标准解决方案北信源打印安全监控审计系统解决方案.docx
《标准解决方案北信源打印安全监控审计系统解决方案.docx》由会员分享,可在线阅读,更多相关《标准解决方案北信源打印安全监控审计系统解决方案.docx(8页珍藏版)》请在冰豆网上搜索。
标准解决方案北信源打印安全监控审计系统解决方案
北信源打印安全监控审计系统
解决方案
北京北信源软件股份有限公司
一、前言
随着网络应用的不断普及和发展,网络应用向多层次、立体化、空间化方向发展,网络空间数据的安全问题越来越突出,电子文档和敏感信息被有意无意的窃取、丢失、泄密等给建设高效、安全的网络空间带来很大挑战。
而纵观目前各个政府、企事业单位的信息安全建设状况,数据安全防御理念往往局限在网关级别、网络边界(防火墙、IDS、漏洞扫描)等方面,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。
相反,来自网络内部计算机终端的数据安全防护却往往被忽视。
在国家行业信息化推进的大环境下,信息安全在国民经济建设中日益显得举足轻重。
特别是在政府机关网络中,工作秘密的泄露会使政府机关工作遭受损失,带来不必要的被动;而国家秘密的泄露会使国家的安全和利益遭到严重损害,泄密者也难免受到降职、降衔的严肃处理,甚至移交司法机关处理。
由此,如何应对数据安全问题,减少直至杜绝内部敏感信息的泄漏和重要数据的丢失而引发的安全事故,建设面向网络空间的、安全和谐的终端运行环境,形成有效的数据安全防护体系,则成为了政府机关网络、行业信息网络主管领导日常工作的重中之重。
而根据《计算机犯罪与安全调查报告》的调查结果显示,泄密的主要途径有三种:
电子邮件泄密、移动存储泄密、打印信息泄密。
通常,电子邮件泄密和移动存储泄密都得到了较好的控制,而来自内部的网络打印安全却很容易受到忽视,打印信息泄密,涉及到了用户较高等级甚至是核心级的机密,破坏力大,破案率低,极大地损害了个人、集体的利益,甚至是国家。
北信源公司由此推出自主研发的新产品—北信源打印安全监控审计系统,为用户彻底解决以打印方式造成数据泄漏的问题。
二、打印安全审计解决方案
2.1产品背景
近年来,文档的控制成为了保密控制的主流。
文档控制的核心是文档中的内容的控制,但对于打印后的文档的管理目前形成产品的还很少。
传统的打印有以下问题:
分散的打印输出方式难以管理;
打印设备使用权限无法控制;
涉密文件销毁流程复杂,效率低下;
涉密文件的生命周期安全管理严重依赖于人工,无法形成信息化管理;
难以形成全面、细致的日志审计和统计报表输出;
无法准确统计打印数量、效率和成本,造成打印浪费。
文档控制并不是传统的控制,它需要管理流程控制和管理制度双层保障。
通过完备的文档打印审批流程和监管制度来实现文档的可控性,才能做到安全、可靠和人性化管理目标。
为了有效地控制和减少涉密信息外泄,故而决定开发“北信源打印监控审计系统”。
2.2产品概述
北信源打印监控审计系统,严格按照国家公安部计算机信息系统安全产品质量监督检验中心检验规范,进行独立开发的系统产品。
系统采用先进的数字条形码技术及打印机管理技术,实现了对涉密文档在打印申请、审批、输出、回收全生命过程的监控和管理,并且形成了完备的打印、操作等日志记录,方便对文档使用和输出情况进行统计和追溯。
切实从技术手段实现了文件输出安全保密制度,保障了文档安全输出及闭环管理。
解决了文档的随意打印和打印后的文档流转归处。
做到有据可查,责任到人。
规范和增强申请人的打印习惯和安全意识,有效防止由于疏忽或故意而导致涉密信息在流转输出时信息外泄。
北信源打印监控审计系统是基于C/S与B/S相结合系统结构,具有灵活、简单和高可配性的特点。
适用于银行、政府、军队、高校等单位企业。
主要具备如下功能:
三员分立:
系统管理员、安全保密管理员、安全审计管理员相互监督,增强系统安全。
身份认证:
支持IC卡、USBKEY认证及用户名口令认证,避免除打印者之外的其他人偷看或取走打印文档。
集中管理:
全面集中企业中多个打印机,有效均衡打印作业。
打印遵从:
通过自主研发的打印控制功能,杜绝用户私自接入打印机。
文件打印:
支持office文档、PDF文档、图纸文档等各类电子文件的打印,能兼容Windows操作系统下的各种打印机型号。
流程审批:
管理员可根据用户组及文件密级为用户定义不同的打印审批流程。
只有经过全流程审批的文件才能进行打印。
动态水印:
管理员可动态指定水印内容,便于纸质文件的追踪。
日志审计:
全程记录系统所有操作(包括打印申请、打印审批、打印输出等),便于分析判断违规行为。
