標(biāo)準(zhǔn)解決方案_北信源打印安全監(jiān)控審計(jì)系統(tǒng)解決方案.doc

.北信源打印安全監(jiān)控審計(jì)系統(tǒng)解決方案北京北信源軟件股份有限公司一、 前言隨著網(wǎng)絡(luò)應(yīng)用的不斷普及和發(fā)展，網(wǎng)絡(luò)應(yīng)用向多層次、立體化、空間化方向發(fā)展，網(wǎng)絡(luò)空間數(shù)據(jù)的安全問(wèn)題越來(lái)越突出，電子文檔和敏感信息被有意無(wú)意的竊取、丟失、泄密等給建設(shè)高效、安全的網(wǎng)絡(luò)空間帶來(lái)很大挑戰(zhàn)。而縱觀目前各個(gè)政府、企事業(yè)單位的信息安全建設(shè)狀況，數(shù)據(jù)安全防御理念往往局限在網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界（防火墻、IDS、漏洞掃描）等方面，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來(lái)自網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)終端的數(shù)據(jù)安全防護(hù)卻往往被忽視。在國(guó)家行業(yè)信息化推進(jìn)的大環(huán)境下，信息安全在國(guó)民經(jīng)濟(jì)建設(shè)中日益顯得舉足輕重。特別是在政府機(jī)關(guān)網(wǎng)絡(luò)中，工作秘密的泄露會(huì)使政府機(jī)關(guān)工作遭受損失，帶來(lái)不必要的被動(dòng)；而國(guó)家秘密的泄露會(huì)使國(guó)家的安全和利益遭到嚴(yán)重?fù)p害，泄密者也難免受到降職、降銜的嚴(yán)肅處理，甚至移交司法機(jī)關(guān)處理。由此，如何應(yīng)對(duì)數(shù)據(jù)安全問(wèn)題，減少直至杜絕內(nèi)部敏感信息的泄漏和重要數(shù)據(jù)的丟失而引發(fā)的安全事故，建設(shè)面向網(wǎng)絡(luò)空間的、安全和諧的終端運(yùn)行環(huán)境，形成有效的數(shù)據(jù)安全防護(hù)體系，則成為了政府機(jī)關(guān)網(wǎng)絡(luò)、行業(yè)信息網(wǎng)絡(luò)主管領(lǐng)導(dǎo)日常工作的重中之重。而根據(jù)計(jì)算機(jī)犯罪與安全調(diào)查報(bào)告的調(diào)查結(jié)果顯示，泄密的主要途徑有三種：電子郵件泄密、移動(dòng)存儲(chǔ)泄密、打印信息泄密。通常，電子郵件泄密和移動(dòng)存儲(chǔ)泄密都得到了較好的控制，而來(lái)自內(nèi)部的網(wǎng)絡(luò)打印安全卻很容易受到忽視，打印信息泄密，涉及到了用戶較高等級(jí)甚至是核心級(jí)的機(jī)密，破壞力大，破案率低，極大地?fù)p害了個(gè)人、集體的利益，甚至是國(guó)家。北信源公司由此推出自主研發(fā)的新產(chǎn)品北信源打印安全監(jiān)控審計(jì)系統(tǒng)，為用戶徹底解決以打印方式造成數(shù)據(jù)泄漏的問(wèn)題。二、 打印安全審計(jì)解決方案2.1 產(chǎn)品背景近年來(lái)，文檔的控制成為了保密控制的主流。文檔控制的核心是文檔中的內(nèi)容的控制，但對(duì)于打印后的文檔的管理目前形成產(chǎn)品的還很少。傳統(tǒng)的打印有以下問(wèn)題：l 分散的打印輸出方式難以管理；l 打印設(shè)備使用權(quán)限無(wú)法控制；l 涉密文件銷毀流程復(fù)雜，效率低下；l 涉密文件的生命周期安全管理嚴(yán)重依賴于人工，無(wú)法形成信息化管理；l 難以形成全面、細(xì)致的日志審計(jì)和統(tǒng)計(jì)報(bào)表輸出；l 無(wú)法準(zhǔn)確統(tǒng)計(jì)打印數(shù)量、效率和成本，造成打印浪費(fèi)。文檔控制并不是傳統(tǒng)的控制，它需要管理流程控制和管理制度雙層保障。通過(guò)完備的文檔打印審批流程和監(jiān)管制度來(lái)實(shí)現(xiàn)文檔的可控性，才能做到安全、可靠和人性化管理目標(biāo)。