中國(guó)空空導(dǎo)彈研究院 馬 萌

?

淺析安全打印技術(shù)在企業(yè)中的應(yīng)用

中國(guó)空空導(dǎo)彈研究院 馬 萌

【摘要】傳統(tǒng)的企業(yè)內(nèi)部文件打印存在安全風(fēng)險(xiǎn)，打印文件不及時(shí)領(lǐng)取，文件隨意打印存在隱患。打印文件信息泄密，涉及個(gè)人信息、企業(yè)、國(guó)家核心秘密，且破壞力大，追查率低，極大損害個(gè)人、企業(yè)、甚至是國(guó)家的利益。安全可靠的企業(yè)內(nèi)部文件打印，成為近年來(lái)信息安全領(lǐng)域研究的一個(gè)重要課題。

【關(guān)鍵詞】信息安全；打印機(jī)；安全打??；條碼技術(shù)

0 引言

政府機(jī)關(guān)、國(guó)防軍工等企業(yè)具有極高保密性，其信息安全涉及到國(guó)家安全和社會(huì)公共安全。傳統(tǒng)的企業(yè)內(nèi)部文件打印存在安全風(fēng)險(xiǎn)，打印文件不及時(shí)領(lǐng)取，文件隨意打印存在隱患。打印文件信息泄密，涉及個(gè)人信息、企業(yè)、國(guó)家核心秘密；且破壞力大，追查率低，極大損害個(gè)人、企業(yè)、甚至是國(guó)家的利益。根據(jù)國(guó)家《計(jì)算機(jī)犯罪與安全調(diào)查報(bào)告》，企業(yè)內(nèi)部打印文件泄密已經(jīng)成為信息泄密的主要途徑之一。安全可靠的企業(yè)內(nèi)部文件打印，成為近年來(lái)信息安全領(lǐng)域研究的一個(gè)重要課題。

1 打印機(jī)語(yǔ)言及條碼技術(shù)

1.1 打印機(jī)語(yǔ)言

打印機(jī)語(yǔ)言是控制打印機(jī)工作的指令，主要為兩類。一種是頁(yè)面描述語(yǔ)言，另一種是嵌入式語(yǔ)言。代表分別是HP公司的PCL語(yǔ)言和Adobe公司的PS（Postscript）語(yǔ)言。PCL語(yǔ)言適用于中、低端打印設(shè)備，處理文本或辦公應(yīng)用軟件生成的文檔。PS語(yǔ)言適用于圖形打印等高端設(shè)備，處理PDF文件或Photoshop等圖形文件。打印機(jī)語(yǔ)言利用應(yīng)用程序數(shù)據(jù)，經(jīng)過(guò)計(jì)算機(jī)GDI接口，再經(jīng)過(guò)打印驅(qū)動(dòng)、轉(zhuǎn)換成打印機(jī)可以識(shí)別的數(shù)據(jù)。打印機(jī)接收信息，解析轉(zhuǎn)換為含有字符信息的激光驅(qū)動(dòng)信號(hào)，最后通過(guò)使激光成像，轉(zhuǎn)印到紙上。

1.2 條碼技術(shù)

條碼技術(shù)是集編碼、印刷、識(shí)別、數(shù)據(jù)采集和處理于一身的信息技術(shù)。近年來(lái)滲透到計(jì)算機(jī)管理的各個(gè)領(lǐng)域，成為信息采集及防偽的重要手段。目前常用的有一維碼、二維碼；一維碼存在信息容量小、糾錯(cuò)能力差、防偽性差等缺點(diǎn)；二維碼有效彌補(bǔ)了這些不足，常見(jiàn)的有PDF417、QR Code、Code 16K等。二維碼信息密度比一維碼高，如PDF417碼是一維碼CodeC3的20多倍。目前廣泛應(yīng)用各類報(bào)表、票據(jù)，商品及貨物運(yùn)輸?shù)墓芾?，工業(yè)生產(chǎn)線的自動(dòng)化管理等。

