一、引言
军工单位具有高保密性,其涉及到国家安全和社会公共安全,这决定了军工单位在信息化建设和安全保密管理的特殊性。而根据《计算机犯罪与安全调查报告》的调查结果显示,泄密的主要途径有三种:电子邮件泄密、移动存储泄密、打印信息泄密。通常,电子邮件泄密和移动存储泄密都得到了较好的控制,而来自内部的网络打印安全却很容易受到忽视,打印信息泄密,涉及到了用户较高等级甚至是核心级的机密,破坏力大,破案率低,极大地损害了个人、集体的利益,甚至是国家。
传统的人工管控打印、共享打印等方式,不能从根本上防治打印信息泄密,对泄密事件的问题追溯检查也力不从心,同时对资源浪费也不能形成管制。造成了以下的问题无法解决:
- 无法明确员工打印内容中有多少与工作相关;
- 无法减少随意打印,造成打印浪费;
- 无法如何遵从公司的管理规定进行全面的保密工作;
- 无法对打印内容的涉密进行监控审核;
- 无法控制涉密资料打印;
- 无法解决未及时取回打印资料,导致涉密信息泄露;
- 无法追溯打印资料内容;
- 无法追溯打印纸质文件;
- 无法避免管理权限过于集中,出现管理漏洞和混乱;
- 无法管控涉密信息资料的销毁;
- 无法控制,监控每个部门的打印使用费用;
- 无法实现准确统计打印成本;
- 无法解决出纸太多,分不清到底是谁的文件资料;
- 无法集中统一管理企业中的打印设备,提高设备利用率。
陕西航天蓝西科技开发有限公司的打印安全监控与审计系统在该背景下应运而生,针对各单位在打印过程中存在的安全问题和隐患、及打印成本管控等问题,提出了打印全过程安全及管控的整体解决方案,彻底解决了政府、军队、军工、企事业单位的打印信息泄密问题,并精确控制打印成本,减少资源浪费。
二、简介
2.1.系统说明
陕西航天蓝西科技开发有限公司针对于国防科技工业保密委员会的保密要求共同推出了打印安全监控与审计系统,立足于“集中管控打印机”和“集中销毁涉密载体”,采用条码、机电一体化、电子加密等技术,对涉密文件进行快速准确地识别和追踪,并对打印机的使用者的身份和文件有效性的进行验证,建立对纸质文件、电子文件的一体化管理。从涉密文件的打印全过程的各环节进行安全处理和管控,同时建立全周期过程中的审计、日志系统,对文件的安全流转进行全程监控。
打印安全监控与审计系统有效地管控文件打印,使文件在整个打印过程中不受意外或者恶意原因遭受破坏、更改和泄漏,保证涉密文件的保密性、完整性、可用性和真实性。系统提供文件销毁追溯功能,保证文件产生、存档和销毁数量的一致。
打印安全监控与审计系统是一个集软硬件为一体的文件打印安全管理的产品,主要包含打印安全、打印管理、安全审计和文件销毁四个功能。
系统流程概述
打印安全监控与审计系统最主要的功能和流程如下图所示:
图1. 打印安全监控与审计系统概念图
A) 虚拟打印
首先,安装客户端软件后,所有用户原来安装的打印机驱动均无法再打印,需要客户端软件域登录成功后才能发起打印请求,且只能使用新安装的虚拟打印机进行打印。
B) 多级审批
在此前提下,所有的打印输出由原来的直接输出到打印机变为虚拟打印,打印内容被上传至打印监控服务器端。服务器端软件根据审批流的设置和用户选择的密级通知对应的审批人员,在各级审批人员逐级审批通过后,自动嵌入二维条码,并通知打印用户进行刷卡操作。
C) 刷卡打印
用户收到审批成功通知后,在自己有权限打印的打印机上刷卡进行身份审核后,服务器端软件立即将此用户打印的信息输出到打印机。值得一提的是此文档被自动嵌入了二维条码。
D) 条码扫描回收
打印文稿上自动嵌入的二维条码,隐含了载体密级、页数、输出人员姓名、审批人员姓名等信息,可作为单位或部门保密监督检查的依据。
