中国空空导弹研究院 马 萌



浅析安全打印技术在企业中的应用

中国空空导弹研究院 马 萌

【摘要】传统的企业内部文件打印存在安全风险，打印文件不及时领取，文件随意打印存在隐患。打印文件信息泄密，涉及个人信息、企业、国家核心秘密，且破坏力大，追查率低，极大损害个人、企业、甚至是国家的利益。安全可靠的企业内部文件打印，成为近年来信息安全领域研究的一个重要课题。

【关键词】信息安全；打印机；安全打印；条码技术

0 引言

政府机关、国防军工等企业具有极高保密性，其信息安全涉及到国家安全和社会公共安全。传统的企业内部文件打印存在安全风险，打印文件不及时领取，文件随意打印存在隐患。打印文件信息泄密，涉及个人信息、企业、国家核心秘密；且破坏力大，追查率低，极大损害个人、企业、甚至是国家的利益。根据国家《计算机犯罪与安全调查报告》，企业内部打印文件泄密已经成为信息泄密的主要途径之一。安全可靠的企业内部文件打印，成为近年来信息安全领域研究的一个重要课题。

1 打印机语言及条码技术

1.1 打印机语言

打印机语言是控制打印机工作的指令，主要为两类。一种是页面描述语言，另一种是嵌入式语言。代表分别是HP公司的PCL语言和Adobe公司的PS（Postscript）语言。PCL语言适用于中、低端打印设备，处理文本或办公应用软件生成的文档。PS语言适用于图形打印等高端设备，处理PDF文件或Photoshop等图形文件。打印机语言利用应用程序数据，经过计算机GDI接口，再经过打印驱动、转换成打印机可以识别的数据。打印机接收信息，解析转换为含有字符信息的激光驱动信号，最后通过使激光成像，转印到纸上。

1.2 条码技术

条码技术是集编码、印刷、识别、数据采集和处理于一身的信息技术。近年来渗透到计算机管理的各个领域，成为信息采集及防伪的重要手段。目前常用的有一维码、二维码；一维码存在信息容量小、纠错能力差、防伪性差等缺点；二维码有效弥补了这些不足，常见的有PDF417、QR Code、Code 16K等。二维码信息密度比一维码高，如PDF417码是一维码CodeC3的20多倍。目前广泛应用各类报表、票据，商品及货物运输的管理，工业生产线的自动化管理等。

2 企业内部文件打印安全现状分析

中小型企业、大型公司、政府机关、国防军工等企业内部文件打印，大多采用在网络环境下控制打印机，或者安排专人管理打印的模式。采用网络打印可以一定程度上减少打印机的数量，节省成本，提高工作效率。安排专人管理打印可以杜绝企业内部人员直接接触打印设备，减少误操作，减少随意打印。但是多数企业只把打印机当作一种IT周边服务设备，忽视了打印设备的安全问题，存在诸多安全隐患。

2.1 安全产品功能缺失

目前部分单位、政府机关、国防军工企业部署了类似主机行为监控的软件，可以监控打印行为，如监控打印人，打印时间，打印文件名称，打印机名称等信息，但无法进行打印内容审计，对打印内容的密级进行审核；无法明确员工打印内容中有多少与工作相关，特别是对于泄露的打印资料，无法追踪其来源，采用有效措施解决泄露途径。未采取技术手段为打印生成的文件植入身份信息，满足打印文件在流转、外送、归档、回收等环节管理的需求。

2.2 打印人员管理

企业内部打印管理人员操作打印，同时负责文件编号/盖章、审核，督促领用人员登记，工作量大，容易出现错误。打印管理人操作打印，无形中扩大了企业核心商业秘密、国家涉密信息的知悉范围。打印申请人员在领用时登记不规范，与申请信息不符，造成后期核对困难。传统的人工管控打印、网络打印、共享打印等方式，不能从根本上防治打印信息泄密，影响着企业内部重要资料、文件或数据的安全。

2.3 打印文件管理

企业内部打印文件没有及时取回，容易出现文件查找困难、缺页、误拿等情况。内部员工能够随意接触打印文件，会造成重要文件或机密文件的泄漏，成为企业的安全隐患。

2.4 打印设备管理

打印设备使用未进行授权，采取身份鉴别手段，任何员工都可以随意打印，没有经过合法审批等流程就直接打印，容易造成打印纸张浪费和机密信息的泄露。

2.5 企业内部文件打印安全风险结论

企业内部人员通过打印的形式将企业核心商业秘密、国家涉密资料带出，必定会造成信息的泄露，给企业、国家带来不可估量的损失。因此，打印不应该简单地被定义为一种周边IT服务，而应该引起企业、特别是政府机关、国防军工足够的重视，将其纳入到企业整体信息安全体系当中。采取有效的管理方式和技术手段来对打印的全过程进行跟踪管理，形成事前防范、事中监控、事后审计的全方位管理，使打印过程安全、可靠。

3 安全打印系统的应用

安全打印系统立足于集中管控设备，采用条码、电子加密等技术，对打印机的使用者的身份和文件有效性的进行验证，建立对纸质文件、电子文件的一体化管理。从打印文件的全过程的各环节进行安全处理和管控，建立全周期过程中的审计，对文件的安全流转进行全程监控。使文件在整个打印过程中不受意外或者恶意破坏、

