一、引言

軍工單位具有高保密性，其涉及到國家安全和社會(huì)公共安全，這決定了軍工單位在信息化建設(shè)和安全保密管理的特殊性。而根據(jù)《計(jì)算機(jī)犯罪與安全調(diào)查報(bào)告》的調(diào)查結(jié)果顯示，泄密的主要途徑有三種：電子郵件泄密、移動(dòng)存儲(chǔ)泄密、打印信息泄密。通常，電子郵件泄密和移動(dòng)存儲(chǔ)泄密都得到了較好的控制，而來自內(nèi)部的網(wǎng)絡(luò)打印安全卻很容易受到忽視，打印信息泄密，涉及到了用戶較高等級(jí)甚至是核心級(jí)的機(jī)密，破壞力大，破案率低，極大地?fù)p害了個(gè)人、集體的利益，甚至是國家。

傳統(tǒng)的人工管控打印、共享打印等方式，不能從根本上防治打印信息泄密，對(duì)泄密事件的問題追溯檢查也力不從心，同時(shí)對(duì)資源浪費(fèi)也不能形成管制。造成了以下的問題無法解決：

• 無法明確員工打印內(nèi)容中有多少與工作相關(guān)；
• 無法減少隨意打印，造成打印浪費(fèi)；
• 無法如何遵從公司的管理規(guī)定進(jìn)行全面的保密工作；
• 無法對(duì)打印內(nèi)容的涉密進(jìn)行監(jiān)控審核；
• 無法控制涉密資料打印；
• 無法解決未及時(shí)取回打印資料，導(dǎo)致涉密信息泄露；
• 無法追溯打印資料內(nèi)容；
• 無法追溯打印紙質(zhì)文件；
• 無法避免管理權(quán)限過于集中，出現(xiàn)管理漏洞和混亂；
• 無法管控涉密信息資料的銷毀；
• 無法控制，監(jiān)控每個(gè)部門的打印使用費(fèi)用；
• 無法實(shí)現(xiàn)準(zhǔn)確統(tǒng)計(jì)打印成本；
• 無法解決出紙?zhí)?，分不清到底是誰的文件資料；
• 無法集中統(tǒng)一管理企業(yè)中的打印設(shè)備，提高設(shè)備利用率。

陜西航天藍(lán)西科技開發(fā)有限公司的打印安全監(jiān)控與審計(jì)系統(tǒng)在該背景下應(yīng)運(yùn)而生，針對(duì)各單位在打印過程中存在的安全問題和隱患、及打印成本管控等問題，提出了打印全過程安全及管控的整體解決方案，徹底解決了政府、軍隊(duì)、軍工、企事業(yè)單位的打印信息泄密問題，并精確控制打印成本，減少資源浪費(fèi)。

二、簡(jiǎn)介

2.1.系統(tǒng)說明

陜西航天藍(lán)西科技開發(fā)有限公司針對(duì)于國防科技工業(yè)保密委員會(huì)的保密要求共同推出了打印安全監(jiān)控與審計(jì)系統(tǒng)，立足于“集中管控打印機(jī)”和“集中銷毀涉密載體”，采用條碼、機(jī)電一體化、電子加密等技術(shù)，對(duì)涉密文件進(jìn)行快速準(zhǔn)確地識(shí)別和追蹤，并對(duì)打印機(jī)的使用者的身份和文件有效性的進(jìn)行驗(yàn)證，建立對(duì)紙質(zhì)文件、電子文件的一體化管理。從涉密文件的打印全過程的各環(huán)節(jié)進(jìn)行安全處理和管控，同時(shí)建立全周期過程中的審計(jì)、日志系統(tǒng)，對(duì)文件的安全流轉(zhuǎn)進(jìn)行全程監(jiān)控。

打印安全監(jiān)控與審計(jì)系統(tǒng)有效地管控文件打印，使文件在整個(gè)打印過程中不受意外或者惡意原因遭受破壞、更改和泄漏，保證涉密文件的保密性、完整性、可用性和真實(shí)性。系統(tǒng)提供文件銷毀追溯功能，保證文件產(chǎn)生、存檔和銷毀數(shù)量的一致。

打印安全監(jiān)控與審計(jì)系統(tǒng)是一個(gè)集軟硬件為一體的文件打印安全管理的產(chǎn)品，主要包含打印安全、打印管理、安全審計(jì)和文件銷毀四個(gè)功能。

系統(tǒng)流程概述

打印安全監(jiān)控與審計(jì)系統(tǒng)最主要的功能和流程如下圖所示：

圖1. 打印安全監(jiān)控與審計(jì)系統(tǒng)概念圖

A) 虛擬打印

首先，安裝客戶端軟件后，所有用戶原來安裝的打印機(jī)驅(qū)動(dòng)均無法再打印，需要客戶端軟件域登錄成功后才能發(fā)起打印請(qǐng)求，且只能使用新安裝的虛擬打印機(jī)進(jìn)行打印。

B) 多級(jí)審批

在此前提下，所有的打印輸出由原來的直接輸出到打印機(jī)變?yōu)樘摂M打印，打印內(nèi)容被上傳至打印監(jiān)控服務(wù)器端。服務(wù)器端軟件根據(jù)審批流的設(shè)置和用戶選擇的密級(jí)通知對(duì)應(yīng)的審批人員，在各級(jí)審批人員逐級(jí)審批通過后，自動(dòng)嵌入二維條碼，并通知打印用戶進(jìn)行刷卡操作。

C) 刷卡打印

用戶收到審批成功通知后，在自己有權(quán)限打印的打印機(jī)上刷卡進(jìn)行身份審核后，服務(wù)器端軟件立即將此用戶打印的信息輸出到打印機(jī)。值得一提的是此文檔被自動(dòng)嵌入了二維條碼。

D) 條碼掃描回收

打印文稿上自動(dòng)嵌入的二維條碼，隱含了載體密級(jí)、頁數(shù)、輸出人員姓名、審批人員姓名等信息，可作為單位或部門保密監(jiān)督檢查的依據(jù)。

當(dāng)需要回收此文檔時(shí)，利用通用的條碼掃描槍讀出條碼中的文檔編號(hào)，系統(tǒng)可標(biāo)記此文件狀態(tài)為已回收，而其他文檔仍需完成此回收流程才能完成生命周期。已回收的文檔，將被送交主管單位或部門進(jìn)行銷毀。

