务、产品配置等。对于操作以以下几个例子进行介绍:(1)系统管理员查询了一个用户的信息。在该操作中,主体为系统管理员,客体为用户id,操作类型为查询;(2)系统管理员修改了一个基金的配置。在该操作中,主体为系统管理员,客体为基金的id,操作类型为修改;(3)一个员工登录了一台机器。在该操作中,主体为员工id,客体为机器的ip地址,操作类型为登录;需要说明的是,一条操作原始日志中的客体元素可以为多个、多种类型的。例如,一个员工分别在机器a、机器b和机器c上部署了服务s,那么客体包括机器a、机器b和机器c,还包括服务s,该操作中共有4个客体。对于客体要素,可以从操作原始日志中记录的请求报文中的参数中提取。例如,对于操作原始日志“系统管理员通过用户id查询用户信息”,可以从请求报文中的参数中提取该用户的id作为客体。当然,也可以从操作原始日志中记录的响应报文中的参数中提取。例如,对于操作原始日志“系统管理员发起了一个范围查询”,响应报文返回了10个用户的信息列表,可以将响应报文中10各用户的id作为客体。也就是说,本步骤可以包括:利用所述日志类型对应的标记提取插件根据所述操作原始日志中的请求报文和响应报文提取所述操作原始日志的客体。上述提取的客体要素,参数类型至少包括客体类型(type)和客体名称(name)。例如,客体为用户id,type为userid,name为zhangsan。需要说明的是,为了有利于跨多种日志类型的操作审计,对于同一种客体类型,命名需要进行统一规定。例如,对于系统a,用户id的类型为userid,而在系统b中,用户id的类型为user_account,在本实施例中,可以将其统一为userid。当然,除了上述标准要素之外,在标记提取插件中可以提取其他业务关心的要素作为自定义要素。例如,对于一条记录配置在线活动的操作原始日志,可能额外关心所配置的金额,因此可以将金额作为自定义要素进行提取。当然,用户还可以设置其他自定义要素,在此不进行具体限定。由于不同系统,甚至同一个系统中不同的操作,其日志格式均可能不同,因此对操作原始日志进行标准化的要素,可以为后续操作审计提供数据支持。例如,对于一个重要的用户,需要确定在所有的系统中,是否有人对他进行了操作。经过本步骤的客体要素提取,可以对异构的日志进行统一的标准查询得到结果。同理,对于主体和操作类型也有类似的意义,而时间要素可以了解操作的时间分别和还原操作顺序。s103:服务器对所述操作原始日志进行散列计算得到所述操作原始日志对应的散列值,并保存所述操作原始日志与所述散列值的映射关系;在本步骤中,对各操作原始日志进行散列计算得到每个操作原始日志对应的散列值,此处不对散列值的具体形式进行限定,例如该散列值可以包括哈希值。服务器中保存各操作原始日志与散列值的映射关系,在后续步骤中,仅将操作原始日志的散列值上传至目标子区块链网络中,保证操作原始日志的安全性,监管机构需要操作原始日志时可以从目标子区块链网络中获取散列值,在服务器中基于上述映射关系确定该散列值对应的操作原始日志。s104:服务器将所述散列值和所述要素存储至母区块链网络中所述目标企业对应的目标子区块链网络中;在本步骤中,服务器将目标企业的所有操作原始日志的散列值和从操作原始日志中提取的要素上传至母区块链网络中该目标企业对应的目标子区块链网络中。其中,母区块链网络中包括多个子区块链网络,每个企业对应一个子区块链网络,即一个子区块链网络用于存储一个企业的操作信息,每个子区块链网络之间进行数据隔离,使得不同企业的操作信息在母区块链网络中相互隔离开来,保证企业的操作信息的安全性。s105:所述目标子区块链网络中的监管区块链节点对所述目标企业进行操作审计。在具体实施中,目标子区块链网络包括用于对目标企业进行操作审计的监管区块链节点,即监管机构利用监管区块链节点对目标企业进行操作审计。监管区块链节点可以从目标子区块链网络中获取要素进行操作审计,需要时还可以目标子区块链网络获取散列值,在服务器中基于操作原始日志与散列值的映射关系查询该散列值对应的操作原始日志,进行操作审计。