文档外发管控系统方案.docx

1 打印和光盘刻录安全监控与审计系统1.1 需求分析内部网络环境属于办公专网，与互联网物理隔离，并且没有和其它网络连接，是独立网络。网络中的设备包括业务服务器、终端计算机等，目前没有采取任何安全防护手段。内网的网络建设现状如下：图 1.11网络建设现状内网的安全防护建设需求为能对工作环境内的终端计算机数据输出进行严格控制，保证流出内网的信息可审计、可查看、可控制。1.2 总体系统结构打印和光盘刻录安全监控与审计系统基于光单向传输技术进行设计和建设，实现内网数据输出的可审计、可查看、可控制，安全管控的输出形式包括文档打印、光盘刻录、优盘拷贝等。其拓扑如下：图 1.21文档外发管控总体拓扑图从图中可以看出，打印和光盘刻录安全监控与审计系统由以下部分组成：（1）文档外发隔离设备基于光单向传输技术使内网的文档单向传输至外发设备（打印机、光盘刻录光驱和移动存储设备等）。（2）文档外发服务器端服务器端软件安装在服务器中，管理员通过WEB远程登录方式配置策略，审核员通过WEB远程登录方式审核文档外发任务。（3）文档外发客户端客户端是安装在各个终端计算机的程序，通过客户端程序实现终端计算机的文档的打印、光盘刻录、优盘拷贝等。1.3 功能设计文档外发管控系统具备数据输出行为安全控制、数据输出安全审计、数据安全存储及传输、终端及用户集中管控、扩展性及方便性等五类功能。下面详细描述各项功能：1.3.1 输出行为安全控制输出行为安全控制功能实现终端计算机用户在整个数据输出过程中的行为进行合理控制，避免行为不可控、内容不可见、输出途径泄密等安全风险，输出行为安全控制功能包含身份认证、打印控制、数据审核等功能。（1）身份认证内网终端用户在使用本系统是通过USB Key识别使用者用户的身份，只有通过身份鉴别的用户才能进行数据输出操作，USB Key鉴别采用证书认证方式实现，其安全强度高，可靠性强。（2）打印控制系统使用专用的虚拟打印机实现用户的打印数据输出，为了防止终端计算机通过自身USB、串并口及网口等直接连接打印机输出，系统客户端代理实现安全的打印控制模块，通过底层打印过滤驱动，保证只有系统自身的虚拟打印可以使用，其它实体打印机的功能均无法使用，防止打印行为不可控。（3）外设控制为了实现对文档输出设备的集中管理，首先就得在技术上防止用户在终端设备上随意接入输出设备。因此，系统提供外设控制模块，包含如下功能：l 禁用本地COM和LPT接口，以防止用户通过接入这一类设备进行不可控的打印操作；l 禁用USB存储设备，此类设备包括：通用优盘、USB打印、USB扫描，USB刻录光驱等。针对刻录光驱可以采用只读控制的方式，即只需要禁用刻录功能即可；l 禁用USB未知设备，此项主要是针对当下的智能手机，这类设备接入系统后，可能会在系统中虚拟出多个设备，而这些设备有可能直接与终端设备进行数据交换；l 禁用红外/蓝牙设备，以防止内网数据通过此类设备流出。（4）数据安全检查为了防止非授权数据输出，减少人工审核的工作量及复杂度，系统提供安全检查功能，通过对文档格式深度检查、内容检查及密级标识检查，实现对文档的过滤。文档格式深度检查对文档内容进行深度扫描，确定文档实际格式；内容检查进行办公文件的关键字过滤；密级标识检查结合第三方标识接口实现对非授权标识输出的安全检查。（5）输出数据审核系统提供对数据输出的严格审核功能。系统提供人工审核和自动审核两种模式。人工审核通过专门的审核员对输出文档进行审核，可支持在线审核和离线审核两种方式，系统提供多个审核员同时审核的方式，各审核员之间可以是“与”和“或”的关系，系统支持审核员委托模式，系统可以指定不同部门由不同的审核员进行审核。对于一些特殊情况（如审核员出差），可以由审核员授权后，转入自动审核模式，该模式下，文档将自动传输，只进行审核操作。（6）单向传输为了防止智能输出设备（如打印机）中的芯片可能对内部网络造成的威胁，系统中的文档外发隔离设备采用光单向传输技术，保证数据传输只能从内部网络到输出设备，反向没有任何信息传输通道。（7）授权领取为了防止数据输出人员在领用时的误操作或恶意行为，系统提供领取过程中的身份鉴别功能，使用人员只有在通过身份鉴别后，才能领取自己外发的数据。系统支持基于USB Key、CPU卡及指纹识别等的授权领取认证功能。