2 企業(yè)內(nèi)部文件打印安全現(xiàn)狀分析

中小型企業(yè)、大型公司、政府機(jī)關(guān)、國(guó)防軍工等企業(yè)內(nèi)部文件打印，大多采用在網(wǎng)絡(luò)環(huán)境下控制打印機(jī)，或者安排專人管理打印的模式。采用網(wǎng)絡(luò)打印可以一定程度上減少打印機(jī)的數(shù)量，節(jié)省成本，提高工作效率。安排專人管理打印可以杜絕企業(yè)內(nèi)部人員直接接觸打印設(shè)備，減少誤操作，減少隨意打印。但是多數(shù)企業(yè)只把打印機(jī)當(dāng)作一種IT周邊服務(wù)設(shè)備，忽視了打印設(shè)備的安全問(wèn)題，存在諸多安全隱患。

2.1 安全產(chǎn)品功能缺失

目前部分單位、政府機(jī)關(guān)、國(guó)防軍工企業(yè)部署了類似主機(jī)行為監(jiān)控的軟件，可以監(jiān)控打印行為，如監(jiān)控打印人，打印時(shí)間，打印文件名稱，打印機(jī)名稱等信息，但無(wú)法進(jìn)行打印內(nèi)容審計(jì)，對(duì)打印內(nèi)容的密級(jí)進(jìn)行審核；無(wú)法明確員工打印內(nèi)容中有多少與工作相關(guān)，特別是對(duì)于泄露的打印資料，無(wú)法追蹤其來(lái)源，采用有效措施解決泄露途徑。未采取技術(shù)手段為打印生成的文件植入身份信息，滿足打印文件在流轉(zhuǎn)、外送、歸檔、回收等環(huán)節(jié)管理的需求。

2.2 打印人員管理

企業(yè)內(nèi)部打印管理人員操作打印，同時(shí)負(fù)責(zé)文件編號(hào)/蓋章、審核，督促領(lǐng)用人員登記，工作量大，容易出現(xiàn)錯(cuò)誤。打印管理人操作打印，無(wú)形中擴(kuò)大了企業(yè)核心商業(yè)秘密、國(guó)家涉密信息的知悉范圍。打印申請(qǐng)人員在領(lǐng)用時(shí)登記不規(guī)范，與申請(qǐng)信息不符，造成后期核對(duì)困難。傳統(tǒng)的人工管控打印、網(wǎng)絡(luò)打印、共享打印等方式，不能從根本上防治打印信息泄密，影響著企業(yè)內(nèi)部重要資料、文件或數(shù)據(jù)的安全。

2.3 打印文件管理

企業(yè)內(nèi)部打印文件沒(méi)有及時(shí)取回，容易出現(xiàn)文件查找困難、缺頁(yè)、誤拿等情況。內(nèi)部員工能夠隨意接觸打印文件，會(huì)造成重要文件或機(jī)密文件的泄漏，成為企業(yè)的安全隱患。

2.4 打印設(shè)備管理

打印設(shè)備使用未進(jìn)行授權(quán)，采取身份鑒別手段，任何員工都可以隨意打印，沒(méi)有經(jīng)過(guò)合法審批等流程就直接打印，容易造成打印紙張浪費(fèi)和機(jī)密信息的泄露。

2.5 企業(yè)內(nèi)部文件打印安全風(fēng)險(xiǎn)結(jié)論

企業(yè)內(nèi)部人員通過(guò)打印的形式將企業(yè)核心商業(yè)秘密、國(guó)家涉密資料帶出，必定會(huì)造成信息的泄露，給企業(yè)、國(guó)家?guī)?lái)不可估量的損失。因此，打印不應(yīng)該簡(jiǎn)單地被定義為一種周邊IT服務(wù)，而應(yīng)該引起企業(yè)、特別是政府機(jī)關(guān)、國(guó)防軍工足夠的重視，將其納入到企業(yè)整體信息安全體系當(dāng)中。采取有效的管理方式和技術(shù)手段來(lái)對(duì)打印的全過(guò)程進(jìn)行跟蹤管理，形成事前防范、事中監(jiān)控、事后審計(jì)的全方位管理，使打印過(guò)程安全、可靠。

3 安全打印系統(tǒng)的應(yīng)用

安全打印系統(tǒng)立足于集中管控設(shè)備，采用條碼、電子加密等技術(shù)，對(duì)打印機(jī)的使用者的身份和文件有效性的進(jìn)行驗(yàn)證，建立對(duì)紙質(zhì)文件、電子文件的一體化管理。從打印文件的全過(guò)程的各環(huán)節(jié)進(jìn)行安全處理和管控，建立全周期過(guò)程中的審計(jì)，對(duì)文件的安全流轉(zhuǎn)進(jìn)行全程監(jiān)控。使文件在整個(gè)打印過(guò)程中不受意外或者惡意破壞、

