监视方法以及监视系统转让专利
申请号 : CN200680026191.2
文献号 : CN101223510B
文献日 : 2010-06-23
发明人 : 小路幸市郎 , 野崎隆
申请人 : 科学园株式会社
摘要 :
为了监视客户计算机的利用状况,取得画面图像,有效地保存所取得的画面图像,可容易地检索保存的画面图像。在客户计算机(2)中,利用驱动器组件(22)取得生成画面图像时的描绘指令,从描绘指令中抽取文本数据。使抽取出的文本数据和描绘指令相关联地存储在服务器(3)的数据库(13)中。利用关键词检索数据库(13),从相关联的描绘指令再现画面图像。
权利要求 :
1.一种电子计算机的监视方法,用于通过操作系统使电子计算机动作,记录在所述电子计算机的显示装置上显示的显示图像,监视所述电子计算机的利用状况,其特征在于:当从所述操作系统或在所述操作系统上动作的应用程序在所述显示装置上显示数据时,通过利用了提供所述操作系统的图形功能的子系统(23、24)的输入功能或输出功能的取得部件,来取得所述子系统(23、24)为生成所述显示图像而执行的函数,所述取得部件具备子系统输入功能监视部件(35)以及接口驱动器部件(22),所述子系统输入功能监视部件(35)利用所述子系统(23、34)的所述输入功能取得所述函数,并且在所述操作系统的用户模式下动作,所述接口驱动器部件(22)利用所述子系统(23、34)的所述输出功能取得所述函数,并且在所述操作系统的内核模式下动作,当从所述函数中抽取文本数据时,
在所述函数由所述子系统输入功能监视部件(35)取得的情况下,由在所述用户模式下动作的监视部件(10)从所述函数中抽取所述文本数据;
在所述函数由所述接口驱动器部件(22)取得的情况下,由所述接口驱动器部件(22)从所述函数中抽取所述文本数据,使所述函数与所述文本数据相关联,(A)由记录装置用设备驱动器(29)以及所述接口驱动器部件(22)的记录装置用驱动器部(38)存储在所述电子计算机的存储部件(30)所存储的第一数据库中,或(B)为了存储在通过网络与所述电子计算机连接的服务器所存储的第二数据库中,而由发送部件(26、27、37)发送给所述服务器。
2.根据权利要求1所述的电子计算机的监视方法,其特征在于:
所述接口驱动器部件(22)是具备在用于控制所述电子计算机的设备的设备驱动器之间发送接收数据的功能、以及提供所述操作系统和所述设备驱动器的共用接口的功能,并且在所述操作系统的所述内核模式下动作的接口驱动器,所述接口驱动器部件(22)提供所述操作系统或所述应用程序与所述子系统(23、34)的所述输入功能或所述输出功能的接口,利用所述接口驱动器部件(22)的所述接口取得所述函数。
3.根据权利要求1或2所述的电子计算机的监视方法,其特征在于:
取得所述应用程序的操作履历、从所述电子计算机的输入装置输入的操作履历、所述电子计算机的通信履历、所述电子计算机的固有信息、从所述子系统(23、34)输出的光栅数据、以及从所述函数的执行时间中选择的1个以上的数据,与所述文本数据或所述函数相关联地存储在所述第一数据库或所述第二数据库中。
4.根据权利要求1或2所述的电子计算机的监视方法,其特征在于:
为了掌握所述电子计算机的利用状况,由检索部件利用关键词检索所述第一数据库或所述第二数据库,由显示部件显示所述检索的检索结果,
使用与所述检索的检索结果的所述文本数据相关联的、存储在所述第一数据库或所述第二数据库中的所述函数,由再现部件再现所述显示图像。
5.根据权利要求3所述的电子计算机的监视方法,其特征在于:
为了掌握所述电子计算机的利用状况,由检索部件利用关键词检索所述第一数据库或所述第二数据库,由显示部件显示所述检索的检索结果,
使用与所述检索的检索结果的所述文本数据相关联的、存储在所述第一数据库或所述第二数据库中的所述函数,由再现部件再现所述显示图像。
6.根据权利要求1或2所述的电子计算机的监视方法,其特征在于:
所述接口驱动器部件(22)具有:用于从所述存储装置取出数据的所述记录装置用驱动器部(38);和用于将数据输出到用于生成可直接在所述显示装置上显示的所述显示图像的图形设备驱动器(24)的接口部,通过所述记录装置用驱动器部(38)取得存储在所述第一数据库中的所述函数,输出至所述接口部,再现所述显示图像。
7.根据权利要求3所述的电子计算机的监视方法,其特征在于:
具有报告生成部件,用于根据存储在所述第一数据库或所述第二数据库中的、与所述电子计算机有关的数据,按照所述监视系统管理者的指示或定期地生成表示所述电子计算机的利用状况的报告;
所述报告由所述电子计算机的固有信息、表示利用了所述电子计算机的用户的用户信息、表示所述用户利用所述电子计算机的时间或时间带的时间信息、以及表示在所述电子计算机上执行了可疑程序或从所述电子计算机访问了发出不适当信息的网址的信息的不正当访问信息构成。
8.一种电子计算机的监视系统,用于通过操作系统使电子计算机动作,记录在所述电子计算机的显示装置上显示的显示图像,监视所述电子计算机的利用状况,其特征在于,具备:取得部件,当从所述操作系统或在所述操作系统上动作的应用程序在所述显示装置上显示数据时,利用提供所述操作系统的图形功能的子系统(23、34)的输入功能或输出功能,取得为了生成所述显示图像而执行的、所述子系统的函数,所述取得部件具备子系统输入功能监视部件(35)以及接口驱动器部件(22),所述子系统输入功能监视部件(35)利用所述子系统(23、34)的所述输入功能取得所述函数,并且在所述操作系统的用户模式下动作,所述接口驱动器部件(22)利用所述子系统(23、34)的所述输出功能取得所述函数,并且在所述操作系统的内核模式下动作,所述电子计算机的监视系统还具备:
(A)用于将相关联的、由所述取得部件取得的所述函数和从所述函数抽取的文本数据存储在所述电子计算机的存储部件(30)所存储的第一数据库中的记录装置用设备驱动器(29)以及所述接口驱动器部件(22)的记录装置用驱动器部(38);和(B)发送部件(26、27、37),为了存储在通过网络与所述电子计算机连接的服务器所存储的第二数据库中,而发送所述相关联的所述函数和所述文本数据。
9.根据权利要求8所述的电子计算机的监视系统,其特征在于:
所述接口驱动器部件(22)具备:在用于控制所述电子计算机的设备的设备驱动器之间发送接收数据的功能;以及提供所述操作系统和所述设备驱动器的共用接口的功能,所述接口驱动器部件(22)是在所述操作系统的所述内核模式下动作的软件,并且具有提供所述操作系统或所述应用程序与所述子系统(23、24)的所述输入功能或输出功能的接口的功能,所述接口驱动器部件(22)提供所述操作系统或所述应用程序与所述子系统(23、34)的所述输入功能或所述输出功能的接口,利用所述接口驱动器部件(22)的所述接口取得所述函数。
10.根据权利要求8或9所述的电子计算机的监视系统,其特征在于:
取得所述应用程序的操作履历、从所述电子计算机的输入装置输入的操作履历、所述电子计算机的通信履历、所述电子计算机的固有信息、从所述子系统(23、34)输出的光栅数据、以及从所述函数的执行时间中选择的1个以上的数据,与所述文本数据或所述函数相关联地存储在所述第一数据库或所述第二数据库中。
11.根据权利要求8或9所述的电子计算机的监视系统,其特征在于:
具备:检索部件,为了掌握所述电子计算机的利用状况,利用关键词检索所述第一数据库或所述第二数据库;显示所述检索的检索结果的显示部件;和再现部件,使用与所述检索的检索结果的所述文本数据相关联的、存储在所述第一数据库或所述第二数据库中的所述函数,再现所述显示图像。
12.根据权利要求10所述的电子计算机的监视系统,其特征在于:
具备:检索部件,为了掌握所述电子计算机的利用状况,利用关键词检索所述第一数据库或所述第二数据库;显示所述检索的检索结果的显示部件;和再现部件,使用与所述检索的检索结果的所述文本数据相关联的、存储在所述第一数据库或所述第二数据库中的所述函数,再现所述显示图像。
13.根据权利要求8或9所述的电子计算机的监视系统,其特征在于:
所述接口驱动器部件(22)具有:用于从所述存储装置取出数据的记录装置用驱动器部(38);和用于将数据输出到用于生成可直接在所述显示装置上显示的所述显示图像的图形设备驱动器(24)的接口部,通过所述记录装置用驱动器部(38)取得存储在所述第一数据库中的所述函数,输出至所述接口部,再现所述显示图像。
14.根据权利要求10所述的电子计算机的监视系统,其特征在于:
具有报告生成部件,用于根据存储在所述第一数据库或所述第二数据库中的、与所述电子计算机有关的数据,按照所述监视系统管理者的指示或定期地生成表示所述电子计算机的利用状况的报告;
所述报告由所述电子计算机的固有信息、表示利用了所述电子计算机的用户的用户信息、表示所述用户利用所述电子计算机的时间或时间带的时间信息、以及表示在所述电子计算机上执行了可疑程序或从所述电子计算机访问了发出不适当信息的网址的信息的不正当访问信息构成。
说明书 :
技术领域
本发明涉及一种用于监视电子计算机的利用状况的监视方法、适用该方法的监视系统。尤其是,涉及监视在与LAN(Local AreaNetwork,局域网)等通信网连接的客户计算机的显示器上显示的画面图像的监视方法、监视系统。
背景技术
在企业或政府机关等进驻的建筑、学校校舍等的院内构筑LAN(Local Area Network)等网络的系统得到普及。从与该网络连接的客户计算机可访问因特网等外部通信网,并且多个利用者共享系统内的信息或装置等。
