中國空空導彈研究院 馬 萌

?

淺析安全打印技術在企業(yè)中的應用

中國空空導彈研究院 馬 萌

【摘要】傳統(tǒng)的企業(yè)內(nèi)部文件打印存在安全風險，打印文件不及時領取，文件隨意打印存在隱患。打印文件信息泄密，涉及個人信息、企業(yè)、國家核心秘密，且破壞力大，追查率低，極大損害個人、企業(yè)、甚至是國家的利益。安全可靠的企業(yè)內(nèi)部文件打印，成為近年來信息安全領域研究的一個重要課題。

【關鍵詞】信息安全；打印機；安全打??；條碼技術

0 引言

政府機關、國防軍工等企業(yè)具有極高保密性，其信息安全涉及到國家安全和社會公共安全。傳統(tǒng)的企業(yè)內(nèi)部文件打印存在安全風險，打印文件不及時領取，文件隨意打印存在隱患。打印文件信息泄密，涉及個人信息、企業(yè)、國家核心秘密；且破壞力大，追查率低，極大損害個人、企業(yè)、甚至是國家的利益。根據(jù)國家《計算機犯罪與安全調(diào)查報告》，企業(yè)內(nèi)部打印文件泄密已經(jīng)成為信息泄密的主要途徑之一。安全可靠的企業(yè)內(nèi)部文件打印，成為近年來信息安全領域研究的一個重要課題。

1 打印機語言及條碼技術

1.1 打印機語言

打印機語言是控制打印機工作的指令，主要為兩類。一種是頁面描述語言，另一種是嵌入式語言。代表分別是HP公司的PCL語言和Adobe公司的PS（Postscript）語言。PCL語言適用于中、低端打印設備，處理文本或辦公應用軟件生成的文檔。PS語言適用于圖形打印等高端設備，處理PDF文件或Photoshop等圖形文件。打印機語言利用應用程序數(shù)據(jù)，經(jīng)過計算機GDI接口，再經(jīng)過打印驅(qū)動、轉(zhuǎn)換成打印機可以識別的數(shù)據(jù)。打印機接收信息，解析轉(zhuǎn)換為含有字符信息的激光驅(qū)動信號，最后通過使激光成像，轉(zhuǎn)印到紙上。

1.2 條碼技術

條碼技術是集編碼、印刷、識別、數(shù)據(jù)采集和處理于一身的信息技術。近年來滲透到計算機管理的各個領域，成為信息采集及防偽的重要手段。目前常用的有一維碼、二維碼；一維碼存在信息容量小、糾錯能力差、防偽性差等缺點；二維碼有效彌補了這些不足，常見的有PDF417、QR Code、Code 16K等。二維碼信息密度比一維碼高，如PDF417碼是一維碼CodeC3的20多倍。目前廣泛應用各類報表、票據(jù)，商品及貨物運輸?shù)墓芾恚I(yè)生產(chǎn)線的自動化管理等。

2 企業(yè)內(nèi)部文件打印安全現(xiàn)狀分析

中小型企業(yè)、大型公司、政府機關、國防軍工等企業(yè)內(nèi)部文件打印，大多采用在網(wǎng)絡環(huán)境下控制打印機，或者安排專人管理打印的模式。采用網(wǎng)絡打印可以一定程度上減少打印機的數(shù)量，節(jié)省成本，提高工作效率。安排專人管理打印可以杜絕企業(yè)內(nèi)部人員直接接觸打印設備，減少誤操作，減少隨意打印。但是多數(shù)企業(yè)只把打印機當作一種IT周邊服務設備，忽視了打印設備的安全問題，存在諸多安全隱患。

2.1 安全產(chǎn)品功能缺失

目前部分單位、政府機關、國防軍工企業(yè)部署了類似主機行為監(jiān)控的軟件，可以監(jiān)控打印行為，如監(jiān)控打印人，打印時間，打印文件名稱，打印機名稱等信息，但無法進行打印內(nèi)容審計，對打印內(nèi)容的密級進行審核；無法明確員工打印內(nèi)容中有多少與工作相關，特別是對于泄露的打印資料，無法追蹤其來源，采用有效措施解決泄露途徑。未采取技術手段為打印生成的文件植入身份信息，滿足打印文件在流轉(zhuǎn)、外送、歸檔、回收等環(huán)節(jié)管理的需求。

