航盾打复印技术方案北京京航计算通讯研究所.docx
《航盾打复印技术方案北京京航计算通讯研究所.docx》由会员分享,可在线阅读,更多相关《航盾打复印技术方案北京京航计算通讯研究所.docx(12页珍藏版)》请在冰豆网上搜索。
航盾打复印技术方案北京京航计算通讯研究所
航盾打复印安全监控审计系统技术方案
1引言
国家相关保密标准强调要“集中文印”,“对系统内涉密信息和重要信息的输出(打印、拷贝、屏幕截取等)操作采取技术措施进行严格的控制”,“应加强对打印机、制图机等系统共享输出设备的安全控制,防止打印输出结果被非授权查看和获取”。
“制作、收发、传递、使用、复制、保存、维修和销毁国家秘密载体(含纸介质、磁介质、和光盘等各类物品)及其过程文件资料,应当符合国家有关保密管理规定。
”“严格控制国家秘密载体的接触范围。
”
目前我国涉密单位机关多实行集中打印、复印管理办法,有的通过网络打印机直接打印,然后到集中文印室领取纸质文件;也有的通过电子邮件或NAS将需要打印的文档上传到集中打印室,然后到集中打印室下载文件并进行打印。
而复印则这种传统管理方式在打印过程中需要手动填写打印记录,并由专职人员负责监督。
随着我国涉密信息系统的信息安全水平和要求的不断提高,传统的文档打印流程存在的各种问题逐渐显现。
航盾打复印安全监控与审计系统用于解决文件打印、复印的安全控制问题,通过管理和技术的有机结合,提供了从打印、复印的申请到审批,从纸质文件的输出到文件回收的全流程中的监管和审计的手段。
实现了对用户的身份进行认证、对打复印的内容网络传输保护、对涉密的文档进行强制审批流程管理、对打复印记录进行自动生成与审计等功能,在方便打印的同时,可有效防止输出的涉密信息被非授权查看和获取。
针对这样的应用需求,创建于1987年,具有航天和军工特色的信息技术专业北京京航计算通讯研究所,研发了通过国家保密认证的“航盾打复印安全监控与审计系统”,并成功应用于多个领域。
技术咨询:
010-********010-88532318189********。
2系统打复印流程
航盾打印安全监控与审计系统遵循国家保密标准,针对文印工作采取全生命周期管理的思想,实现全过程、全人员、全类型文件、全文印设备的电子化打复印服务,在确保安全保密管理同时,为用户和管理者提供了一套简单便捷电子化打复印解决方案。
系统将文印工作分为四个阶段,分别是文印申请、文印审批、打复印输出以及回收处理。
系统通过对这四个阶段的文件进行监管,从而满足全生命周期管理的需求。
图1航盾打印安全监控与审计系统进度控制图
对于打印操作,系统合法用户可像操作本地的打印机一样,对各种格式的文件进行打印。
其中如果打印的文件涉密,航盾打印安全监控与审计系统会根据打印文件的信息产生打印申请单,用户填写申请单后,打印的文件和相关信息会通过特殊的编码后提交到服务器端,等待具有审批权限的领导进行审批,进入审批流程阶段。
对于涉密文件的复印操作,用户只需登录WEB系统,发起文件复印申请,用户填写复印申请单后,等待具有审批权限的领导进行审批,进入审批流程阶段。
系统支持多级审批,同时支持返回式审批和串行式审批两种审批流转方式。
返回式审批是指多级审批时,当某一级领导审批通过,系统通知打印任务发起人,由发起人继续选择更高一级审批组内的审批人;而串行式审批是指前一级审批人审批通过后,然后选择更高一级审批组里的具有审批权限的领导。
当最高一级领导审批通过后,系统会提示用户已经可以到集中文印室进行纸质文件的输出了,系统进入文印输出流程阶段。
用户在文印室通过刷卡的方式登录系统,系统会为该用户列出其所有已提交的打、复印任务。
用户可以选择已经审批通过的任务进行打复印输出并当场取走,可有效防止文印输出的涉密信息被非授权查看和获取。
系统会自动产生打复印日志记录传送到服务器,以备审计。
同时系统会根据管理员设定的回收时间,开启回收计时器,进入回收处理阶段。
