军工企业涉密文档打印管理的创新与实践 作者:苏宾 杨艳国 成立权 项可旺 孟祥海
来源:《中国管理信息化》2014年第20期
[摘 要] 本文深入分析了涉密文档打印存在的问题,并对管控方法进行了深入探索,结合军工企业实际情况明确提出了打印监控与审计系统的创新与实践方法。
[关键词] 军工企业;涉密;文档;打印;技术管控
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 20. 046
[中图分类号] G271 [文献标识码] A [文章编号] 1673 - 0194(2014)20- 0079- 03
军工企业承担着国防武器装备的设计与制造任务,具有高保密性,其涉及到国家安全和社会公共安全,企业局域网多定义为涉密网,这决定了军工企业在信息化建设和安全保密管理方面的特殊性。根据《计算机犯罪与安全调查报告》的调查结果显示,泄密的主要途径有3种:电子邮件泄密、移动存储泄密、打印信息泄密。通常,电子邮件泄密和移动存储泄密在军工企业都得到了较好的控制,而来自企业内部的打印安全却很容易受到忽视,军工企业的日常业务涉及涉密文档打印输出,而文档打印输出的过程又缺乏有效的监管手段,为打印信息泄密埋下了安全隐患。如何更有效地管控涉密文档打印输出,成为了目前军工企业保密工作的一个重要课题,本文拟结合自己的工作实践对此提出一些探索性的解决方法。
1 军工企业文档打印管理的现状及问题
军工企业多采用本地打印、网络共享打印等方式,对于涉密文件资料的打印输出工作, 通常依赖于保密管理制度强制实施,辅以人工监管手段。如:有的单位打印机分散在各部门,各部门设立专人管理,通过网络打印机或本地打印机进行打印后领取。也有的单位设立文档打印中心,专人负责管理,通过网络打印机直接发起打印, 或采用本地打印的方式,通过电子流程或电子邮件系统将需要打印的文档发送到文档打印中心, 由专人进行打印,申请人进行领取。但以上做法仍然存在着很多的不便和风险,均不能从根本上防范打印信息泄密,对打印输出的涉密文件的追溯检查也力不从心,同时对纸张资源浪费也不能形成管制。主要存在的问题:
(1)分散的输出方式不利于安全管理,打印操作不受控制,通过邮箱发送文件,文件可能被替换或篡改,安全性无法保障,出现问题时难以进行追溯。
(2)打印设备使用权限难以控制, 内部人员使用计算机可以随意使用打印机打印文件而无法进行监控和审计,无法明确员工打印内容中有多少与工作相关,无法做到实名制,无法避免随意打印,造成打印浪费。
(3)打印审批存在效率低、难以记录的问题,无法对打印内容是否涉密进行监控审核,审批流程与打印文件不同步,不一致。审批流程繁琐,操作不规范,多级审批实施困难。
(4)涉密文件的生命周期安全管理严重依赖于人工,无法追溯打印资料内容,无法追溯打印纸质文件,无法管控涉密文件的销毁,涉密文档接触范围不受控。
(5)管理权限过于集中,无法解决未及时取回打印涉密资料,导致涉密信息泄露的风险。
(6)难以形成全面、细致的日志审计和统计报表输出,无法控制,监控每个部门的打印使用费用,无法实现准确统计打印成本。 上述问题直接影响着一个军工企业内部重要资料、文件以及数据的安全,一旦出现重要资料、文件或数据通过打印输出被泄密出去,大则给国家社会造成危害,小则给企业造成经济损失,因此作为军工企业的管理者迫切需要采用一种技术措施,解决上面在实际工作中出现的问题,并对尚未出现的危害安全的行为进行防范,以满足国家保密局对涉密信息系统中文件输出的合规性要求。
2 涉密文档打印输出管理的相关保密要求
随着国家安全保密部门对原《办法》《标准》的修订,进一步明确了对文件输出保密安全要求。按照国家有关保密标准,信息输出操作监控应对涉密信息和重要信息的输出操作采取技术措施进行严格控制。输出的国家秘密载体应当符合涉密载体管理的有关要求,涉密计算机和信息系统应当采取有效的技术措施控制涉密信息的输出,应当按照最小化原则设置涉密信息的输出点,专人负责管理,采取必要的技术措施,禁止涉密信息非授权输出,达到相对集中,有效控制的目的。