為了有效地控制和減少涉密信息外泄，故而決定開(kāi)發(fā)“北信源打印監(jiān)控審計(jì)系統(tǒng)”。2.2 產(chǎn)品概述北信源打印監(jiān)控審計(jì)系統(tǒng)，嚴(yán)格按照國(guó)家公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心檢驗(yàn)規(guī)范，進(jìn)行獨(dú)立開(kāi)發(fā)的系統(tǒng)產(chǎn)品。系統(tǒng)采用先進(jìn)的數(shù)字條形碼技術(shù)及打印機(jī)管理技術(shù)，實(shí)現(xiàn)了對(duì)涉密文檔在打印申請(qǐng)、審批、輸出、回收全生命過(guò)程的監(jiān)控和管理，并且形成了完備的打印、操作等日志記錄，方便對(duì)文檔使用和輸出情況進(jìn)行統(tǒng)計(jì)和追溯。切實(shí)從技術(shù)手段實(shí)現(xiàn)了文件輸出安全保密制度，保障了文檔安全輸出及閉環(huán)管理。解決了文檔的隨意打印和打印后的文檔流轉(zhuǎn)歸處。做到有據(jù)可查，責(zé)任到人。規(guī)范和增強(qiáng)申請(qǐng)人的打印習(xí)慣和安全意識(shí)，有效防止由于疏忽或故意而導(dǎo)致涉密信息在流轉(zhuǎn)輸出時(shí)信息外泄。北信源打印監(jiān)控審計(jì)系統(tǒng)是基于C/S與B/S相結(jié)合系統(tǒng)結(jié)構(gòu)，具有靈活、簡(jiǎn)單和高可配性的特點(diǎn)。適用于銀行、政府、軍隊(duì)、高校等單位企業(yè)。主要具備如下功能：l 三員分立：系統(tǒng)管理員、安全保密管理員、安全審計(jì)管理員相互監(jiān)督，增強(qiáng)系統(tǒng)安全。l 身份認(rèn)證：支持IC卡、USB KEY認(rèn)證及用戶名口令認(rèn)證，避免除打印者之外的其他人偷看或取走打印文檔。l 集中管理：全面集中企業(yè)中多個(gè)打印機(jī)，有效均衡打印作業(yè)。l 打印遵從：通過(guò)自主研發(fā)的打印控制功能，杜絕用戶私自接入打印機(jī)。l 文件打印：支持office文檔、PDF文檔、圖紙文檔等各類電子文件的打印，能兼容Windows操作系統(tǒng)下的各種打印機(jī)型號(hào)。l 流程審批：管理員可根據(jù)用戶組及文件密級(jí)為用戶定義不同的打印審批流程。只有經(jīng)過(guò)全流程審批的文件才能進(jìn)行打印。l 動(dòng)態(tài)水印：管理員可動(dòng)態(tài)指定水印內(nèi)容，便于紙質(zhì)文件的追蹤。l 日志審計(jì)：全程記錄系統(tǒng)所有操作（包括打印申請(qǐng)、打印審批、打印輸出等），便于分析判斷違規(guī)行為。l 統(tǒng)計(jì)分析：統(tǒng)一數(shù)據(jù)查詢，多角度提供統(tǒng)計(jì)分析功能。l 閉環(huán)管理：對(duì)于已打印文檔銷毀流程進(jìn)行記錄，形成打印的整體閉環(huán)管理。北信源打印監(jiān)控審計(jì)系統(tǒng)-WEB管理首頁(yè)2.3 系統(tǒng)基本功能1. 安全配置管理1) 系統(tǒng)基本配置2) 打印機(jī)管理3) 單位部門管理4) 用戶管理5) 策略管理2. 系統(tǒng)維護(hù)與配置管理1) 數(shù)據(jù)庫(kù)管理2) 備份用戶3) 角色管理4) 系統(tǒng)角色5) 菜單管理3. 審計(jì)日志管理1) 客戶端授權(quán)日志2) 客戶端操作日志3) 客戶端打印日志4) 管理員操作日志2.4 系統(tǒng)主要特點(diǎn)1. 功能特點(diǎn)1) 符合用戶打印習(xí)慣2) 兼容性強(qiáng)，客戶終端無(wú)需安裝打印驅(qū)動(dòng)3) 監(jiān)控審批打印內(nèi)容管理無(wú)需安裝辦公等軟件工具4) 組織單位、用戶權(quán)限管理5) 打印實(shí)名制控制6) 打印機(jī)集中管理7) 自定義審批流程和級(jí)別8) 打印文件服務(wù)器留存9) 支持?jǐn)帱c(diǎn)打印10) 打印文件任務(wù)唯一編碼標(biāo)識(shí)記錄11) 打印文件閉環(huán)管理12) 打印信息詳細(xì)日志記錄并報(bào)表圖形化統(tǒng)計(jì)13) 靈活的管理方式2. 