（8）输出设备授权控制为了防止输出设备的非授权使用，在文档外发隔离设备中将集成输出设备授权控制模块，实现对授权设备的绑定和使用。系统采用驱动控制技术，通过与设备（打印机、刻录光驱）的芯片信息绑定，保证只有合法的输出设备能够使用。（9）病毒防护系统在文档外发隔离设备中集成第三方防病毒软件，自动对操作系统环境进行监控，防止接入的非授权输出设备中的病毒及木马对自身的破坏。防病毒软件的病毒库可以通过管理中心进行集中分发升级。（10）移动存储介质控制外发隔离设备采用驱动控制技术，对接入的移动存储设备进行只写限制，防止移动设备中的可疑程序加载运行。1.3.2 数据输出安全审计通过严格细致的审计功能，文档外发管控系统保证使用者在数据输出的整个过程中可视、可管。文档外发管控系统提供从数据输出任务发起者到最终输出到外发设备整个过程中的全程审计功能。系统的安全审计包括终端审计、管理审计、输出设备状态审计、数据传输审计等功能。（1）终端外发行为审计终端计算机用户在使用文档外发管控系统进行数据输出时，终端的任何操作将会自动记录，这些操作包括身份鉴别、数据输出（打印、刻录、U盘导出等）、客户端配置等，操作记录将自动加密保存在本地，并防止用户恶意篡改及删除。通过策略设备，终端记录将自动通过加密通道上传给管理中心保存。（2）管理行为审计系统的管理中心提供给管理员进行各种设置及管理，管理员对管理中心的任何操作系统将自动进行记录，记录日志操作员无法删除，通过三权分立机制，只有审计员可以进行查看。（3）输出设备状态审计当使用者通过文档外发隔离设备进行数据输出时，系统将自动记录输出过程的活动状态，包括打印状态、刻录状态及U盘输出状态等信息，这些信息自动加密存储在设备中，可以通过审计员U盘导出，并最终导入到管理中心进行集中审计。（4）数据传输审计输出数据在最终到达外发设备前需要经过几个传输通道，数据在传输中，系统将自动记录传输状态，保证数据传输过程的完整性。系统记录的传输状态包括数据从终端到管理中心的传输、从管理中心到外发隔离设备内端的传输、从外发隔离设备内端到外端的传输等，任何传输过程的正常日志及错误状态均能进行记录及审计。1.3.3 数据安全存储及传输为了保证输出数据在整个外发过程中是可靠的，不会因为外部恶意破坏等因素造成数据被篡改，因此，系统实现了数据在传输过程中的各种加密保护。具体功能包括：（1）数据传输加密系统中包含两个重要的传输通道，一是终端计算机与管理中心之间，二是管理中心与外发隔离设备之间。在两个通信通道建立连接过程中，系统将自动进行通道加密，终端计算机与管理中心之间采用管理中心证书协商安全通道，管理中心与外发隔离设备之间采用预共享密钥协商安全通道。所有在通道中传输的数据将自动加密。（2）数据内容加密文档外发管控系统外发的文件除了在通道中传输外，还需要在各个节点中暂存，为了保证存储安全，外发文件将自动加密存储，每一个用户的加密密钥自动生成并存储在USB Key中，通过严密的密钥管理机制，保证数据安全。（3）数据安全清除由于文件外发隔离设备直接连接输出设备，安全风险较高，因此，系统提供数据自动安全清除功能，保证使用人员一旦领取文件后，领取内容从内存中自动清除，加密的文件也自动删除，防止信息被恶意获取。1.3.4 终端及用户集中管控文档外发管控系统通过集中管理中心对终端及用户进行管理，并实现完善的系统管理、配置、策略下发等各类安全功能。（1）安全管理：管理人员采用基于USB Key的登录验证模式，管理中心采用HTTPS的安全访问方式，保证管理员身份的安全及访问通道安全。（2）终端管理：通过终端计算机状态实时检测及上报机制，实现对终端计算机注册、注销、删除、查询等功能。（3）用户管理：通过USB Key、CPU卡等方式，将用户信息与载体绑定，实现对用户的生命周期管理，完成对终端用户的注册、更新、删除、查询等功能。（4）外发数据人工审核：系统提供外发数据人工审核管理功能，支持多个审核员审核，审核员之间可以是“与模式”与“或模式”。（5）外发数据自动审核：系统提供特定时间段的自动审核模式，该模式下外发数据无需人工干预，自动审核模式的启用需要进行审批。（6）配置安全审核：系统审核员审核管理员所做出的各种重要配置操作（如：审核模式的变更），配置只有经过审核以后，操作才能生效。（7）审计管理：对终端用户、管理人员等所执行的各种操作行为进行审计，包括查询、归档、生成报表等功能。