保存证据文件的方法、设备以及系统与流程

本申请涉及通信技术，具体地讲是一种保存证据文件的方法、设备以及系统。

背景技术：

企业基于网络信息安全需求，企业内部的网络终端安装有终端信息安全软件防止企业内部数据通过网络外协。这些终端信息安全软件监控各网络终端的文件的创建、更新、删除、共享、邮件、web、应用程序、打印、屏幕等处理动作，根据网络安全策略执行阻止、审计、提示、加密等处理动作，并且同时生成预警日志和审计日志，将这些预警日志和审计日志作为证据文件上传到证据文件服务器。

现有技术中，企业内部的网络终端只能将本设备的证据文件上传到一台证据文件服务器。对于存在多办公场所和异地远距离办公企业，网络终端位于不同的办公场所，有的网络终端会产生几gb到几十gb的证据文件，当这些位于不同办公场所的网络终端需要将大量异地的证据文件需要远距离传输到一台证据文件服务器，会占用企业日常运营工作需要的网络带宽，严重时会影响网络终端的稳定运行和公司网络的正常运行。

技术实现要素：

本申请的目的在于提供一种保存证据文件的方法、设备以及系统，使证据文件优先被保存在多个证据文件服务器中的本地证据文件服务器。

为实现上述目的，本申请提供了一种保存证据文件的方法，其中该方法包括：从管理控制器获取证据文件服务器表；其中，证据文件服务器表存储了总部服务器表项以及多个分部服务器表项；获取本设备位置信息对应的本地ip地址网段；根据本地ip地址网段查找证据文件服务器表；判断是否查找到对应本地ip地址网段的本地分部服务器的分部服务器表项；若是，将查找到的分部服务器表项中本地分部服务器的ip地址、对应的共享目录、可写用户信息写入运行软件的环境变量；将生成的证据文件通过环境变量发送到查找到的分部服务器表项中的本地分部服务器。

为实现上述目的，本申请还提供了一种保存证据文件的设备，该设备作包括处理器以及存储器；该存储器用于存储处理器可执行指令；其中，该处理器通过运行该存储器中的处理器可执行指令用以执行以下操作：从管理控制器获取证据文件服务器表；其中，证据文件服务器表存储了总部服务器表项以及多个分部服务器表项；获取本设备位置信息对应的本地ip地址网段；根据本地ip地址网段查找证据文件服务器表；判断是否查找到对应本地ip地址网段的本地分部服务器的分部服务器表项；若是，将查找到的分部服务器表项中本地分部服务器的ip地址、对应的共享目录、可写用户信息写入运行软件的环境变量；将生成的证据文件通过环境变量发送到查找到的分部服务器表项中的本地分部服务器。

为实现上述目的，本申请还提供了一种保存证据文件的系统，其中，该系统包括管理控制器、总部服务器、多个分部服务器以及不同场所的多个网络终端；

该管理控制器用于配置证据文件服务器表；其中，该证据文件服务器表存储了总部服务器表项以及每个分部服务器对应的一个分部服务器表项；

每个该网络终端，用于从该管理控制器获取该证据文件服务器表，获取各自本设备位置信息对应的本地ip地址网段；根据各自的本地ip地址网段查找该证据文件服务器表；

各该网络终端查找到匹配自身本地ip地址网段的分部服务器表项时，将查找到的分部服务器表项中本地分部服务器的ip地址、对应的共享目录、可写用户信息写入本设备运行软件的环境变量；将生成的证据文件通过本设备运行软件的环境变量发送到查找到的分部服务器表项中的本地分部服务器；

各该网络终端未查找到匹配自身本地ip地址网段的分部服务器表项时，将该总部服务器表项中总部服务器的ip地址、对应的共享目录、可写用户信息写入本设备运行软件的环境变量；将生成的证据文件通过本设备运行软件的环境变量发送到总部服务器表项中的总部服务器。

本申请的有益效果在于，不仅能够将不同终端的证据文件分布式存储在不同的证据文件服务器，并且能够优先在各分部的证据文件服务器上保存同一分部的网络中的证据文件，减少了将大量证据文件通过网络传输到异地证据文件服务器占用的企业网络带宽。

附图说明

图1所示为本申请提供的保存证据文件的方法实施例的流程图；

图2所示为保存证据文件设备实施例的示意图；

图3所示为保存证据文件系统保存证据文件的流程图。

具体实施方式

将以多个附图所示的多个例子进行详细说明。在以下详细描述中，多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路，以免使这些例子的难于理解。

使用的术语中，术语“包括”表示包括但不限于；术语“含有”表示包括但不限于；术语“以上”、“以内”以及“以下”包含本数；术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。