2.2.系統(tǒng)設(shè)計(jì)思想

打印安全監(jiān)控與審計(jì)系統(tǒng)，基于國家保密局頒發(fā)的BMB15-2004標(biāo)準(zhǔn)研發(fā)，針對(duì)軍工行業(yè)的特點(diǎn)進(jìn)行了大量的定制開發(fā)功能，在應(yīng)用架構(gòu)上完全適應(yīng)了軍工行業(yè)涉密單位的內(nèi)網(wǎng)基礎(chǔ)設(shè)施條件和內(nèi)部管理保密要求。

在管理員三員分立的基礎(chǔ)上，引入客戶端和打印控制器分別監(jiān)控發(fā)起打印的計(jì)算機(jī)和輸出紙張的打印機(jī)，實(shí)現(xiàn)更嚴(yán)格的監(jiān)控；引入打印審批和審批流機(jī)制，可實(shí)現(xiàn)多 級(jí)審批、領(lǐng)導(dǎo)審批、跨部門審批、不審批等靈活的審批流程；引入刷卡打印機(jī)制，防止取紙不及時(shí)敏感信息被無關(guān)人員看到，實(shí)現(xiàn)了私密打?。灰肓嘶厥战y(tǒng)計(jì)員， 可利用掃描槍進(jìn)行條碼回收管理，保證打印和回收數(shù)量的一致。

圖2. 打印安全監(jiān)控與審計(jì)系統(tǒng)應(yīng)用架構(gòu)圖

2.3.系統(tǒng)體系架構(gòu)

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

與其他涉密信息系統(tǒng)類似，打印安全監(jiān)控與審計(jì)系統(tǒng)采用的是B/S和C/S結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)實(shí)現(xiàn)軟件系統(tǒng)，不同之處在于引入了打印控制器、打印接口轉(zhuǎn)換器、條碼掃描槍等配套的硬件設(shè)備，如下圖所示。

圖3. 打印安全監(jiān)控與審計(jì)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

軟件系統(tǒng)

引入本系統(tǒng)，首先需要布署一臺(tái)服務(wù)器，并安裝服務(wù)器端軟件和所有物理打印機(jī)驅(qū)動(dòng)程序。它作為整個(gè)系統(tǒng)的通訊和控制中心，控制著三員分立，系統(tǒng)管理、打印、審批、刷卡、打印輸出、回收等全部環(huán)節(jié)。

然后，在需要進(jìn)行打印的用戶終端計(jì)算機(jī)上，布署打印客戶端軟件，用于監(jiān)控打印行為。另外，此客戶端軟件包含一個(gè)虛擬打印機(jī)，用戶只需將文檔打印至此虛擬打印機(jī)，就可以在審批后通過打印控制器刷卡輸出文檔。

需要說明的是，因?yàn)橛脩艚K端計(jì)算機(jī)的數(shù)量大，首次部署通常采用域推送的方式，一旦安裝好客戶端，后續(xù)的客戶端升級(jí)可由客戶端自帶升級(jí)組件自動(dòng)完成。

配套硬件

硬件中打印控制器是專門為本系統(tǒng)設(shè)計(jì)的一個(gè)智能終端設(shè)備，與打印機(jī)串接，用于實(shí)現(xiàn)刷卡打印和跟隨打印，另外打印控制器可實(shí)現(xiàn)對(duì)打印機(jī)物理監(jiān)控與隔離（下文有專門說明）；接口轉(zhuǎn)換器是通用設(shè)備（小盒子），用于將并口/U口轉(zhuǎn)換為網(wǎng)絡(luò)口打印，從而實(shí)現(xiàn)將所有打印機(jī)統(tǒng)一為網(wǎng)絡(luò)打印，簡(jiǎn)化軟件系統(tǒng)設(shè)計(jì)；條碼掃描槍也是通用設(shè)備，用于從虛擬打印嵌入的二維條碼中提取文件標(biāo)志信息，實(shí)現(xiàn)條碼掃描回收。

系統(tǒng)邏輯架構(gòu)

為了更好的說明本系統(tǒng)，下面繼續(xù)從邏輯結(jié)構(gòu)上進(jìn)行解釋。打印安全監(jiān)控與審計(jì)系統(tǒng)的邏輯結(jié)構(gòu)如下圖所示。本圖反映了引入本系統(tǒng)后用戶打印行為邏輯的一些變化。

圖4. 打印安全監(jiān)控與審計(jì)系統(tǒng)邏輯結(jié)構(gòu)圖

打印流程變化

引入本系統(tǒng)后，用戶通過計(jì)算機(jī)打印資料的操作方式不變，但是打印內(nèi)容將不會(huì)被發(fā)送到打印機(jī)，而是發(fā)送到打印安全監(jiān)控與審計(jì)服務(wù)器，由領(lǐng)導(dǎo)（審批用戶）進(jìn)行審批；審批通過后，用戶用自己的員工卡在與打印機(jī)相連的打印控制器上刷卡；服務(wù)器將收到打印控制器的請(qǐng)求，將打印內(nèi)容嵌入二維條碼后透過打印控制器輸出到打印機(jī)；因?yàn)橛脩粼诖蛴C(jī)旁，可以直接拿走打印輸出的文稿，避免機(jī)密信息被他人偷閱。

條碼掃描回收

值得注意的是，此打印行為的變化也為文檔的回收工作提供了方便。因?yàn)槊恳环荽蛴≥敵龅奈臋n在服務(wù)器上均有記錄，并且打印時(shí)嵌入了二維條碼，回收統(tǒng)計(jì)員直接利用掃描槍即可完成涉密打印文檔的回收工作，真正做到“打印一份、回收一份”。

管理員（三員分立）

除此之外，本系統(tǒng)的管理員通過Web瀏覽器來管理本系統(tǒng)，根據(jù)BMB15-2004標(biāo)準(zhǔn)要求設(shè)置了三員分立，系統(tǒng)管理員、安全保密管理員、安全審計(jì)管理員各司其職，相互監(jiān)督，強(qiáng)制其嚴(yán)格遵守涉密信息系統(tǒng)保密管理的要求。

