打印安全专家技术白皮书.doc

打印安全专家技术白皮书目录一、历史背景 5二、传统打印管理模式 6三、打印安全监控与审计系统功能概述 7四、打印安全监控与审计系统详细功能 9(一)SG认证 9(二)用户管理和权限控制 9(三费用统计 10(四)过滤审批和强制审批 10(五)水印添加 10(六)打印日志查看 10(七)文档确认 10五、系统默认管理员 8(一)系统管理员 9(二)安全管理员 9(三)审计管理员 10六、体系结构 21 (一)产品模块构成图 19(二)服务器模块构成图 19(三)客户端模块构成图 20(四)打印流程 21七、产品特点 21八、运行环境及性能 23近年来，随着IT行业的急剧发展，给各企事业、政府、军工等单位的管理带来前所未有的挑战，其中对于日常办公、科研活动中涉及到的打印数量之大是非常惊人的用户打印不受控制，任何人连接到网络上就可以打印，打印了多少文档，打印什么内容，都没有记录，这样就造成打印纸张浪费和机密信息的泄露；这种浪费是十分惊人的，机密信息的泄露也会造成严重的后果据国外信息安全权威专业机构调查统计，泄密的主要途径主要有三种：mail泄密、移动存储泄密、打印泄密目前，对安全要求较高的企业或单位都已经采用了相应的内网安全解决方案，来避免通过电子媒体发生的泄露事件。

发生次数相对较少的是打印泄密，出乎人们意料之外的是，这种些秘密途径虽然发生次数较少，但是通过这种方式泄密的80%以上的泄密事件几乎都涉及到了企业的较高等级甚至是核心级的商业信息，通过这种方式进行泄密的基本上都是企业的规划层甚至是决策层，每次泄密损失金额至少都在50万美元以上，破坏力非常巨大！这种泄密方式最严重的主要集中发生政府机关、军队、在大中型企业以及国际跨国大公司而通过打印泄密的人，一般在企业都具有相当高的权限和权利，知识经验阅历都非常丰富，泄密野心非常大，他们对于泄密方式非常谨慎小心，他们更看好传统泄密方式，他们深知越现代的泄密方式，越容易被监察到，反之打印泄密这样的传统方式却是被企业管理忽略的途径，不容易留下任何蛛丝马迹，将资料打印带出公司，离开公司的时候保安通常只会检查员工是否将公司的产品、零部件等重要物件带出公司，而对于文件资料者通常不重视，而且保安也不会也不敢也不能区分企业高阶主管公文包内的文件资料是否被列为禁止带出的资料，所以他们坚信越传统越安全，他们有着超级阴谋家所共有的逆反心理和缜密思维！     打印过程中最常见的问题主要有以下几种：     1.用户打印不受控制，造成打印纸张浪费和机密信息的泄露。

     2.对于泄露的打印资料，无法追踪其来源无法采用有效措施解决泄露途径     3.忘记及时取回打印资料，致使机密信息泄露     4.无法准确统计打印成本，造成打印浪费     这些问题在我们身边不断的出现，而被我们忽略着，我们的企业一直被打印安全隐患所威胁一、 历史背景序号时间国家机构名称事件12005/4/28美国西波格银行内部人员泄密银行机密信息资料，造成银行巨大损失22006/1/31美国波士顿Boston Globe and The Worcester Telegram & Gazette信用卡和各相关的个人支票信息打印到废纸上用于包裹旧报纸造成信息泄露32006/2/1美国北卡罗莱纳州的蓝十字和蓝盾公司一份保险计划信息和该计划的成员的社会保险号码打印出去而泄密42006/12/5美国芝加哥公立学校国家计算中心的21000名学生的个人信息包括姓名、社会保险号等信息被打印出来而泄密52007/3/19美国Science Applications International Corp. (SAIC)被标识成“内部使用——不对外公布”和“官方使用”的大量带有敏感信息的文档包括机密邮件和性能数据出现在SAIC官方办公室外的街头。

62007/4/23美国联邦能源管理中心Fed. Emergency Management Agency (FEMA)灾难救援员工的社会保险号码被打印出而泄密72008/6/12英国内阁办公室一个知道机密信息的内阁的公务员私自携带打印出的机密文件出英国政府，因其将机密文件遗落在火车上而被发现82008/6/5中国香港将军澳医院一名清洁员工在医生办公室清洁时误把300份含有病人姓名、性别、年龄、出生日期、身份证号码及检验结果的报告当做一般废物抛弃警方随后通知受内部文件外泄影响的当事人香港医管局不久前被爆接连发生病人资料外泄事件，受影响病人高达1.6万名，个人私隐专员公署昨天向医管局提出37项改进建议二、 传统打印管理模式现在有部分企事业、政府、军工等单位的管理者意识到打印过程中的浪费和安全问题，大多数采用传统的打印管理模式：1．限制打印纸张，打印机不放打印纸，需要的打印的人员需要去管理打印纸的地方申请打印纸张这样效率较低；而且无法禁止打印人员自带打印纸进行打印，耗材的浪费无法禁止，耗材是支出成本最大的一块2．专人管理打印机，需要打印的文件必须以邮件的方式发送到指定人员那里指定人员审查并进行打印。

