打印復(fù)印安全管理系統(tǒng)解決方案

XXXXXXX有限公司文印安全管理解決方案****有限公司2012年6月目錄TOC\o"1-5"\h\z\o"CurrentDocument"一、前言1\o"CurrentDocument"二、需求分析2\o"CurrentDocument"三、解決方案33。1產(chǎn)品設(shè)計(jì)目標(biāo)32系統(tǒng)整體設(shè)計(jì)原則33。3系統(tǒng)架構(gòu)33.4系統(tǒng)組成33。5系統(tǒng)功能53。6產(chǎn)品和方案亮點(diǎn)6\o"CurrentDocument"四、部署方案71系統(tǒng)部署74。2運(yùn)行環(huán)境要求7\o"CurrentDocument"五、軟硬件配置8一、前言近年來，隨著IT行業(yè)的急劇發(fā)展，給各企事業(yè)單位的管理帶來前所未有的挑戰(zhàn)，其中對于日常行政管理、科研活動(dòng)中涉及到的打印復(fù)印數(shù)量之大是非常驚人的。用戶打印不受控制，任何人連接到網(wǎng)絡(luò)上就可以打印，打印了多少文檔，打印什么內(nèi)容，都沒有記錄，這樣就造成打印紙張浪費(fèi)和機(jī)密信息的泄露;這種浪費(fèi)是十分驚人的，機(jī)密信息的泄露也會(huì)造成嚴(yán)重和后果.分散的輸出方式不利于安全管理文檔復(fù)印、打印輸出采取分散管理、人為控制，使得相關(guān)管理人員需要花費(fèi)大量精力，也難以獲得全面而細(xì)致的輸出監(jiān)控和審計(jì)，存在管理難、監(jiān)管難、追溯難等問題。復(fù)印、打印設(shè)備使用權(quán)限難以控制無法識別身份，難以從技術(shù)手段上控制人員對設(shè)備的使用，設(shè)備功能向所有人開放,對設(shè)備的復(fù)印、打印、彩色功能使用難以授權(quán)，易造成輸出失控。無法識別復(fù)印、打印的文檔內(nèi)容工作人員使用復(fù)印機(jī)或打印機(jī)生成紙質(zhì)文檔時(shí)，一旦涉密文檔丟失或外泄，管理人員無法立即定位該文檔是由誰打印或復(fù)印，缺乏對使用人員復(fù)印或打印文檔的內(nèi)容歸檔。難以形成全面、細(xì)致的日志審計(jì)和統(tǒng)計(jì)報(bào)表輸出通常對涉密文件復(fù)印采取人工登記的方式，但打印則缺乏有效的日志記錄，并且無法高效得到全面而細(xì)致的復(fù)印打印日志記錄，也難以對輸出作業(yè)進(jìn)行統(tǒng)計(jì)分析和報(bào)表輸出。二、需求分析XXXXXXX集團(tuán)為世界xxxx制造商，以高質(zhì)量的鞋類xxxx供應(yīng)商聞名于世。XXXXXXXxxx的建設(shè)，是XXXXXXX集團(tuán)未來幾十年的一個(gè)重要里程碑，它將為XXXXXXX工廠的xxx供應(yīng)提供良好的保障，并在技術(shù)和生態(tài)方面建立起新的標(biāo)準(zhǔn)，引領(lǐng)高品質(zhì)現(xiàn)代xxx的生產(chǎn)。XXXXXXX有限公司系由XXXX集團(tuán)投資設(shè)立的外商獨(dú)資企業(yè)，位于？？市？？?？工業(yè)區(qū)，占地面積？平方米，總投資5,0萬美元。為滿足日常辦公需求，公司現(xiàn)有辦公電腦5臺，文印設(shè)備包括38臺打印機(jī)和7臺復(fù)印機(jī)，通過windowsAD域管理實(shí)現(xiàn)了對打印權(quán)限的控制和管理.下一步，計(jì)劃對打印和復(fù)印行為進(jìn)行統(tǒng)一管理，降低文印成本，具體需求包括：1、在現(xiàn)有AD域環(huán)境下，實(shí)現(xiàn)對文件打印輸出的全面管理。