2.2 打印人員管理

企業(yè)內(nèi)部打印管理人員操作打印，同時負責文件編號/蓋章、審核，督促領用人員登記，工作量大，容易出現(xiàn)錯誤。打印管理人操作打印，無形中擴大了企業(yè)核心商業(yè)秘密、國家涉密信息的知悉范圍。打印申請人員在領用時登記不規(guī)范，與申請信息不符，造成后期核對困難。傳統(tǒng)的人工管控打印、網(wǎng)絡打印、共享打印等方式，不能從根本上防治打印信息泄密，影響著企業(yè)內(nèi)部重要資料、文件或數(shù)據(jù)的安全。

2.3 打印文件管理

企業(yè)內(nèi)部打印文件沒有及時取回，容易出現(xiàn)文件查找困難、缺頁、誤拿等情況。內(nèi)部員工能夠隨意接觸打印文件，會造成重要文件或機密文件的泄漏，成為企業(yè)的安全隱患。

2.4 打印設備管理

打印設備使用未進行授權，采取身份鑒別手段，任何員工都可以隨意打印，沒有經(jīng)過合法審批等流程就直接打印，容易造成打印紙張浪費和機密信息的泄露。

2.5 企業(yè)內(nèi)部文件打印安全風險結(jié)論

企業(yè)內(nèi)部人員通過打印的形式將企業(yè)核心商業(yè)秘密、國家涉密資料帶出，必定會造成信息的泄露，給企業(yè)、國家?guī)聿豢晒懒康膿p失。因此，打印不應該簡單地被定義為一種周邊IT服務，而應該引起企業(yè)、特別是政府機關、國防軍工足夠的重視，將其納入到企業(yè)整體信息安全體系當中。采取有效的管理方式和技術手段來對打印的全過程進行跟蹤管理，形成事前防范、事中監(jiān)控、事后審計的全方位管理，使打印過程安全、可靠。

3 安全打印系統(tǒng)的應用

安全打印系統(tǒng)立足于集中管控設備，采用條碼、電子加密等技術，對打印機的使用者的身份和文件有效性的進行驗證，建立對紙質(zhì)文件、電子文件的一體化管理。從打印文件的全過程的各環(huán)節(jié)進行安全處理和管控，建立全周期過程中的審計，對文件的安全流轉(zhuǎn)進行全程監(jiān)控。使文件在整個打印過程中不受意外或者惡意破壞、

更改和泄漏，保證文件的保密性、完整性、可用性和真實性。

3.1 安全打印系統(tǒng)組成

安全打印系統(tǒng)主要由客戶端、電子審批、打印輸出端、和服務器端幾部分組成。

圖1 安全打印系統(tǒng)結(jié)構(gòu)

3.1.1 客戶端

采取CS部署模式，不改變用戶使用習慣。用戶打開文件發(fā)起打印，通過安裝的虛擬打印驅(qū)動，將打印文件轉(zhuǎn)化為快照，形成打印機能夠識別的PCL語言；客戶端軟件將文件提交至服務器端，不直接通過打印機輸出，實現(xiàn)了對打印的監(jiān)控?？蛻舳酥С仲~號登錄、域登錄。只有正確登錄后，用戶才能夠正常使用打印功能。

3.1.2 電子審批

采取在線多級審批的模式，由管理部門領導、主管人員根據(jù)文檔密級對作業(yè)輸出行為實施審批；同時審批人員通過預覽文件快照的形式對打印作業(yè)進行全文預覽，只有經(jīng)過審批的文件才能進行作業(yè)輸出，避免用戶降密輸出、隨意輸出，保證文件輸出的安全性和保密性。

3.1.3 打印輸出端

電子申請完畢后，用戶使用IC/ID卡通過刷卡認證的方式，通過刷卡控制端顯示打印作業(yè)，執(zhí)行打印。同時在打印生成的文件嵌入二維碼（PDF417、或QR），為文件植入身份信息。安全打印系統(tǒng)對打印設備進行授權，只有授權的打印機才能使用、保障打印文件的專屬性和私密性

3.1.4 服務器端

實現(xiàn)對文件輸出全過程進行記錄， 保存打印輸出后生成的快照文件，并通過信息完整性驗證技術（MDS）進行檢測確保文件完整性。同時設置相應的管理員角色供企業(yè)內(nèi)部管理人員進行監(jiān)控和審計。建立企業(yè)打印文件電子臺賬，實現(xiàn)每一份文件對應到相應的人員。