2.4.特性

基于多年來在打印領(lǐng)域研發(fā)積累的豐富經(jīng)驗(yàn)，路模思科技推出的打印安全監(jiān)控與審計(jì)系統(tǒng)具有功能強(qiáng)大、兼容廣泛、架構(gòu)優(yōu)越、部署靈活，成熟穩(wěn)定、性價(jià)比高的特點(diǎn)。

與競(jìng)爭(zhēng)對(duì)手相比，打印安全監(jiān)控與審計(jì)系統(tǒng)經(jīng)過多年針對(duì)軍工單位實(shí)際需求不斷的改進(jìn)，逐步具有了眾多與眾不同的特性：

• 雙引擎虛擬打印技術(shù)

在原有通用虛擬打印技術(shù)的基礎(chǔ)上，引入了精確虛擬打印技術(shù)，既保留了通用虛擬打印無需用戶安裝打印機(jī)驅(qū)動(dòng)的優(yōu)點(diǎn)，又解決了圖紙打印等需要使用打印機(jī)高級(jí)特性時(shí)的精確打印需求。

• 物理隔離網(wǎng)絡(luò)的打印控制器

打印控制器除了實(shí)現(xiàn)刷卡打印外，還能實(shí)現(xiàn)物理隔離網(wǎng)絡(luò)，防止終端計(jì)算機(jī)繞過軟件系統(tǒng)直接使用打印機(jī)進(jìn)行盜打。

• 部署實(shí)施友好

首先，部署打印控制器時(shí)不需要增加網(wǎng)口，無需額外投入費(fèi)用增加交換機(jī)、網(wǎng)絡(luò)布線及網(wǎng)絡(luò)端口；且能自動(dòng)與打印機(jī)共用IP地址，真正做到了即接即用，提升了部署實(shí)施速度。

其次，提供了域用戶和組織結(jié)構(gòu)導(dǎo)入和同步、批量修改權(quán)限、客戶端自動(dòng)域分發(fā)、自動(dòng)升級(jí)等一整套方法和工具加快部署實(shí)施的速度，并在實(shí)施過程中不斷改進(jìn)。

• 安全不失靈活，且提供應(yīng)急機(jī)制

嚴(yán)格按照保密局相關(guān)標(biāo)準(zhǔn)進(jìn)行密級(jí)權(quán)限控制，保證安全性。在三員分立原則的基礎(chǔ)上，系統(tǒng)進(jìn)行很多靈活的設(shè)計(jì)，已適應(yīng)不同單位、部門、個(gè)人因?yàn)槲臋n用途不同所導(dǎo)致的特殊需求，比如：

1. 涉密電子文件輸出時(shí)，自動(dòng)標(biāo)密機(jī)制；

2. 用戶可申請(qǐng)免水印打??；

3. 可靈活設(shè)定二維條碼嵌入策略，例如每頁，每份，僅首頁嵌入機(jī)制；

4. 無卡用戶可以免刷卡打印輸出，不影響日常正常使用；

5. 個(gè)別領(lǐng)導(dǎo)可配置免審批機(jī)制。當(dāng)遇到突發(fā)狀況導(dǎo)致服務(wù)器端無法使用時(shí)，可由系統(tǒng)管理員無干擾的讓終端計(jì)算機(jī)進(jìn)入應(yīng)急打印模式，避免對(duì)員工的正常工作造成影響。

三、產(chǎn)品組成

打印安全監(jiān)控與審計(jì)系統(tǒng)采用軟硬件結(jié)合的系統(tǒng)架構(gòu)和BS/CS相結(jié)合的網(wǎng)絡(luò)通訊架構(gòu)，整個(gè)系統(tǒng)由客戶端軟件、服務(wù)端軟件、打印控制器（硬件）組成。其功能架構(gòu)如下圖所示：

（注：條碼掃描槍和打印接口轉(zhuǎn)換器為第三方通用設(shè)備，且為選配件，故未列入系統(tǒng)功能架構(gòu)中）

圖5. 打印安全監(jiān)控與審計(jì)系統(tǒng)功能架構(gòu)圖

各部分主要原理和工作方式如下：

3.1.客戶端軟件

客戶端軟件的核心是通用虛擬打印機(jī)驅(qū)動(dòng)。在不改變用戶使用習(xí)慣的前提下，虛擬打印機(jī)驅(qū)動(dòng)將打印內(nèi)容透明的提交至服務(wù)器端，而不是輸出至打印機(jī)，從而實(shí)現(xiàn)了對(duì)打印的監(jiān)控。

客戶端軟件支持普通用戶登錄、域登錄和USB KEY+域認(rèn)證等多種身份認(rèn)證模式。只有登錄后，用戶才能夠使用通用虛擬打印機(jī)驅(qū)動(dòng)來進(jìn)行打印。發(fā)起打印后，打印任務(wù)將經(jīng)歷權(quán)限判斷、多級(jí)審批、刷卡等環(huán)節(jié)才能最終輸出至打印機(jī)。另外，用戶通過客戶端軟件可以即時(shí)獲取消息通知，及時(shí)了解打印任務(wù)狀態(tài)的變化。

客戶端軟件還包含一個(gè)非法接入監(jiān)控和應(yīng)急打印模塊，可根據(jù)服務(wù)器端配置的用戶權(quán)限策略動(dòng)態(tài)啟用禁用其他打印機(jī)驅(qū)動(dòng)，與打印控制器硬件配合，可杜絕私自接入打印機(jī)。另外，該模塊還實(shí)現(xiàn)了對(duì)于應(yīng)急打印的支持，當(dāng)系統(tǒng)（服務(wù)器端軟件）無法正常工作時(shí)，可由系統(tǒng)管理員按要求配置域策略，使得客戶端軟件放開對(duì)本機(jī)其他打印機(jī)驅(qū)動(dòng)的監(jiān)控，讓用戶可以按安裝本系統(tǒng)以前的方式進(jìn)行打印，從而實(shí)現(xiàn)應(yīng)急打印。

3.2.服務(wù)器端軟件

服務(wù)器端軟件實(shí)現(xiàn)了用戶和組織、打印管理、銷毀管理、日志管理、打印機(jī)管理、打印計(jì)費(fèi)、統(tǒng)計(jì)分析等功能，并采用B/S的方式提供管理接口，這樣做的優(yōu)勢(shì)在于可以使管理員在單位的任何位置都可以進(jìn)行管理。