这些利用者使用客户计算机办理业务。并且,这些利用者或者从客户计算机访问外部通信网,或者访问系统内共享的信息及装置,来进行其业务所需的行为。可是,也进行访问与业务无直接关系的网页的行为、以及玩游戏的行为等非业务行为,从而产生业务效率恶化等各种问题。
并且,作为非业务行为,还有可能进行信息的篡改、泄漏及破坏等不正当行为。即使在进行非业务行为的情况下,仅通过看一眼办理业务的状况也无法进行判别,从而存在难以限制的问题。还有通过积累网页的访问记录来调查对与业务无关的网页的访问的方法。
根据网页的IP地址等的访问记录来调查阅览过的网页不是容易的,并且,对于离线游戏等玩乐行为,存在记录难以保留、调查困难的问题。因此,作为监视连接于网络的客户计算机的利用状况的方案,提出各种系统。专利文献1中公开了一种监视LAN连接的客户计算机的利用状况的系统。
在该系统中,在与LAN连接的监视装置的显示器上显示与LAN连接的被监视装置的画面,并且,记录并保存在与LAN连接的记录装置中。接收到的显示图像信息与用于确定发送端的被监视装置的识别信息及时刻相对应地记录在存储于记录装置中的履历数据库中。可以以该履历数据库为基础,跟踪客户计算机的利用状况。
在专利文献2中,公开了一种用一台服务器计算机监视多台代理计算机的系统。压缩在代理计算机的视频显示器上显示的图像,经网络发送至服务器计算机,展开显示在视频显示器上或以压缩的状态记录在存储装置中。并且,取出在代理计算机上运行的处理的名称,发送至服务器计算机,补充伴随画面压缩的信息缺少。
专利文献1:特开2003-91433号公报
专利文献2:特开2001-229141号公报
这些利用者使用客户计算机办理业务。并且,这些利用者或者从客户计算机访问外部通信网,或者访问系统内共享的信息及装置,来进行其业务所需的行为。可是,也进行访问与业务无直接关系的网页的行为、以及玩游戏的行为等非业务行为,从而产生业务效率恶化等各种问题。
并且,作为非业务行为,还有可能进行信息的篡改、泄漏及破坏等不正当行为。即使在进行非业务行为的情况下,仅通过看一眼办理业务的状况也无法进行判别,从而存在难以限制的问题。还有通过积累网页的访问记录来调查对与业务无关的网页的访问的方法。
根据网页的IP地址等的访问记录来调查阅览过的网页不是容易的,并且,对于离线游戏等玩乐行为,存在记录难以保留、调查困难的问题。因此,作为监视连接于网络的客户计算机的利用状况的方案,提出各种系统。专利文献1中公开了一种监视LAN连接的客户计算机的利用状况的系统。
在该系统中,在与LAN连接的监视装置的显示器上显示与LAN连接的被监视装置的画面,并且,记录并保存在与LAN连接的记录装置中。接收到的显示图像信息与用于确定发送端的被监视装置的识别信息及时刻相对应地记录在存储于记录装置中的履历数据库中。可以以该履历数据库为基础,跟踪客户计算机的利用状况。
在专利文献2中,公开了一种用一台服务器计算机监视多台代理计算机的系统。压缩在代理计算机的视频显示器上显示的图像,经网络发送至服务器计算机,展开显示在视频显示器上或以压缩的状态记录在存储装置中。并且,取出在代理计算机上运行的处理的名称,发送至服务器计算机,补充伴随画面压缩的信息缺少。
专利文献1:特开2003-91433号公报
专利文献2:特开2001-229141号公报
发明内容
发明所要解决的技术问题
以位图、JPEG等图像库的形式保存画面上显示的画面图像的方法,处理的数据量大,网络传输时通信数据大,并且向记录装置的记录量是庞大的数据。在该现有方法中,一边再现所保存的画面图像,一边确认客户计算机的利用状况。根据保存的运行处理的名称,可确认哪个程序启动,但不能掌握画面上显示的内容。
由于以图像形式保存客户计算机的画面图像,所以不能检索画面上显示的文本信息。在跟踪画面的显示时,逐个画面地打开所保存的画面图像,一边再现一边确认。在这种跟踪方法中,不能简单地观看或显示必要的画面。虽然理论上可使用图像识别的图像处理技术,从画面图像中识别其中显示的文本数据,但因此进行图像处理的数据量变得庞大,所以从画面上显示的连续再现的画面图像中读取文本数据不实用。
本发明基于上述背景技术而作出,实现下述目的。
本发明的目的在于提供一种为了监视客户计算机的利用状况而取得画面图像、有效地保存取得的画面图像的监视方法、监视系统。
本发明的另一目的在于提供一种可容易地检索为了监视客户计算机的利用状况而保存的画面图像的监视方法、监视系统。
本发明的又一目的在于提供一种再现为了监视客户计算机的利用状况而保存的描绘指令库的画面图像的监视方法、监视系统。
解决技术问题的技术方案
本发明为了实现所述目的,采用如下方案。
本发明提供一种用于监视客户计算机的利用状况的监视方法、监视系统。本发明通过操作系统使电子计算机动作,记录在电子计算机的显示装置上显示的显示图像,监视电子计算机的利用状况。本发明的监视系统使电子计算机的显示装置上显示的画面图像和从该画面图像中抽取的文本数据相关联,进行数据库化后保存。
通过使利用电子计算机生成画面图像时的描绘指令成为库来保存画面图像。并且,画面图像可以用光栅数据保存。描绘指令作为文本数据保存在数据库中。该数据库存储在服务器中。服务器通过网络与电子计算机连接。服务器具备用于检索数据库的检索部件;和用于从所保存的光栅数据或描绘指令再现画面图像的再现部件。
为了掌握电子计算机的利用状况,由检索部件利用关键词检索数据库,由显示部件显示检索的检索结果。并且,使用与检索的检索结果的文本数据相关联的、存储在数据库中的描绘指令等函数,由再现部件再现显示图像。电子计算机由操作系统控制而动作。当从操作系统或在操作系统上动作的应用程序在电子计算机的显示装置上显示数据时,提供操作系统的图形功能的子系统(GDI32、GDI)生成显示图像。
利用GDI32、GDI提供的函数、即描绘指令生成画面图像。描绘指令中有在画面图像上显示矢量数据的指令和显示光栅数据的指令。并且,还有显示文本数据的指令。电子计算机和服务器具备由在操作系统的内核模式下动作的接口驱动器部件构成的取得部件。接口驱动器部件提供操作系统或应用程序与子系统的输入功能或输出功能的接口。
利用子系统(GDI32、GDI)的输入功能或输出功能,取得子系统(GDI32、GDI)为生成显示图像而执行的描绘指令等函数。即,利用GDI32、GDI、显示设备驱动器等的输入输出功能取得描绘指令。从取得的函数中抽取文本数据,使函数与文本数据相关联,存储在数据库中。由取得部件执行描绘指令等函数的取得。取得部件利用接口驱动器部件的接口取得函数。
在从应用程序输出在画面中显示数据的请求、并将数据传给提供操作系统的图形相关功能的子系统GDI32时,取得描绘指令。并且,在将数据从GDI32传给操作系统的内核模式的GDI时,或执行GDI时,取得描绘指令。
电子计算机具备用于将取得部件取得的取得数据发送至服务器的发送部件。服务器具备:接收由电子计算机的发送部件发送来的数据的接收部件;和将包含于该数据中的取得数据存储在数据库中的存储部件。画面图像从电子计算机被发送至服务器时,从画面图像中抽取文本数据,与该画面图像相关联,保存在数据库中。电子计算机可具有从画面图像中抽取文本数据的功能。
接口驱动器部件具有用于从存储装置取出数据的记录装置用驱动器部;和用于将数据输出至用于生成可在显示装置上直接显示的显示图像的图形设备驱动器的接口部。服务器的再现部件具有记录装置用驱动器部和接口部。在服务器中,由记录装置用驱动器部取得存储在数据库中的函数,输出到接口部,再现显示图像。
在电子计算机中,由取得部件取得应用程序的操作履历、从电子计算机的输入装置输入的操作履历、电子计算机的通信履历、电子计算机的固有信息、从子系统输出的光栅数据、以及从函数的执行时间中选择的1个以上的数据。这些履历数据与文本数据或函数相关联,存储在数据库中。也可采用在数据库中存储保存了矢量数据和光栅数据的保存目的地链接,代替包含在画面图像中的矢量数据和光栅数据的方法。
为了掌握电子计算机的利用状况,由检索部件利用关键词检索数据库,由显示部件显示检索的检索结果,使用与检索的检索结果的文本数据相关联的、存储在数据库中的函数,由再现部件再现显示图像。监视系统具备如下功能:根据存储在数据库中的履历数据、函数、画面图像等与电子计算机有关的数据,生成表示电子计算机的利用状况的报告。
该报告按照监视系统管理者的指示或定期地生成。服务器具有用于生成该报告的报告生成部件。报告生成部件分析与电子计算机有关的数据,归纳其结果并形成报告。报告由电子计算机的固有信息、表示利用了电子计算机的用户的用户信息、表示用户利用电子计算机的时间或时间带的时间信息、以及表示利用电子计算机执行了可疑程序、或从电子计算机访问了发出不适当信息的网址的信息的不正当信息构成。
通过用户模式的应用程序或内核模式的驱动器组件(driverware)来实现保存在数据库中的画面图像的再现。将数据库、画面图像存储在监视系统的服务器中,但也可采取保存在电子计算机的本地或外挂记录装置中的方法。或者,数据库也可采取保存在网络上的其他电子计算机中的方法。经网络连接于数据库的其他电子计算机可具备访问数据库、检索其内容、再现画面图像的功能。
发明效果
根据本发明,取得如下效果。
本发明取得生成在客户计算机的画面中显示的画面图像时的指令,来保存该画面图像,所以与现有图像库的保存形式不同,可降低数据量。
本发明从在客户计算机的画面中显示的画面图像中、详细地说从取得的指令中抽取文本数据,使该文本数据和指令库的画面图像相关联地保存,从而实现数据库化,所以可容易地检索客户计算机的利用状况。