当需要回收此文档时,利用通用的条码扫描枪读出条码中的文档编号,系统可标记此文件状态为已回收,而其他文档仍需完成此回收流程才能完成生命周期。已回收的文档,将被送交主管单位或部门进行销毁。
2.2.系统设计思想
打印安全监控与审计系统,基于国家保密局颁发的BMB15-2004标准研发,针对军工行业的特点进行了大量的定制开发功能,在应用架构上完全适应了军工行业涉密单位的内网基础设施条件和内部管理保密要求。
在管理员三员分立的基础上,引入客户端和打印控制器分别监控发起打印的计算机和输出纸张的打印机,实现更严格的监控;引入打印审批和审批流机制,可实现多 级审批、领导审批、跨部门审批、不审批等灵活的审批流程;引入刷卡打印机制,防止取纸不及时敏感信息被无关人员看到,实现了私密打印;引入了回收统计员, 可利用扫描枪进行条码回收管理,保证打印和回收数量的一致。
图2. 打印安全监控与审计系统应用架构图
2.3.系统体系架构
网络拓扑结构
与其他涉密信息系统类似,打印安全监控与审计系统采用的是B/S和C/S结合的网络结构实现软件系统,不同之处在于引入了打印控制器、打印接口转换器、条码扫描枪等配套的硬件设备,如下图所示。
图3. 打印安全监控与审计系统网络拓扑结构图
软件系统
引入本系统,首先需要布署一台服务器,并安装服务器端软件和所有物理打印机驱动程序。它作为整个系统的通讯和控制中心,控制着三员分立,系统管理、打印、审批、刷卡、打印输出、回收等全部环节。
然后,在需要进行打印的用户终端计算机上,布署打印客户端软件,用于监控打印行为。另外,此客户端软件包含一个虚拟打印机,用户只需将文档打印至此虚拟打印机,就可以在审批后通过打印控制器刷卡输出文档。
需要说明的是,因为用户终端计算机的数量大,首次部署通常采用域推送的方式,一旦安装好客户端,后续的客户端升级可由客户端自带升级组件自动完成。
配套硬件
硬件中打印控制器是专门为本系统设计的一个智能终端设备,与打印机串接,用于实现刷卡打印和跟随打印,另外打印控制器可实现对打印机物理监控与隔离(下文有专门说明);接口转换器是通用设备(小盒子),用于将并口/U口转换为网络口打印,从而实现将所有打印机统一为网络打印,简化软件系统设计;条码扫描枪也是通用设备,用于从虚拟打印嵌入的二维条码中提取文件标志信息,实现条码扫描回收。
系统逻辑架构
为了更好的说明本系统,下面继续从逻辑结构上进行解释。打印安全监控与审计系统的逻辑结构如下图所示。本图反映了引入本系统后用户打印行为逻辑的一些变化。
图4. 打印安全监控与审计系统逻辑结构图
打印流程变化
引入本系统后,用户通过计算机打印资料的操作方式不变,但是打印内容将不会被发送到打印机,而是发送到打印安全监控与审计服务器,由领导(审批用户)进行审批;审批通过后,用户用自己的员工卡在与打印机相连的打印控制器上刷卡;服务器将收到打印控制器的请求,将打印内容嵌入二维条码后透过打印控制器输出到打印机;因为用户在打印机旁,可以直接拿走打印输出的文稿,避免机密信息被他人偷阅。
条码扫描回收
值得注意的是,此打印行为的变化也为文档的回收工作提供了方便。因为每一份打印输出的文档在服务器上均有记录,并且打印时嵌入了二维条码,回收统计员直接利用扫描枪即可完成涉密打印文档的回收工作,真正做到“打印一份、回收一份”。
管理员(三员分立)
除此之外,本系统的管理员通过Web浏览器来管理本系统,根据BMB15-2004标准要求设置了三员分立,系统管理员、安全保密管理员、安全审计管理员各司其职,相互监督,强制其严格遵守涉密信息系统保密管理的要求。