對使用打印、復(fù)印設(shè)備的人員需進(jìn)行詳細(xì)審計(jì)記錄，如哪位人員在什么時(shí)候打印或復(fù)印了幾份文檔，可以根據(jù)需要在每張打印的紙張上添加上打印者姓名，計(jì)算機(jī)名，打印時(shí)間等內(nèi)容，有效降低打印耗材成本，同時(shí)可以有效杜絕文本泄密事件；2、支持用戶打印權(quán)限的深度控制，可以依據(jù)用戶職位定義打印輸出優(yōu)先級，支持彩色/黑白輸出權(quán)限控制；3、支持對復(fù)印機(jī)使用權(quán)限的控制和統(tǒng)計(jì)計(jì)費(fèi)管理.需要實(shí)現(xiàn)對復(fù)印機(jī)使用者身份認(rèn)證，并對每次復(fù)印行為進(jìn)行日志記錄和費(fèi)用記錄.4、實(shí)現(xiàn)較為完整的統(tǒng)計(jì)分析和報(bào)表管理功能。包括統(tǒng)計(jì)某臺打印機(jī)總共打印多少數(shù)量，統(tǒng)計(jì)分組、用戶每個(gè)階段打印量等；5、打印復(fù)印計(jì)費(fèi)管理?？梢勒占垙堫愋瓦M(jìn)行計(jì)費(fèi)管理，滿足基于用戶、用戶組、打印機(jī)/復(fù)印機(jī)的計(jì)費(fèi)統(tǒng)計(jì)功能；6、針對重要打印機(jī)或復(fù)印件，支持采用員工卡進(jìn)行身份認(rèn)證；7、可以實(shí)現(xiàn)對打印機(jī)墨水/碳粉使用情況的監(jiān)視和預(yù)警，在達(dá)到預(yù)定閥值后通過郵件等方式進(jìn)行告警。三、解決方案3。1產(chǎn)品設(shè)計(jì)目標(biāo)文檔打印復(fù)印安全管理系統(tǒng)是集打印/復(fù)印計(jì)費(fèi)、成本控制和信息安全保障于一體的WEB化全方位文檔管理解決方案!通過對打印、復(fù)印行為進(jìn)行監(jiān)視和控制相結(jié)合的方式，完整且真實(shí)的記錄打印、復(fù)印信息，并提供豐富的Web日志和報(bào)表，讓管理者對打印、復(fù)印資源進(jìn)行有效察看和管控，并結(jié)合用戶打印配額管理，達(dá)到降低打印成本的效果；獨(dú)特的打印/復(fù)印內(nèi)容監(jiān)控、審核以及刷卡取紙等功能，更加杜絕打印泄密的有效保障！本系統(tǒng)通過打印客戶端監(jiān)控發(fā)起打印的計(jì)算機(jī)和輸出紙張的打印機(jī),實(shí)現(xiàn)更嚴(yán)格的監(jiān)控；針對重要打印機(jī)，通過增加打印刷卡控制器，可以有效防止取紙不及時(shí)敏感信息被無關(guān)人員看到，實(shí)現(xiàn)了私密打印。采用復(fù)印刷卡機(jī)制，實(shí)現(xiàn)對復(fù)印行為的權(quán)限控制和計(jì)費(fèi)統(tǒng)計(jì)。3.2系統(tǒng)整體設(shè)計(jì)原則模塊化系統(tǒng)安裝功能劃分為多個(gè)子系統(tǒng)，各個(gè)系統(tǒng)自上而下通層分解，直至完成所要求的功能。在設(shè)計(jì)中盡量減少模塊間數(shù)據(jù)、控制參數(shù)的傳遞，以減少其相關(guān)性.數(shù)據(jù)的一致性在多用戶實(shí)時(shí)處理系統(tǒng)中常常遇到數(shù)據(jù)不一致問題為此，要在設(shè)計(jì)中對系統(tǒng)內(nèi)部數(shù)據(jù)進(jìn)行分類編碼，減少數(shù)據(jù)冗余.可靠性利用用戶名密碼、身份卡等多重認(rèn)證方式杜絕非授權(quán)人員使用系統(tǒng)。實(shí)用性按用戶要求完成所要求的功能?？删S護(hù)性采用模塊化設(shè)計(jì)給維護(hù)帶來方便。利用每日自動(dòng)運(yùn)行的維護(hù)軟件對系統(tǒng)數(shù)據(jù)進(jìn)行維護(hù).界面友好盡量減少操作員按鍵次數(shù)，以提高操作員的工作效率。3。3系統(tǒng)架構(gòu)文檔打印復(fù)印安全管理系統(tǒng)是通過打印共享服務(wù)器作為打印過程的中間載體，所有的打印任務(wù)必須通過打印服務(wù)器。