淺析安全打印技術在企業中的應用

中國空空導彈研究院 馬 萌

?

淺析安全打印技術在企業中的應用

中國空空導彈研究院 馬 萌

【摘要】傳統的企業內部文件打印存在安全風險，打印文件不及時領取，文件隨意打印存在隱患。打印文件信息泄密，涉及個人信息、企業、國家核心秘密，且破壞力大，追查率低，極大損害個人、企業、甚至是國家的利益。安全可靠的企業內部文件打印，成為近年來信息安全領域研究的一個重要課題。

【關鍵詞】信息安全；打印機；安全打印；條碼技術

0 引言

政府機關、國防軍工等企業具有極高保密性，其信息安全涉及到國家安全和社會公共安全。傳統的企業內部文件打印存在安全風險，打印文件不及時領取，文件隨意打印存在隱患。打印文件信息泄密，涉及個人信息、企業、國家核心秘密；且破壞力大，追查率低，極大損害個人、企業、甚至是國家的利益。根據國家《計算機犯罪與安全調查報告》，企業內部打印文件泄密已經成為信息泄密的主要途徑之一。安全可靠的企業內部文件打印，成為近年來信息安全領域研究的一個重要課題。

1 打印機語言及條碼技術

1.1 打印機語言

打印機語言是控制打印機工作的指令，主要為兩類。一種是頁面描述語言，另一種是嵌入式語言。代表分別是HP公司的PCL語言和Adobe公司的PS（Postscript）語言。PCL語言適用于中、低端打印設備，處理文本或辦公應用軟件生成的文檔。PS語言適用于圖形打印等高端設備，處理PDF文件或Photoshop等圖形文件。打印機語言利用應用程序數據，經過計算機GDI接口，再經過打印驅動、轉換成打印機可以識別的數據。打印機接收信息，解析轉換為含有字符信息的激光驅動信號，最后通過使激光成像，轉印到紙上。

1.2 條碼技術

條碼技術是集編碼、印刷、識別、數據采集和處理于一身的信息技術。近年來滲透到計算機管理的各個領域，成為信息采集及防偽的重要手段。目前常用的有一維碼、二維碼；一維碼存在信息容量小、糾錯能力差、防偽性差等缺點；二維碼有效彌補了這些不足，常見的有PDF417、QR Code、Code 16K等。二維碼信息密度比一維碼高，如PDF417碼是一維碼CodeC3的20多倍。目前廣泛應用各類報表、票據，商品及貨物運輸的管理，工業生產線的自動化管理等。

2 企業內部文件打印安全現狀分析

中小型企業、大型公司、政府機關、國防軍工等企業內部文件打印，大多采用在網絡環境下控制打印機，或者安排專人管理打印的模式。采用網絡打印可以一定程度上減少打印機的數量，節省成本，提高工作效率。安排專人管理打印可以杜絕企業內部人員直接接觸打印設備，減少誤操作，減少隨意打印。但是多數企業只把打印機當作一種IT周邊服務設備，忽視了打印設備的安全問題，存在諸多安全隱患。

2.1 安全產品功能缺失

目前部分單位、政府機關、國防軍工企業部署了類似主機行為監控的軟件，可以監控打印行為，如監控打印人，打印時間，打印文件名稱，打印機名稱等信息，但無法進行打印內容審計，對打印內容的密級進行審核；無法明確員工打印內容中有多少與工作相關，特別是對于泄露的打印資料，無法追蹤其來源，采用有效措施解決泄露途徑。未采取技術手段為打印生成的文件植入身份信息，滿足打印文件在流轉、外送、歸檔、回收等環節管理的需求。

2.2 打印人員管理

企業內部打印管理人員操作打印，同時負責文件編號/蓋章、審核，督促領用人員登記，工作量大，容易出現錯誤。打印管理人操作打印，無形中擴大了企業核心商業秘密、國家涉密信息的知悉范圍。打印申請人員在領用時登記不規范，與申請信息不符，造成后期核對困難。傳統的人工管控打印、網絡打印、共享打印等方式，不能從根本上防治打印信息泄密，影響著企業內部重要資料、文件或數據的安全。

2.3 打印文件管理

企業內部打印文件沒有及時取回，容易出現文件查找困難、缺頁、誤拿等情況。內部員工能夠隨意接觸打印文件，會造成重要文件或機密文件的泄漏，成為企業的安全隱患。

2.4 打印設備管理

打印設備使用未進行授權，采取身份鑒別手段，任何員工都可以隨意打印，沒有經過合法審批等流程就直接打印，容易造成打印紙張浪費和機密信息的泄露。

2.5 企業內部文件打印安全風險結論

企業內部人員通過打印的形式將企業核心商業秘密、國家涉密資料帶出，必定會造成信息的泄露，給企業、國家帶來不可估量的損失。因此，打印不應該簡單地被定義為一種周邊IT服務，而應該引起企業、特別是政府機關、國防軍工足夠的重視，將其納入到企業整體信息安全體系當中。采取有效的管理方式和技術手段來對打印的全過程進行跟蹤管理，形成事前防范、事中監控、事后審計的全方位管理，使打印過程安全、可靠。

3 安全打印系統的應用

安全打印系統立足于集中管控設備，采用條碼、電子加密等技術，對打印機的使用者的身份和文件有效性的進行驗證，建立對紙質文件、電子文件的一體化管理。從打印文件的全過程的各環節進行安全處理和管控，建立全周期過程中的審計，對文件的安全流轉進行全程監控。使文件在整個打印過程中不受意外或者惡意破壞、

