中国空空导弹研究院 马 萌
浅析安全打印技术在企业中的应用
中国空空导弹研究院 马 萌
【摘要】传统的企业内部文件打印存在安全风险,打印文件不及时领取,文件随意打印存在隐患。打印文件信息泄密,涉及个人信息、企业、国家核心秘密,且破坏力大,追查率低,极大损害个人、企业、甚至是国家的利益。安全可靠的企业内部文件打印,成为近年来信息安全领域研究的一个重要课题。
【关键词】信息安全;打印机;安全打印;条码技术
政府机关、国防军工等企业具有极高保密性,其信息安全涉及到国家安全和社会公共安全。传统的企业内部文件打印存在安全风险,打印文件不及时领取,文件随意打印存在隐患。打印文件信息泄密,涉及个人信息、企业、国家核心秘密;且破坏力大,追查率低,极大损害个人、企业、甚至是国家的利益。根据国家《计算机犯罪与安全调查报告》,企业内部打印文件泄密已经成为信息泄密的主要途径之一。安全可靠的企业内部文件打印,成为近年来信息安全领域研究的一个重要课题。
1.1 打印机语言
打印机语言是控制打印机工作的指令,主要为两类。一种是页面描述语言,另一种是嵌入式语言。代表分别是HP公司的PCL语言和Adobe公司的PS(Postscript)语言。PCL语言适用于中、低端打印设备,处理文本或办公应用软件生成的文档。PS语言适用于图形打印等高端设备,处理PDF文件或Photoshop等图形文件。打印机语言利用应用程序数据,经过计算机GDI接口,再经过打印驱动、转换成打印机可以识别的数据。打印机接收信息,解析转换为含有字符信息的激光驱动信号,最后通过使激光成像,转印到纸上。
1.2 条码技术
条码技术是集编码、印刷、识别、数据采集和处理于一身的信息技术。近年来渗透到计算机管理的各个领域,成为信息采集及防伪的重要手段。目前常用的有一维码、二维码;一维码存在信息容量小、纠错能力差、防伪性差等缺点;二维码有效弥补了这些不足,常见的有PDF417、QR Code、Code 16K等。二维码信息密度比一维码高,如PDF417码是一维码CodeC3的20多倍。目前广泛应用各类报表、票据,商品及货物运输的管理,工业生产线的自动化管理等。
中小型企业、大型公司、政府机关、国防军工等企业内部文件打印,大多采用在网络环境下控制打印机,或者安排专人管理打印的模式。采用网络打印可以一定程度上减少打印机的数量,节省成本,提高工作效率。安排专人管理打印可以杜绝企业内部人员直接接触打印设备,减少误操作,减少随意打印。但是多数企业只把打印机当作一种IT周边服务设备,忽视了打印设备的安全问题,存在诸多安全隐患。
2.1 安全产品功能缺失
目前部分单位、政府机关、国防军工企业部署了类似主机行为监控的软件,可以监控打印行为,如监控打印人,打印时间,打印文件名称,打印机名称等信息,但无法进行打印内容审计,对打印内容的密级进行审核;无法明确员工打印内容中有多少与工作相关,特别是对于泄露的打印资料,无法追踪其来源,采用有效措施解决泄露途径。未采取技术手段为打印生成的文件植入身份信息,满足打印文件在流转、外送、归档、回收等环节管理的需求。
2.2 打印人员管理
企业内部打印管理人员操作打印,同时负责文件编号/盖章、审核,督促领用人员登记,工作量大,容易出现错误。打印管理人操作打印,无形中扩大了企业核心商业秘密、国家涉密信息的知悉范围。打印申请人员在领用时登记不规范,与申请信息不符,造成后期核对困难。传统的人工管控打印、网络打印、共享打印等方式,不能从根本上防治打印信息泄密,影响着企业内部重要资料、文件或数据的安全。
2.3 打印文件管理
企业内部打印文件没有及时取回,容易出现文件查找困难、缺页、误拿等情况。内部员工能够随意接触打印文件,会造成重要文件或机密文件的泄漏,成为企业的安全隐患。
2.4 打印设备管理
打印设备使用未进行授权,采取身份鉴别手段,任何员工都可以随意打印,没有经过合法审批等流程就直接打印,容易造成打印纸张浪费和机密信息的泄露。
2.5 企业内部文件打印安全风险结论
企业内部人员通过打印的形式将企业核心商业秘密、国家涉密资料带出,必定会造成信息的泄露,给企业、国家带来不可估量的损失。因此,打印不应该简单地被定义为一种周边IT服务,而应该引起企业、特别是政府机关、国防军工足够的重视,将其纳入到企业整体信息安全体系当中。采取有效的管理方式和技术手段来对打印的全过程进行跟踪管理,形成事前防范、事中监控、事后审计的全方位管理,使打印过程安全、可靠。
安全打印系统立足于集中管控设备,采用条码、电子加密等技术,对打印机的使用者的身份和文件有效性的进行验证,建立对纸质文件、电子文件的一体化管理。从打印文件的全过程的各环节进行安全处理和管控,建立全周期过程中的审计,对文件的安全流转进行全程监控。使文件在整个打印过程中不受意外或者恶意破坏、