3 涉密文档打印管控方法的创新与实践
依据国家标准的明确要求,针对涉密文档打印过程中出现的问题,结合企业现有信息系统的资源和环境,采用技术手段实现过程、人员、文件、打印设备的全面管控,实现涉密文档打印输出的全面可追溯的日志管理,通过文档打印监控与审计系统实现打印输出文件的安全控制、审批控制、权限控制、回收控制等。
3.1 打印监控审计系统的基础框架
文档打印监控与审计系统可以划分为4个阶段,依次为打印申请、打印审批、打印输出以及回收处理,系统详细记录下每次打印作业的各个阶段的打印日志,以此作为打印监控和管理的依据(如图1所示)。
3.2 打印监控审计系统的基本使用流程
打印监控审计系统的使用流程主要包括以下几个步骤:
(1)用户发送打印请求:用户在终端登录系统账户,登录成功后提交打印请求,并标注文档密级、去向等重要信息。提交成功后,打印申请自动提交至审批人。
(2)审批流程匹配:需打印文件和审批流程一并上传至服务器,同时以即时消息的方式通知申请人和审批人。
(3)审批流转:审批人接收消息提示,对文件内容进行查看并进行审批,如不查看文件内容,审批无法通过。
(4)消息通知、交互:审批通过后,通过即时消息告知申请人,审批已经通过可以打印输出。
(5)用户刷指纹输出:用户以指纹作为认证方式,刷指纹后,调取打印任务并输出。
(6)文档流转、回收:打印输出的文档进行流转或回收时,按系统内审批流程提交,审批通过后,文档记录自动流转,需回收的送至回收点,系统自动记录。
3.3 打印监控审计系统的创新实践
3.3.1 以集成思路为牵引,搭建“常态化” 管理的系统架构
安全产品的引进和使用往往作为独立的个体单独存在,是保障系统安全运行的工具。为了解决文档打印存在的种种安全风险,在引进“打印审计”之初,我们就在思考如何将其与现有系统环境更好地融合,解决打印分散难于管控、流程独立与打印内容无法对应、打印权限混乱等的“非常态化”的管理弊端。
(1)系统用户登录方式与域控环境的集成。企业目前信息系统整体采用指纹与数字证书相结合的方式进行系统登录。打印审计系统通过与域控系统和指纹系统进行集成,以域用户信息作为唯一身份标识码进行认证登录,用户开机,通过成功对比指纹信息登录操作系统后,自动登录打印监控与审计系统客户端,免去用户二次登录的繁琐过程。在不改变用户的使用习惯的前提下,悄无声息地完成登录过程,以达到“常态化”的使用效果(如图2所示)。
(2)审批流程与打印操作的集成捆绑。传统的文档打印,审批流程与打印操作是相互独立的,流程与打印操作之间无法进行关联,打印操作不受控制,文件可能被替换或篡改,安全性无法保障,出现问题时难以进行追溯。参照原有的文档打印审批流程,将审批管理要求与打印审计系统集成,将审批流程与打印操作进行捆绑,在审批过程中强制查看审批内容,并实名制进行认证输出,有效避免审批内容与打印内容不符的安全隐患,同时也有利于规范日常操作行为。
(3)打印审批流程与工作移交中心的集成。打印审计系统的正常运行需要审批流程作为系统支撑,审批人的缺席会导致流程滞留,系统本身虽然具备完整的审批流程,提供审批权限
移交的功能,但用户已经习惯通过与协同平台工作移交中心进行工作移交,审批信息的不同步也会导致工作滞后。因此,系统实现过程中应充分考虑这一需求,将打印审计系统本身的工作移交与协同平台的工作移交中心进行集成,自动接收工作移交中心的工作移交指令和移交取消指令,更好地保证日常审批工作的顺利进行。
3.3.2 以统一数据源管理为导向,实现“常态化”的系统运维