本申请实施例提供的操作审计方法,利用区块链网络存储操作信息,即从操作原始日志中提取的要素和操作原始日志的散列值。在母区块链网络中,每个子区块链网络存储一个企业的操作信息,仅向子区块链网络上传散列值而不直接上传操作原始日志,保证操作信息的安全性。每个子区块链网络之间进行数据隔离,使得不同企业的操作信息在母区块链网络中相互隔离开来,保证企业的操作信息的安全性。对目标企业进行操作审计的监管机构作为区块链节点加入该目标企业对应的目标子区块链网络中,实时从目标子区块链网络获取要素进行操作审计,需要时可以基于目标子区块链网络存储的散列值在目标企业的服务器中查询到操作原始日志。由此可见,本申请实施例提供的操作审计方法,利用区块链的共享账本、不可篡改和及时同步的特性,保证企业操作信息的及时性和不可篡改性,打通从企业到监管机构的系统壁垒,实现对企业进行实时的操作审计。本申请实施例公开了一种操作审计方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。本实施例将以服务器为执行主体进行介绍,具体的:参见图3,本申请实施例提供的另一种操作审计方法的流程图,如图3所示,包括:s201:获取目标企业的操作原始日志,并提取所述操作原始日志的要素;其中,所述要素包括标准要素和自定义要素,所述标准要素包括主体、客体、时间和操作类型;s202:在所述要素中确定敏感信息,并对所述敏感信息进行预处理操作;其中,所述敏感信息包括用户敏感信息和/或所述目标企业的系统敏感信息;本实施例的执行主体为企业内部审计系统的服务器。在操作信息上传至目标子区块链网络之前,为了保证数据的安全性,需要对其中的敏感信息进行预处理。可以理解的是,操作信息中的全部内容可以划分为与用户操作相关的用户信息和与用户操作无关的系统信息,用户信息又可以划分为用户敏感信息和非用户敏感信息。本步骤中的敏感信息可以包括上述用户敏感信息,如用户身份信息等,还可以包括与用户操作无关的系统信息,即目标企业的系统敏感信息,例如目标企业内部的ip地址、内部数据库名、内部系统命名等。此处不对具体的预处理方式进行限定,只需要保证接入目标子区块链网络中的其他设备不会获取到敏感信息的明文即可。例如,对于系统敏感信息,可以去除要素中的系统敏感信息,也可以对系统敏感信息进行掩码化处理。对于用户敏感信息,可以对其进行加密处理。此处不对具体的加密方式进行限定,可以采用对称加密或非对称加密的方式。对于对称加密方式,预先在目标企业和各个监管机构之间分发共享密钥,目标企业利用共享密钥对用户敏感信息进行加密后上传至目标子区块链网络,监管机构读取目标子区块链网络上的数据后进行解密,此方式的优点是加密解密速度快。对于非对称加密方式,将公钥分配给目标企业用于加密,监管机构使用私钥进行解密,此方式的优点是私钥不容易泄漏,安全性较高。s203:对所述操作原始日志进行散列计算得到所述操作原始日志对应的散列值,并保存所述操作原始日志与所述散列值的映射关系;在本步骤中,对各操作原始日志进行散列计算得到每个操作原始日志对应的散列值,此处不对散列值的具体形式进行限定,例如该散列值可以包括哈希值。服务器中保存各操作原始日志与散列值的映射关系,在后续步骤中,仅将操作原始日志的散列值上传至目标子区块链网络中,保证操作原始日志的安全性,监管机构需要操作原始日志时可以从目标子区块链网络中获取散列值,在服务器中基于上述映射关系确定该散列值对应的操作原始日志。s204:将所述散列值和预处理后的要素存储至母区块链网络中所述目标企业对应的目标子区块链网络中,以便所述目标子区块链网络中的监管区块链节点对所述目标企业进行操作审计;其中,所述母区块链网络中包括多个子区块链网络,每个所述子区块链网络之间进行数据隔离。在本步骤中,服务器将目标企业的所有操作原始日志的散列值和从操作原始日志中提取的要素上传至母区块链网络中该目标企业对应的目标子区块链网络中,利用区块链的共享账本、不可篡改和及时同步的特性,保证企业操作信息的及时性和不可篡改性。