这样打印过程极其不方便，工作人员的工作量很大如负责人不在，便不能进行打印3．须用存储盘，邮件下载的方式将打印内容拷贝到打印点，进行打印，这样不但需要打印人员提供存储介质，而且加大了病毒传播危险性，容易造成网内病毒泛滥，对打印的内容更不可控制因此，传统的打印管理模式都没有很好的解决打印管理过程中的浪费和安全问题，需要开始寻找新的打印管理模式北京金石利兴科技有限公司三、 打印安全监控与审计系统功能概述针对传统打印管理模式所存在的问题，研制开发了打印安全监控与审计系统，以解决打印的浪费和安全问题打印安全监控与审计系统主要分为认证，授权，计费，审计和跟踪五方面的主要功能，如下图所示：这五方面涵盖了打印领域的安全控制和管理，具体功能描述如下：l SG认证² SG认证功能Ø 在打印服务器端，认证通过后，方可打印Ø 打印资料发起人为第一接触人Ø 认证介质可以为磁卡、IC卡、KEY、指纹等可以作为身份认证的介质² 解决问题Ø 忘记及时取回打印资料，致使机密信息泄露l 用户管理和权限控制² 用户管理功能Ø 由企业自定义组织结构和用户级别Ø 根据自定义的级别赋予相应权限² 解决问题Ø 用户精细的授权管理Ø 用户打印不受控制，造成打印纸张浪费和机密信息的泄露。

l 费用统计² 费用统计功能Ø 可有效地控制成本Ø 实现分级别（公司、部门、组、 个人）费用统计Ø 统计分析结果以直观图形进行显示² 解决问题Ø 无法准确统计打印成本，造成打印浪费l 过滤审批和强制审批² 过滤审批功能Ø 过滤含有组织敏感信息的文档Ø 过滤出的打印文档需要审批Ø 审批通过的文档方可打印² 解决问题：Ø 用户打印不受控制，造成打印纸张浪费和机密信息的泄露l 水印添加² 添加水印功能Ø 可自定义添加水印的内容和格式Ø 添加水印的复印件也含有水印信息Ø 强化员工的安全意识² 解决问题Ø 对于泄露的打印资料，无法追踪其来源l 打印日志查看² 记录跟踪功能Ø 系统自动记录“谁，什么时候，在哪儿，打印了什么东西”Ø 提供记录查询功能Ø 可根据日志记录追踪泄漏途径² 解决问题Ø 对于泄露的打印资料，无法追踪其来源l 文档确认回收² 文档确认回收功能Ø 用条码枪对已打印文档的二维码进行回收Ø 输入打印任务的UID进行回收² 解决问题：Ø 方便管理已打印文档，防止造成已打印文档的流失四、 打印安全监控与审计系统详细功能SG认证可采用磁卡、IC卡、Key、指纹虹膜等认证方式认证未认证的打印任务存储在服务器上并不输出，认证后确定属于该用户的打印任务才可以打印输出。

用户管理和权限控制根据企业或单位自定义的组织结构、定义用户权限和级别组织结构定义可以分为单位、部门和组根据定义的用户级别赋予相关的权限只有经过管理员激活的用户才能打印管理员可以将现有域用户导入快速导入SPS的系统中，方便用户管理登录到域中的计算机将自动登录到SPS系统中，无需用户进行二次登录费用统计打印任务的数据信息汇总整合到服务器，可进行整体数据资料的查询与分析，满足客户的需要从打印费用、任务、打印机、项目等不同角度提供汇总统计、明细统计、费用统计、任务分析、成本消耗趋势等多种报表可设置条件查询，也可打印或者输出过滤审批和强制审批当使用强制审批时，所有的打印任务均需要审批，审批通过的打印任务才能够进行打印但具有不需要审批权限的用户，在打印时要求不进行审批时，此任务不需要进行审批当使用过滤审批时，系统根据管理员设定的关键字进行过滤，发现打印任务中含有设定的关键字时，将该任务知道转发给审批者，审批通过的打印任务才能够进行打印管理员可以为单位、部门、组分别设定多名审判者但部门和组审判员也可以不进行设定，当没有设定组审批者时，将由部门审批者进行审批；当没有设定部门审批者时，将由公司审批者进行审批。

水印添加可自定义添加水印的内容和格式，能够将打印者、所属组织、打印时间、审批者信息以及用户自定义水印信息，以水印的形式打印在纸媒体上打印日志查看打印服务器能精确地捕捉每次打印任务，能记录打印机、服务器、文档名、用户、打印页数、打印时间、纸张、色彩等相关信息在服务器上已加密压缩的形式存储每个打印任务的打印文档内容，拥有相关权限的用户，可以根据实际需要实时查看已经成功打印的文档内容根据实际需要可以对历史文档中的内容在服务器上重新打印文档确认文档确认回收功能主要解决，打印出的文档不方便管理造成文档流失等问题主要分为两种文档回收方式：1、对文档的PID码进行文档确认回收2、用扫描枪通过文档打印后的二维码进行文档确认回收 文档确认工具应用环境操作系统Windows xp sp2 / Windows xp sp3 / Widows Vista sp1（32位） / Windows 7（32位）/ Windows 2000（32位）扫描器串口QR Code条码扫描器计算机支持串口的计算机五、 系统默认管理员系统默认有三个管理员，分别为系统管理员sysadmin,、安全管理员secadmin,、审计管理员auditor（一）系统管理员在打印服务器上安装服务器程序之后，局域网上的其它机器，只需打开浏览器（必须是IE6.0以上），输入服务器的网址，形如 http://主机名 或 http://IP地址 即可进入本系统。

管理员连续三次密码验证失败后，帐户将被锁定15分钟，15分钟后自动解锁管理员登录后，如果3分钟内不进行页面操作，则系统会进行超时处理，管理员需要重新登录后才能进行相应操作 例如：http://192.168.1.20进入登录页面如图所示顶层菜单：1) 首页点击【首页】菜单，进入首页页面2) 系统管理点击【系统管理】菜单，进入系统管理相关的页面系统管理主要是系统运行需要的基础设置内容，包含以下几方面：用户和组织、打印计费、打印机、系统设定4个方面的内容3) 退出点击【退出】菜单，退出系统，页面迁移到登录页。