打印审计系统作为成熟的安全产品,本身具备独立的用户管理体系,如果单独进行维护和管理,难免会出现人员、部门信息更新不及时,密级、职级变更滞后等现象,长此以往不仅会形成信息孤岛,同时也给系统运维、安全审计等埋下安全隐患,给日常管理、人员维护造成极大的不便。面对这一问题,我们首次以安全产品为例,提出统一数据源的管理目的,取消打印审计系统本身的用户管理体系,将人力资源管理系统数据作为唯一数据源,每天定时通过企业总线进行数据推送,系统用户信息保持与人力资源系统同步,自动提取人员基本信息、密级、职级等。在确保了用户信息准确的同时,可以有效解决上述安全风险,也更有利于“常态化”的日常运维管理。
3.3.3 充分考虑实用性、适用性、便利性,实现“常态化”的日常应用
(1)实用性。改变传统的打印机管理方式,取消网络共享打印,并且按照建筑物、单位分布最小化分配打印机,做到相对集中管理,打印机指定专人负责管理。同时将打印机按照业务进行分类,分为日常办公、票据专用等,不同类型的打印机采用不同模式的管理方式,通过打印审计系统进行技术管控,做到集中管理、合理分布、全面掌控。
(2)适用性。文档打印采用身份认证的方式进行领取,可以保证打印者能够在第一时间获得其打印的资料,从而规避了打印文档取得过程中存在的泄密隐患。大多数打印监控与审计系统采用IC卡方式进行认证,用户需要独立维护一套IC卡认证体系。我们从系统适用性角度出发,最大限度利用现有资源,因地制宜,在同行业首次提出与指纹认证系统进行结合,通过刷指纹,对比指纹库中的用户指纹信息调取打印任务,进行打印输出。利用指纹的唯一性、不变性和随身性的特点,最大程度上强化身份认证安全。
对于部分特殊用户,由于本身的指纹信息不明显,日常无法使用指纹仪,而是使用
USBKey进行登录的用户。考虑这部分特殊用户的使用需求,我们增加了“打印代理人”功能,为特殊用户指定密级相同、知悉范围一致的用户作为打印代理人,申请人发送打印申请后,选择打印代理人进行刷指纹领取。从日常使用习惯上充分满足了用户“常态化”的需求(如图3所示)。
(3)便利性。打印审计的每个用户具备最基本的使用权限,审批权限通过人员职级进行控制。系统内审批权限与人员职级相对应,通过部门、职级限制审批范围,严格做到“业务谁主管,文档打印谁审批”。在系统内充分体现了“责、权”的对称。对于特殊部门未设置相应职
级的部门领导,系统可以通过灵活的策略设置,指定特定的用户进行审批,充分满足实际需求。
打印审计系统是基于微软操作系统的打印服务框架进行打印通讯和输出的,由于企业内打印机种类不统一,各打印机硬件厂商不能保证很好地向操作系统报告真实的输出情况,那么打印审计系统在打印机发生故障的情况下,就不能确保百分之百获取真正的输出状态,面对这样的问题,我们从实际的管理角度出发,提出追加备注日志来解决这种实际问题。用户针对这种现象提出追加备注日志的申请,经过打印机管理员和主管领导的确认审批后日志自动添加。在文档输出打印管理环节上形成闭环管理,也弥补了“常态化”管理中的漏项。
3.3.4 拓展系统功能与文档全生命周期的“常态化”管理接轨
文档的全生命周期管理是涉密文档“常态化”管理的目标,我们一直都在寻求解决办法。通过添加动态二维码为文档定制“身份信息”,充分利用的二维码信息承载量大、每码全球唯一、安全性高、非专有设备无法解密等特点,能够有效地记录打印输出的文档基本信息并形成文档的台账化管理,并作为身份信息用于文档的流转和回收,通过读取二维码信息,变更文档的管理状态,控制文档的流转、回收、销毁环节,为涉密文档的全生命周期管理提供了一种管理方法和思路。
4 结 语
本文根据军工企业的实际特点,结合相关保密要求,给出了文档打印管理实践中的一些解决方法,特别是与实际环境结合的设计,能很好地解决身份认证、用户管理以及打印审计等问题,能够实现用户的自动管理、打印与审批的有效结合、安全认证等,进一步提升文档打印输出的安全性,希望能够对有类似应用的军工企业有所帮助。