（8）权限管理：系统采用基于角色的三权（管理员、审计员、审核员）分离管理模式，管理员只能进行系统相关配置及策略管理，审计员只能进行各种日志的审计，审核员对管理员的重要操作进行确认审核。通过三权分立确保各管理人员间能够相互监督、相互制约。（9）外发设备管理：完成对外发设备的注册、更新、删除、信息查询等功能，建立管理中心与外发设备间的关联关系。（10）水印及二维码管理：设置打印任务水印信息，包括水印的启用/禁用状态、定制的水印提示文本、字体、字号、顔色、水印背景图章等信息。提供打印内容二维码输出功能，配置二维码显示信息、位置、图形等，支持常见的PDF417、QR码等二维码。1.3.5 扩展性及方便性为了不影响用户的使用习惯，并能保证文档外发系统与其它应用之间良好的结合，系统内部设计了众多扩展性及方便性的功能。（1）多种外发方式：系统支持各种常见的数据输出方式，包括打印输出、光盘刻录输出、U盘输出，也可以扩展支持复印机输出，能够满足日常工作中对数据输出的常规要求。（2）数据输出操作：系统对打印输出采用虚拟打印机技术，不影响用户的原有使用习惯；对于U盘输出，支持文件、文件夹的鼠标右键外发方式，支持拖拽式任务添加方式；对于光盘刻录，支持文件、文件夹的鼠标右键外发方式，支持拖拽式任务添加方式，支持光盘卷标设置，支持数据光盘及影像光盘刻录。（3）任务栏提示：系统采用任务栏图标气泡提醒机制，以气泡的形式及时向用户提示任务执行过程中的各种状态，向审核员提供任务到达提示，可引导审核员自动链接需要审核的文件，方便审核管理。（4）快速安装：为了方便用户的使用，系统除了提供常规的安装包方式安装客户端软件外，还提供网页安装模式，该模式下，使用者只需要访问管理中心的指定页面，按照提示即可自动完成客户端的安装，在安装过程中同时完成对用户的注册，使用非常方便。（5）管理接口：系统提供管理接口，可供第三方应用与管理中心通信实现外发数据审核及审计操作。（6）传输接口：系统提供传输接口，可供第三方应用通过此接口将外发数据发送给外发隔离设备，执行外发。1.4 工作流程1.4.1 整体工作流程如下图所示，电子文档外发管控系统通过严密的工作流程保证文档外发过程中的可视、可管、可控。图 1.41整体工作流程以打印输出为例，电子文档外发工作流程描述如下：（1）用户在终端计算机打开需要打印的文档（如通过WORD软件打印DOC文档）；（2）用户使用软件中的打印功能，选择本发明定制的虚拟打印机进行打印；（3）终端计算机安装的代理软件自动判断用户是否认证，如果没有认证，则要求用户进行身份认证，认证采用USB Key方式；（4）用户认证通过后，根据管理中心下发的策略决定是否进行安全检查，如果要安全检查，终端代理将自动对文档进行格式深度检查及关键字检查；（5）安全检查通过后，文档将自动通过安全通道发送到管理中心加密存储；（6）根据管理中心策略，如果需要进行人工审核，则需要审核人员登录管理中心对文档进行审核，审核时可在线查看文档内容；（7）审核通过后，电子文档从管理中心自动发送到外发隔离设备内端机加密缓存，同时管理中心自动通知终端用户可以进行文档领取；（8）终端用户到外发隔离设备所在场所进行文档领取，领取时需要进行身份鉴别，身份鉴别通过USB Key或CPU卡的方式；（关于文档领取，详见“文档领取工作流程”）；（9）身份鉴别通过后电子文档自动从外发隔离设备内端机发送到外端机，并由外端机发送到打印机进行打印； （10）打印成功后，使用者领取打印文档。对于光盘刻录和U盘输出，在终端计算机上使用人员可以通过右键菜单或拖拽的方式进行文档输出操作，其余工作流程与打印输出方式相同，在此不再赘述。1.4.2 文档领取工作流程如下图所示，文档外发隔离设备是科博威外发管控系统的安全隔离设备，通过该设备可实现使用人员文档的外发领取。图 1.42文档领取流程以打印为例，其领取过程如下：（1）使用人员在文档外发隔离设备上插入USB Key或刷CPU卡进行身份鉴别，触摸屏会显示身份鉴别状态和结果；（2）身份认证通过后，触摸屏自动显示该用户待外发的任务；（3）使用人员点击外发任务进行领取操作，此时内端机触摸屏自动显示确认界面，让用户确认领取是否成功；（4）内端机将外发文档通过单向光通道自动发送到外端机；（5）外端机将外发文档