2.4.特性
基于多年来在打印领域研发积累的丰富经验,路模思科技推出的打印安全监控与审计系统具有功能强大、兼容广泛、架构优越、部署灵活,成熟稳定、性价比高的特点。
与竞争对手相比,打印安全监控与审计系统经过多年针对军工单位实际需求不断的改进,逐步具有了众多与众不同的特性:
- 双引擎虚拟打印技术
在原有通用虚拟打印技术的基础上,引入了精确虚拟打印技术,既保留了通用虚拟打印无需用户安装打印机驱动的优点,又解决了图纸打印等需要使用打印机高级特性时的精确打印需求。
- 物理隔离网络的打印控制器
打印控制器除了实现刷卡打印外,还能实现物理隔离网络,防止终端计算机绕过软件系统直接使用打印机进行盗打。
- 部署实施友好
首先,部署打印控制器时不需要增加网口,无需额外投入费用增加交换机、网络布线及网络端口;且能自动与打印机共用IP地址,真正做到了即接即用,提升了部署实施速度。
其次,提供了域用户和组织结构导入和同步、批量修改权限、客户端自动域分发、自动升级等一整套方法和工具加快部署实施的速度,并在实施过程中不断改进。
- 安全不失灵活,且提供应急机制
严格按照保密局相关标准进行密级权限控制,保证安全性。在三员分立原则的基础上,系统进行很多灵活的设计,已适应不同单位、部门、个人因为文档用途不同所导致的特殊需求,比如:
1. 涉密电子文件输出时,自动标密机制;
2. 用户可申请免水印打印;
3. 可灵活设定二维条码嵌入策略,例如每页,每份,仅首页嵌入机制;
4. 无卡用户可以免刷卡打印输出,不影响日常正常使用;
5. 个别领导可配置免审批机制。当遇到突发状况导致服务器端无法使用时,可由系统管理员无干扰的让终端计算机进入应急打印模式,避免对员工的正常工作造成影响。
三、产品组成
打印安全监控与审计系统采用软硬件结合的系统架构和BS/CS相结合的网络通讯架构,整个系统由客户端软件、服务端软件、打印控制器(硬件)组成。其功能架构如下图所示:
(注:条码扫描枪和打印接口转换器为第三方通用设备,且为选配件,故未列入系统功能架构中)
图5. 打印安全监控与审计系统功能架构图
各部分主要原理和工作方式如下:
3.1.客户端软件
客户端软件的核心是通用虚拟打印机驱动。在不改变用户使用习惯的前提下,虚拟打印机驱动将打印内容透明的提交至服务器端,而不是输出至打印机,从而实现了对打印的监控。
客户端软件支持普通用户登录、域登录和USB KEY+域认证等多种身份认证模式。只有登录后,用户才能够使用通用虚拟打印机驱动来进行打印。发起打印后,打印任务将经历权限判断、多级审批、刷卡等环节才能最终输出至打印机。另外,用户通过客户端软件可以即时获取消息通知,及时了解打印任务状态的变化。
客户端软件还包含一个非法接入监控和应急打印模块,可根据服务器端配置的用户权限策略动态启用禁用其他打印机驱动,与打印控制器硬件配合,可杜绝私自接入打印机。另外,该模块还实现了对于应急打印的支持,当系统(服务器端软件)无法正常工作时,可由系统管理员按要求配置域策略,使得客户端软件放开对本机其他打印机驱动的监控,让用户可以按安装本系统以前的方式进行打印,从而实现应急打印。
3.2.服务器端软件
服务器端软件实现了用户和组织、打印管理、销毁管理、日志管理、打印机管理、打印计费、统计分析等功能,并采用B/S的方式提供管理接口,这样做的优势在于可以使管理员在单位的任何位置都可以进行管理。
服务器端软件还包含了一个打印控制服务,主要用于同真实打印机和打印控制器进行交互,提供了打印控制器刷卡通知,水印叠加、生成预览图片和将最终打印内容输出到真实打印机等功能。