更改和泄漏，保證文件的保密性、完整性、可用性和真實性。

3.1 安全打印系統組成

安全打印系統主要由客戶端、電子審批、打印輸出端、和服務器端幾部分組成。

圖1 安全打印系統結構

3.1.1 客戶端

采取CS部署模式，不改變用戶使用習慣。用戶打開文件發起打印，通過安裝的虛擬打印驅動，將打印文件轉化為快照，形成打印機能夠識別的PCL語言；客戶端軟件將文件提交至服務器端，不直接通過打印機輸出，實現了對打印的監控。客戶端支持賬號登錄、域登錄。只有正確登錄后，用戶才能夠正常使用打印功能。

3.1.2 電子審批

采取在線多級審批的模式，由管理部門領導、主管人員根據文檔密級對作業輸出行為實施審批；同時審批人員通過預覽文件快照的形式對打印作業進行全文預覽，只有經過審批的文件才能進行作業輸出，避免用戶降密輸出、隨意輸出，保證文件輸出的安全性和保密性。

3.1.3 打印輸出端

電子申請完畢后，用戶使用IC/ID卡通過刷卡認證的方式，通過刷卡控制端顯示打印作業，執行打印。同時在打印生成的文件嵌入二維碼（PDF417、或QR），為文件植入身份信息。安全打印系統對打印設備進行授權，只有授權的打印機才能使用、保障打印文件的專屬性和私密性

3.1.4 服務器端

實現對文件輸出全過程進行記錄， 保存打印輸出后生成的快照文件，并通過信息完整性驗證技術（MDS）進行檢測確保文件完整性。同時設置相應的管理員角色供企業內部管理人員進行監控和審計。建立企業打印文件電子臺賬，實現每一份文件對應到相應的人員。

3.2 安全打印的技術優點

3.2.1 打印集中管控

采用CS部署模式在已安裝客戶端軟件的設備中，所有用戶已安裝、私自接入的打印機均無法使用，只有通過授權的設備才可使用。

3.2.2 權限控制

根據人員重要程度進行權限、密級控制。只有通過身份認證的人員才能進行打印操作。用戶只能夠處理自己的打印文件，無法查看和打印其他人文件，做到準確的實名制打印控制。不會在打印過程中擴大了涉密信息的知悉范圍，造成秘密信息的泄露。

3.2.3 打印文件條碼管理

在打印文檔上嵌入二維條碼，作為文件身份信息的唯一標識，確定文件的歸屬和真實性；達到防篡改的目的，有效的防止修改、替換等違規操作。通過條碼來識別這些文件，通過完備的審計功能對打印文件及流轉操作進行跟蹤記錄，實現打印文件的全生命周期管理。

3.2.4 基于條碼的文件綜合管理

輸出文件自動嵌入的PDF417或QR二維條碼，隱含文件密級、頁數、份數、部門、輸出人員姓名等信息，作為檢查的依據。當文件需要回收、移交、歸檔、回收相關操作，利用條碼掃描槍讀出條碼中的文件編號，系統自動變更文件在用狀態，實現文件流轉管理的便捷操作，提高工作效率。通過電子化管理清晰地了解每一份涉密文件生命周期狀態，從而真正實現對文件輸出后全生命周期的管理效果。

3.2.5 打印記錄跟蹤

安全打印系統精確地捕捉每次輸出任務，對所有打印操作，記錄打印設備、服務器、文檔名、用戶、打印頁數、打印時間、紙張等相關信息，出現文件泄密情況能夠快速追蹤。

3.3 企業內部打印管理水平的提高

安全打印技術的應用，一改以往企業對打印機管理松散的局面，通過技術手段提高了輸出過程和輸出作業的集中化、標準化管理水平。有效防止了打印文件的泄密。所有打印、內容都有據可查，可以追溯。

同時為更好地保護文件信息的安全，利用條碼技術，為所有的打印文件嵌入條碼，作為其身份標識，使得每個文件都擁有了身份。通過身份識別機制，對文件的各個流轉環節進行監控與審計，提高文件輸出環節的安全性。有效改變當政府機關、國防軍工企業文件安全管理中存在的無序、分散、粗放狀態。

4 結束語

安全打印技術在未來的日常生活、科學技術、企業文件管理中將占據重要的地位。隨著政務電子化和信息安全、保密要求的不斷增長，越來越多的政府機關、企事業單位、軍工單位已經認識到打印安全的重要性。安全打印技術勢必成為解決企業內部文件打印安全問題，防止內部人員通過打印方式泄密的重要手段；它將有效解決打印過程中涉及認證、授權、審計的三大安全領域的管理、技術難題，對推動企業內部紙質文件載體信息安全管理體系建設起到推動作用。

參考文獻

［1］楊鵬飛.網絡打印機系統研究與嵌入式軟件平臺設計［D］.西安電子科技大學， 2013.

［2］付曉明.網絡打印機安全分析與防范對策［D］.北京郵電大學，2012.

［3］李俊宏，湛邵斌. 條碼技術的發展及應用［J］.計算機與數字工程， 2008.37（7）﹕115-118，154.

［4］藍慶洪.條形碼技術在檔案管理中的價值體現.Value Engineering.

［5］任立學，劉知貴，趙強 等.打印機監控系統的設計與實現［J］.計算機應用研究，2007，12﹕0217-03.

作者簡介：

馬萌（1982—），男，河南洛陽人，碩士，工程師，研究方向：網絡與信息安全、計算機應用。