本发明将客户计算机的、使描绘指令成为库的画面图像和包含于其中的文本数据相关联地实现数据库化,利用文本关键词检索数据库,利用与检索结果相关联的描绘指令再现画面图像,所以可容易地找到目的画面图像,容易管理客户计算机的利用状况。
本发明通过将客户计算机的利用状况定期地或按照管理者的指示生成为报告,并按照管理策略,在规定期间之间保管,还可用于法人监查或安全管理。
以位图、JPEG等图像库的形式保存画面上显示的画面图像的方法,处理的数据量大,网络传输时通信数据大,并且向记录装置的记录量是庞大的数据。在该现有方法中,一边再现所保存的画面图像,一边确认客户计算机的利用状况。根据保存的运行处理的名称,可确认哪个程序启动,但不能掌握画面上显示的内容。
由于以图像形式保存客户计算机的画面图像,所以不能检索画面上显示的文本信息。在跟踪画面的显示时,逐个画面地打开所保存的画面图像,一边再现一边确认。在这种跟踪方法中,不能简单地观看或显示必要的画面。虽然理论上可使用图像识别的图像处理技术,从画面图像中识别其中显示的文本数据,但因此进行图像处理的数据量变得庞大,所以从画面上显示的连续再现的画面图像中读取文本数据不实用。
本发明基于上述背景技术而作出,实现下述目的。
本发明的目的在于提供一种为了监视客户计算机的利用状况而取得画面图像、有效地保存取得的画面图像的监视方法、监视系统。
本发明的另一目的在于提供一种可容易地检索为了监视客户计算机的利用状况而保存的画面图像的监视方法、监视系统。
本发明的又一目的在于提供一种再现为了监视客户计算机的利用状况而保存的描绘指令库的画面图像的监视方法、监视系统。
解决技术问题的技术方案
本发明为了实现所述目的,采用如下方案。
本发明提供一种用于监视客户计算机的利用状况的监视方法、监视系统。本发明通过操作系统使电子计算机动作,记录在电子计算机的显示装置上显示的显示图像,监视电子计算机的利用状况。本发明的监视系统使电子计算机的显示装置上显示的画面图像和从该画面图像中抽取的文本数据相关联,进行数据库化后保存。
通过使利用电子计算机生成画面图像时的描绘指令成为库来保存画面图像。并且,画面图像可以用光栅数据保存。描绘指令作为文本数据保存在数据库中。该数据库存储在服务器中。服务器通过网络与电子计算机连接。服务器具备用于检索数据库的检索部件;和用于从所保存的光栅数据或描绘指令再现画面图像的再现部件。
为了掌握电子计算机的利用状况,由检索部件利用关键词检索数据库,由显示部件显示检索的检索结果。并且,使用与检索的检索结果的文本数据相关联的、存储在数据库中的描绘指令等函数,由再现部件再现显示图像。电子计算机由操作系统控制而动作。当从操作系统或在操作系统上动作的应用程序在电子计算机的显示装置上显示数据时,提供操作系统的图形功能的子系统(GDI32、GDI)生成显示图像。
利用GDI32、GDI提供的函数、即描绘指令生成画面图像。描绘指令中有在画面图像上显示矢量数据的指令和显示光栅数据的指令。并且,还有显示文本数据的指令。电子计算机和服务器具备由在操作系统的内核模式下动作的接口驱动器部件构成的取得部件。接口驱动器部件提供操作系统或应用程序与子系统的输入功能或输出功能的接口。
利用子系统(GDI32、GDI)的输入功能或输出功能,取得子系统(GDI32、GDI)为生成显示图像而执行的描绘指令等函数。即,利用GDI32、GDI、显示设备驱动器等的输入输出功能取得描绘指令。从取得的函数中抽取文本数据,使函数与文本数据相关联,存储在数据库中。由取得部件执行描绘指令等函数的取得。取得部件利用接口驱动器部件的接口取得函数。
在从应用程序输出在画面中显示数据的请求、并将数据传给提供操作系统的图形相关功能的子系统GDI32时,取得描绘指令。并且,在将数据从GDI32传给操作系统的内核模式的GDI时,或执行GDI时,取得描绘指令。
电子计算机具备用于将取得部件取得的取得数据发送至服务器的发送部件。服务器具备:接收由电子计算机的发送部件发送来的数据的接收部件;和将包含于该数据中的取得数据存储在数据库中的存储部件。画面图像从电子计算机被发送至服务器时,从画面图像中抽取文本数据,与该画面图像相关联,保存在数据库中。电子计算机可具有从画面图像中抽取文本数据的功能。
接口驱动器部件具有用于从存储装置取出数据的记录装置用驱动器部;和用于将数据输出至用于生成可在显示装置上直接显示的显示图像的图形设备驱动器的接口部。服务器的再现部件具有记录装置用驱动器部和接口部。在服务器中,由记录装置用驱动器部取得存储在数据库中的函数,输出到接口部,再现显示图像。
在电子计算机中,由取得部件取得应用程序的操作履历、从电子计算机的输入装置输入的操作履历、电子计算机的通信履历、电子计算机的固有信息、从子系统输出的光栅数据、以及从函数的执行时间中选择的1个以上的数据。这些履历数据与文本数据或函数相关联,存储在数据库中。也可采用在数据库中存储保存了矢量数据和光栅数据的保存目的地链接,代替包含在画面图像中的矢量数据和光栅数据的方法。
为了掌握电子计算机的利用状况,由检索部件利用关键词检索数据库,由显示部件显示检索的检索结果,使用与检索的检索结果的文本数据相关联的、存储在数据库中的函数,由再现部件再现显示图像。监视系统具备如下功能:根据存储在数据库中的履历数据、函数、画面图像等与电子计算机有关的数据,生成表示电子计算机的利用状况的报告。
该报告按照监视系统管理者的指示或定期地生成。服务器具有用于生成该报告的报告生成部件。报告生成部件分析与电子计算机有关的数据,归纳其结果并形成报告。报告由电子计算机的固有信息、表示利用了电子计算机的用户的用户信息、表示用户利用电子计算机的时间或时间带的时间信息、以及表示利用电子计算机执行了可疑程序、或从电子计算机访问了发出不适当信息的网址的信息的不正当信息构成。
通过用户模式的应用程序或内核模式的驱动器组件(driverware)来实现保存在数据库中的画面图像的再现。将数据库、画面图像存储在监视系统的服务器中,但也可采取保存在电子计算机的本地或外挂记录装置中的方法。或者,数据库也可采取保存在网络上的其他电子计算机中的方法。经网络连接于数据库的其他电子计算机可具备访问数据库、检索其内容、再现画面图像的功能。
发明效果
根据本发明,取得如下效果。
本发明取得生成在客户计算机的画面中显示的画面图像时的指令,来保存该画面图像,所以与现有图像库的保存形式不同,可降低数据量。
本发明从在客户计算机的画面中显示的画面图像中、详细地说从取得的指令中抽取文本数据,使该文本数据和指令库的画面图像相关联地保存,从而实现数据库化,所以可容易地检索客户计算机的利用状况。
本发明将客户计算机的、使描绘指令成为库的画面图像和包含于其中的文本数据相关联地实现数据库化,利用文本关键词检索数据库,利用与检索结果相关联的描绘指令再现画面图像,所以可容易地找到目的画面图像,容易管理客户计算机的利用状况。
本发明通过将客户计算机的利用状况定期地或按照管理者的指示生成为报告,并按照管理策略,在规定期间之间保管,还可用于法人监查或安全管理。
附图说明
图1是图示本发明的监视系统1的概要的图。
图2是图示客户计算机2的概要的图。
图3是表示在显示器28上显示画面图像的过程的流程图。
图4是图示监视服务器3的概要的图。
图5是表示监视系统1的整体动作流程的流程图。
图6是检索保存在数据库13中的数据、再现客户计算机2的画面图像时的画面例。
图7是表示根据保存在数据库13中的数据来掌握客户计算机2的利用状况的流程的流程图。
图8是在内核模式32下再现画面图像的例子的流程图。
图9是在用户模式31下再现画面图像的例子的流程图。
图10是图示表示客户计算机2的利用状况的报告70的例子的图。
符号说明
1、监视系统
2、客户计算机
3、监视服务器
4、LAN
5、打印机
6、共享文件服务器
7、路由器
8、LAN缆线
10、监视工具
11、监视程序
13、数据库
20、应用程序
21、操作系统
22、驱动器组件
23、GDI
24、图形设备驱动器
25、图形卡
26、网络设备驱动器
27、网卡
28、显示器
29、存储装置用设备驱动器
30、存储装置
31、用户模式
32、内核模式
33、子系统
34、GDI32
35、GDI32监视模块
36、GDI监视模块
37、网络驱动器模块
38、存储装置用驱动器模块
51、再现区域
52、再现画面
53、再现工具条
54、检索区域
55、终端列表区域
56、检索区域
57、终端的操作履历图
58、缩略图区域
70、报告
图2是图示客户计算机2的概要的图。
图3是表示在显示器28上显示画面图像的过程的流程图。
图4是图示监视服务器3的概要的图。
图5是表示监视系统1的整体动作流程的流程图。
图6是检索保存在数据库13中的数据、再现客户计算机2的画面图像时的画面例。
图7是表示根据保存在数据库13中的数据来掌握客户计算机2的利用状况的流程的流程图。
图8是在内核模式32下再现画面图像的例子的流程图。
图9是在用户模式31下再现画面图像的例子的流程图。
图10是图示表示客户计算机2的利用状况的报告70的例子的图。
符号说明
1、监视系统
2、客户计算机
3、监视服务器
4、LAN
5、打印机
6、共享文件服务器
7、路由器
8、LAN缆线
10、监视工具
11、监视程序
13、数据库
20、应用程序
21、操作系统
22、驱动器组件
23、GDI
24、图形设备驱动器
25、图形卡
26、网络设备驱动器
27、网卡
28、显示器
29、存储装置用设备驱动器
30、存储装置
31、用户模式
32、内核模式
33、子系统
34、GDI32
35、GDI32监视模块
36、GDI监视模块
37、网络驱动器模块