服务器端软件是整个系统的通讯和控制枢纽,控制着三员分立系统管理、打印、审批、刷卡、打印输出、监销等全部环节。举例来说,客户端打印时,打印内容被提交至服务器端进行存储,审批者通过Web浏览器访问服务器端软件完成审批动作,服务器端软件发送消息给客户端通知其刷卡,用户在打印控制器刷卡,认证信息被发送到服务端软件,服务端软件的打印控制服务再将打印内容发送到真实的打印机,整个过程全部由服务器端软件控制。
3.3.打印控制器
打印控制器是一个硬件设备,他主要有两个功能:一是刷卡打印(跟随打印),二是实现打印机隔离。
刷卡打印(跟随打印),是指用户用已在服务器端登记的IC/CPU卡在打印控制器上进行刷卡动作,此IC/CPU卡的信息将被打印控制器发送到服务器端验证,如果验证通过,服务器端会将此用户已通过审批的打印任务发送至真实打印机。因为打印控制器通常是安放在其绑定的打印机旁边,因此,用户可以走到打印机旁才让文档输出来,因此也被称为跟随打印。
打印机隔离,是指打印控制器起到了网络通信网闸的作用,打印控制器只有在接收到服务器端按系统通信协议发出的控制命令时,才会对服务器端打开网络通信通道,使其可以将打印内容输出到位于打印控制器身后的打印机。而其他计算机,如果无法通过打印控制器的身份验证,则无法与访问此打印机。
四、产品功能
4.1.三员分立
打印安全监控与审计系统按照BMB15-2004标准要求,内置三员分立功能,并且安装时已内置了此三员账户:
- 系统管理员
系统管理员负责导入域组织结构和域用户,配置审批流,设置打印机,员工卡绑定、设置打印计费等操作。系统管理员不具有赋予用户权限的权利。
如果用户环境不是域环境,系统管理员需手工配置组织结构和创建用户,用户在初次登陆时将被要求修改密码。
系统管理员是作为系统的管理者,不具有普通用户的打印功能。
- 安全保密管理员
安全保密管理员具有设置用户密级、用户权限,查看用户日志,设置审批者,角色管理,解锁被锁定的用户的权利。安全管理员不能创建新用户。
安全管理员是作为系统的管理者,不具有普通用户的打印功能。
- 安全审计管理员
安全审计管理员具有审查系统管理员和安全管理员操作日志的权利。
安全审计管理员作为系统的管理者,不具有普通用户的打印功能。
4.2.审批流和多级审批
审批流是打印安全监控与审计系统服务器端的核心功能。审批流技术以组织结构为基础,是为了能实现跨部门审批、免审批、多级审批等复杂需求而设计的,比工作流简单,但是具有易于理解,配置灵活的优点。
审批流由管理员进行设置,但是是否具有审批权限由安全保密管理员设置。一个审批流由打印人(多人)、每个密级的审批人(多人)组成,如果没有设置审批人,则表示通过此审批流打印时不进行审批。每个密级均可以单独设置多级审批,每一级均可设置多个审批人。
图6. 审批流和多级审批
审批流的基本工作原理是,用户在打印文件至虚拟打印机时,选择审批流、密级等属性,发起打印后,打印数据和这些任务属性信息发送到服务器端,服务器端的审批流模块根据用户选择的审批流通知对应的一级审批人,一级审批人完成审批后,审批流模块将根据审批流设置,将审批请求通知给二级审批人,直到审批流程结束后通知打印人进行刷卡,并结束审批流的控制。
4.3.虚拟打印机
客户端安装了打印安全监控与审计系统后,每个客户端都有一个虚拟打印机,此打印机接受了客户的打印任务后,将打印任务发送给服务器,服务器将打印任务分配给真实的打印机。安装了虚拟打印机后,客户端的用户不需要关心真实的打印机的型号,也不用安装其他真实的打印机驱动。