更改和泄漏,保证文件的保密性、完整性、可用性和真实性。
3.1 安全打印系统组成
安全打印系统主要由客户端、电子审批、打印输出端、和服务器端几部分组成。
图1 安全打印系统结构
3.1.1 客户端
采取CS部署模式,不改变用户使用习惯。用户打开文件发起打印,通过安装的虚拟打印驱动,将打印文件转化为快照,形成打印机能够识别的PCL语言;客户端软件将文件提交至服务器端,不直接通过打印机输出,实现了对打印的监控。客户端支持账号登录、域登录。只有正确登录后,用户才能够正常使用打印功能。
3.1.2 电子审批
采取在线多级审批的模式,由管理部门领导、主管人员根据文档密级对作业输出行为实施审批;同时审批人员通过预览文件快照的形式对打印作业进行全文预览,只有经过审批的文件才能进行作业输出,避免用户降密输出、随意输出,保证文件输出的安全性和保密性。
3.1.3 打印输出端
电子申请完毕后,用户使用IC/ID卡通过刷卡认证的方式,通过刷卡控制端显示打印作业,执行打印。同时在打印生成的文件嵌入二维码(PDF417、或QR),为文件植入身份信息。安全打印系统对打印设备进行授权,只有授权的打印机才能使用、保障打印文件的专属性和私密性
3.1.4 服务器端
实现对文件输出全过程进行记录, 保存打印输出后生成的快照文件,并通过信息完整性验证技术(MDS)进行检测确保文件完整性。同时设置相应的管理员角色供企业内部管理人员进行监控和审计。建立企业打印文件电子台账,实现每一份文件对应到相应的人员。
3.2 安全打印的技术优点
3.2.1 打印集中管控
采用CS部署模式在已安装客户端软件的设备中,所有用户已安装、私自接入的打印机均无法使用,只有通过授权的设备才可使用。
3.2.2 权限控制
根据人员重要程度进行权限、密级控制。只有通过身份认证的人员才能进行打印操作。用户只能够处理自己的打印文件,无法查看和打印其他人文件,做到准确的实名制打印控制。不会在打印过程中扩大了涉密信息的知悉范围,造成秘密信息的泄露。
3.2.3 打印文件条码管理
在打印文档上嵌入二维条码,作为文件身份信息的唯一标识,确定文件的归属和真实性;达到防篡改的目的,有效的防止修改、替换等违规操作。通过条码来识别这些文件,通过完备的审计功能对打印文件及流转操作进行跟踪记录,实现打印文件的全生命周期管理。
3.2.4 基于条码的文件综合管理
输出文件自动嵌入的PDF417或QR二维条码,隐含文件密级、页数、份数、部门、输出人员姓名等信息,作为检查的依据。当文件需要回收、移交、归档、回收相关操作,利用条码扫描枪读出条码中的文件编号,系统自动变更文件在用状态,实现文件流转管理的便捷操作,提高工作效率。通过电子化管理清晰地了解每一份涉密文件生命周期状态,从而真正实现对文件输出后全生命周期的管理效果。
3.2.5 打印记录跟踪
安全打印系统精确地捕捉每次输出任务,对所有打印操作,记录打印设备、服务器、文档名、用户、打印页数、打印时间、纸张等相关信息,出现文件泄密情况能够快速追踪。
3.3 企业内部打印管理水平的提高
安全打印技术的应用,一改以往企业对打印机管理松散的局面,通过技术手段提高了输出过程和输出作业的集中化、标准化管理水平。有效防止了打印文件的泄密。所有打印、内容都有据可查,可以追溯。
同时为更好地保护文件信息的安全,利用条码技术,为所有的打印文件嵌入条码,作为其身份标识,使得每个文件都拥有了身份。通过身份识别机制,对文件的各个流转环节进行监控与审计,提高文件输出环节的安全性。有效改变当政府机关、国防军工企业文件安全管理中存在的无序、分散、粗放状态。
安全打印技术在未来的日常生活、科学技术、企业文件管理中将占据重要的地位。随着政务电子化和信息安全、保密要求的不断增长,越来越多的政府机关、企事业单位、军工单位已经认识到打印安全的重要性。安全打印技术势必成为解决企业内部文件打印安全问题,防止内部人员通过打印方式泄密的重要手段;它将有效解决打印过程中涉及认证、授权、审计的三大安全领域的管理、技术难题,对推动企业内部纸质文件载体信息安全管理体系建设起到推动作用。
参考文献
[1]杨鹏飞.网络打印机系统研究与嵌入式软件平台设计[D].西安电子科技大学, 2013.
[2]付晓明.网络打印机安全分析与防范对策[D].北京邮电大学,2012.
[3]李俊宏,湛邵斌. 条码技术的发展及应用[J].计算机与数字工程, 2008.37(7)﹕115-118,154.
[4]蓝庆洪.条形码技术在档案管理中的价值体现.Value Engineering.
[5]任立学,刘知贵,赵强 等.打印机监控系统的设计与实现[J].计算机应用研究,2007,12﹕0217-03.
作者简介:
马萌(1982—),男,河南洛阳人,硕士,工程师,研究方向:网络与信息安全、计算机应用。