文檔打印復(fù)印安全管理系統(tǒng)的監(jiān)控服務(wù)程序安裝在該打印服務(wù)器上所有的復(fù)印打印任務(wù)將被文檔打印復(fù)印安全管理系統(tǒng)管控.并通過讀卡器讀取復(fù)印打印者信息，作為復(fù)印打印釋放認(rèn)證信息，然后再釋放打印任務(wù)。系統(tǒng)架構(gòu)圖3。4系統(tǒng)組成3。4。1服務(wù)端服務(wù)端采用BS架構(gòu)，實(shí)現(xiàn)用戶和組織、打印管理、日志管理、打印機(jī)管理、打印計(jì)費(fèi)、統(tǒng)計(jì)分析等功能。服務(wù)器端軟件是整個(gè)系統(tǒng)的通訊和控制樞紐，控制著三員分立系統(tǒng)管理、打印、審批、刷卡、打印輸出等全部環(huán)節(jié)。3.4.2客戶端客戶端包括通用虛擬打印機(jī)驅(qū)動(dòng)和消息通知模塊。在不改變用戶使用習(xí)慣的前提下，虛擬打印機(jī)驅(qū)動(dòng)將打印內(nèi)容透明的提交至服務(wù)器端，而不是輸出至打印機(jī)，從而實(shí)現(xiàn)了對涉密信息打印輸出的監(jiān)控.同時(shí)文件審批情況通過消息模塊進(jìn)行通知.3。4。3控制器打印控制器實(shí)現(xiàn)打印過程的認(rèn)證，通過身份認(rèn)證、打印權(quán)限匹配等方式確保打印的安全.打印刷卡輸出控制示意圖3。5系統(tǒng)功能3。5。1復(fù)印打印輸出集中管理打印復(fù)印流程圖：在文件輸出設(shè)備上（打印機(jī)、多功能一體機(jī)等）加裝用戶刷卡控制終端，通過硬件接將設(shè)備鎖定，從而對設(shè)備的打印、復(fù)印環(huán)節(jié)進(jìn)行安全控制，增加身份識別和權(quán)限認(rèn)證的功能，只有通過身份認(rèn)證的人員才能對設(shè)備進(jìn)行解鎖，未通過系統(tǒng)身份認(rèn)證的人員無法使用設(shè)備的復(fù)印、打印功能，從而保證設(shè)備不會(huì)被隨意使用。同時(shí)系統(tǒng)會(huì)根據(jù)操作者的身份認(rèn)證進(jìn)行日志登記記錄，采取文件輸出記名制,所有的文件輸出操作都必須通過文件輸出管理服務(wù)器進(jìn)行，詳細(xì)而全面記錄文件打印、復(fù)印日志信息，增強(qiáng)系統(tǒng)日志信息的不可抵賴性。從而可實(shí)現(xiàn)對輸出文件實(shí)行嚴(yán)格詳細(xì)的審計(jì)制度，方便日后審查。3。5。2打印審批系統(tǒng)提供打印審批功能，可以針對打印機(jī)或者用戶來進(jìn)行打印任務(wù)審核。打印任務(wù)必須經(jīng)過一個(gè)或多個(gè)管理員審核并批準(zhǔn)后才送往打印機(jī)，徹底杜絕亂打印和打印泄密事件！3。5.2安全打印此功能可保證使用者打印內(nèi)容的私密.當(dāng)使用者進(jìn)行打印操作時(shí)，打印設(shè)備并不立即輸出，而是將作業(yè)存儲在打印服務(wù)器的緩沖池中，當(dāng)打印審批最終通過，此時(shí)使用者到輸出設(shè)備前進(jìn)行身份確認(rèn)（在刷卡控制終端上刷卡或輸代碼）才能將自己要打印的作業(yè)以列表方式顯示出來，使用者可根據(jù)需要選擇打印輸出或者刪除作業(yè)。從而保證了使用者的打印內(nèi)容第一時(shí)間被使用者本人得到，有效的避免了敏感打印信息的泄露.3。5。4跟隨打印在使用一組相同驅(qū)動(dòng)信息的設(shè)備時(shí)，跟隨打印功能可以幫助使用者實(shí)現(xiàn)任意位置的輸出，而不受文件輸出設(shè)備的限制。當(dāng)需要時(shí)，可以到任意一臺空閑的設(shè)備上確認(rèn)身份（需要配置打印刷卡控制器），進(jìn)行打印作業(yè)的安全釋放.該功能有助于設(shè)備負(fù)載平衡，減少排隊(duì)，保證資源利用的最大化。3。5。5成本統(tǒng)計(jì)和分?jǐn)偪稍敿?xì)統(tǒng)計(jì)每個(gè)人的復(fù)印打印輸出印量，自定義費(fèi)率進(jìn)行成本統(tǒng)計(jì)，還可將成本分?jǐn)偟讲块T或項(xiàng)目.