安全特點(diǎn)1) 采用三權(quán)分立方式管理2) 強(qiáng)制密碼復(fù)雜度設(shè)置3) WEB連接采用安全的SSL通信4) 客戶端與服務(wù)器以RSA、AES、DES等加密算法，隨機(jī)協(xié)商方式通信5) 客戶終端卸載保護(hù)6) 客戶終端唯一虛擬打印機(jī)保護(hù)2.5 系統(tǒng)部署網(wǎng)絡(luò)示意圖根據(jù)貴公司的網(wǎng)絡(luò)環(huán)境及實(shí)際打印機(jī)、打印配置情況我們可以進(jìn)行如下部署配置。2.5.1 文檔管理流程1. 主流程文檔管理流程主要分為：提交、審批、打印、回收四個(gè)部分 提交：由具有提交權(quán)限的用戶提交打印任務(wù)至系統(tǒng)，提交過(guò)程中可以配置文檔的密級(jí)、提交原因等相關(guān)項(xiàng)。提交成功后，進(jìn)入審批流程。 審批：文檔進(jìn)入審批流程后，首先交由由策略配置的1級(jí)審批員，1級(jí)審批員審批通過(guò)后，進(jìn)入2級(jí)審批，以此類推，直到所有審批級(jí)別均通過(guò)后可以進(jìn)入打印流程。 打?。何臋n進(jìn)入打印流程后，用戶可以到指定的打印端登陸，選擇可打印的任務(wù)進(jìn)行打印。待文檔使用完成后，則按照文檔處理要求進(jìn)入回收流程。 回收：用戶攜打印出的文檔到回收管理員處，由回收管理員登錄回收端將文檔中的條形碼掃入或輸入回收端中，提交回收標(biāo)記，紙質(zhì)文檔則歸檔或銷毀。2. 流程分支 審批流程中，每級(jí)審批可以配置不同的通過(guò)方式，如：所有該級(jí)審批員均通過(guò)才允許進(jìn)入下級(jí)等。 打印流程中，可以提供在本地進(jìn)行打印功能 回收流程中，支持對(duì)多頁(yè)文檔進(jìn)行批量回收。3. 審計(jì)日志在流程中產(chǎn)生的日志和審計(jì)信息均可以在web端找到。2.5.2 系統(tǒng)部署網(wǎng)絡(luò)示意圖北信源打印監(jiān)控審計(jì)系統(tǒng)是由服務(wù)器、WEB管理平臺(tái)、打印端、回收端和客戶端五部分組成，可以再單位局域網(wǎng)服務(wù)器機(jī)房?jī)?nèi)安裝打印監(jiān)控審計(jì)服務(wù)器，其中包括服務(wù)器、WEB管理平臺(tái)和SQL 2005數(shù)據(jù)庫(kù)。在用戶使用的計(jì)算機(jī)上安裝客戶端，通過(guò)創(chuàng)建和配置用戶權(quán)限分配和制定審計(jì)級(jí)別和人員。在集中打印室或部門連接打印機(jī)的計(jì)算機(jī)上安裝打印端。在局域網(wǎng)任意位置增設(shè)文檔回收端并指派專人管理，這些組成部分通過(guò)原有局域網(wǎng)連接，配置完成本系統(tǒng)的系統(tǒng)管理和使用用戶賬戶和權(quán)限后，制定審批流程和策略即可實(shí)現(xiàn)北信源打印監(jiān)控審計(jì)系統(tǒng)的部署?；臼疽鈭D入下：2.5.3 服務(wù)器1. 服務(wù)器端服務(wù)器端為需要安裝有sql server 2005以上版本的server服務(wù)器。查看服務(wù)器中的加密備份文件需要單獨(dú)程序與認(rèn)證key2. Web服務(wù)器端 Web服務(wù)器端需要安裝IIS和.net framework 3.5的 web服務(wù)器。并且與服務(wù)器端網(wǎng)絡(luò)連通兩服務(wù)器可安裝到同一服務(wù)器主機(jī)中。2.5.4 客戶端 1. 普通客戶端僅提供提交打印任務(wù)和由審批管理員登錄進(jìn)行審批的功能2. 普通打印端專用打印端，僅提供本地登錄進(jìn)行打印功能。打印的文檔會(huì)附加條形碼，也可采用用戶可刷卡登錄。3. 復(fù)合打印端可以提交并打印任務(wù)，但僅允許綁定的用戶在該處打印。打印的文檔會(huì)附加條形碼，不需刷卡登錄。4. 特殊打印端由財(cái)務(wù)等人員使用，打印至特殊的打印機(jī)中，不附加條形碼。僅允許指定進(jìn)程提交任務(wù)，控制打印文檔的類型（后綴名）。5. 回收端用于回收附帶有條形碼的文檔，需要由專用賬戶登錄。三、 方案小結(jié)通過(guò)本方案可以達(dá)到以下收益：