38、存储装置用驱动器模块
51、再现区域
52、再现画面
53、再现工具条
54、检索区域
55、终端列表区域
56、检索区域
57、终端的操作履历图
58、缩略图区域
70、报告
具体实施方式
本发明是用于监视客户计算机的利用状况的监视系统。本发明的监视系统使在客户计算机的显示器上显示的画面图像与从该画面图像中抽取的文本数据相关联地数据库化后保存。客户计算机利用GDI32(Graphics Device Interface(图形设备接口)32的缩写,参照后述的说明)、GDI(Graphics Device Interface的缩写,参照后述的说明)、显示设备驱动器等生成画面图像。
利用GDI32、GDI提供的函数、即描绘指令生成画面图像。在描绘指令中,有对画面图像显示矢量数据的指令和显示光栅数据的指令。并且,还有显示文本数据的指令。通过使利用客户计算机生成画面图像时的描绘指令成为库来保存画面图像。
描绘指令利用GDI32、GDI、显示设备驱动器等的输入输出功能来取得。在数据库中还保存生成画面图像的时间信息,客户计算机的识别信息、利用者的识别信息等。并且,可采用在数据库中存储保存了矢量数据和光栅数据的保存地的链接,来代替画面图像中包含的矢量数据和光栅数据的方法。
数据库、画面图像被存储在监视系统的监视服务器中,但可以采用保存在网络上的其他电子计算机、客户计算机的本地或外挂记录装置中的方法。通过检索存储在该数据库中的信息,可容易地掌握客户计算机的显示器上显示的内容。
监视系统从客户计算机或监视服务器访问数据库,检索其内容或再现所保存的画面图像。并且,从经由网络与监视服务器连接的其他电子计算机也可以进行同样的操作。
在从应用程序输出在画面中显示数据的请求、并将数据传到操作系统的提供图形相关功能的子系统GDI32时,取得描绘指令。并且,在将数据从GDI32传给操作系统的内核模式的GDI时、或GDI执行时,取得描绘指令。通过用户模式的应用程序或内核模式的驱动器组件来实现保存在数据库中的画面图像的再现。
下面,说明用于实施发明的最佳方式。图1图示出本发明的监视系统1的概要。监视系统1是用于监视客户计算机2的利用状况的系统。监视系统1由客户计算机2和监视服务器3构成。客户计算机2是具备输入输出装置的一般电子计算机。客户计算机2和监视服务器3连接于LAN4上。
客户计算机2通过LAN4与其他的客户计算机2或打印机5连接。并且,在LAN4上连接有存储了用于共享利用的文件等的共享文件服务器6。客户计算机2可经由LAN4访问共享文件服务器6,访问存储在共享文件服务器6中的共享文件。
并且,LAN4经由连接于其上的路由器7,连接于因特网9等外部网络上。LAN4通过LAN缆线8将构成其的客户计算机2、监视服务器3、共享文件服务器6等电子计算机、路由器7、打印机5相互连接。用户可利用客户计算机2,使用安装在客户计算机2中的软件进行必要的作业。
并且,用户从客户计算机2访问其他的客户计算机2或共享文件服务器6等,或者利用打印机5打印文件。并且,从安装在客户计算机2上的Web浏览器访问因特网9,进行因特网9上的数据阅览、文件下载、利用电子邮件用软件的电子邮件的发送接收等。
在客户计算机2中安装监视工具10(参照图2)。监视工具10是用于将客户计算机2的画面中显示的内容发送至监视服务器3的软件。监视工具10具有取得客户计算机2的画面中显示的画面图像和包含在该画面图像中的文本数据并发送至监视服务器3的功能。画面图像通过使生成该画面图像时的描绘指令成为库来保存。
在画面图像包含RAW的位图数据等光栅数据时,监视工具10将其与文本数据和描绘指令一起发送至监视服务器3。并且,可压缩包含在画面图像中的光栅数据,谋求发送数据的减少。并且,在发送画面图像或文本数据时,还可加密后发送至监视服务器3。这些压缩、加密使用公知技术进行。因此,省略其详细说明。
在监视服务器3中安装有作为监视用应用程序的监视程序11,该程序动作(参照图4)。监视服务器3通过内置或外挂具有存储装置30(参照图4),在其中存储存储了监视客户计算机2所需的数据的数据库13(参照图1)。监视程序11具备如下功能:使从描绘指令中抽取出的文本数据与从由客户计算机2发送来的描绘指令来再现画面图像所需的数据相关联,保存在数据库13中。
监视工具10或驱动器组件22(说明后述)具备从描绘指令中抽取文本数据的功能,但监视服务器3也可具备该功能。监视工具10具有取得与在客户计算机2上动作的应用程序20等软件的动作有关的信息并发送至监视服务器3的功能。例如,监视工具10取得文件的打开关闭、更新或删除等的操作日志、与应用程序20的执行相关联的数据等,发送至监视服务器3。监视工具10取得操作客户计算机2的输入输出装置时的数据,发送至监视服务器3。
图2中图示出客户计算机2的概要。在图2中图示出应用程序20、操作系统21、驱动器组件22、GDI23、图形设备驱动器24、图形卡25、网络设备驱动器26、网卡27、显示器28。并且,图示出存储装置用设备驱动器29、存储装置30。应用程序20是安装在客户计算机2中的软件。
客户计算机2是具备显示器28、鼠标(未图示)、键盘(未图示)等输入输出装置、内置或外挂硬盘等存储装置30、RAM(未图示)、ROM(未图示)等存储器、中央处理单元(未图示)等的一般电子计算机。客户计算机2还具备网卡27、通信端口(未图示)等数据通信所需的硬件。
并且,应用程序20是在Windows(注册商标)的用户模式31下动作的程序。操作系统21是被导入、安装在客户计算机2中的基本软件。显示器28是客户计算机2的输出装置的一个物理装置。网卡27是用于客户计算机2与网络连接的物理设备。
网络设备驱动器26是直接控制网卡27、提供操作系统21或应用程序20与LAN8的通信的程序。在客户计算机2上搭载多个如网卡27或显示28那样的物理设备。
这些物理设备由网络设备驱动器26等各自的设备驱动器控制来动作。从操作系统21控制这些设备驱动器。从一个设备至另一个设备的数据的发送接收一般经由操作系统21、尤其是操作系统21的用户模式31执行。
驱动器组件22是用于在内核模式32下实现设备驱动器间的数据的发送接收的软件。作为驱动器组件22的例子,在WO02/091195中作为电子计算机的接口驱动程序被公开。驱动器组件22具有不仅提供设备驱动器之间的数据的发送接收、还提供操作系统21与多个设备驱动器的数据的发送接收的功能。
驱动器组件22在操作系统21的内核模式32下动作,并在从操作系统21的GDI32(34)向GDI23进行数据的发送接收时,取得该数据。并且,驱动器组件22在从GDI23向图形设备驱动器24进行数据的发送接收时,取得该数据。
图形卡25是用于生成在显示器28上显示的画面图像的物理设备。图形设备驱动器24是用于控制图形卡25的设备驱动器。图形设备驱动器24一边根据来自GDI23(参照后述的说明)的命令和所传递的数据控制图形卡25,一边生成画面图像。
图形卡25将用于在显示器28上显示的位图形式的RAW数据存储在其内部的存储器中,按照图形设备驱动器24的命令,依次发送到显示器28,使画面图像在显示器28上显示。监视工具10被安装在客户计算机2中,是用于取得客户计算机2的显示器28上显示的画面图像等的数据并发送至服务器3的程序。
监视工具10从GDI32监视模块35取得描绘指令。详细地说,GDI32监视模块35接收从应用程序20传给GDI32(35)的数据和画面显示请求的描绘指令,将该接收到的数据传给监视工具10。该描绘指令是用于输出向显示装置进行输出用的矢量数据、光栅数据、文本数据的GDI函数。
驱动器组件22具备提供与GDI23的接口的GDI监视模块36、提供与网络设备驱动器26的接口的网络驱动器模块37、以及提供与存储装置用设备驱动器29的接口的存储装置用驱动器模块38。
[关于GDI]
在Windows中,包含窗口和字符在内,将显示器28上显示的全部数据处理为图像。Windows按标准提供的子系统33有多个,其中图形相关的是GDI32(Graphics Device Interface 32)(34)。Windows在打印装置或显示器28等显示装置上显示文本、图形、图像数据等数据时使用GDI32(34)。GDI32(34)在操作系统21的用户模式31下动作。
应用程序20将对画面图像的描绘或打印等处理委托给子系统33,该处理由子系统33内的GDI32(34)执行。GDI32(34)与在内核模式32下动作的GDI23一起,将该委托转换成显示器驱动器或打印驱动器可处理的形式来执行。GDI23可通过与设备驱动器的交换,吸收因输出装置的机型或种类不同而产生的不同,可以以如果从应用程序20看则意识不到输出装置的不同的方式动作。
GDI23提供用于处理来自应用程序20的委托数据的如下描绘指令。例如有用于描绘线的DrvLineTo指令等输出矢量数据的描绘指令。并且有用于输出文本的字符串的DrvTextOut指令等描绘指令。并且有用于输出光栅数据的DrvBitBlt指令等描绘指令。
可使用下面的GDI函数输出文本。
BOOL
DrvTextOut(
IN SURFOBJ*pso,
IN STROBJ*pstro,
IN FONTOBJ*pfo,
IN CLIPOBJ*pco,
IN RECTL*prclExtra,
IN RECTL*prclOpaque,
IN BRUSHOBJ*pboFore,
IN BRUSHOBJ*pboOpaque,
IN POINTL*pptlOrg,
IN MIX mix
);