统计分析:
统一数据查询,多角度提供统计分析功能。
闭环管理:
对于已打印文档销毁流程进行记录,形成打印的整体闭环管理。
北信源打印监控审计系统-WEB管理首页
2.3系统基本功能
1.安全配置管理
1)系统基本配置
2)打印机管理
3)单位部门管理
4)用户管理
5)策略管理
2.系统维护与配置管理
1)数据库管理
2)备份用户
3)角色管理
4)系统角色
5)菜单管理
3.审计日志管理
1)客户端授权日志
2)客户端操作日志
3)客户端打印日志
4)管理员操作日志
2.4系统主要特点
1.功能特点
1)符合用户打印习惯
2)兼容性强,客户终端无需安装打印驱动
3)监控审批打印内容管理无需安装办公等软件工具
4)组织单位、用户权限管理
5)打印实名制控制
6)打印机集中管理
7)自定义审批流程和级别
8)打印文件服务器留存
9)支持断点打印
10)打印文件任务唯一编码标识记录
11)打印文件闭环管理
12)打印信息详细日志记录并报表图形化统计
13)灵活的管理方式
2.安全特点
1)采用三权分立方式管理
2)强制密码复杂度设置
3)WEB连接采用安全的SSL通信
4)客户端与服务器以RSA、AES、DES等加密算法,随机协商方式通信
5)客户终端卸载保护
6)客户终端唯一虚拟打印机保护
2.5系统部署网络示意图
根据贵公司的网络环境及实际打印机、打印配置情况我们可以进行如下部署配置。
2.5.1文档管理流程
1.主流程
文档管理流程主要分为:
提交、审批、打印、回收四个部分
提交:
由具有提交权限的用户提交打印任务至系统,提交过程中可以配置文档的密级、提交原因等相关项。
提交成功后,进入审批流程。
审批:
文档进入审批流程后,首先交由由策略配置的1级审批员,1级审批员审批通过后,进入2级审批,以此类推,直到所有审批级别均通过后可以进入打印流程。
打印:
文档进入打印流程后,用户可以到指定的打印端登陆,选择可打印的任务进行打印。
待文档使用完成后,则按照文档处理要求进入回收流程。
回收:
用户携打印出的文档到回收管理员处,由回收管理员登录回收端将文档中的条形码扫入或输入回收端中,提交回收标记,纸质文档则归档或销毁。
2.流程分支
审批流程中,每级审批可以配置不同的通过方式,如:
所有该级审批员均通过才允许进入下级等。
打印流程中,可以提供在本地进行打印功能
回收流程中,支持对多页文档进行批量回收。
3.审计日志
在流程中产生的日志和审计信息均可以在web端找到。
2.5.2系统部署网络示意图
北信源打印监控审计系统是由服务器、WEB管理平台、打印端、回收端和客户端五部分组成,可以再单位局域网服务器机房内安装打印监控审计服务器,其中包括服务器、WEB管理平台和SQL2005数据库。
在用户使用的计算机上安装客户端,通过创建和配置用户权限分配和制定审计级别和人员。
在集中打印室或部门连接打印机的计算机上安装打印端。
在局域网任意位置增设文档回收端并指派专人管理,这些组成部分通过原有局域网连接,配置完成本系统的系统管理和使用用户账户和权限后,制定审批流程和策略即可实现北信源打印监控审计系统的部署。
基本示意图入下:
2.5.3服务器
1.服务器端
服务器端为需要安装有sqlserver2005以上版本的server服务器。
查看服务器中的加密备份文件需要单独程序与认证key
2.Web服务器端
Web服务器端需要安装IIS和.netframework3.5的web服务器。
并且与服务器端网络连通
两服务器可安装到同一服务器主机中。
2.5.4客户端
1.普通客户端
仅提供提交打印任务和由审批管理员登录进行审批的功能
2.普通打印端
专用打印端,仅提供本地登录进行打印功能。
打印的文档会附加条形码,也可采用用户可刷卡登录。
3.复合打印端
可以提交并打印任务,但仅允许绑定的用户在该处打印。
打印的文档会附加条形码,不需刷卡登录。
4.特殊打印端
由财务等人员使用,打印至特殊的打印机中,不附加条形码。
仅允许指定进程提交任务,控制打印文档的类型(后缀名)。
5.回收端
用于回收附带有条形码的文档,需要由专用账户登录。
三、方案小结
通过本方案可以达到以下收益:
通过技术手段提高保密安全管理水平
由纷乱、无序的设备输出蜕变为集中可靠有序的监控管理。
可控的设备和用户使用
由非授权设备用户的随意文件输出,到用户权限可管理。
打印文件生命周期全监控
确保打印出的即为审批过的,且打印内容一致,第一人得到打印输出文件,增加安全防范意识和手段。
详细全面的电子化日志记录
被动登记到自动电子化日志记录;信息全面、准确,便于审计统一和日后追溯。
升级会员 