另外,虚拟打印机的引入,使得不改变用户基本使用习惯的前提下,可增加选择密级、用途、指定审批流、多级审批的审批者等参数,为审批流程设置初始值。可以这么说,虚拟打印技术是实现文件管控系统的基础技术。
4.4.登录
打印安全监控与审计系统的登录分为客户端登录和Web登录。客户端和Web登录又都分为普通用户登录和域用户登录两种情形。
客户端登录成功后,用户才能发起打印动作。为了方便用户,客户端登录提供了自动登录功能
Web登录用于管理员、审批者、监销人以及打印人,通过Web浏览器操作服务器端,进行管理和流程审批。
为安全起见,Web登录有以下规则:
1.未提供自动登录功能,但是,如果客户端计算机已登录域中, Web登录将自动完成。
2. 除域登录外,管理员、审批者、监销人以及打印人初次登录时需修改密码。
4.5.事件通知
为了更好的执行打印和销毁任务审批,打印安全监控与审计系统特别提供了审批过程中的即时通知功能。当出现了需要审批的打印或销毁任务时,审批人会即时收到审批提示。当审批完成后,任务发起者会得到审批通过或审批失败的通知。
当打印审批通过,需要用户刷卡时,客户端软件也会收到即时通知,用户收到通知后,可到打印控制器上刷卡,此时用户不在计算机旁边,但是打印控制器的液晶屏幕也会有消息显示,告知用户自己的打印任务是否将被输出到打印机。
事件通知贯穿于打印和销毁任务的各个流程环节,有效的加快了打印和销毁任务流程进度,提高了工作效率。
4.6.非法打印禁止
打印安全监控与审计系统的客户端能够根据服务器端配置的安全策略,决定是否禁止用户使用其他打印机。也就是说,用户只能使用通用虚拟打印机进行打印,而无法通过其他方式打印文档。
此功能与打印控制器硬件配合,可杜绝私自接入打印机进行非法打印。
4.7.打印机隔离
打印机隔离功能,由打印控制器提供,可以阻断非授权计算机对其所连接的打印机的通讯,只允许经过授权的服务器端的通讯请求。此功能与客户端软件提供的非法打印禁止功能配合,可以杜绝私自接入打印机进行非法打印。
打印控制器控制着与打印机相连的网络端口,可视为一个简单的硬件防火墙,只有当服务器端按照约定的协议进行通讯,才能访问位于打印控制器后面的打印机。也就是说,打印控制器是打印机的通信网闸,只有在接收到服务器端的控制命令时,才会对服务器端打开网络通信通道,使其可以将打印内容输出到位于打印控制器身后的打印机。而其他计算机,如果无法通过打印控制器的身份验证,则无法访问和使用此打印机,从而杜绝绕过系统打印的行为。
4.8.刷卡打印(跟随打印)
在发出打印命令后,打印机进行打印,用户取回打印文档的过程中,存在安全隐患。如果用户未及时取回打印文档,将会有泄密危险。打印安全监控与审计系统具有刷卡与跟随打印功能。用户的打印任务审批通过后,将在服务器中排队等候。用户在真实的打印机处刷卡成功,通过身份验证后,需打印的文档才在此打印机中被打印输出。
4.9.用户和组织
用户和组织,包括组织结构管理、用户类型管理、角色管理、用户管理、审批流管理和域组织和用户导入。
组织结构管理,以树状结构提供了单位和多层级部门的管理,每级部门可以设置负责人,负责人具有本部门的打印审批和销毁审批权限。
用户类型管理,可设置用户彩色打印、不加水印打印、不审批打印等权限,便于为不同用户设置不同的打印权限。
角色管理,用于为特定的用户附加打印审批者、销毁审批者、监销人、代销人等角色,以减轻部门负责人的负担,或适应多级审批及监销等流程的需求。
用户管理,用于添加新用户,或者修改单个用户的用户类型,修改用户角色。
域组织和用户导入,专门针对域环境提供的快速导入组织结构和用户的方法,对于管理有序的域,此功能可大大提高系统初始化的速度。