服務(wù)器端軟件還包含了一個(gè)打印控制服務(wù)，主要用于同真實(shí)打印機(jī)和打印控制器進(jìn)行交互，提供了打印控制器刷卡通知，水印疊加、生成預(yù)覽圖片和將最終打印內(nèi)容輸出到真實(shí)打印機(jī)等功能。

服務(wù)器端軟件是整個(gè)系統(tǒng)的通訊和控制樞紐，控制著三員分立系統(tǒng)管理、打印、審批、刷卡、打印輸出、監(jiān)銷等全部環(huán)節(jié)。舉例來說，客戶端打印時(shí)，打印內(nèi)容被提交至服務(wù)器端進(jìn)行存儲(chǔ)，審批者通過Web瀏覽器訪問服務(wù)器端軟件完成審批動(dòng)作，服務(wù)器端軟件發(fā)送消息給客戶端通知其刷卡，用戶在打印控制器刷卡，認(rèn)證信息被發(fā)送到服務(wù)端軟件，服務(wù)端軟件的打印控制服務(wù)再將打印內(nèi)容發(fā)送到真實(shí)的打印機(jī)，整個(gè)過程全部由服務(wù)器端軟件控制。

3.3.打印控制器

打印控制器是一個(gè)硬件設(shè)備，他主要有兩個(gè)功能：一是刷卡打?。ǜS打印），二是實(shí)現(xiàn)打印機(jī)隔離。

刷卡打?。ǜS打印），是指用戶用已在服務(wù)器端登記的IC/CPU卡在打印控制器上進(jìn)行刷卡動(dòng)作，此IC/CPU卡的信息將被打印控制器發(fā)送到服務(wù)器端驗(yàn)證，如果驗(yàn)證通過，服務(wù)器端會(huì)將此用戶已通過審批的打印任務(wù)發(fā)送至真實(shí)打印機(jī)。因?yàn)榇蛴】刂破魍ǔＪ前卜旁谄浣壎ǖ拇蛴C(jī)旁邊，因此，用戶可以走到打印機(jī)旁才讓文檔輸出來，因此也被稱為跟隨打印。

打印機(jī)隔離，是指打印控制器起到了網(wǎng)絡(luò)通信網(wǎng)閘的作用，打印控制器只有在接收到服務(wù)器端按系統(tǒng)通信協(xié)議發(fā)出的控制命令時(shí)，才會(huì)對(duì)服務(wù)器端打開網(wǎng)絡(luò)通信通道，使其可以將打印內(nèi)容輸出到位于打印控制器身后的打印機(jī)。而其他計(jì)算機(jī)，如果無法通過打印控制器的身份驗(yàn)證，則無法與訪問此打印機(jī)。

四、產(chǎn)品功能

4.1.三員分立

打印安全監(jiān)控與審計(jì)系統(tǒng)按照BMB15-2004標(biāo)準(zhǔn)要求，內(nèi)置三員分立功能，并且安裝時(shí)已內(nèi)置了此三員賬戶：

• 系統(tǒng)管理員

系統(tǒng)管理員負(fù)責(zé)導(dǎo)入域組織結(jié)構(gòu)和域用戶，配置審批流，設(shè)置打印機(jī)，員工卡綁定、設(shè)置打印計(jì)費(fèi)等操作。系統(tǒng)管理員不具有賦予用戶權(quán)限的權(quán)利。

如果用戶環(huán)境不是域環(huán)境，系統(tǒng)管理員需手工配置組織結(jié)構(gòu)和創(chuàng)建用戶，用戶在初次登陸時(shí)將被要求修改密碼。

系統(tǒng)管理員是作為系統(tǒng)的管理者，不具有普通用戶的打印功能。

• 安全保密管理員

安全保密管理員具有設(shè)置用戶密級(jí)、用戶權(quán)限，查看用戶日志，設(shè)置審批者，角色管理，解鎖被鎖定的用戶的權(quán)利。安全管理員不能創(chuàng)建新用戶。

安全管理員是作為系統(tǒng)的管理者，不具有普通用戶的打印功能。

• 安全審計(jì)管理員

安全審計(jì)管理員具有審查系統(tǒng)管理員和安全管理員操作日志的權(quán)利。

安全審計(jì)管理員作為系統(tǒng)的管理者，不具有普通用戶的打印功能。

4.2.審批流和多級(jí)審批

審批流是打印安全監(jiān)控與審計(jì)系統(tǒng)服務(wù)器端的核心功能。審批流技術(shù)以組織結(jié)構(gòu)為基礎(chǔ)，是為了能實(shí)現(xiàn)跨部門審批、免審批、多級(jí)審批等復(fù)雜需求而設(shè)計(jì)的，比工作流簡(jiǎn)單，但是具有易于理解，配置靈活的優(yōu)點(diǎn)。

審批流由管理員進(jìn)行設(shè)置，但是是否具有審批權(quán)限由安全保密管理員設(shè)置。一個(gè)審批流由打印人（多人）、每個(gè)密級(jí)的審批人（多人）組成，如果沒有設(shè)置審批人，則表示通過此審批流打印時(shí)不進(jìn)行審批。每個(gè)密級(jí)均可以單獨(dú)設(shè)置多級(jí)審批，每一級(jí)均可設(shè)置多個(gè)審批人。

圖6. 審批流和多級(jí)審批

審批流的基本工作原理是，用戶在打印文件至虛擬打印機(jī)時(shí)，選擇審批流、密級(jí)等屬性，發(fā)起打印后，打印數(shù)據(jù)和這些任務(wù)屬性信息發(fā)送到服務(wù)器端，服務(wù)器端的審批流模塊根據(jù)用戶選擇的審批流通知對(duì)應(yīng)的一級(jí)審批人，一級(jí)審批人完成審批后，審批流模塊將根據(jù)審批流設(shè)置，將審批請(qǐng)求通知給二級(jí)審批人，直到審批流程結(jié)束后通知打印人進(jìn)行刷卡，并結(jié)束審批流的控制。

4.3.虛擬打印機(jī)

客戶端安裝了打印安全監(jiān)控與審計(jì)系統(tǒng)后，每個(gè)客戶端都有一個(gè)虛擬打印機(jī)，此打印機(jī)接受了客戶的打印任務(wù)后，將打印任務(wù)發(fā)送給服務(wù)器，服務(wù)器將打印任務(wù)分配給真實(shí)的打印機(jī)。安裝了虛擬打印機(jī)后，客戶端的用戶不需要關(guān)心真實(shí)的打印機(jī)的型號(hào)，也不用安裝其他真實(shí)的打印機(jī)驅(qū)動(dòng)。