目标子区块链网络包括用于对目标企业进行操作审计的监管区块链节点,即监管机构利用监管区块链节点对目标企业进行操作审计。监管区块链节点可以从目标子区块链网络中获取要素进行操作审计,需要时还可以目标子区块链网络获取散列值,在服务器中基于操作原始日志与散列值的映射关系查询该散列值对应的操作原始日志,进行操作审计。由此可见,本实施例提供的操作审计方法,不同企业对应的子区块链网络之间进行数据隔离,企业数据的安全性较高。在子区块链网络中,只上传操作原始日志的散列值,不上传操作原始日志,保证企业的操作原始日志的安全性。对于待上链的敏感信息进行预处理,保证接入子区块链网络中的其他设备不会获取到敏感信息的明文,安全性较高。本申请实施例公开了一种操作审计方法,相对于第一个实施例,本实施例对技术方案作了进一步的说明和优化。本实施例将以服务器为执行主体进行介绍,具体的:参见图4,本申请实施例提供的又一种操作审计方法的流程图,如图4所示,包括:s301:获取目标企业的操作原始日志,并提取所述操作原始日志的要素;其中,所述要素包括标准要素和自定义要素,所述标准要素包括主体、客体、时间和操作类型;s302:从所述监管区块链节点获取要素扩展标准,基于所述要素扩展标准确定每个所述要素对应的扩展字段;在本步骤中,监管机构定义每个要素必须扩展的扩展字段,即定义要素扩展标准,通过监管区块链节点发布至整个目标子区块链网络中。服务器基于该要素扩展标准确定每个要素对应的扩展字段。在要素扩展中,对于来源不同的异构日志,可以采用相同的扩展插件,各扩展插件依据要素的不同进行区分。通过扩展插件可以为操作原始日志扩充更多非常重要的且贴近业务的标记,从而使得操作审计支持更为强大的标准化审计。在具体实施中,主体标记扩展插件通过调用主体管理系统提取基本信息,此处的主体管理系统可以包括公司的hr系统或组织架构系统,根据各个公司it系统区别而定。例如,可以扩展主体的真实身份,包括真实姓名、身份证或等效的身份证明,还可以扩展该主体在公司的职位、签约单位等。客体标记扩展插件通过调用客体管理系统提取基本信息,此处的客体管理系统例如公司的资源管理系统,根据各个公司it系统区别而定。例如,可以扩展客体的真实身份,包括真实姓名、身份证或等效的身份证明,还可以扩展该客体的属性,例如,用户所购买的基金信息被内部员工查询时,应该制定相关规定,扩展这个基金的相关属性填入扩展字段中。优选的,所述操作类型的扩展字段包括类别;所述基于所述要素扩展标准确定每个所述要素对应的扩展字段,包括:从所述监管区块链节点获取操作类型分类标准,基于所述操作类型分类标准确定所述操作类型的类别。在具体实施中,不同企业的服务器对操作类型定义不同的url名或接口名,对于监管机构来说可读性太差。因此监管机构可以定义方便审计的操作类型分类标准,服务器建立支持的每个操作类型与类别的对应关系,例如“/api/fk_frozen”对应的类别为“风险控制-冻结资金”,对于无法分类的操作类型,可以添加中文注释标记。s303:根据每个所述要素和每个所述要素对应的扩展字段基于标准上报格式确定所述操作原始日志的操作摘要字段;在具体实施中,服务器将提取到的要素加入标准上报格式中,此处的标准上报格式例如:可以理解的是,“user”为主体,“operation_type”为操作类型,“timestamp”为时间,“object”为客体。若上一步骤中提取的要素中还包括自定义要素,在标准上报格式中,可以为该自定义要素分配其他操作摘要字段。在目标子区块链网络中,基于标准上报格式对从操作原始日志中提取的要素进行存储,即对各要素进行标准化处理,监管机构对统一格式的操作信息进行审计,效率较高。s304:将所述散列值和所述操作摘要字段存储至母区块链网络中所述目标企业对应的目标子区块链网络中,以便所述目标子区块链网络中的监管区块链节点对所述目标企业进行操作审计;其中,所述母区块链网络中包括多个子区块链网络,每个所述子区块链网络之间进行数据隔离。