图1所示为本申请提供的保存证据文件的方法实施例，该方法包括以下步骤：

步骤101，从管理控制器获取证据文件服务器表。

证据文件服务器表存储了总部服务器表项以及多个分部服务器表项。

步骤102，获取本设备位置信息对应的本地ip地址网段。

步骤103，根据本地ip地址网段查找证据文件服务器表。

步骤104，确定查找到对应本地ip地址网段的本地分部服务器的分部服务器表项。

步骤105，将查找到的分部服务器表项中本地分部服务器的ip地址、对应的共享目录、可写用户信息写入运行软件的环境变量。

步骤106，将生成的证据文件通过环境变量发送到查找到的分部服务器表项中的本地分部服务器。

图1所示方法实施例的有益效果在于，使证据文件优先被保存在多个证据文件服务器中的本地证据文件服务器。

图2所示为本申请提供的保存证据文件的设备实施例的示意图；该设备20可以作为应用于企业网络的网络终端，通过按照安全软件，能够生成证据文件。该设备2包括处理器、存储器和交换芯片。其中，存储器、处理器和交换芯片通过总线连接。存储器用于存储程序，处理器调用存储器存储的程序，以执行上述图1、图3的实施例。具体实现方式和技术效果类似。

图3所示为保存证据文件系统保存证据文件的流程图。

本实施例中，系统包括管理控制器、北京的总部文件服务器、广州的分部证据文件服务器、位置c的分部证据文件服务器以及包括位置n在内的多个其他位置的分部证据文件服务器。

管理员可以通过管理控制器的，进入证据存储配置页面，配置各个文件服务器。譬如，配置北京的总部证据文件服务器，设置ip地址、ip地址网段，共享目录、用户名以及密码、主存储位置；配置广州的分部文件服务器，设置ip地址、ip地址网段，共享目录、用户名以及密码、从存储位置；同样的，其他分部的证据文件服务器也进行相同的设置，设置ip地址、ip地址网段，共享目录、用户名以及密码、从存储位置。

配置完成后，管理控制器将上述配置信息存储证据文件服务器表，如表1所示：

表1

管理控制器保存表1的数据时，可对“共享目录可写用户账户”字段会采用专用加密算法加密，保存服务器配置表或文件中。

步骤301，从管理控制器获取证据文件服务器表。

在不同分部的网络终端上，安全软件的客户端程序与管理控制器通信期间，管理控制器的把表1的信息发送到各网络终端的安全软件的客户端程序。安全软件的客户端程序接收管理控制器发送的上述表1的数据，写入本地数据库或文件中。

步骤302，找当前计算机ip地址,获取本地ip地址网段。

网络终端的安全软件的客户端程序启动时，先检测网络终端的ip地址是否发生改变，如果发生了变化，则获取网络终端当前的ip地址。

户端程序读取本地存放保存有场所位置与ip网段等对应关系的数据库或文件，判断当前ip地址所属对应ip网段。

步骤303，判断在证据文件服务器表中是否查找到本地ip地址网段对应的本地分部服务器；若是，执行步骤304，若否，执行步骤308。

对于假设位于广州分部的网络终端，这些网络终端的安全软件客户端程序在表1中找到本地ip地址网段对应的本地证据文件服务器。

对应表1所示的存储位置之外的其他分部的网络终端，这些网络终端的安全软件客户端程序在表1中没有找到自身本地ip地址网段对应的本地证据文件服务器。

步骤304，从证据文件服务器表中读取本地分部证据文件服务器的ip地址、共享目录以及可写用户账户。

位于广州分部的网络终端，这些网络终端的安全软件客户端程序从表1中读取广州分部的证据文件服务器的ip地址、共享目录以及可写用户账户。

步骤305，将本地分部证据文件服务器的ip地址、共享目录以及可写用户账户写入运行安全软件的环境变量中。

步骤306，使用环境变量将证据文件上传到本地的分部证据文件服务器。

步骤307，上传完毕，清理上传连接会话，释放内存等计算机资源。

步骤308，从证据文件服务器表中读取总部证据文件服务器的ip地址、共享目录以及可写用户账户。

网络终端的安全软件客户端程序在表1中没有找到自身本地ip地址网段对应的本地证据文件服务器；根据表1中“主存储位置”指示的总部证据文件服务器，读取北京的总部证据文件服务器的ip地址、共享目录以及可写用户账户。

步骤309，将总部证据文件服务器的ip地址、共享目录以及可写用户账户写入运行安全软件的环境变量中。

步骤310，使用环境变量将证据文件上传到总部证据文件服务器。

步骤311，上传完毕，清理上传连接会话，释放内存等计算机资源。

图3所示实施例的有益效果在于，不仅能够将不同终端的证据文件分布式存储在不同的证据文件服务器，并且能够优先在各分部的证据文件服务器上保存同一分部的网络中的证据文件，减少了将大量证据文件通过网络传输到异地证据文件服务器占用的企业网络带宽，确保了公司网络的正常运行。

以上该仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。