另外，虛擬打印機(jī)的引入，使得不改變用戶基本使用習(xí)慣的前提下，可增加選擇密級(jí)、用途、指定審批流、多級(jí)審批的審批者等參數(shù)，為審批流程設(shè)置初始值?？梢赃@么說，虛擬打印技術(shù)是實(shí)現(xiàn)文件管控系統(tǒng)的基礎(chǔ)技術(shù)。

4.4.登錄

打印安全監(jiān)控與審計(jì)系統(tǒng)的登錄分為客戶端登錄和Web登錄?？蛻舳撕蚖eb登錄又都分為普通用戶登錄和域用戶登錄兩種情形。

客戶端登錄成功后，用戶才能發(fā)起打印動(dòng)作。為了方便用戶，客戶端登錄提供了自動(dòng)登錄功能

Web登錄用于管理員、審批者、監(jiān)銷人以及打印人，通過Web瀏覽器操作服務(wù)器端，進(jìn)行管理和流程審批。

為安全起見，Web登錄有以下規(guī)則：

1．未提供自動(dòng)登錄功能，但是，如果客戶端計(jì)算機(jī)已登錄域中， Web登錄將自動(dòng)完成。

2. 除域登錄外，管理員、審批者、監(jiān)銷人以及打印人初次登錄時(shí)需修改密碼。

4.5.事件通知

為了更好的執(zhí)行打印和銷毀任務(wù)審批，打印安全監(jiān)控與審計(jì)系統(tǒng)特別提供了審批過程中的即時(shí)通知功能。當(dāng)出現(xiàn)了需要審批的打印或銷毀任務(wù)時(shí)，審批人會(huì)即時(shí)收到審批提示。當(dāng)審批完成后，任務(wù)發(fā)起者會(huì)得到審批通過或?qū)徟〉耐ㄖ?/p>

當(dāng)打印審批通過，需要用戶刷卡時(shí)，客戶端軟件也會(huì)收到即時(shí)通知，用戶收到通知后，可到打印控制器上刷卡，此時(shí)用戶不在計(jì)算機(jī)旁邊，但是打印控制器的液晶屏幕也會(huì)有消息顯示，告知用戶自己的打印任務(wù)是否將被輸出到打印機(jī)。

事件通知貫穿于打印和銷毀任務(wù)的各個(gè)流程環(huán)節(jié)，有效的加快了打印和銷毀任務(wù)流程進(jìn)度，提高了工作效率。

4.6.非法打印禁止

打印安全監(jiān)控與審計(jì)系統(tǒng)的客戶端能夠根據(jù)服務(wù)器端配置的安全策略，決定是否禁止用戶使用其他打印機(jī)。也就是說，用戶只能使用通用虛擬打印機(jī)進(jìn)行打印，而無法通過其他方式打印文檔。

此功能與打印控制器硬件配合，可杜絕私自接入打印機(jī)進(jìn)行非法打印。

4.7.打印機(jī)隔離

打印機(jī)隔離功能，由打印控制器提供，可以阻斷非授權(quán)計(jì)算機(jī)對(duì)其所連接的打印機(jī)的通訊，只允許經(jīng)過授權(quán)的服務(wù)器端的通訊請(qǐng)求。此功能與客戶端軟件提供的非法打印禁止功能配合，可以杜絕私自接入打印機(jī)進(jìn)行非法打印。

打印控制器控制著與打印機(jī)相連的網(wǎng)絡(luò)端口，可視為一個(gè)簡(jiǎn)單的硬件防火墻，只有當(dāng)服務(wù)器端按照約定的協(xié)議進(jìn)行通訊，才能訪問位于打印控制器后面的打印機(jī)。也就是說，打印控制器是打印機(jī)的通信網(wǎng)閘，只有在接收到服務(wù)器端的控制命令時(shí)，才會(huì)對(duì)服務(wù)器端打開網(wǎng)絡(luò)通信通道，使其可以將打印內(nèi)容輸出到位于打印控制器身后的打印機(jī)。而其他計(jì)算機(jī)，如果無法通過打印控制器的身份驗(yàn)證，則無法訪問和使用此打印機(jī)，從而杜絕繞過系統(tǒng)打印的行為。

4.8.刷卡打?。ǜS打?。?/h2>

在發(fā)出打印命令后，打印機(jī)進(jìn)行打印，用戶取回打印文檔的過程中，存在安全隱患。如果用戶未及時(shí)取回打印文檔，將會(huì)有泄密危險(xiǎn)。打印安全監(jiān)控與審計(jì)系統(tǒng)具有刷卡與跟隨打印功能。用戶的打印任務(wù)審批通過后，將在服務(wù)器中排隊(duì)等候。用戶在真實(shí)的打印機(jī)處刷卡成功，通過身份驗(yàn)證后，需打印的文檔才在此打印機(jī)中被打印輸出。

4.9.用戶和組織

用戶和組織，包括組織結(jié)構(gòu)管理、用戶類型管理、角色管理、用戶管理、審批流管理和域組織和用戶導(dǎo)入。

組織結(jié)構(gòu)管理，以樹狀結(jié)構(gòu)提供了單位和多層級(jí)部門的管理，每級(jí)部門可以設(shè)置負(fù)責(zé)人，負(fù)責(zé)人具有本部門的打印審批和銷毀審批權(quán)限。

用戶類型管理，可設(shè)置用戶彩色打印、不加水印打印、不審批打印等權(quán)限，便于為不同用戶設(shè)置不同的打印權(quán)限。

角色管理，用于為特定的用戶附加打印審批者、銷毀審批者、監(jiān)銷人、代銷人等角色，以減輕部門負(fù)責(zé)人的負(fù)擔(dān)，或適應(yīng)多級(jí)審批及監(jiān)銷等流程的需求。

用戶管理，用于添加新用戶，或者修改單個(gè)用戶的用戶類型，修改用戶角色。

域組織和用戶導(dǎo)入，專門針對(duì)域環(huán)境提供的快速導(dǎo)入組織結(jié)構(gòu)和用戶的方法，對(duì)于管理有序的域，此功能可大大提高系統(tǒng)初始化的速度。