可以通過柱形圖/餅狀圖/詳細(xì)列表等方式，直觀的顯示任一時(shí)間段內(nèi)，輸出設(shè)備的使用負(fù)荷排名、組作業(yè)輸出排名、個(gè)人作業(yè)輸出排名等。從而根據(jù)機(jī)器負(fù)荷，做好合理的資源分配及定期的維護(hù)工作，避免超負(fù)荷運(yùn)行導(dǎo)致機(jī)器故障出現(xiàn)意外的財(cái)政支出；根據(jù)報(bào)表，可合理制訂公司各部門的預(yù)算并合理分配資金，使預(yù)算的制訂和使用更清晰更便捷。3。6產(chǎn)品和方案亮點(diǎn)全面的文印成本控制通過紙張計(jì)費(fèi)、報(bào)表統(tǒng)計(jì)、用戶文印額度管理等一些列措施，實(shí)現(xiàn)對文印耗材使用的量化管理，有效的控制文印成本.解決復(fù)印控制的難題系統(tǒng)可對文件輸出設(shè)備打印機(jī)進(jìn)行鎖定，設(shè)置可使用時(shí)間，約束用戶限額，頁數(shù)控制，彩頁設(shè)定，紙張檢查等行為，保證打印復(fù)印設(shè)備不會(huì)被隨意使用。全面、細(xì)致的電子化日志審計(jì)記錄全面而詳細(xì)的記錄所有人員的打印操作，變紙質(zhì)人工登記為自動(dòng)電子化日志記錄，信息更為全面，便于日后審計(jì)和追溯。支持碳粉監(jiān)控預(yù)警目前系統(tǒng)支持部分一體機(jī)的碳粉監(jiān)控，未來可根據(jù)XXXXXXX的具體需要，實(shí)現(xiàn)對現(xiàn)有打印機(jī)墨水/碳粉的監(jiān)控和預(yù)警.支持域管理，不改變現(xiàn)有系統(tǒng)架構(gòu)管理員可手動(dòng)導(dǎo)入域用戶，也可通過域用戶同步服務(wù)進(jìn)行實(shí)時(shí)同步域用戶信息到人員庫中，方便管理.系統(tǒng)管理三權(quán)分立系統(tǒng)分別設(shè)置系統(tǒng)管理員，審計(jì)管理員、安全管理員三員分立，遵守管理人員各行其職，各盡其責(zé)的原則.系統(tǒng)管理員負(fù)責(zé)日常系統(tǒng)管理和維護(hù)，審計(jì)管理員負(fù)責(zé)對系統(tǒng)所有操作日志審查，安全管理員負(fù)責(zé)日志查看及控制模板設(shè)置.四、部署方案4。1系統(tǒng)部署系統(tǒng)部署只需在每臺終端上安裝相應(yīng)的監(jiān)控程序，然后在服務(wù)端部署打印復(fù)印安全管理系統(tǒng)，即可對個(gè)人打印復(fù)印行為進(jìn)行管理審計(jì)。打印機(jī)依照現(xiàn)有模式接入網(wǎng)絡(luò)，通過windows打印服務(wù)器進(jìn)行統(tǒng)一管理。對于復(fù)印機(jī)需要在機(jī)器上安裝相應(yīng)的復(fù)印控制設(shè)備，對復(fù)印行為進(jìn)行控制，待有權(quán)限人員驗(yàn)證后，方可使用。4。2運(yùn)行環(huán)境要求服務(wù)端要求操作系統(tǒng)：Windows23/25Server(32bit/64bit)基礎(chǔ)平臺：IIS6。0或以上。NETFramework3.5數(shù)據(jù)庫：SQLServer20sp4/SQLServer25/28處理器：IntelP42GHz或以上x86兼容CPU內(nèi)存:2GB或以上管理員控制臺要求操作系統(tǒng)：Windows20(SP4)/XP(SP3)/Vista/7(32bit/64bit)瀏覽器：IE6.0+，F(xiàn)irefox3。6+基礎(chǔ)平臺：MicrosoftSilverlightV4.0處理器：IntelPIII8Hz以上x86兼容CPU內(nèi)存：512MB以上客戶端要求操作系統(tǒng)：Windows20(SP4)/XP(SP3)/Vista/7(32bit/64bit)瀏覽器：IE6.0+,Fire