由此可见,本实施例提供的操作审计方法,从各种系统收集到的、没有格式化的操作原始日志中,抽取统一的要素标记,使得原本完全不同的操作原始日志可以采用相同的方法查询关键信息,并通过要素扩展基于监管机构定义的要素扩展标准为各要素扩充更多非常重要的且贴近业务的扩展信息,提高了操作审计效率。为了便于理解,结合本申请的一种应用场景进行介绍。结合图1,目标子区块链网络300的节点包括企业a和其关联企业、部门以及多个监管机构。不同区块链子网络进行数据隔离,使得不同企业的数据可以相互隔离开来。企业a的各个子公司、部门的区块链节点,通过企业内部自建的审计系统收集操作原始日志,该审计系统提取四要素信息,即主体、客体、操作类型和时间,并对四要素信息进行扩展。在进行四要素扩展时,要求必须扩展监管机构所要求的必填字段。主体须扩展其真实身份、在公司的职位、签约单位等。客体须扩展其真实身份、属性等。对于操作类型需要按照监管机构定义的操作类型划分标准添加类别标识,对于无法分类的操作类型需要添加中文注释标记。对于操作原始日志进行哈希化处理,仅将操作原始日志的哈希值上传至在目标子区块链网络300。企业内部的审计系统应该保留操作原始日志和哈希值的映射关系。当监管机构要求查询时,可以通过哈希值查询到对应的操作原始日志。在提取的要素中,对于与用户操作无关的企业内部系统信息进行去除或者掩码化,防止泄漏企业相关信息。对于用户敏感信息进行加密处理。将企业a的所有操作原始日志的散列值和从操作原始日志中提取的、经过上述处理的要素上传至目标子区块链网络300中。监管机构可以从目标子区块链网络300中获取要素进行操作审计,需要时还可以目标子区块链网络获取散列值,在服务器中基于操作原始日志与散列值的映射关系查询该散列值对应的操作原始日志,进行操作审计。下面对本申请实施例提供的一种操作审计装置进行介绍,下文描述的一种操作审计装置与上文描述的一种操作审计方法可以相互参照。参见图5,本申请实施例提供的一种操作审计装置的结构图,如图5所示,包括:提取模块501,用于获取目标企业的操作原始日志,并提取所述操作原始日志的要素;其中,所述要素包括标准要素和自定义要素,所述标准要素包括主体、客体、时间和操作类型;计算模块502,用于对所述操作原始日志进行散列计算得到所述操作原始日志对应的散列值,并保存所述操作原始日志与所述散列值的映射关系;存储模块503,用于将所述散列值和所述要素存储至母区块链网络中所述目标企业对应的目标子区块链网络中,以便所述目标子区块链网络中的监管区块链节点对所述目标企业进行操作审计;其中,所述母区块链网络中包括多个子区块链网络,每个所述子区块链网络之间进行数据隔离。本申请实施例提供的操作审计装置,利用区块链网络存储操作信息,即从操作原始日志中提取的要素和操作原始日志的散列值。在母区块链网络中,每个子区块链网络存储一个企业的操作信息,仅向子区块链网络上传散列值而不直接上传操作原始日志,保证操作信息的安全性。每个子区块链网络之间进行数据隔离,使得不同企业的操作信息在母区块链网络中相互隔离开来,保证企业的操作信息的安全性。对目标企业进行操作审计的监管机构作为区块链节点加入该目标企业对应的目标子区块链网络中,实时从目标子区块链网络获取要素进行操作审计,需要时可以基于目标子区块链网络存储的散列值在目标企业的服务器中查询到操作原始日志。由此可见,本申请实施例提供的操作审计装置,利用区块链的共享账本、不可篡改和及时同步的特性,保证企业操作信息的及时性和不可篡改性,打通从企业到监管机构的系统壁垒,实现对企业进行实时的操作审计。在上述实施例的基础上,作为一种优选实施方式,还包括:预处理模块,用于在所述要素中确定敏感信息,并对所述敏感信息进行预处理操作;其中,所述敏感信息包括用户敏感信息和/或所述目标企业的系统敏感信息。在上述实施例的基础上,作为一种优选实施方式,所述预处理模块具体为去除所述要素中的所述系统敏感信息或对所述系统敏感信息进行掩码化处理的模块。