4.10.打印管理

打印安全監(jiān)控與審計(jì)系統(tǒng)的打印管理包括打印任務(wù)審批和打印任務(wù)控制兩個(gè)部分。打印任務(wù)審批，根據(jù)審批流的設(shè)置，實(shí)現(xiàn)了分密級(jí)多流程的多級(jí)審核，保證文件打印的安全；而打印控制，可以根據(jù)用戶類型（權(quán)限），控制用戶的彩色打印、不加水印打印、不申請(qǐng)審批打印等權(quán)限，可以根據(jù)系統(tǒng)設(shè)置，分密級(jí)決定是否添加動(dòng)態(tài)水印，二維條碼，是否進(jìn)入多級(jí)審批，刷卡認(rèn)證流程。

在打印任務(wù)的各個(gè)環(huán)節(jié)，打印者、審批人將通過客戶端軟件、郵件、打印控制器液晶屏等收到及時(shí)通知。當(dāng)遇到審批人不在的情況，打印者可以web登錄打印安全監(jiān)控與審計(jì)系統(tǒng)，更改審批流或?qū)徟?，保證打印任務(wù)得到及時(shí)處理。

4.11.條碼嵌入和回收管理

為了進(jìn)行文件打印生命周期的管控，本系統(tǒng)引入條碼嵌入技術(shù)通過二維條碼智能識(shí)別文件，來保證文件產(chǎn)生和銷毀的一致性。該技術(shù)實(shí)際上是虛擬打印技術(shù)的一個(gè)組成部分。通過虛擬打印機(jī)，發(fā)送到服務(wù)器的數(shù)據(jù)為原始的打印數(shù)據(jù)，服務(wù)器端的條碼嵌入模塊，通過解析打印數(shù)據(jù)，并在其中加入二維條碼數(shù)據(jù)后形成新的打印數(shù)據(jù)，此打印數(shù)據(jù)輸出到打印機(jī)時(shí)將多出一個(gè)二維條碼。也就是說，是否嵌入條碼完全由服務(wù)器端的設(shè)置決定，所有用戶的每一個(gè)打印任務(wù)都能夠被強(qiáng)制性嵌入二維條碼。

二維條碼可利用通用的條碼掃描槍進(jìn)行提取，與一維條碼相比可以存儲(chǔ)更多的信息，是一項(xiàng)新興的技術(shù)。二維條碼中包含了文檔唯一標(biāo)志、份序、頁序等信息，可用于保證文件產(chǎn)生和回收的一致性?？紤]到二維條碼可能因?yàn)闅埲?，磨損等原因無法讀取，或者條碼槍不可用，文檔編號(hào)（唯一標(biāo)記）將作為二維條碼的一部分打印，回收統(tǒng)計(jì)員可以手工輸入文檔編號(hào)來進(jìn)行文件回收銷毀管理。

4.12.日志管理

日志用于全程記錄系統(tǒng)所有操作，便于分析判斷違規(guī)行為。

日志分為打印任務(wù)日志、回收任務(wù)日志和系統(tǒng)日志。

打印任務(wù)日志對(duì)于打印任務(wù)從發(fā)起到輸出至打印機(jī)前的各個(gè)事件和狀態(tài)變化進(jìn)行完整記錄，可追溯打印過程中發(fā)生的一級(jí)審批、二級(jí)審批、三級(jí)審批、刷卡、進(jìn)入打印隊(duì)列、打印輸出等環(huán)節(jié)的關(guān)鍵信息。

回收任務(wù)日志記錄了回收任務(wù)各環(huán)節(jié)的關(guān)鍵信息。

系統(tǒng)日志中詳細(xì)記錄了所有類型用戶（部門負(fù)責(zé)人、打印人、打印審批人、回收統(tǒng)計(jì)員等）、安全保密管理員、安全審計(jì)管理員和系統(tǒng)管理員除查詢外的所有操作日志，可以通過選擇開始時(shí)間以及結(jié)束時(shí)間來檢索要查看的系統(tǒng)日志。

對(duì)于打印來說，打印內(nèi)容也是日志的一部分，但是其占用空間相對(duì)較大，管理員可以根據(jù)需要設(shè)置自動(dòng)刪除的策略，或者手動(dòng)刪除，為新的打印任務(wù)騰出空間。

4.13.打印機(jī)管理

打印機(jī)管理，實(shí)現(xiàn)了全面集中多個(gè)打印機(jī)，可對(duì)打印機(jī)進(jìn)行合理分配，并有效均衡打印作業(yè)。

打印機(jī)管理，分為添加刪除打印機(jī)、打印機(jī)分組、打印機(jī)分配、打印控制器配置。系統(tǒng)管理員首先需要在服務(wù)器上安裝所有打印機(jī)的驅(qū)動(dòng)，然后將這些打印機(jī)添加進(jìn)系統(tǒng)。對(duì)打印機(jī)可以設(shè)置開放時(shí)間段，打印任務(wù)頁數(shù)限制。

打印機(jī)配置完畢，再將打印機(jī)分組，以便更快更方便的將打印機(jī)分配給不同的部門，不同用戶使用。最后，將打印控制器與打印機(jī)進(jìn)行綁定，一個(gè)打印控制器只能綁定一臺(tái)打印機(jī)。

打印控制器無需安裝驅(qū)動(dòng)即可工作，因此將配置好的打印控制器接入網(wǎng)絡(luò)，然后進(jìn)行一次刷卡操作，即可將打印控制器加入到打印安全監(jiān)控與審計(jì)系統(tǒng)。

4.14.打印計(jì)費(fèi)

打印計(jì)費(fèi)功能，可以自動(dòng)計(jì)算和統(tǒng)計(jì)部門打印費(fèi)用，加強(qiáng)部門成本核算。

打印安全監(jiān)控與審計(jì)系統(tǒng)內(nèi)置多種紙張類型，可以根據(jù)不同的打印紙張類型設(shè)置不同的費(fèi)率。費(fèi)率設(shè)置分為簡(jiǎn)單計(jì)費(fèi)，按色彩計(jì)費(fèi)和按紙張類型計(jì)費(fèi)三種模式。