4.10.打印管理
打印安全监控与审计系统的打印管理包括打印任务审批和打印任务控制两个部分。打印任务审批,根据审批流的设置,实现了分密级多流程的多级审核,保证文件打印的安全;而打印控制,可以根据用户类型(权限),控制用户的彩色打印、不加水印打印、不申请审批打印等权限,可以根据系统设置,分密级决定是否添加动态水印,二维条码,是否进入多级审批,刷卡认证流程。
在打印任务的各个环节,打印者、审批人将通过客户端软件、邮件、打印控制器液晶屏等收到及时通知。当遇到审批人不在的情况,打印者可以web登录打印安全监控与审计系统,更改审批流或审批人,保证打印任务得到及时处理。
4.11.条码嵌入和回收管理
为了进行文件打印生命周期的管控,本系统引入条码嵌入技术通过二维条码智能识别文件,来保证文件产生和销毁的一致性。该技术实际上是虚拟打印技术的一个组成部分。通过虚拟打印机,发送到服务器的数据为原始的打印数据,服务器端的条码嵌入模块,通过解析打印数据,并在其中加入二维条码数据后形成新的打印数据,此打印数据输出到打印机时将多出一个二维条码。也就是说,是否嵌入条码完全由服务器端的设置决定,所有用户的每一个打印任务都能够被强制性嵌入二维条码。
二维条码可利用通用的条码扫描枪进行提取,与一维条码相比可以存储更多的信息,是一项新兴的技术。二维条码中包含了文档唯一标志、份序、页序等信息,可用于保证文件产生和回收的一致性。考虑到二维条码可能因为残缺,磨损等原因无法读取,或者条码枪不可用,文档编号(唯一标记)将作为二维条码的一部分打印,回收统计员可以手工输入文档编号来进行文件回收销毁管理。
4.12.日志管理
日志用于全程记录系统所有操作,便于分析判断违规行为。
日志分为打印任务日志、回收任务日志和系统日志。
打印任务日志对于打印任务从发起到输出至打印机前的各个事件和状态变化进行完整记录,可追溯打印过程中发生的一级审批、二级审批、三级审批、刷卡、进入打印队列、打印输出等环节的关键信息。
回收任务日志记录了回收任务各环节的关键信息。
系统日志中详细记录了所有类型用户(部门负责人、打印人、打印审批人、回收统计员等)、安全保密管理员、安全审计管理员和系统管理员除查询外的所有操作日志,可以通过选择开始时间以及结束时间来检索要查看的系统日志。
对于打印来说,打印内容也是日志的一部分,但是其占用空间相对较大,管理员可以根据需要设置自动删除的策略,或者手动删除,为新的打印任务腾出空间。
4.13.打印机管理
打印机管理,实现了全面集中多个打印机,可对打印机进行合理分配,并有效均衡打印作业。
打印机管理,分为添加删除打印机、打印机分组、打印机分配、打印控制器配置。系统管理员首先需要在服务器上安装所有打印机的驱动,然后将这些打印机添加进系统。对打印机可以设置开放时间段,打印任务页数限制。
打印机配置完毕,再将打印机分组,以便更快更方便的将打印机分配给不同的部门,不同用户使用。最后,将打印控制器与打印机进行绑定,一个打印控制器只能绑定一台打印机。
打印控制器无需安装驱动即可工作,因此将配置好的打印控制器接入网络,然后进行一次刷卡操作,即可将打印控制器加入到打印安全监控与审计系统。
4.14.打印计费
打印计费功能,可以自动计算和统计部门打印费用,加强部门成本核算。
打印安全监控与审计系统内置多种纸张类型,可以根据不同的打印纸张类型设置不同的费率。费率设置分为简单计费,按色彩计费和按纸张类型计费三种模式。
A. 简单计费:不论黑白彩色和纸张大小,全部按照页单价计费。打印任务费用=页单价×总页数