更改和泄漏，保證文件的保密性、完整性、可用性和真實(shí)性。

3.1 安全打印系統(tǒng)組成

安全打印系統(tǒng)主要由客戶端、電子審批、打印輸出端、和服務(wù)器端幾部分組成。

圖1 安全打印系統(tǒng)結(jié)構(gòu)

3.1.1 客戶端

采取CS部署模式，不改變用戶使用習(xí)慣。用戶打開文件發(fā)起打印，通過(guò)安裝的虛擬打印驅(qū)動(dòng)，將打印文件轉(zhuǎn)化為快照，形成打印機(jī)能夠識(shí)別的PCL語(yǔ)言；客戶端軟件將文件提交至服務(wù)器端，不直接通過(guò)打印機(jī)輸出，實(shí)現(xiàn)了對(duì)打印的監(jiān)控?？蛻舳酥С仲~號(hào)登錄、域登錄。只有正確登錄后，用戶才能夠正常使用打印功能。

3.1.2 電子審批

采取在線多級(jí)審批的模式，由管理部門領(lǐng)導(dǎo)、主管人員根據(jù)文檔密級(jí)對(duì)作業(yè)輸出行為實(shí)施審批；同時(shí)審批人員通過(guò)預(yù)覽文件快照的形式對(duì)打印作業(yè)進(jìn)行全文預(yù)覽，只有經(jīng)過(guò)審批的文件才能進(jìn)行作業(yè)輸出，避免用戶降密輸出、隨意輸出，保證文件輸出的安全性和保密性。

3.1.3 打印輸出端

電子申請(qǐng)完畢后，用戶使用IC/ID卡通過(guò)刷卡認(rèn)證的方式，通過(guò)刷卡控制端顯示打印作業(yè)，執(zhí)行打印。同時(shí)在打印生成的文件嵌入二維碼（PDF417、或QR），為文件植入身份信息。安全打印系統(tǒng)對(duì)打印設(shè)備進(jìn)行授權(quán)，只有授權(quán)的打印機(jī)才能使用、保障打印文件的專屬性和私密性

3.1.4 服務(wù)器端

實(shí)現(xiàn)對(duì)文件輸出全過(guò)程進(jìn)行記錄， 保存打印輸出后生成的快照文件，并通過(guò)信息完整性驗(yàn)證技術(shù)（MDS）進(jìn)行檢測(cè)確保文件完整性。同時(shí)設(shè)置相應(yīng)的管理員角色供企業(yè)內(nèi)部管理人員進(jìn)行監(jiān)控和審計(jì)。建立企業(yè)打印文件電子臺(tái)賬，實(shí)現(xiàn)每一份文件對(duì)應(yīng)到相應(yīng)的人員。

3.2 安全打印的技術(shù)優(yōu)點(diǎn)

3.2.1 打印集中管控

采用CS部署模式在已安裝客戶端軟件的設(shè)備中，所有用戶已安裝、私自接入的打印機(jī)均無(wú)法使用，只有通過(guò)授權(quán)的設(shè)備才可使用。

3.2.2 權(quán)限控制

根據(jù)人員重要程度進(jìn)行權(quán)限、密級(jí)控制。只有通過(guò)身份認(rèn)證的人員才能進(jìn)行打印操作。用戶只能夠處理自己的打印文件，無(wú)法查看和打印其他人文件，做到準(zhǔn)確的實(shí)名制打印控制。不會(huì)在打印過(guò)程中擴(kuò)大了涉密信息的知悉范圍，造成秘密信息的泄露。

3.2.3 打印文件條碼管理

在打印文檔上嵌入二維條碼，作為文件身份信息的唯一標(biāo)識(shí)，確定文件的歸屬和真實(shí)性；達(dá)到防篡改的目的，有效的防止修改、替換等違規(guī)操作。通過(guò)條碼來(lái)識(shí)別這些文件，通過(guò)完備的審計(jì)功能對(duì)打印文件及流轉(zhuǎn)操作進(jìn)行跟蹤記錄，實(shí)現(xiàn)打印文件的全生命周期管理。