A. 簡(jiǎn)單計(jì)費(fèi)：不論黑白彩色和紙張大小，全部按照頁單價(jià)計(jì)費(fèi)。打印任務(wù)費(fèi)用=頁單價(jià)×總頁數(shù)

B. 彩色計(jì)費(fèi)：不論紙張大小，計(jì)算打印費(fèi)用按照黑白彩色區(qū)別計(jì)費(fèi)。打印任務(wù)費(fèi)用=黑白頁單價(jià)×黑白總頁數(shù)+彩色頁單價(jià)×彩色總頁數(shù)

C. 紙張類型計(jì)費(fèi)：分別按照紙張大小、黑白彩色進(jìn)行計(jì)算打印費(fèi)用。 打印任務(wù)費(fèi)用=該紙張類型黑白頁單價(jià)×黑白總頁數(shù)+該紙張類型彩色頁單價(jià)×彩色總頁數(shù)

4.15.系統(tǒng)設(shè)定

系統(tǒng)設(shè)定，提供了任務(wù)設(shè)置、水印設(shè)置、條碼設(shè)置、郵件設(shè)置、日志轉(zhuǎn)存等功能。

值得一提的是，打印安全監(jiān)控與審計(jì)系統(tǒng)提供了動(dòng)態(tài)水印的功能。舉例來說，如果管理員統(tǒng)一設(shè)置水印為“部門名稱”為變量時(shí)，不同部門打印出來的水印，分別是自己部門的名稱。管理員還可以調(diào)節(jié)水印文字、字體、字號(hào)、文字傾斜角度、文字顯示方向、透明度及水印文字顏色，最后將信息呈現(xiàn)在打印文檔上。

五、安全保密

本產(chǎn)品符合BMB15-2004《涉及國家秘密的信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求》的要求，支持BMB17-2006《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》的相關(guān)技術(shù)要求。

5.1.物理安全

本產(chǎn)品為集中管控打印模式，運(yùn)行在單位的以太網(wǎng)環(huán)境中，打印服務(wù)器可集中部署在單位的機(jī)房區(qū)域，環(huán)境、設(shè)備、介質(zhì)等物理安全遵從服務(wù)器部署場(chǎng)所的安全管理。打印控制器端與打印機(jī)為同一環(huán)境部署，其環(huán)境等安全同單位的打印機(jī)一起管理。

5.2.運(yùn)行安全

• 系統(tǒng)的備份與恢復(fù)與單位的統(tǒng)一備份/恢復(fù)管理同時(shí)執(zhí)行，如服務(wù)器整機(jī)備份與恢復(fù)等；
• 系統(tǒng)采用TCP/IP協(xié)議進(jìn)行通信，對(duì)計(jì)算機(jī)病毒與惡意代碼防護(hù)軟件無特殊要求，遵從單位統(tǒng)一的計(jì)算機(jī)病毒與惡意代碼防護(hù)措施；
• 用戶默認(rèn)只有打印權(quán)限，其他權(quán)限如彩色打印權(quán)限、申請(qǐng)不加水印權(quán)限、直接使用物理打印機(jī)權(quán)限、申請(qǐng)不審批權(quán)限等可以不同用戶不同設(shè)置，由安全保密管理員進(jìn)行嚴(yán)格管理；
• 打印機(jī)通過打印控制器接入網(wǎng)絡(luò)，使得打印機(jī)必須通過特殊的通訊協(xié)議才能被訪問，因此，只有本軟件的服務(wù)器端才能通過打印控制器訪問打印機(jī)；
• 如果所有計(jì)算機(jī)都安裝了本軟件的客戶端，則可以配置其是否允許訪問真實(shí)的打印機(jī)驅(qū)動(dòng)，如果被禁止，則即使用戶直接將計(jì)算機(jī)與打印機(jī)連接，也無法進(jìn)行打印。

5.3.身份鑒別

• 用戶身份鑒別

在用戶訪問時(shí)，采用口令方式進(jìn)行身份鑒別，口令長度要求不少于10位，且為大小寫英文字母、數(shù)字和特殊字符中兩者以上的組合。

• 三元身份鑒別

系統(tǒng)采用三元管理的方式，根據(jù)鑒別情況確定該用戶的三員身份，即系統(tǒng)管理員、安全保密管理員、安全審計(jì)管理員，不同的管理員登錄系統(tǒng)后所能使用的系統(tǒng)功能和資源不同。

• 打印身份鑒別

在用戶打印輸出時(shí)，系統(tǒng)通過打印控制器，對(duì)用戶的身份通過IC/CPU卡的刷卡驗(yàn)證方式。

• 重鑒別

用戶身份鑒別成功后，當(dāng)其空閑操作的時(shí)間超過規(guī)定值（默認(rèn)為20分鐘，用戶也可根據(jù)實(shí)際情況，配置重鑒別時(shí)間。）時(shí)，系統(tǒng)會(huì)對(duì)該用戶重新進(jìn)行身份鑒別。

• 鑒別失敗

當(dāng)用戶身份鑒別失敗次數(shù)達(dá)到預(yù)設(shè)次數(shù)（默認(rèn)為3次）后，服務(wù)器端對(duì)此用戶帳號(hào)進(jìn)行鎖定，并在預(yù)設(shè)時(shí)間（默認(rèn)為20分鐘）后才能再次進(jìn)行登錄操作。如果需要解鎖，只能由安全保密管理員登錄web管理端進(jìn)行解鎖操作。

5.4.訪問控制

系統(tǒng)禁止高密低傳，低涉密人員禁止訪問高類別涉密信息，不同的用戶對(duì)系統(tǒng)資源的使用權(quán)限不同。

系統(tǒng)管理角色包括系統(tǒng)管理員、安全保密管理員、安全審計(jì)管理員，三員之間相互制約、互相監(jiān)督，避免由于權(quán)限過于集中帶來的安全風(fēng)險(xiǎn)。

系統(tǒng)業(yè)務(wù)角色分為部門負(fù)責(zé)人、打印人、打印審批人、歸檔人、回收統(tǒng)計(jì)員。

部門負(fù)責(zé)人具有打印審批人和銷毀審批人的角色。

打印人可以打印文檔申請(qǐng)。在選擇審批流中的打印審批人時(shí)，系統(tǒng)會(huì)自動(dòng)過濾比文檔密級(jí)低的審批人，以符合低涉密人員禁止訪問高類別涉密信息的要求。