驱动器组件22提供GDI23与应用程序20或操作系统21的接口,取得从GDI23和应用程序20或操作系统21发送至GDI23的命令、数据。驱动器组件22从GDI23和应用程序20或操作系统21取得为了生成画面图像而被发送、因此被发送至GDI23的描绘指令。
驱动器组件22具有从描绘指令中抽取文本数据的功能、以及将描绘指令和文本数据发送至服务器3的功能。根据来自监视工具10的指示,发送到指定的服务器3。
[描绘的过程]
图3是示出显示画面图像的过程的流程图。应用程序20在显示器28上显示文本或图时,将文本或图输出至GDI32(34),并委托显示请求(步骤1)。将从应用程序10对GDI32(34)的委托从子系统34传给GDI23(步骤3)。这时,GDI32监视模块35取得该委托(步骤2)。
GDI23接收该委托,转换成图形设备驱动器24可处理的形式,发送至图形设备驱动器24(步骤4)。驱动器组件22利用GDI监视模块36取得从GDI23发送至图形设备驱动器24的数据,并发送至监视工具10(步骤5)。
画面图像通过使生成该画面图像时的描绘指令成为库来取得。并且,还取得客户计算机生成画面图像时的光栅数据并保存。
监视工具10分析从GDI32监视模块35和驱动器组件22取得的、生成画面图像的描绘指令,取得其中包含的文本数据(步骤6)。图形设备驱动器24、图形卡25使用从GDI23接收到的数据,生成画面图像(步骤7)。
图形卡25将生成的画面图像发送至显示器28并显示(步骤8)。监视工具10将该取得的文本数据和画面图像传给驱动器组件22,驱动器组件22使用文本数据和画面图像,生成发送给监视服务器3的发送数据。将该生成的发送数据传给网络设备驱动器26,经由网卡27发送至监视服务器3(步骤9)。
监视工具10除了取得描绘指令其中包含的文本数据之外,还取得生成画面图像的时间信息、客户计算机2的识别信息、利用者的识别信息等,发送至监视服务器3。作为客户计算机2的识别信息,从客户计算机2的计算机名、IP地址、及MAC地址中取得1个以上。作为利用者的识别信息,取得在客户计算机2中登录的用户名。
在图4中图示出监视服务器3的概要。监视服务器3是具备显示器28、鼠标(未图示)、键盘(未图示)等输入输出装置、内置或外挂硬盘等存储装置30、RAM(未图示)、ROM(未图示)等存储器、中央处理单元(未图示)等的一般电子计算机。监视服务器3还具备网卡27、通信端口(未图示)等数据通信所需的硬件。
监视服务器3具备存储装置30和存储装置用设备驱动器29。存储装置30是监视服务器3的内部存储装置,是用于存储数据库13的存储装置。存储装置用设备驱动器29是用于直接控制存储装置30的设备驱动器。监视服务器3的其它设备或软件执行与图2相同的功能,所以省略详细的说明。下面,仅说明不同功能和动作。
[整体的动作]
图5是表示监视系统1的整体动作的流程图。在要监视利用状况的客户计算机2中预先安装监视工具10(步骤11)。监视工具10存储在CD-ROM或软盘等记录媒体中,从记录媒体安装到客户计算机2中。并且,也可从网络下载并安装到客户计算机2中。
这时,一起安装驱动器组件22。然后,使监视工具10在客户计算机2上动作,指定监视服务器3,开始监视用户(步骤12)。并且,可指定与在客户计算机2上动作的应用程序20的动作或文件有关的日志的监视。
之后,监视工具10利用GDI23的输入输出功能,取得客户计算机2的显示器28上显示的画面图像的描绘指令和包含在该描绘指令中的文本数据(步骤13)。在图3的流程图中详细地说明了该数据的取得。然后,监视工具10取得处于可发送至显示器28的状态的画面图像,生成包含文本数据和画面图像等的发送数据,发送至监视服务器3(步骤14、15)。
该画面图像基本上是描绘指令库的图像,但有时用光栅数据表现。这时,可进行画面图像的压缩、尺寸的变更等。并且,还可加密向监视服务器3发送的数据。监视服务器3接收包含从客户计算机2发送来的文本数据、画面图像等的发送数据,进行解析(步骤16、17)。
然后,监视服务器3使文本数据和画面图像相关联,保存在存储装置中(步骤18、19)。用文本数据和画面图像的数据更新数据库13(步骤20)。在数据库13中还存储从客户计算机2发送来的画面图像生成的时间信息、客户计算机2的识别信息、利用者的识别信息等。
然后,监视服务器3移至下一处理。在监视服务器3中执行的步骤16至19的处理由监视程序11执行。指定该处理,并在安装了监视工具10的全部客户计算机2中执行。可根据保存在数据库13中的数据,掌握客户计算机2的利用状况。
检索保存在数据库13中的数据,一边再现与其对应的画面图像,一边掌握客户计算机2的利用状况。在图6中图示出检索数据库13的内容、再现画面时的画面例。在图6的画面的中央附近显示出用于再现客户计算机2的利用状况的再现区域51。
在再现区域51中,存在作为用于显示客户计算机2的画面图像的再现的区域的再现画面52、和由用于在再现时进行控制的按钮构成的再现工具条53。再现工具条53连续地再现再现画面52中显示的图像,显示用于控制的各种按钮。在再现工具条53中,从左侧起显示用于按帧后退(コマ戻り)、按帧前进(コマ送り)、快退、再现、暂停、快进、停止的按钮等。
在再现区域51的左侧显示检索区域54。在检索区域54中显示终端列表区域55和检索区域56。在终端列表区域55中显示正在监视的客户计算机2的一览、或者为进行监视而保存了显示画面的客户计算机2的一览。在检索区域56中显示用于检索的关键词的输入框等。
在再现区域51的右侧显示用于显示再现画面52中显示的图像的描绘指令的一览的终端操作履历图57。在再现区域51的下侧显示缩略图区域58。在缩略图区域58中显示向检索区域56输入关键词后检索出的结果所对应的图像的缩略图。
图7的流程图中示出检索保存在数据库13中的数据,一边再现与其对应的画面图像,一边掌握客户计算机2的利用状况的一例。启动监视程序11(步骤30),显示图6中示出的画面。将检索关键词输入检索区域54中(步骤31)。作为检索关键词,可指定特定的程序名、输入单词、操作时间、操作期间、IP地址、用户名、访问目的地的IP地址等。
并且,可指定客户计算机2的识别信息、利用者的识另信息等。然后,利用该检索关键词检索数据库的内容(步骤32)。然后,将检索结果显示在缩略图区域58中(步骤33、34)。在检索结果有多个时,并列显示该结果。在检索时,可从终端列表区域55中选择特定的客户计算机2。
若从缩略图区域58的检索结果中选择一个缩略图,则从存储装置30中调出与该结果相关联的画面图像,在再现画面52中显示并再现(步骤35)。由于通过使描绘指令成为库来保存画面图像,所以利用该描绘指令重现画面图像,并连续地再现。然后,在终端的操作履历图57中显示在该画面图像中使用的描绘指令的一览。在终端的操作履历图57中还显示客户计算机2的操作履历。
详细地说,在终端的操作履历图57中显示文件的访问履历、与应用程序的执行有关的信息等,并掌握再现图像与其前后的再现图像的关联操作。一边利用再现工具条53一边再现再现画面,或者快进,来确认客户计算机2的利用状况。在检索结果未发现对应于关键词的结果时,可通知该情况,用其他方法继续检索(步骤33、37、38)。例如,通过在规定期间之间记录的画面的再现、或类似关键词的检索等确认客户计算机2的利用状况。
这样,如果不是只保存客户计算机2的画面图像,而是与包含在该画面图像中的文本数据相关联地保存,则之后,可以输入一般文本的关键词来对其进行检索。由此,可迅速掌握用户在怎样利用客户计算机2。由于画面图像通过使描绘指令成为库来保存,所以处理的数据量远远小于图像数据。
当然,可以确认并容易掌握用户是否在进行具有著作权的电子数据的非法复制、或对不适当的网页的访问等可疑操作。详细地说,可通过依次再现记录在记录装置30上的画面图像来得知。
并且,可使监视程序11具有在发现特定的关键词时通知管理者的功能,从而可迅速应对用户的可疑操作。或者,还可在客户计算机2的显示器28上显示警告,或利用邮件等通知、警告客户计算机2的用户。可在管理者的计算机上显示警告,或将警告发送至管理者的便携电话,或将警告发送至管理者的邮件地址来通知管理者。
虽然将数据库13、画面图像存储在监视服务器3中,但也可保存在网络上的其他电子计算机、客户计算机2的本地或外挂记录装置中。为了谋求其保存容量的减小,所保存的画面图像也可以是黑白的图像。可从客户计算机2、监视服务器3、经网络连接的其他电子计算机访问该数据库13,检索其中记录的内容,或者再现所保存的画面图像。
在本实施方式中,提供客户计算机2上动作的监视工具10、在监视服务器3上动作的监视程序11。但是,可提供限制监视程序11的功能中的一部分功能的管理程序。例如,管理程序可仅具备所保存的画面图像的再现功能、及数据库3的检索功能。该管理程序可安装在可利用专用应用程序访问所保存的画面图像或数据库3的计算机上动作。该管理程序还可以是基于Web的程序。
[在内核模式32下画面图像的再现]
在利用监视服务器3再现保存在存储装置30中的画面图像时,采取在用户模式31或内核模式32下再现的方法。在图8的流程图中示出在内核模式32下再现画面图像的方法。在再现画面图像时,从监视程序11向驱动器组件22请求画面图像用的数据(步骤50)。
驱动器组件22接收该画面图像的再现请求(步骤51),从驱动器组件22的存储装置用驱动器模块38向存储装置用设备驱动器29请求数据(步骤52)。存储装置用设备驱动器29从存储装置30取得被请求的数据(步骤53),发送至存储装置用驱动器模块38。