B. 彩色计费:不论纸张大小,计算打印费用按照黑白彩色区别计费。打印任务费用=黑白页单价×黑白总页数+彩色页单价×彩色总页数
C. 纸张类型计费:分别按照纸张大小、黑白彩色进行计算打印费用。 打印任务费用=该纸张类型黑白页单价×黑白总页数+该纸张类型彩色页单价×彩色总页数
4.15.系统设定
系统设定,提供了任务设置、水印设置、条码设置、邮件设置、日志转存等功能。
值得一提的是,打印安全监控与审计系统提供了动态水印的功能。举例来说,如果管理员统一设置水印为“部门名称”为变量时,不同部门打印出来的水印,分别是自己部门的名称。管理员还可以调节水印文字、字体、字号、文字倾斜角度、文字显示方向、透明度及水印文字颜色,最后将信息呈现在打印文档上。
五、安全保密
本产品符合BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》的要求,支持BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》的相关技术要求。
5.1.物理安全
本产品为集中管控打印模式,运行在单位的以太网环境中,打印服务器可集中部署在单位的机房区域,环境、设备、介质等物理安全遵从服务器部署场所的安全管理。打印控制器端与打印机为同一环境部署,其环境等安全同单位的打印机一起管理。
5.2.运行安全
- 系统的备份与恢复与单位的统一备份/恢复管理同时执行,如服务器整机备份与恢复等;
- 系统采用TCP/IP协议进行通信,对计算机病毒与恶意代码防护软件无特殊要求,遵从单位统一的计算机病毒与恶意代码防护措施;
- 用户默认只有打印权限,其他权限如彩色打印权限、申请不加水印权限、直接使用物理打印机权限、申请不审批权限等可以不同用户不同设置,由安全保密管理员进行严格管理;
- 打印机通过打印控制器接入网络,使得打印机必须通过特殊的通讯协议才能被访问,因此,只有本软件的服务器端才能通过打印控制器访问打印机;
- 如果所有计算机都安装了本软件的客户端,则可以配置其是否允许访问真实的打印机驱动,如果被禁止,则即使用户直接将计算机与打印机连接,也无法进行打印。
5.3.身份鉴别
- 用户身份鉴别
在用户访问时,采用口令方式进行身份鉴别,口令长度要求不少于10位,且为大小写英文字母、数字和特殊字符中两者以上的组合。
- 三元身份鉴别
系统采用三元管理的方式,根据鉴别情况确定该用户的三员身份,即系统管理员、安全保密管理员、安全审计管理员,不同的管理员登录系统后所能使用的系统功能和资源不同。
- 打印身份鉴别
在用户打印输出时,系统通过打印控制器,对用户的身份通过IC/CPU卡的刷卡验证方式。
- 重鉴别
用户身份鉴别成功后,当其空闲操作的时间超过规定值(默认为20分钟,用户也可根据实际情况,配置重鉴别时间。)时,系统会对该用户重新进行身份鉴别。
- 鉴别失败
当用户身份鉴别失败次数达到预设次数(默认为3次)后,服务器端对此用户帐号进行锁定,并在预设时间(默认为20分钟)后才能再次进行登录操作。如果需要解锁,只能由安全保密管理员登录web管理端进行解锁操作。
5.4.访问控制
系统禁止高密低传,低涉密人员禁止访问高类别涉密信息,不同的用户对系统资源的使用权限不同。
系统管理角色包括系统管理员、安全保密管理员、安全审计管理员,三员之间相互制约、互相监督,避免由于权限过于集中带来的安全风险。
系统业务角色分为部门负责人、打印人、打印审批人、归档人、回收统计员。
部门负责人具有打印审批人和销毁审批人的角色。