更改和泄漏，保证文件的保密性、完整性、可用性和真实性。

3.1 安全打印系统组成

安全打印系统主要由客户端、电子审批、打印输出端、和服务器端几部分组成。

图1 安全打印系统结构

3.1.1 客户端

采取CS部署模式，不改变用户使用习惯。用户打开文件发起打印，通过安装的虚拟打印驱动，将打印文件转化为快照，形成打印机能够识别的PCL语言；客户端软件将文件提交至服务器端，不直接通过打印机输出，实现了对打印的监控。客户端支持账号登录、域登录。只有正确登录后，用户才能够正常使用打印功能。

3.1.2 电子审批

采取在线多级审批的模式，由管理部门领导、主管人员根据文档密级对作业输出行为实施审批；同时审批人员通过预览文件快照的形式对打印作业进行全文预览，只有经过审批的文件才能进行作业输出，避免用户降密输出、随意输出，保证文件输出的安全性和保密性。

3.1.3 打印输出端

电子申请完毕后，用户使用IC/ID卡通过刷卡认证的方式，通过刷卡控制端显示打印作业，执行打印。同时在打印生成的文件嵌入二维码（PDF417、或QR），为文件植入身份信息。安全打印系统对打印设备进行授权，只有授权的打印机才能使用、保障打印文件的专属性和私密性

3.1.4 服务器端

实现对文件输出全过程进行记录， 保存打印输出后生成的快照文件，并通过信息完整性验证技术（MDS）进行检测确保文件完整性。同时设置相应的管理员角色供企业内部管理人员进行监控和审计。建立企业打印文件电子台账，实现每一份文件对应到相应的人员。

3.2 安全打印的技术优点

3.2.1 打印集中管控

采用CS部署模式在已安装客户端软件的设备中，所有用户已安装、私自接入的打印机均无法使用，只有通过授权的设备才可使用。

3.2.2 权限控制

根据人员重要程度进行权限、密级控制。只有通过身份认证的人员才能进行打印操作。用户只能够处理自己的打印文件，无法查看和打印其他人文件，做到准确的实名制打印控制。不会在打印过程中扩大了涉密信息的知悉范围，造成秘密信息的泄露。

3.2.3 打印文件条码管理

在打印文档上嵌入二维条码，作为文件身份信息的唯一标识，确定文件的归属和真实性；达到防篡改的目的，有效的防止修改、替换等违规操作。通过条码来识别这些文件，通过完备的审计功能对打印文件及流转操作进行跟踪记录，实现打印文件的全生命周期管理。

3.2.4 基于条码的文件综合管理

输出文件自动嵌入的PDF417或QR二维条码，隐含文件密级、页数、份数、部门、输出人员姓名等信息，作为检查的依据。当文件需要回收、移交、归档、回收相关操作，利用条码扫描枪读出条码中的文件编号，系统自动变更文件在用状态，实现文件流转管理的便捷操作，提高工作效率。通过电子化管理清晰地了解每一份涉密文件生命周期状态，从而真正实现对文件输出后全生命周期的管理效果。

3.2.5 打印记录跟踪

安全打印系统精确地捕捉每次输出任务，对所有打印操作，记录打印设备、服务器、文档名、用户、打印页数、打印时间、纸张等相关信息，出现文件泄密情况能够快速追踪。

3.3 企业内部打印管理水平的提高

安全打印技术的应用，一改以往企业对打印机管理松散的局面，通过技术手段提高了输出过程和输出作业的集中化、标准化管理水平。有效防止了打印文件的泄密。所有打印、内容都有据可查，可以追溯。

同时为更好地保护文件信息的安全，利用条码技术，为所有的打印文件嵌入条码，作为其身份标识，使得每个文件都拥有了身份。通过身份识别机制，对文件的各个流转环节进行监控与审计，提高文件输出环节的安全性。有效改变当政府机关、国防军工企业文件安全管理中存在的无序、分散、粗放状态。

4 结束语

安全打印技术在未来的日常生活、科学技术、企业文件管理中将占据重要的地位。随着政务电子化和信息安全、保密要求的不断增长，越来越多的政府机关、企事业单位、军工单位已经认识到打印安全的重要性。安全打印技术势必成为解决企业内部文件打印安全问题，防止内部人员通过打印方式泄密的重要手段；它将有效解决打印过程中涉及认证、授权、审计的三大安全领域的管理、技术难题，对推动企业内部纸质文件载体信息安全管理体系建设起到推动作用。

参考文献

［1］杨鹏飞.网络打印机系统研究与嵌入式软件平台设计［D］.西安电子科技大学， 2013.

［2］付晓明.网络打印机安全分析与防范对策［D］.北京邮电大学，2012.

［3］李俊宏，湛邵斌. 条码技术的发展及应用［J］.计算机与数字工程， 2008.37（7）﹕115-118，154.

［4］蓝庆洪.条形码技术在档案管理中的价值体现.Value Engineering.

［5］任立学，刘知贵，赵强 等.打印机监控系统的设计与实现［J］.计算机应用研究，2007，12﹕0217-03.

作者简介：

马萌（1982—），男，河南洛阳人，硕士，工程师，研究方向：网络与信息安全、计算机应用。