存储装置用驱动器模块38将从存储装置设备驱动器29接收到的数据传给驱动器组件22。驱动器组件22将该数据经由GDI监视模块36发送至图形设备驱动器24(步骤56、57)。图形设备驱动器24和图形卡25利用从GDI监视模块36接收到的数据,生成可在显示器28上显示的画面图像,发送至显示器28(步骤58、59)。
由此,利用所保存的画面图像数据再现出画面图像。在该方法中,由于从存储装置30取得的数据只经由操作系统21的内核模式32发送、处理,所以操作系统21不必切换内核模式32和用户模式31,高速地执行一系列的处理。
[在用户模式31下画面图像的再现]
图9的流程图示出在用户模式31下再现画面图像的方法。从监视程序11向存储装置30请求画面图像用的数据(画面再现用数据)(步骤70)。该请求经子系统33发送至存储装置设备驱动器29(步骤71)。
在从监视程序11向存储装置设备驱动器29请求画面再现用数据时,操作系统21的动作模式从用户模式31切换至内核模式32。存储装置设备驱动器29接收该请求(步骤72),从存储装置30取得被请求的画面再现用数据(步骤73),经子系统29传给监视程序11(步骤74、75)。
在将被请求的画面再现用数据从存储装置设备驱动器29传给监视程序11时,操作系统21的动作模式从内核模式32切换至用户模式31。在从监视程序11向存储装置设备驱动器29请求画面再现用数据时、以及在将画面再现用数据从存储装置设备驱动器29传给监视程序11时,经由驱动器组件22执行,但驱动器组件22对这些数据不进行任何处理。
监视程序11经由GDI32监视模块35,使用画面再现用数据进行画面图像的再现(步骤76)。GDI32监视模块35将从监视程序11传来的画面图像用的画面再现用数据传到GDI32(34),并从GDI32(34)传给GDI23(步骤76、77)。这时,操作系统21的动作模式从用户模式31切换至内核模式32。
GDI23将画面图像数据传给图形设备驱动器24(步骤78)。图形设备驱动器24和图形卡25利用从GDI监视模块36接收到的数据,生成可在显示器28上显示的画面图像,发送至显示器28(步骤79、80)。
由此,利用保存在存储装置30中的画面图像用的画面再现用数据再现出画面图像。在该方法中,一边进行操作系统21的内核模式32、用户模式31的切换,一边处理从存储装置30中取得的数据。因此,与仅通过内核模式32再现画面图像的情况(参照图8的流程图)相比,一系列的处理速度慢。
这样,该监视系统1可保存用户从在客户计算机2上登录开始到注销为止的全部操作记录,并监视客户计算机2。管理者利用该保存的画面图像或文本数据,可定期地确认、监视客户计算机2的利用状况。例如,可指定特定的时间带,检索所保存的画面图像或文本数据,监视客户计算机2的利用状况。并且,可一日数次地随机确认客户计算机2的利用状况。监视系统1具备定期地报告客户计算机2的利用状况的报告功能。
报告功能可利用其专用的软件来实现。在图10中图示出报告的例子。图10中图示的报告70是利用客户计算机2的利用者进行了可疑操作时的报告。在报告70中示出3个计算机报告71~73。在各报告71~73中有如下项目:表示客户计算机2的“计算机”、表示客户计算机2的利用者的“用户名”、表示其登录时间的“登录时间”、表示其登录时间的“注销时间”、表示是否执行了可疑操作的“可疑操作的次数”。
在可疑操作中包含如下操作或访问:执行计算机病毒或入侵、破解等可疑程序;利用者访问了发出不适当信息的网址的操作;以及进行了违反导入监视系统1的组织等的规则的访问的访问,下载了涉及著作权侵害的信息的行为、访问了其站点的访问。并且,可疑操作中包含这些IP地址等网址。
在存在可疑操作时,例如报告71时,追加表示其访问的IP地址的“访问IP”和表示访问的时间带的“访问时间带”的项目。管理者可以该报告70为基础,一边再现保存了利用者的利用状况的画面图像,一边监视。在该报告70中,还可以从各种角度、观点分析利用了客户计算机2的数据,并追加结果。
例如,可针对利用者、客户计算机、访问地址、使用程序、警告或文本数据的每个关键词,分析并归纳成报告。由于所保存的画面图像、文本数据或报告70按照管理策略保管在规定期间之间,所以也可用于法人监查或安全管理。
用于医疗机关的MRI装置等大型装置、患者的电子病历系统、心电图监视装置、给药监视装置等医疗设备或医疗用系统可应用本发明。尤其是,如果利用Windows作为操作系统,则在全部的医疗设备或医疗用系统中可导入本发明的监视系统1,可保留这些医疗设备或医疗系统的履历。由此,可特别提高仅通过手写保留在病历上的医疗记录或远程维护记录,利用检索功能在线监视。
并且,可将本发明的监视系统1导入保存了包含机密信息的数据的服务器等进行远程维护的终端。通过该导入,可取得远程维护的作业履历。由此,在执行远程维护的终端、服务器中,可监视是否进行了不正当操作,在法人监查时可将作业履历用作证明。
产业上的可利用性
本发明可用于需要严密管理电子数据的领域。尤其是,可用于金融机关、原子能相关的设施、医疗机关的设备监视、远程维护或处理个人数据的终端等领域。还可用于信息安全管理系统(ISMS,Information Security Management System)。
利用GDI32、GDI提供的函数、即描绘指令生成画面图像。在描绘指令中,有对画面图像显示矢量数据的指令和显示光栅数据的指令。并且,还有显示文本数据的指令。通过使利用客户计算机生成画面图像时的描绘指令成为库来保存画面图像。
描绘指令利用GDI32、GDI、显示设备驱动器等的输入输出功能来取得。在数据库中还保存生成画面图像的时间信息,客户计算机的识别信息、利用者的识别信息等。并且,可采用在数据库中存储保存了矢量数据和光栅数据的保存地的链接,来代替画面图像中包含的矢量数据和光栅数据的方法。
数据库、画面图像被存储在监视系统的监视服务器中,但可以采用保存在网络上的其他电子计算机、客户计算机的本地或外挂记录装置中的方法。通过检索存储在该数据库中的信息,可容易地掌握客户计算机的显示器上显示的内容。
监视系统从客户计算机或监视服务器访问数据库,检索其内容或再现所保存的画面图像。并且,从经由网络与监视服务器连接的其他电子计算机也可以进行同样的操作。
在从应用程序输出在画面中显示数据的请求、并将数据传到操作系统的提供图形相关功能的子系统GDI32时,取得描绘指令。并且,在将数据从GDI32传给操作系统的内核模式的GDI时、或GDI执行时,取得描绘指令。通过用户模式的应用程序或内核模式的驱动器组件来实现保存在数据库中的画面图像的再现。
下面,说明用于实施发明的最佳方式。图1图示出本发明的监视系统1的概要。监视系统1是用于监视客户计算机2的利用状况的系统。监视系统1由客户计算机2和监视服务器3构成。客户计算机2是具备输入输出装置的一般电子计算机。客户计算机2和监视服务器3连接于LAN4上。
客户计算机2通过LAN4与其他的客户计算机2或打印机5连接。并且,在LAN4上连接有存储了用于共享利用的文件等的共享文件服务器6。客户计算机2可经由LAN4访问共享文件服务器6,访问存储在共享文件服务器6中的共享文件。
并且,LAN4经由连接于其上的路由器7,连接于因特网9等外部网络上。LAN4通过LAN缆线8将构成其的客户计算机2、监视服务器3、共享文件服务器6等电子计算机、路由器7、打印机5相互连接。用户可利用客户计算机2,使用安装在客户计算机2中的软件进行必要的作业。
并且,用户从客户计算机2访问其他的客户计算机2或共享文件服务器6等,或者利用打印机5打印文件。并且,从安装在客户计算机2上的Web浏览器访问因特网9,进行因特网9上的数据阅览、文件下载、利用电子邮件用软件的电子邮件的发送接收等。
在客户计算机2中安装监视工具10(参照图2)。监视工具10是用于将客户计算机2的画面中显示的内容发送至监视服务器3的软件。监视工具10具有取得客户计算机2的画面中显示的画面图像和包含在该画面图像中的文本数据并发送至监视服务器3的功能。画面图像通过使生成该画面图像时的描绘指令成为库来保存。
在画面图像包含RAW的位图数据等光栅数据时,监视工具10将其与文本数据和描绘指令一起发送至监视服务器3。并且,可压缩包含在画面图像中的光栅数据,谋求发送数据的减少。并且,在发送画面图像或文本数据时,还可加密后发送至监视服务器3。这些压缩、加密使用公知技术进行。因此,省略其详细说明。
在监视服务器3中安装有作为监视用应用程序的监视程序11,该程序动作(参照图4)。监视服务器3通过内置或外挂具有存储装置30(参照图4),在其中存储存储了监视客户计算机2所需的数据的数据库13(参照图1)。监视程序11具备如下功能:使从描绘指令中抽取出的文本数据与从由客户计算机2发送来的描绘指令来再现画面图像所需的数据相关联,保存在数据库13中。
监视工具10或驱动器组件22(说明后述)具备从描绘指令中抽取文本数据的功能,但监视服务器3也可具备该功能。监视工具10具有取得与在客户计算机2上动作的应用程序20等软件的动作有关的信息并发送至监视服务器3的功能。例如,监视工具10取得文件的打开关闭、更新或删除等的操作日志、与应用程序20的执行相关联的数据等,发送至监视服务器3。监视工具10取得操作客户计算机2的输入输出装置时的数据,发送至监视服务器3。
图2中图示出客户计算机2的概要。在图2中图示出应用程序20、操作系统21、驱动器组件22、GDI23、图形设备驱动器24、图形卡25、网络设备驱动器26、网卡27、显示器28。并且,图示出存储装置用设备驱动器29、存储装置30。应用程序20是安装在客户计算机2中的软件。