打印人可以打印文档申请。在选择审批流中的打印审批人时,系统会自动过滤比文档密级低的审批人,以符合低涉密人员禁止访问高类别涉密信息的要求。
打印审批人负责审批由打印人指定其审批的文件。
归档人负责接收用途为归档的文档。
回收统计员负责接收并使用条码扫描等方式确认打印人送来的纸质文档与待回收的文档记录的一致性。
5.5.加密保护和信息完整性校验
因为打印内容数据并不是直接输出至打印机,打印内容数据,从产生到最后回收销毁,均需要考虑其安全性。整个生命周期的数据流如下图所示:
在客户端,虚拟打印机在打印文档时,将在硬盘上临时生成一个加密文件,对即将提交至服务端的数据进行加密。此过程采用了标准的对称加密算法。
随后,打印内容可经由HTTPS通道安全发送至服务器端,做到了传输过程的双保险。
在审批环节,需要对打印内容进行预览,此时,预览模块将加密的打印内容解密,生成预览图片后,将在本地保存一份加密副本,以便其他审批者进行无等待的预览。
从以上分析可以看出,本软件对整个打印生命周期关键环节进行了必要的数据流的安全保护措施,使得打印内容只能被打印人自己和经过授权的用户进行查看。
加密的另外一个作用是信息完整性保护,只有信息完整,被加密的数据才能被解开,否则,肯定会解密失败。
5.6.安全审计
安全审计策略
本软件通过打印任务日志、回收任务日志、系统日志全面记录了系统所有操作、事件、结果,为安全审计提供了原始信息,便于分析判断违规行为。并提供了日志的定期自动转存功能,将日志导出为excel文件,有效的保证了系统异常时审计记录不被破坏。
审计范围
安全审计应与身份鉴别和访问控制等安全功能的设计紧密结合,并为下述可审计事件产生审计记录
- 服务器、重要涉密用户终端和安全保密设备的启动和关闭
- 审计功能的启动和关闭
- 系统内用户增加、删除
- 用户权限的更改
- 系统管理员、安全保密管理员、安全审计员和用户所实施的操作
- 其他与系统安全有关的事件或专门定义的可审计事件
审计记录内容
打印任务日志对于打印任务从发起到输出至打印机前的各个事件和状态变化进行完整记录,可追溯打印过程中发生的一级审批、二级审批、三级审批、刷卡、进入打印队列、打印输出等环节的关键信息。打印任务日志记录了文档编号、文件名称、打印人、密级、文件用途、审批人、操作类型、操作结果、操作时间、打印机名、打印内容、任务状态等信息。
回收任务日志记录了回收任务的关键信息。主要记录了文档编号、文件名称、打印人、密级、文件用途、回收统计员、操作类型、操作结果、操作时间、打印机名、打印内容、任务状态、回收份数、回收页数、已回收份数、本次回收份数、本次回收页数等信息。
系统日志中详细记录了所有类型用户(部门负责人、打印人、打印审批人、归档人、回收统计员等)、安全保密管理员、安全审计管理员和系统管理员除查询外的所有操作日志,可以通过选择开始时间以及结束时间来检索要查看的系统日志。系统日志记录了操作人、事件类型、操作时间、操作结果。
审计记录存储
为了避免审计记录的丢失,本系统在运行过程中不断监视可用存储空间的变化,当可用存储空间低于警告值(默认为1024MB)时,系统将自动向所有的系统管理员发出低空间警告。并在空间低于自动清理阙值(500MB)时,自动清理已完成打印的打印内容。
另外,本系统还提供了日志的定期自动转存功能,将日志导出为excel文件,每次日志转存完成后,均会自动邮件通知所有的系统管理员,系统管理员通过刻录光盘等方式将这些离线日志文件妥善保管,保证了即使审计系统出现异常时,存储的审计记录不被破坏。
5.7.边界安全防护
系统为企事业单位提供安全打印管控的功能,低密级的系统不能访问本系统的任何资源。