打印審批人負(fù)責(zé)審批由打印人指定其審批的文件。

歸檔人負(fù)責(zé)接收用途為歸檔的文檔。

回收統(tǒng)計(jì)員負(fù)責(zé)接收并使用條碼掃描等方式確認(rèn)打印人送來的紙質(zhì)文檔與待回收的文檔記錄的一致性。

5.5.加密保護(hù)和信息完整性校驗(yàn)

因?yàn)榇蛴?nèi)容數(shù)據(jù)并不是直接輸出至打印機(jī)，打印內(nèi)容數(shù)據(jù)，從產(chǎn)生到最后回收銷毀，均需要考慮其安全性。整個(gè)生命周期的數(shù)據(jù)流如下圖所示：

在客戶端，虛擬打印機(jī)在打印文檔時(shí)，將在硬盤上臨時(shí)生成一個(gè)加密文件，對(duì)即將提交至服務(wù)端的數(shù)據(jù)進(jìn)行加密。此過程采用了標(biāo)準(zhǔn)的對(duì)稱加密算法。

隨后，打印內(nèi)容可經(jīng)由HTTPS通道安全發(fā)送至服務(wù)器端，做到了傳輸過程的雙保險(xiǎn)。

在審批環(huán)節(jié)，需要對(duì)打印內(nèi)容進(jìn)行預(yù)覽，此時(shí)，預(yù)覽模塊將加密的打印內(nèi)容解密，生成預(yù)覽圖片后，將在本地保存一份加密副本，以便其他審批者進(jìn)行無等待的預(yù)覽。

從以上分析可以看出，本軟件對(duì)整個(gè)打印生命周期關(guān)鍵環(huán)節(jié)進(jìn)行了必要的數(shù)據(jù)流的安全保護(hù)措施，使得打印內(nèi)容只能被打印人自己和經(jīng)過授權(quán)的用戶進(jìn)行查看。

加密的另外一個(gè)作用是信息完整性保護(hù)，只有信息完整，被加密的數(shù)據(jù)才能被解開，否則，肯定會(huì)解密失敗。

5.6.安全審計(jì)

安全審計(jì)策略

本軟件通過打印任務(wù)日志、回收任務(wù)日志、系統(tǒng)日志全面記錄了系統(tǒng)所有操作、事件、結(jié)果，為安全審計(jì)提供了原始信息，便于分析判斷違規(guī)行為。并提供了日志的定期自動(dòng)轉(zhuǎn)存功能，將日志導(dǎo)出為excel文件，有效的保證了系統(tǒng)異常時(shí)審計(jì)記錄不被破壞。

審計(jì)范圍

安全審計(jì)應(yīng)與身份鑒別和訪問控制等安全功能的設(shè)計(jì)緊密結(jié)合，并為下述可審計(jì)事件產(chǎn)生審計(jì)記錄

• 服務(wù)器、重要涉密用戶終端和安全保密設(shè)備的啟動(dòng)和關(guān)閉
• 審計(jì)功能的啟動(dòng)和關(guān)閉
• 系統(tǒng)內(nèi)用戶增加、刪除
• 用戶權(quán)限的更改
• 系統(tǒng)管理員、安全保密管理員、安全審計(jì)員和用戶所實(shí)施的操作
• 其他與系統(tǒng)安全有關(guān)的事件或?qū)ｉT定義的可審計(jì)事件

審計(jì)記錄內(nèi)容

打印任務(wù)日志對(duì)于打印任務(wù)從發(fā)起到輸出至打印機(jī)前的各個(gè)事件和狀態(tài)變化進(jìn)行完整記錄，可追溯打印過程中發(fā)生的一級(jí)審批、二級(jí)審批、三級(jí)審批、刷卡、進(jìn)入打印隊(duì)列、打印輸出等環(huán)節(jié)的關(guān)鍵信息。打印任務(wù)日志記錄了文檔編號(hào)、文件名稱、打印人、密級(jí)、文件用途、審批人、操作類型、操作結(jié)果、操作時(shí)間、打印機(jī)名、打印內(nèi)容、任務(wù)狀態(tài)等信息。

回收任務(wù)日志記錄了回收任務(wù)的關(guān)鍵信息。主要記錄了文檔編號(hào)、文件名稱、打印人、密級(jí)、文件用途、回收統(tǒng)計(jì)員、操作類型、操作結(jié)果、操作時(shí)間、打印機(jī)名、打印內(nèi)容、任務(wù)狀態(tài)、回收份數(shù)、回收頁數(shù)、已回收份數(shù)、本次回收份數(shù)、本次回收頁數(shù)等信息。

系統(tǒng)日志中詳細(xì)記錄了所有類型用戶（部門負(fù)責(zé)人、打印人、打印審批人、歸檔人、回收統(tǒng)計(jì)員等）、安全保密管理員、安全審計(jì)管理員和系統(tǒng)管理員除查詢外的所有操作日志，可以通過選擇開始時(shí)間以及結(jié)束時(shí)間來檢索要查看的系統(tǒng)日志。系統(tǒng)日志記錄了操作人、事件類型、操作時(shí)間、操作結(jié)果。

審計(jì)記錄存儲(chǔ)

為了避免審計(jì)記錄的丟失，本系統(tǒng)在運(yùn)行過程中不斷監(jiān)視可用存儲(chǔ)空間的變化，當(dāng)可用存儲(chǔ)空間低于警告值（默認(rèn)為1024MB）時(shí)，系統(tǒng)將自動(dòng)向所有的系統(tǒng)管理員發(fā)出低空間警告。并在空間低于自動(dòng)清理闕值（500MB）時(shí)，自動(dòng)清理已完成打印的打印內(nèi)容。

另外，本系統(tǒng)還提供了日志的定期自動(dòng)轉(zhuǎn)存功能，將日志導(dǎo)出為excel文件，每次日志轉(zhuǎn)存完成后，均會(huì)自動(dòng)郵件通知所有的系統(tǒng)管理員，系統(tǒng)管理員通過刻錄光盤等方式將這些離線日志文件妥善保管，保證了即使審計(jì)系統(tǒng)出現(xiàn)異常時(shí)，存儲(chǔ)的審計(jì)記錄不被破壞。

5.7.邊界安全防護(hù)

系統(tǒng)為企事業(yè)單位提供安全打印管控的功能，低密級(jí)的系統(tǒng)不能訪問本系統(tǒng)的任何資源。