3.2 安全打印的技術優(yōu)點

3.2.1 打印集中管控

采用CS部署模式在已安裝客戶端軟件的設備中，所有用戶已安裝、私自接入的打印機均無法使用，只有通過授權的設備才可使用。

3.2.2 權限控制

根據(jù)人員重要程度進行權限、密級控制。只有通過身份認證的人員才能進行打印操作。用戶只能夠處理自己的打印文件，無法查看和打印其他人文件，做到準確的實名制打印控制。不會在打印過程中擴大了涉密信息的知悉范圍，造成秘密信息的泄露。

3.2.3 打印文件條碼管理

在打印文檔上嵌入二維條碼，作為文件身份信息的唯一標識，確定文件的歸屬和真實性；達到防篡改的目的，有效的防止修改、替換等違規(guī)操作。通過條碼來識別這些文件，通過完備的審計功能對打印文件及流轉(zhuǎn)操作進行跟蹤記錄，實現(xiàn)打印文件的全生命周期管理。

3.2.4 基于條碼的文件綜合管理

輸出文件自動嵌入的PDF417或QR二維條碼，隱含文件密級、頁數(shù)、份數(shù)、部門、輸出人員姓名等信息，作為檢查的依據(jù)。當文件需要回收、移交、歸檔、回收相關操作，利用條碼掃描槍讀出條碼中的文件編號，系統(tǒng)自動變更文件在用狀態(tài)，實現(xiàn)文件流轉(zhuǎn)管理的便捷操作，提高工作效率。通過電子化管理清晰地了解每一份涉密文件生命周期狀態(tài)，從而真正實現(xiàn)對文件輸出后全生命周期的管理效果。

3.2.5 打印記錄跟蹤

安全打印系統(tǒng)精確地捕捉每次輸出任務，對所有打印操作，記錄打印設備、服務器、文檔名、用戶、打印頁數(shù)、打印時間、紙張等相關信息，出現(xiàn)文件泄密情況能夠快速追蹤。

3.3 企業(yè)內(nèi)部打印管理水平的提高

安全打印技術的應用，一改以往企業(yè)對打印機管理松散的局面，通過技術手段提高了輸出過程和輸出作業(yè)的集中化、標準化管理水平。有效防止了打印文件的泄密。所有打印、內(nèi)容都有據(jù)可查，可以追溯。

同時為更好地保護文件信息的安全，利用條碼技術，為所有的打印文件嵌入條碼，作為其身份標識，使得每個文件都擁有了身份。通過身份識別機制，對文件的各個流轉(zhuǎn)環(huán)節(jié)進行監(jiān)控與審計，提高文件輸出環(huán)節(jié)的安全性。有效改變當政府機關、國防軍工企業(yè)文件安全管理中存在的無序、分散、粗放狀態(tài)。

4 結(jié)束語

安全打印技術在未來的日常生活、科學技術、企業(yè)文件管理中將占據(jù)重要的地位。隨著政務電子化和信息安全、保密要求的不斷增長，越來越多的政府機關、企事業(yè)單位、軍工單位已經(jīng)認識到打印安全的重要性。安全打印技術勢必成為解決企業(yè)內(nèi)部文件打印安全問題，防止內(nèi)部人員通過打印方式泄密的重要手段；它將有效解決打印過程中涉及認證、授權、審計的三大安全領域的管理、技術難題，對推動企業(yè)內(nèi)部紙質(zhì)文件載體信息安全管理體系建設起到推動作用。

參考文獻

［1］楊鵬飛.網(wǎng)絡打印機系統(tǒng)研究與嵌入式軟件平臺設計［D］.西安電子科技大學， 2013.

［2］付曉明.網(wǎng)絡打印機安全分析與防范對策［D］.北京郵電大學，2012.

［3］李俊宏，湛邵斌. 條碼技術的發(fā)展及應用［J］.計算機與數(shù)字工程， 2008.37（7）﹕115-118，154.

［4］藍慶洪.條形碼技術在檔案管理中的價值體現(xiàn).Value Engineering.

［5］任立學，劉知貴，趙強 等.打印機監(jiān)控系統(tǒng)的設計與實現(xiàn)［J］.計算機應用研究，2007，12﹕0217-03.

作者簡介：

馬萌（1982—），男，河南洛陽人，碩士，工程師，研究方向：網(wǎng)絡與信息安全、計算機應用。