一旦某个打印文件到了该回收的时间,系统会向闭环管理员和打印该文件的用户发出文件回收提示。
待闭环管理员进行文件回收处理后,该文件的打印流程至此结束,完成了文件打印全流程的监管。
3系统应用场景
(1)在用户发起打印任务时缺少打印流程控制,以至于任何员工都可以发起打印任务,可以打印任何文档,没有限制员工的打印权限,没有从技术上按文档密级进行打印控制,在打印管理的源头没有有效的信息安全保密管理措施。
(2)纸质文件输出流程的审批过程存在漏洞环节。
员工提交审批的文档在审批通过后,可以进行修改、替换、多次打复印、填写不真实的打复印记录等操作,以至于重要文件被随意打印、随意复制、随意传播,造成实际打复印的文档内容与提交审批的文档内容不相符,打复印记录的填写与实际打复印的内容不相符,严重削弱了审批管理人员对重要文件打印的控制力度。
(3)在邮件发送打印方式中,所有人都可以登录打印公共邮箱,都可对邮箱中的文档进行任何操作,存在重要文档被非法打印、查看、修改、删除的漏洞环节,可能造成国家秘密的篡改、泄漏等严重后果。
(4)专人监管、手动填写打复印记录的方式存在效率低、纸质记录不易保存、易产生错误或不完整记录等问题,并且易造成记录遗漏,难以进行事后追查和保密责任认定,同时传统打复印流程也加重了文印管理员的工作负担。
(5)在传统的打复印流程中,由于邮件收发、NAS下载、手动填写记录等环节易造成排队等候打复印文档的情况,降低了打印效率,不利于科研生产工作的高效开展。
(6)打印机器如对打印文件的格式不支持,无法完成打印任务。
(7)在邮件发送打印方式中,所有人都通过邮件将要打印的文件发送到领导邮箱进行审批,会导致领导的邮箱空间迅速被塞满,影响正常工作。
4系统基本功能介绍
4.1用户管理和权限控制
4.1.1组管理
组管理中可以根据用户的组织结构,灵活定义用户组的结构。
每个用户组下可以建立子组,从而体现实际组织结构中的组织从属关系。
可为每个用户组指定可以使用的打复印机集合,该组中所有用户只能选择分配给该组使用的打复印机进行打复印操作。
4.1.2用户管理
根据定义的用户级别赋予相关的权限。
只有经过管理员注册的可信用户才能文印。
Ø用户管理中管理员可以根据实际情况赋予用户审批权限。
被赋予审批权限的用户可以审批密级不高于自身密级的打印任务。
Ø管理员可以指定用户是否具有卸载客户端软件的权限。
只有具有卸载客户端权限的用户才能通过服务器验证后卸载客户端软件,否则不允许随意卸载客户端软件。
Ø管理员可以根据实际情况对用户打复印是否需要审批进行设定,当用户有打复印不需要审批权限时,该用户打复印的所有文档都不需要审批直接进行打复印。
4.2打复印管理
4.2.1打复印机管理
系统对打复印机进行集中管理,可以根据需要动态的对用户组进行打复印机的独立分配,从而实现打复印机使用上的专有性,以防止发生打复印混乱。
输出管理控制台无用户使用时打复印功能处于锁定状态,授权用户通过身份认证后才可进入打复印页面。
一个打印控制设备可以控制多个打印输出设备。
用户可根据具体情况灵活选择自己权限范围内的打复印设备进行打复印输出。
4.2.2打复印流程管理
系统可针对不同用户组和不同密级设置不同的打复印审批流程,支持多级审批流程的定制,同时支持返回式审批流程和串行式审批流程的定制。
可详细设置每一流程中的每个步骤,为其选择相应的审批领导;也支持动态改变已经定制好的审批流程,或改变流程中某个步骤中的审批领导。
图2返回式审批流程
图3串行式审批流程
图4灵活定制审批流程
图5动态审批人员选择
4.3打印内容的回溯和审计
系统可对打印的非密文件内容进行存储,以备审计。
而对于打印的涉密的文件可通过管理员进行策略配置,在每次打印输出阶段结束后被彻底删除。
系统可记录每次打印任务的相关信息,包括:
打印文件编号、所使用的打印机、打印者、打印者所在的用户组、文档名、打印时间、密级、打印结果、打印份数、打印页数、打印颜色、代理打印情况和补充打印情况等。
按用户、部门、纸张、时间段灵活进行打印统计,为成本核算提供依据。