客户计算机2是具备显示器28、鼠标(未图示)、键盘(未图示)等输入输出装置、内置或外挂硬盘等存储装置30、RAM(未图示)、ROM(未图示)等存储器、中央处理单元(未图示)等的一般电子计算机。客户计算机2还具备网卡27、通信端口(未图示)等数据通信所需的硬件。
并且,应用程序20是在Windows(注册商标)的用户模式31下动作的程序。操作系统21是被导入、安装在客户计算机2中的基本软件。显示器28是客户计算机2的输出装置的一个物理装置。网卡27是用于客户计算机2与网络连接的物理设备。
网络设备驱动器26是直接控制网卡27、提供操作系统21或应用程序20与LAN8的通信的程序。在客户计算机2上搭载多个如网卡27或显示28那样的物理设备。
这些物理设备由网络设备驱动器26等各自的设备驱动器控制来动作。从操作系统21控制这些设备驱动器。从一个设备至另一个设备的数据的发送接收一般经由操作系统21、尤其是操作系统21的用户模式31执行。
驱动器组件22是用于在内核模式32下实现设备驱动器间的数据的发送接收的软件。作为驱动器组件22的例子,在WO02/091195中作为电子计算机的接口驱动程序被公开。驱动器组件22具有不仅提供设备驱动器之间的数据的发送接收、还提供操作系统21与多个设备驱动器的数据的发送接收的功能。
驱动器组件22在操作系统21的内核模式32下动作,并在从操作系统21的GDI32(34)向GDI23进行数据的发送接收时,取得该数据。并且,驱动器组件22在从GDI23向图形设备驱动器24进行数据的发送接收时,取得该数据。
图形卡25是用于生成在显示器28上显示的画面图像的物理设备。图形设备驱动器24是用于控制图形卡25的设备驱动器。图形设备驱动器24一边根据来自GDI23(参照后述的说明)的命令和所传递的数据控制图形卡25,一边生成画面图像。
图形卡25将用于在显示器28上显示的位图形式的RAW数据存储在其内部的存储器中,按照图形设备驱动器24的命令,依次发送到显示器28,使画面图像在显示器28上显示。监视工具10被安装在客户计算机2中,是用于取得客户计算机2的显示器28上显示的画面图像等的数据并发送至服务器3的程序。
监视工具10从GDI32监视模块35取得描绘指令。详细地说,GDI32监视模块35接收从应用程序20传给GDI32(35)的数据和画面显示请求的描绘指令,将该接收到的数据传给监视工具10。该描绘指令是用于输出向显示装置进行输出用的矢量数据、光栅数据、文本数据的GDI函数。
驱动器组件22具备提供与GDI23的接口的GDI监视模块36、提供与网络设备驱动器26的接口的网络驱动器模块37、以及提供与存储装置用设备驱动器29的接口的存储装置用驱动器模块38。
[关于GDI]
在Windows中,包含窗口和字符在内,将显示器28上显示的全部数据处理为图像。Windows按标准提供的子系统33有多个,其中图形相关的是GDI32(Graphics Device Interface 32)(34)。Windows在打印装置或显示器28等显示装置上显示文本、图形、图像数据等数据时使用GDI32(34)。GDI32(34)在操作系统21的用户模式31下动作。
应用程序20将对画面图像的描绘或打印等处理委托给子系统33,该处理由子系统33内的GDI32(34)执行。GDI32(34)与在内核模式32下动作的GDI23一起,将该委托转换成显示器驱动器或打印驱动器可处理的形式来执行。GDI23可通过与设备驱动器的交换,吸收因输出装置的机型或种类不同而产生的不同,可以以如果从应用程序20看则意识不到输出装置的不同的方式动作。
GDI23提供用于处理来自应用程序20的委托数据的如下描绘指令。例如有用于描绘线的DrvLineTo指令等输出矢量数据的描绘指令。并且有用于输出文本的字符串的DrvTextOut指令等描绘指令。并且有用于输出光栅数据的DrvBitBlt指令等描绘指令。
可使用下面的GDI函数输出文本。
BOOL
DrvTextOut(
IN SURFOBJ*pso,
IN STROBJ*pstro,
IN FONTOBJ*pfo,
IN CLIPOBJ*pco,
IN RECTL*prclExtra,
IN RECTL*prclOpaque,
IN BRUSHOBJ*pboFore,
IN BRUSHOBJ*pboOpaque,
IN POINTL*pptlOrg,
IN MIX mix
);
驱动器组件22提供GDI23与应用程序20或操作系统21的接口,取得从GDI23和应用程序20或操作系统21发送至GDI23的命令、数据。驱动器组件22从GDI23和应用程序20或操作系统21取得为了生成画面图像而被发送、因此被发送至GDI23的描绘指令。
驱动器组件22具有从描绘指令中抽取文本数据的功能、以及将描绘指令和文本数据发送至服务器3的功能。根据来自监视工具10的指示,发送到指定的服务器3。
[描绘的过程]
图3是示出显示画面图像的过程的流程图。应用程序20在显示器28上显示文本或图时,将文本或图输出至GDI32(34),并委托显示请求(步骤1)。将从应用程序10对GDI32(34)的委托从子系统34传给GDI23(步骤3)。这时,GDI32监视模块35取得该委托(步骤2)。
GDI23接收该委托,转换成图形设备驱动器24可处理的形式,发送至图形设备驱动器24(步骤4)。驱动器组件22利用GDI监视模块36取得从GDI23发送至图形设备驱动器24的数据,并发送至监视工具10(步骤5)。
画面图像通过使生成该画面图像时的描绘指令成为库来取得。并且,还取得客户计算机生成画面图像时的光栅数据并保存。
监视工具10分析从GDI32监视模块35和驱动器组件22取得的、生成画面图像的描绘指令,取得其中包含的文本数据(步骤6)。图形设备驱动器24、图形卡25使用从GDI23接收到的数据,生成画面图像(步骤7)。
图形卡25将生成的画面图像发送至显示器28并显示(步骤8)。监视工具10将该取得的文本数据和画面图像传给驱动器组件22,驱动器组件22使用文本数据和画面图像,生成发送给监视服务器3的发送数据。将该生成的发送数据传给网络设备驱动器26,经由网卡27发送至监视服务器3(步骤9)。
监视工具10除了取得描绘指令其中包含的文本数据之外,还取得生成画面图像的时间信息、客户计算机2的识别信息、利用者的识别信息等,发送至监视服务器3。作为客户计算机2的识别信息,从客户计算机2的计算机名、IP地址、及MAC地址中取得1个以上。作为利用者的识别信息,取得在客户计算机2中登录的用户名。
在图4中图示出监视服务器3的概要。监视服务器3是具备显示器28、鼠标(未图示)、键盘(未图示)等输入输出装置、内置或外挂硬盘等存储装置30、RAM(未图示)、ROM(未图示)等存储器、中央处理单元(未图示)等的一般电子计算机。监视服务器3还具备网卡27、通信端口(未图示)等数据通信所需的硬件。
监视服务器3具备存储装置30和存储装置用设备驱动器29。存储装置30是监视服务器3的内部存储装置,是用于存储数据库13的存储装置。存储装置用设备驱动器29是用于直接控制存储装置30的设备驱动器。监视服务器3的其它设备或软件执行与图2相同的功能,所以省略详细的说明。下面,仅说明不同功能和动作。
[整体的动作]
图5是表示监视系统1的整体动作的流程图。在要监视利用状况的客户计算机2中预先安装监视工具10(步骤11)。监视工具10存储在CD-ROM或软盘等记录媒体中,从记录媒体安装到客户计算机2中。并且,也可从网络下载并安装到客户计算机2中。
这时,一起安装驱动器组件22。然后,使监视工具10在客户计算机2上动作,指定监视服务器3,开始监视用户(步骤12)。并且,可指定与在客户计算机2上动作的应用程序20的动作或文件有关的日志的监视。
之后,监视工具10利用GDI23的输入输出功能,取得客户计算机2的显示器28上显示的画面图像的描绘指令和包含在该描绘指令中的文本数据(步骤13)。在图3的流程图中详细地说明了该数据的取得。然后,监视工具10取得处于可发送至显示器28的状态的画面图像,生成包含文本数据和画面图像等的发送数据,发送至监视服务器3(步骤14、15)。
该画面图像基本上是描绘指令库的图像,但有时用光栅数据表现。这时,可进行画面图像的压缩、尺寸的变更等。并且,还可加密向监视服务器3发送的数据。监视服务器3接收包含从客户计算机2发送来的文本数据、画面图像等的发送数据,进行解析(步骤16、17)。
然后,监视服务器3使文本数据和画面图像相关联,保存在存储装置中(步骤18、19)。用文本数据和画面图像的数据更新数据库13(步骤20)。在数据库13中还存储从客户计算机2发送来的画面图像生成的时间信息、客户计算机2的识别信息、利用者的识别信息等。
然后,监视服务器3移至下一处理。在监视服务器3中执行的步骤16至19的处理由监视程序11执行。指定该处理,并在安装了监视工具10的全部客户计算机2中执行。可根据保存在数据库13中的数据,掌握客户计算机2的利用状况。
检索保存在数据库13中的数据,一边再现与其对应的画面图像,一边掌握客户计算机2的利用状况。在图6中图示出检索数据库13的内容、再现画面时的画面例。在图6的画面的中央附近显示出用于再现客户计算机2的利用状况的再现区域51。
在再现区域51中,存在作为用于显示客户计算机2的画面图像的再现的区域的再现画面52、和由用于在再现时进行控制的按钮构成的再现工具条53。再现工具条53连续地再现再现画面52中显示的图像,显示用于控制的各种按钮。在再现工具条53中,从左侧起显示用于按帧后退(コマ戻り)、按帧前进(コマ送り)、快退、再现、暂停、快进、停止的按钮等。