在上述实施例的基础上,作为一种优选实施方式,所述预处理模块具体为对所述用户敏感信息进行加密处理的模块。在上述实施例的基础上,作为一种优选实施方式,所述存储模块503包括:第一确定单元,用于根据所述要素基于标准上报格式确定所述操作原始日志的操作摘要字段;存储单元,用于将所述散列值和所述操作摘要字段存储至母区块链网络中所述目标企业对应的目标子区块链网络中。在上述实施例的基础上,作为一种优选实施方式,还包括:确定模块,用于从所述监管区块链节点获取要素扩展标准,基于所述要素扩展标准确定每个所述要素对应的扩展字段;相应的,所述第一确定单元具体为根据每个所述要素和每个所述要素对应的扩展字段基于标准上报格式确定所述操作原始日志的操作摘要字段的单元。在上述实施例的基础上,作为一种优选实施方式,所述操作类型的扩展字段包括类别;所述确定模块包括:第二确定单元,用于从所述监管区块链节点获取操作类型分类标准,基于所述操作类型分类标准确定所述操作类型的类别。关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。本申请还提供了一种电子设备,参见图6,本申请实施例提供的一种电子设备60的结构图,如图6所示,可以包括处理器61和存储器62。其中,处理器61可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器61可以采用dsp(digitalsignalprocessing,数字信号处理)、fpga(field-programmablegatearray,现场可编程门阵列)、pla(programmablelogicarray,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器61也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称cpu(centralprocessingunit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器61可以在集成有gpu(graphicsprocessingunit,图像处理器),gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器61还可以包括ai(artificialintelligence,人工智能)处理器,该ai处理器用于处理有关机器学习的计算操作。存储器62可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器62还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器62至少用于存储以下计算机程序621,其中,该计算机程序被处理器61加载并执行之后,能够实现前述任一实施例公开的由电子设备侧执行的操作审计方法中的相关步骤。另外,存储器62所存储的资源还可以包括操作系统622和数据623等,存储方式可以是短暂存储或者永久存储。其中,操作系统622可以包括windows、unix、linux等。在一些实施例中,电子设备60还可包括有显示屏63、输入输出接口64、通信接口65、传感器66、电源67以及通信总线68。当然,图6所示的电子设备的结构并不构成对本申请实施例中电子设备的限定,在实际应用中电子设备可以包括比图6所示的更多或更少的部件,或者组合某些部件。在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述任一实施例服务器所执行的操作审计方法的步骤。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本
技术领域
的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。当前第1页1 2 3 
技术特征:

1.一种操作审计方法,其特征在于,包括:

获取目标企业的操作原始日志,并提取所述操作原始日志的要素;其中,所述要素包括标准要素和自定义要素,所述标准要素包括主体、客体、时间和操作类型;

对所述操作原始日志进行散列计算得到所述操作原始日志对应的散列值,并保存所述操作原始日志与所述散列值的映射关系;

将所述散列值和所述要素存储至母区块链网络中所述目标企业对应的目标子区块链网络中,以便所述目标子区块链网络中的监管区块链节点对所述目标企业进行操作审计;其中,所述母区块链网络中包括多个子区块链网络,每个所述子区块链网络之间进行数据隔离。

2.根据权利要求1所述操作审计方法,其特征在于,所述提取所述操作原始日志的要素之后,还包括:

在所述要素中确定敏感信息,并对所述敏感信息进行预处理操作;其中,所述敏感信息包括用户敏感信息和/或所述目标企业的系统敏感信息。

3.根据权利要求2所述操作审计方法,其特征在于,对所述敏感信息进行预处理操作,包括:

去除所述要素中的所述系统敏感信息或对所述系统敏感信息进行掩码化处理。

4.根据权利要求2所述操作审计方法,其特征在于,对所述敏感信息进行预处理操作,包括:

对所述用户敏感信息进行加密处理。

5.根据权利要求1至4中任一项所述操作审计方法,其特征在于,将所述散列值和所述要素存储至母区块链网络中所述目标企业对应的目标子区块链网络中,包括:

根据所述要素基于标准上报格式确定所述操作原始日志的操作摘要字段;

将所述散列值和所述操作摘要字段存储至母区块链网络中所述目标企业对应的目标子区块链网络中。

6.根据权利要求5所述操作审计方法,其特征在于,所述提取所述操作原始日志的要素之后,还包括:

从所述监管区块链节点获取要素扩展标准,基于所述要素扩展标准确定每个所述要素对应的扩展字段;

相应的,根据所述要素基于标准上报格式确定所述操作原始日志的操作摘要字段,包括:

根据每个所述要素和每个所述要素对应的扩展字段基于标准上报格式确定所述操作原始日志的操作摘要字段。

7.根据权利要求5所述操作审计方法,其特征在于,所述操作类型的扩展字段包括类别;所述基于所述要素扩展标准确定每个所述要素对应的扩展字段,包括:

从所述监管区块链节点获取操作类型分类标准,基于所述操作类型分类标准确定所述操作类型的类别。

8.一种操作审计装置,其特征在于,包括:

提取模块,用于获取目标企业的操作原始日志,并提取所述操作原始日志的要素;其中,所述要素包括标准要素和自定义要素,所述标准要素包括主体、客体、时间和操作类型;

计算模块,用于对所述操作原始日志进行散列计算得到所述操作原始日志对应的散列值,并保存所述操作原始日志与所述散列值的映射关系;

存储模块,用于将所述散列值和所述要素存储至母区块链网络中所述目标企业对应的目标子区块链网络中,以便所述目标子区块链网络中的监管区块链节点对所述目标企业进行操作审计;其中,所述母区块链网络中包括多个子区块链网络,每个所述子区块链网络之间进行数据隔离。

9.一种电子设备,其特征在于,包括:

存储器,用于存储计算机程序;

处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述操作审计方法的步骤。

10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述操作审计方法的步骤。

技术总结
本申请公开了一种操作审计方法、装置、系统及一种电子设备和计算机可读存储介质,该方法包括:获取目标企业的操作原始日志,并提取操作原始日志的要素;其中,要素包括标准要素和自定义要素,标准要素包括主体、客体、时间和操作类型;对操作原始日志进行散列计算得到操作原始日志对应的散列值,并保存操作原始日志与散列值的映射关系;将散列值和要素存储至母区块链网络中目标企业对应的目标子区块链网络中,以便目标子区块链网络中的监管区块链节点对目标企业进行操作审计;其中,母区块链网络中包括多个子区块链网络,每个子区块链网络之间进行数据隔离。本申请提供的操作审计方法,实现对企业进行实时的操作审计。

技术研发人员:刘斌华
受保护的技术使用者:腾讯科技(深圳)有限公司
技术研发日:2020.01.14
技术公布日:2020.06.05

转载请注明原文地址: https://bbs.8miu.com/read-58271.html

专利

最新回复(0)