拥有相关权限的用户可以通过查看打印任务的打印内容及其详细信息,判断是否浪费、泄密及违规。
复印监控模块可对多种品牌多种型号的复印机进行复印操作监控,可记录每次复印任务的相关信息,包括:
所使用的复印机、复印者、复印者所在的用户组、复印时间、密级、复印结果、复印份数、复印页数、复印颜色、代理复印情况等。
按用户、部门、纸张、时间段灵活进行复印统计,为成本核算提供依据。
复印监控模块对于柯尼卡美能达系列复印机,不仅可记录每次复印任务的相关信息,更可支持复印文件内容审计、可对复印的非密文件内容进行存储,以备审计。
而对于复印的涉密的文件可通过管理员进行策略配置,在每次复印输出阶段结束后被彻底删除。
拥有相关权限的用户可以通过查看打印任务的打印内容及其详细信息,判断是否浪费、泄密及违规。
图6打印历史记录信息
4.4实时提醒,一触即办
系统提供给用户客户端消息提醒功能,完全满足用户在第一时间处理“待办”和“待审”信息的要求,可确保打复印流程快速传达和执行,其实时快捷的特点确保了及时处理事务,提高了打复印的效率。
如果用户尚未登录打复印事务办理页面,系统也会及时弹出“待办”打复印事务的基本信息及事物通知,用户可以通过弹出的提示框,点击相应的链接,方便的跳转到打复印监控与审计系统中办理“待办”和“待审”的信息,避免了因不知道、延迟获得信息而耽误了重要、紧急的打复印事务。
图7实时消息提醒
4.5打复印任务管理
管理员可以根据实际情况进行打复印任务生命周期的设定,当打复印任务超过生命周期后仍然没有被打复印,为了减少系统资源的浪费,该任务将被删除。
打复印任务提醒设定包括:
任务审批时通知发起者、任务审批时通知审批者、审批结果通知发起者、任务结束时通知发起者。
管理员可根据实际情况进行设定,保证用户可以收到必要的信息。
系统会在每个流程阶段以消息框的形式及时提醒用户进行相应的操作,以保证用户可以在规定时间内获得必要通知。
管理员可以设定打复印任务的有效期限、打复印内容的保留期限(单位为小时)。
用户可通过打复印管理功能,清晰地看到其所提交的所有打复印任务及其所处的流程状态,用户也可以随时取消打复印任务。
每个授权用户只能管理自己的打复印任务,无权查看管理别的用户的打复印任务。
4.6动态条形码添加
系统为每个打印文件从全局的角度设置一个标识码,并且可以通过条形码的方式输出,管理员可自定义打印文件标识码的输出方式(号码方式或条形码方式或兼而有之),在打印时系统将文件标识码自动添加到每个打印任务的纸媒体上。
文件标识码的内容可包含打印时间、密级以及任务号等。
条形码和文件编号在文件左上角,位置可以定制;第一页的右下角放置当前份数和总分数信息,是否显示也可以动态设置。
支持条码扫描枪读入文件编号等信息,实现纸质文件与相应电子信息的对接。
图8文件标识号效果
4.7打复印文档全流程闭环管理
打复印文件全过程监控和记录,打复印日志多条件组合查询和统计分析。
使用条形码扫描器,系统可以根据打印文档输出的条形码进行输出文档的准确回收,并由专门的文档管理员角色进行去向管理,实现打印流程的闭环管理。
具有文件回收超期提醒功能,且回收时间可配置。
超期后,系统可发送回收提醒信息。
可统计当前已回收和未回收的打复印任务和文件清单。
4.8补打功能
支持打印出错后的补打功能,可灵活设置需要补打的份数范围和补打首份的页码范围。
补打过程闭环管理员参与,补打过程受控且有相关日志记录以备日后审计。
5系统主要特性
基于多年来在信息安全领域研发积累的丰富经验,北京京航计算通讯研究所推出了航盾打印安全监控与审计系统。
该系统具有功能强大、兼容广泛、架构优越、部署灵活、成熟稳定、性价比高的特点。
5.1功能特性
Ø便捷的权限管理。
管理员能方便的进行用户管理,权限控制粒度进一步细化。
管理员可以查看本系统各种信息,进行各种资源的分配和设定。
Ø精准的打复印实名制控制。
系统支持通过IC卡、智能卡等方
升级会员 