在再现区域51的左侧显示检索区域54。在检索区域54中显示终端列表区域55和检索区域56。在终端列表区域55中显示正在监视的客户计算机2的一览、或者为进行监视而保存了显示画面的客户计算机2的一览。在检索区域56中显示用于检索的关键词的输入框等。
在再现区域51的右侧显示用于显示再现画面52中显示的图像的描绘指令的一览的终端操作履历图57。在再现区域51的下侧显示缩略图区域58。在缩略图区域58中显示向检索区域56输入关键词后检索出的结果所对应的图像的缩略图。
图7的流程图中示出检索保存在数据库13中的数据,一边再现与其对应的画面图像,一边掌握客户计算机2的利用状况的一例。启动监视程序11(步骤30),显示图6中示出的画面。将检索关键词输入检索区域54中(步骤31)。作为检索关键词,可指定特定的程序名、输入单词、操作时间、操作期间、IP地址、用户名、访问目的地的IP地址等。
并且,可指定客户计算机2的识别信息、利用者的识另信息等。然后,利用该检索关键词检索数据库的内容(步骤32)。然后,将检索结果显示在缩略图区域58中(步骤33、34)。在检索结果有多个时,并列显示该结果。在检索时,可从终端列表区域55中选择特定的客户计算机2。
若从缩略图区域58的检索结果中选择一个缩略图,则从存储装置30中调出与该结果相关联的画面图像,在再现画面52中显示并再现(步骤35)。由于通过使描绘指令成为库来保存画面图像,所以利用该描绘指令重现画面图像,并连续地再现。然后,在终端的操作履历图57中显示在该画面图像中使用的描绘指令的一览。在终端的操作履历图57中还显示客户计算机2的操作履历。
详细地说,在终端的操作履历图57中显示文件的访问履历、与应用程序的执行有关的信息等,并掌握再现图像与其前后的再现图像的关联操作。一边利用再现工具条53一边再现再现画面,或者快进,来确认客户计算机2的利用状况。在检索结果未发现对应于关键词的结果时,可通知该情况,用其他方法继续检索(步骤33、37、38)。例如,通过在规定期间之间记录的画面的再现、或类似关键词的检索等确认客户计算机2的利用状况。
这样,如果不是只保存客户计算机2的画面图像,而是与包含在该画面图像中的文本数据相关联地保存,则之后,可以输入一般文本的关键词来对其进行检索。由此,可迅速掌握用户在怎样利用客户计算机2。由于画面图像通过使描绘指令成为库来保存,所以处理的数据量远远小于图像数据。
当然,可以确认并容易掌握用户是否在进行具有著作权的电子数据的非法复制、或对不适当的网页的访问等可疑操作。详细地说,可通过依次再现记录在记录装置30上的画面图像来得知。
并且,可使监视程序11具有在发现特定的关键词时通知管理者的功能,从而可迅速应对用户的可疑操作。或者,还可在客户计算机2的显示器28上显示警告,或利用邮件等通知、警告客户计算机2的用户。可在管理者的计算机上显示警告,或将警告发送至管理者的便携电话,或将警告发送至管理者的邮件地址来通知管理者。
虽然将数据库13、画面图像存储在监视服务器3中,但也可保存在网络上的其他电子计算机、客户计算机2的本地或外挂记录装置中。为了谋求其保存容量的减小,所保存的画面图像也可以是黑白的图像。可从客户计算机2、监视服务器3、经网络连接的其他电子计算机访问该数据库13,检索其中记录的内容,或者再现所保存的画面图像。
在本实施方式中,提供客户计算机2上动作的监视工具10、在监视服务器3上动作的监视程序11。但是,可提供限制监视程序11的功能中的一部分功能的管理程序。例如,管理程序可仅具备所保存的画面图像的再现功能、及数据库3的检索功能。该管理程序可安装在可利用专用应用程序访问所保存的画面图像或数据库3的计算机上动作。该管理程序还可以是基于Web的程序。
[在内核模式32下画面图像的再现]
在利用监视服务器3再现保存在存储装置30中的画面图像时,采取在用户模式31或内核模式32下再现的方法。在图8的流程图中示出在内核模式32下再现画面图像的方法。在再现画面图像时,从监视程序11向驱动器组件22请求画面图像用的数据(步骤50)。
驱动器组件22接收该画面图像的再现请求(步骤51),从驱动器组件22的存储装置用驱动器模块38向存储装置用设备驱动器29请求数据(步骤52)。存储装置用设备驱动器29从存储装置30取得被请求的数据(步骤53),发送至存储装置用驱动器模块38。
存储装置用驱动器模块38将从存储装置设备驱动器29接收到的数据传给驱动器组件22。驱动器组件22将该数据经由GDI监视模块36发送至图形设备驱动器24(步骤56、57)。图形设备驱动器24和图形卡25利用从GDI监视模块36接收到的数据,生成可在显示器28上显示的画面图像,发送至显示器28(步骤58、59)。
由此,利用所保存的画面图像数据再现出画面图像。在该方法中,由于从存储装置30取得的数据只经由操作系统21的内核模式32发送、处理,所以操作系统21不必切换内核模式32和用户模式31,高速地执行一系列的处理。
[在用户模式31下画面图像的再现]
图9的流程图示出在用户模式31下再现画面图像的方法。从监视程序11向存储装置30请求画面图像用的数据(画面再现用数据)(步骤70)。该请求经子系统33发送至存储装置设备驱动器29(步骤71)。
在从监视程序11向存储装置设备驱动器29请求画面再现用数据时,操作系统21的动作模式从用户模式31切换至内核模式32。存储装置设备驱动器29接收该请求(步骤72),从存储装置30取得被请求的画面再现用数据(步骤73),经子系统29传给监视程序11(步骤74、75)。
在将被请求的画面再现用数据从存储装置设备驱动器29传给监视程序11时,操作系统21的动作模式从内核模式32切换至用户模式31。在从监视程序11向存储装置设备驱动器29请求画面再现用数据时、以及在将画面再现用数据从存储装置设备驱动器29传给监视程序11时,经由驱动器组件22执行,但驱动器组件22对这些数据不进行任何处理。
监视程序11经由GDI32监视模块35,使用画面再现用数据进行画面图像的再现(步骤76)。GDI32监视模块35将从监视程序11传来的画面图像用的画面再现用数据传到GDI32(34),并从GDI32(34)传给GDI23(步骤76、77)。这时,操作系统21的动作模式从用户模式31切换至内核模式32。
GDI23将画面图像数据传给图形设备驱动器24(步骤78)。图形设备驱动器24和图形卡25利用从GDI监视模块36接收到的数据,生成可在显示器28上显示的画面图像,发送至显示器28(步骤79、80)。
由此,利用保存在存储装置30中的画面图像用的画面再现用数据再现出画面图像。在该方法中,一边进行操作系统21的内核模式32、用户模式31的切换,一边处理从存储装置30中取得的数据。因此,与仅通过内核模式32再现画面图像的情况(参照图8的流程图)相比,一系列的处理速度慢。
这样,该监视系统1可保存用户从在客户计算机2上登录开始到注销为止的全部操作记录,并监视客户计算机2。管理者利用该保存的画面图像或文本数据,可定期地确认、监视客户计算机2的利用状况。例如,可指定特定的时间带,检索所保存的画面图像或文本数据,监视客户计算机2的利用状况。并且,可一日数次地随机确认客户计算机2的利用状况。监视系统1具备定期地报告客户计算机2的利用状况的报告功能。
报告功能可利用其专用的软件来实现。在图10中图示出报告的例子。图10中图示的报告70是利用客户计算机2的利用者进行了可疑操作时的报告。在报告70中示出3个计算机报告71~73。在各报告71~73中有如下项目:表示客户计算机2的“计算机”、表示客户计算机2的利用者的“用户名”、表示其登录时间的“登录时间”、表示其登录时间的“注销时间”、表示是否执行了可疑操作的“可疑操作的次数”。
在可疑操作中包含如下操作或访问:执行计算机病毒或入侵、破解等可疑程序;利用者访问了发出不适当信息的网址的操作;以及进行了违反导入监视系统1的组织等的规则的访问的访问,下载了涉及著作权侵害的信息的行为、访问了其站点的访问。并且,可疑操作中包含这些IP地址等网址。
在存在可疑操作时,例如报告71时,追加表示其访问的IP地址的“访问IP”和表示访问的时间带的“访问时间带”的项目。管理者可以该报告70为基础,一边再现保存了利用者的利用状况的画面图像,一边监视。在该报告70中,还可以从各种角度、观点分析利用了客户计算机2的数据,并追加结果。
例如,可针对利用者、客户计算机、访问地址、使用程序、警告或文本数据的每个关键词,分析并归纳成报告。由于所保存的画面图像、文本数据或报告70按照管理策略保管在规定期间之间,所以也可用于法人监查或安全管理。
用于医疗机关的MRI装置等大型装置、患者的电子病历系统、心电图监视装置、给药监视装置等医疗设备或医疗用系统可应用本发明。尤其是,如果利用Windows作为操作系统,则在全部的医疗设备或医疗用系统中可导入本发明的监视系统1,可保留这些医疗设备或医疗系统的履历。由此,可特别提高仅通过手写保留在病历上的医疗记录或远程维护记录,利用检索功能在线监视。
并且,可将本发明的监视系统1导入保存了包含机密信息的数据的服务器等进行远程维护的终端。通过该导入,可取得远程维护的作业履历。由此,在执行远程维护的终端、服务器中,可监视是否进行了不正当操作,在法人监查时可将作业履历用作证明。
产业上的可利用性
本发明可用于需要严密管理电子数据的领域。尤其是,可用于金融机关、原子能相关的设施、医疗机关的设备监视、远程维护或处理个人数据的终端等领域。还可用于信息安全管理系统(ISMS,Information Security Management System)。