军工企业涉密文档打印管理的创新与实践 作者:苏宾 杨艳国 成立权 项可旺 孟祥海
来源:《中国管理信息化》2014年第20期
[摘 要] 本文深入分析了涉密文档打印存在的问题,并对管控方法进行了深入探索,结合军工企业实际情况明确提出了打印监控与审计系统的创新与实践方法。
[关键词] 军工企业;涉密;文档;打印;技术管控
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 20. 046
[中图分类号] G271 [文献标识码] A [文章编号] 1673 - 0194(2014)20- 0079- 03
军工企业承担着国防武器装备的设计与制造任务,具有高保密性,其涉及到国家安全和社会公共安全,企业局域网多定义为涉密网,这决定了军工企业在信息化建设和安全保密管理方面的特殊性。根据《计算机犯罪与安全调查报告》的调查结果显示,泄密的主要途径有3种:电子邮件泄密、移动存储泄密、打印信息泄密。通常,电子邮件泄密和移动存储泄密在军工企业都得到了较好的控制,而来自企业内部的打印安全却很容易受到忽视,军工企业的日常业务涉及涉密文档打印输出,而文档打印输出的过程又缺乏有效的监管手段,为打印信息泄密埋下了安全隐患。如何更有效地管控涉密文档打印输出,成为了目前军工企业保密工作的一个重要课题,本文拟结合自己的工作实践对此提出一些探索性的解决方法。
1 军工企业文档打印管理的现状及问题
军工企业多采用本地打印、网络共享打印等方式,对于涉密文件资料的打印输出工作, 通常依赖于保密管理制度强制实施,辅以人工监管手段。如:有的单位打印机分散在各部门,各部门设立专人管理,通过网络打印机或本地打印机进行打印后领取。也有的单位设立文档打印中心,专人负责管理,通过网络打印机直接发起打印, 或采用本地打印的方式,通过电子流程或电子邮件系统将需要打印的文档发送到文档打印中心, 由专人进行打印,申请人进行领取。但以上做法仍然存在着很多的不便和风险,均不能从根本上防范打印信息泄密,对打印输出的涉密文件的追溯检查也力不从心,同时对纸张资源浪费也不能形成管制。主要存在的问题:
(1)分散的输出方式不利于安全管理,打印操作不受控制,通过邮箱发送文件,文件可能被替换或篡改,安全性无法保障,出现问题时难以进行追溯。
(2)打印设备使用权限难以控制, 内部人员使用计算机可以随意使用打印机打印文件而无法进行监控和审计,无法明确员工打印内容中有多少与工作相关,无法做到实名制,无法避免随意打印,造成打印浪费。
(3)打印审批存在效率低、难以记录的问题,无法对打印内容是否涉密进行监控审核,审批流程与打印文件不同步,不一致。审批流程繁琐,操作不规范,多级审批实施困难。
(4)涉密文件的生命周期安全管理严重依赖于人工,无法追溯打印资料内容,无法追溯打印纸质文件,无法管控涉密文件的销毁,涉密文档接触范围不受控。
(5)管理权限过于集中,无法解决未及时取回打印涉密资料,导致涉密信息泄露的风险。
(6)难以形成全面、细致的日志审计和统计报表输出,无法控制,监控每个部门的打印使用费用,无法实现准确统计打印成本。 上述问题直接影响着一个军工企业内部重要资料、文件以及数据的安全,一旦出现重要资料、文件或数据通过打印输出被泄密出去,大则给国家社会造成危害,小则给企业造成经济损失,因此作为军工企业的管理者迫切需要采用一种技术措施,解决上面在实际工作中出现的问题,并对尚未出现的危害安全的行为进行防范,以满足国家保密局对涉密信息系统中文件输出的合规性要求。
2 涉密文档打印输出管理的相关保密要求
随着国家安全保密部门对原《办法》《标准》的修订,进一步明确了对文件输出保密安全要求。按照国家有关保密标准,信息输出操作监控应对涉密信息和重要信息的输出操作采取技术措施进行严格控制。输出的国家秘密载体应当符合涉密载体管理的有关要求,涉密计算机和信息系统应当采取有效的技术措施控制涉密信息的输出,应当按照最小化原则设置涉密信息的输出点,专人负责管理,采取必要的技术措施,禁止涉密信息非授权输出,达到相对集中,有效控制的目的。