3.2.4 基于條碼的文件綜合管理

輸出文件自動(dòng)嵌入的PDF417或QR二維條碼，隱含文件密級(jí)、頁(yè)數(shù)、份數(shù)、部門、輸出人員姓名等信息，作為檢查的依據(jù)。當(dāng)文件需要回收、移交、歸檔、回收相關(guān)操作，利用條碼掃描槍讀出條碼中的文件編號(hào)，系統(tǒng)自動(dòng)變更文件在用狀態(tài)，實(shí)現(xiàn)文件流轉(zhuǎn)管理的便捷操作，提高工作效率。通過(guò)電子化管理清晰地了解每一份涉密文件生命周期狀態(tài)，從而真正實(shí)現(xiàn)對(duì)文件輸出后全生命周期的管理效果。

3.2.5 打印記錄跟蹤

安全打印系統(tǒng)精確地捕捉每次輸出任務(wù)，對(duì)所有打印操作，記錄打印設(shè)備、服務(wù)器、文檔名、用戶、打印頁(yè)數(shù)、打印時(shí)間、紙張等相關(guān)信息，出現(xiàn)文件泄密情況能夠快速追蹤。

3.3 企業(yè)內(nèi)部打印管理水平的提高

安全打印技術(shù)的應(yīng)用，一改以往企業(yè)對(duì)打印機(jī)管理松散的局面，通過(guò)技術(shù)手段提高了輸出過(guò)程和輸出作業(yè)的集中化、標(biāo)準(zhǔn)化管理水平。有效防止了打印文件的泄密。所有打印、內(nèi)容都有據(jù)可查，可以追溯。

同時(shí)為更好地保護(hù)文件信息的安全，利用條碼技術(shù)，為所有的打印文件嵌入條碼，作為其身份標(biāo)識(shí)，使得每個(gè)文件都擁有了身份。通過(guò)身份識(shí)別機(jī)制，對(duì)文件的各個(gè)流轉(zhuǎn)環(huán)節(jié)進(jìn)行監(jiān)控與審計(jì)，提高文件輸出環(huán)節(jié)的安全性。有效改變當(dāng)政府機(jī)關(guān)、國(guó)防軍工企業(yè)文件安全管理中存在的無(wú)序、分散、粗放狀態(tài)。

4 結(jié)束語(yǔ)

安全打印技術(shù)在未來(lái)的日常生活、科學(xué)技術(shù)、企業(yè)文件管理中將占據(jù)重要的地位。隨著政務(wù)電子化和信息安全、保密要求的不斷增長(zhǎng)，越來(lái)越多的政府機(jī)關(guān)、企事業(yè)單位、軍工單位已經(jīng)認(rèn)識(shí)到打印安全的重要性。安全打印技術(shù)勢(shì)必成為解決企業(yè)內(nèi)部文件打印安全問(wèn)題，防止內(nèi)部人員通過(guò)打印方式泄密的重要手段；它將有效解決打印過(guò)程中涉及認(rèn)證、授權(quán)、審計(jì)的三大安全領(lǐng)域的管理、技術(shù)難題，對(duì)推動(dòng)企業(yè)內(nèi)部紙質(zhì)文件載體信息安全管理體系建設(shè)起到推動(dòng)作用。

參考文獻(xiàn)

［1］楊鵬飛.網(wǎng)絡(luò)打印機(jī)系統(tǒng)研究與嵌入式軟件平臺(tái)設(shè)計(jì)［D］.西安電子科技大學(xué)， 2013.

［2］付曉明.網(wǎng)絡(luò)打印機(jī)安全分析與防范對(duì)策［D］.北京郵電大學(xué)，2012.

［3］李俊宏，湛邵斌. 條碼技術(shù)的發(fā)展及應(yīng)用［J］.計(jì)算機(jī)與數(shù)字工程， 2008.37（7）﹕115-118，154.

［4］藍(lán)慶洪.條形碼技術(shù)在檔案管理中的價(jià)值體現(xiàn).Value Engineering.

［5］任立學(xué)，劉知貴，趙強(qiáng) 等.打印機(jī)監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)應(yīng)用研究，2007，12﹕0217-03.

作者簡(jiǎn)介：

馬萌（1982—），男，河南洛陽(yáng)人，碩士，工程師，研究方向：網(wǎng)絡(luò)與信息安全、計(jì)算機(jī)應(yīng)用。