3 涉密文档打印管控方法的创新与实践
依据国家标准的明确要求,针对涉密文档打印过程中出现的问题,结合企业现有信息系统的资源和环境,采用技术手段实现过程、人员、文件、打印设备的全面管控,实现涉密文档打印输出的全面可追溯的日志管理,通过文档打印监控与审计系统实现打印输出文件的安全控制、审批控制、权限控制、回收控制等。
3.1 打印监控审计系统的基础框架
文档打印监控与审计系统可以划分为4个阶段,依次为打印申请、打印审批、打印输出以及回收处理,系统详细记录下每次打印作业的各个阶段的打印日志,以此作为打印监控和管理的依据(如图1所示)。
3.2 打印监控审计系统的基本使用流程
打印监控审计系统的使用流程主要包括以下几个步骤:
(1)用户发送打印请求:用户在终端登录系统账户,登录成功后提交打印请求,并标注文档密级、去向等重要信息。提交成功后,打印申请自动提交至审批人。
(2)审批流程匹配:需打印文件和审批流程一并上传至服务器,同时以即时消息的方式通知申请人和审批人。
(3)审批流转:审批人接收消息提示,对文件内容进行查看并进行审批,如不查看文件内容,审批无法通过。
(4)消息通知、交互:审批通过后,通过即时消息告知申请人,审批已经通过可以打印输出。
(5)用户刷指纹输出:用户以指纹作为认证方式,刷指纹后,调取打印任务并输出。
(6)文档流转、回收:打印输出的文档进行流转或回收时,按系统内审批流程提交,审批通过后,文档记录自动流转,需回收的送至回收点,系统自动记录。
3.3 打印监控审计系统的创新实践
3.3.1 以集成思路为牵引,搭建“常态化” 管理的系统架构
安全产品的引进和使用往往作为独立的个体单独存在,是保障系统安全运行的工具。为了解决文档打印存在的种种安全风险,在引进“打印审计”之初,我们就在思考如何将其与现有系统环境更好地融合,解决打印分散难于管控、流程独立与打印内容无法对应、打印权限混乱等的“非常态化”的管理弊端。
(1)系统用户登录方式与域控环境的集成。企业目前信息系统整体采用指纹与数字证书相结合的方式进行系统登录。打印审计系统通过与域控系统和指纹系统进行集成,以域用户信息作为唯一身份标识码进行认证登录,用户开机,通过成功对比指纹信息登录操作系统后,自动登录打印监控与审计系统客户端,免去用户二次登录的繁琐过程。在不改变用户的使用习惯的前提下,悄无声息地完成登录过程,以达到“常态化”的使用效果(如图2所示)。
(2)审批流程与打印操作的集成捆绑。传统的文档打印,审批流程与打印操作是相互独立的,流程与打印操作之间无法进行关联,打印操作不受控制,文件可能被替换或篡改,安全性无法保障,出现问题时难以进行追溯。参照原有的文档打印审批流程,将审批管理要求与打印审计系统集成,将审批流程与打印操作进行捆绑,在审批过程中强制查看审批内容,并实名制进行认证输出,有效避免审批内容与打印内容不符的安全隐患,同时也有利于规范日常操作行为。
(3)打印审批流程与工作移交中心的集成。打印审计系统的正常运行需要审批流程作为系统支撑,审批人的缺席会导致流程滞留,系统本身虽然具备完整的审批流程,提供审批权限
移交的功能,但用户已经习惯通过与协同平台工作移交中心进行工作移交,审批信息的不同步也会导致工作滞后。因此,系统实现过程中应充分考虑这一需求,将打印审计系统本身的工作移交与协同平台的工作移交中心进行集成,自动接收工作移交中心的工作移交指令和移交取消指令,更好地保证日常审批工作的顺利进行。
3.3.2 以统一数据源管理为导向,实现“常态化”的系统运维
打印审计系统作为成熟的安全产品,本身具备独立的用户管理体系,如果单独进行维护和管理,难免会出现人员、部门信息更新不及时,密级、职级变更滞后等现象,长此以往不仅会形成信息孤岛,同时也给系统运维、安全审计等埋下安全隐患,给日常管理、人员维护造成极大的不便。面对这一问题,我们首次以安全产品为例,提出统一数据源的管理目的,取消打印审计系统本身的用户管理体系,将人力资源管理系统数据作为唯一数据源,每天定时通过企业总线进行数据推送,系统用户信息保持与人力资源系统同步,自动提取人员基本信息、密级、职级等。在确保了用户信息准确的同时,可以有效解决上述安全风险,也更有利于“常态化”的日常运维管理。
3.3.3 充分考虑实用性、适用性、便利性,实现“常态化”的日常应用
(1)实用性。改变传统的打印机管理方式,取消网络共享打印,并且按照建筑物、单位分布最小化分配打印机,做到相对集中管理,打印机指定专人负责管理。同时将打印机按照业务进行分类,分为日常办公、票据专用等,不同类型的打印机采用不同模式的管理方式,通过打印审计系统进行技术管控,做到集中管理、合理分布、全面掌控。
(2)适用性。文档打印采用身份认证的方式进行领取,可以保证打印者能够在第一时间获得其打印的资料,从而规避了打印文档取得过程中存在的泄密隐患。大多数打印监控与审计系统采用IC卡方式进行认证,用户需要独立维护一套IC卡认证体系。我们从系统适用性角度出发,最大限度利用现有资源,因地制宜,在同行业首次提出与指纹认证系统进行结合,通过刷指纹,对比指纹库中的用户指纹信息调取打印任务,进行打印输出。利用指纹的唯一性、不变性和随身性的特点,最大程度上强化身份认证安全。
对于部分特殊用户,由于本身的指纹信息不明显,日常无法使用指纹仪,而是使用
USBKey进行登录的用户。考虑这部分特殊用户的使用需求,我们增加了“打印代理人”功能,为特殊用户指定密级相同、知悉范围一致的用户作为打印代理人,申请人发送打印申请后,选择打印代理人进行刷指纹领取。从日常使用习惯上充分满足了用户“常态化”的需求(如图3所示)。
(3)便利性。打印审计的每个用户具备最基本的使用权限,审批权限通过人员职级进行控制。系统内审批权限与人员职级相对应,通过部门、职级限制审批范围,严格做到“业务谁主管,文档打印谁审批”。在系统内充分体现了“责、权”的对称。对于特殊部门未设置相应职
级的部门领导,系统可以通过灵活的策略设置,指定特定的用户进行审批,充分满足实际需求。
打印审计系统是基于微软操作系统的打印服务框架进行打印通讯和输出的,由于企业内打印机种类不统一,各打印机硬件厂商不能保证很好地向操作系统报告真实的输出情况,那么打印审计系统在打印机发生故障的情况下,就不能确保百分之百获取真正的输出状态,面对这样的问题,我们从实际的管理角度出发,提出追加备注日志来解决这种实际问题。用户针对这种现象提出追加备注日志的申请,经过打印机管理员和主管领导的确认审批后日志自动添加。在文档输出打印管理环节上形成闭环管理,也弥补了“常态化”管理中的漏项。
3.3.4 拓展系统功能与文档全生命周期的“常态化”管理接轨
文档的全生命周期管理是涉密文档“常态化”管理的目标,我们一直都在寻求解决办法。通过添加动态二维码为文档定制“身份信息”,充分利用的二维码信息承载量大、每码全球唯一、安全性高、非专有设备无法解密等特点,能够有效地记录打印输出的文档基本信息并形成文档的台账化管理,并作为身份信息用于文档的流转和回收,通过读取二维码信息,变更文档的管理状态,控制文档的流转、回收、销毁环节,为涉密文档的全生命周期管理提供了一种管理方法和思路。
4 结 语
本文根据军工企业的实际特点,结合相关保密要求,给出了文档打印管理实践中的一些解决方法,特别是与实际环境结合的设计,能很好地解决身份认证、用户管理以及打印审计等问题,能够实现用户的自动管理、打印与审批的有效结合、安全认证等,进一步提升文档打印输出的安全性,希望能够对有类似应用的军工企业有所帮助。