一、項目背景
隨著信息化程度的日益提高,信息技術被廣泛應用于各個領域。在信息流通的過程中,人們往往關注信息的儲存和處理過程,但作為整個信息流程的交互過程,文檔信息輸入輸出的安全和管理一直缺乏重視。文印設備作為日常使用的文檔輸入輸出設備,承載著大量涉密的重要信息。如何對其進行有效的管理和維護,成為信息安全和流程優化等課題的重中之重。
在部分單位為保證信息安全,各部門甚至個人都單獨配備打印機,形成重復部署、分散部署的局面,使得打印設備利用率低、維護復雜、運營成本過高,不能滿足當前低碳、節約、高效的文印需求。為此,不少單位專門設置了文印中心,但仍面臨較為嚴重的安全問題。文印流程缺少管理,信息安全和保密自然難以得到保障,再加上辦公室人員流動頻繁以及人為的文件遺留等問題,信息泄露的風險依然需要處處防范。
為解決上述問題,華鑫杰瑞推出集中文印系統。該系統具備打印安全監控、審計、打印申請、在線審批、二維條碼、文檔回收和日志審計等多項功能,安全性高,使用簡便,部署靈活,兼容廣泛,運行穩定,是用戶可以放心使用的,安全,便捷,完整的文印系統。
二、建設目標
集中文印系統遵循“安全”和“好用”的原則,“文檔全生命周期”的設計理念,為JD機關及業務部門提供便捷、高效的文印辦公環境。
(一)功能實用
系統設計將充分考慮實用性,以辦公打印的審計和管理的實際需求為出發點,依托于通用打印驅動、數據加密、內容監控、身份鑒別等核心技術,充分滿足辦公用戶的使用方便和管理者的系統管理方便。該方案實現了集中打印、權限控制、打印審批、回收管理、二維條碼、日志審計等功能,從而達到防范打印泄密;規范管理,提升效率;降低打印成本的效果。
(二)技術先進性
技術上采用專用打印任務捕獲、打印任務控制、打印權限匹配、高效海量檢索等先進技術。同時設備廠商和系統開發商將努力在注意實用可靠的基礎上,選擇先進的技術方案,提高系統的生存周期。
(三)擴展性
通過多種標準化接口技術將多種應用平臺和不同的硬件和軟件系統集成,并支持方便地與其他系統直接或間接互聯,體現資源共享、提高效率的特征。集中管控系統能夠與文印系統完美結合,實現涉密信息電子文檔集中管控,涉密信息紙質文檔集中文印。
(四)安全可靠性
系統按照機關的應用需求進行設計,關鍵設備與數據介質采用備份和冗余配置,保證其發生故障時不影響整個系統的正常運行。
系統堅持三權分立原則,將角色進行了嚴格的劃分,系統角色分為普通用戶與管理員,管理員根據權限的不同分為系統管理員、安全管理員、審計員。每個角色只能授權處理自己的業務,無法越權管理。
(五)全生命周期管理
系統以印前、印中和印后為流程導向,分別針對不同的過程進行了不同的監管和審計,實現對日常辦公打印文件資料的精確管理和安全使用。
印前:需要進行身份校驗及提交上級領導審批;
印中:審批通過后,刷卡認證,疊加二維條碼打印輸出;印后:文檔流轉,閉環管理。
(六)規范性
遵循國家法律法規、符合公安、保密、軍隊、安全等各方面有關技術規范、遵循國際主流技術標準。
三、系統架構及組成
(一)系統組成
(二)軟件部分
安裝在上圖的服務器上,依托于后臺數據庫,實現集中文印功能,所有的管理及維護,均通過登錄網站來完成。
軟件由管理網站子系統、數據庫子系統、集中文印服務子系統三大部分組成:
管理網站子系統是集中文印系統最重要的,主要功能是系統管理、安全配置、日志查詢與統計等。
數據庫子系統負責與后臺數據庫的讀寫操作。
集中文印服務子系統,運行于操作系統之上,24小時不間斷運行。主要負責打印權限、打印審批、二維條碼、文檔回收,日志審計等核心功能。
(三)硬件部分
1.集中文印服務器
服務器端存放機房,安裝打印安全監控與審計系統,提供用戶信息、權限、打印策略和日志信息的配置與記錄。
2.打印機
打印機集中在文印室管理,只有服務器授權過的打印機才能夠輸出文件,支持跨區域文印室打印機接入。
3.身份鑒別終端(讀卡器)
該終端安裝在打印機附近,用于獲取用戶身份的相關信息,網絡傳輸打印作業,是集中文印系統中不可缺少的組成部分。
4.二維條形碼采集器(掃描槍)
通過二維條形碼采集器,讀取本系統輸出的紙質文檔上的二維條形碼,可高效率的實現文檔流轉及閉環管理。
5.邏輯結構
打印安全監控與審計系統包括集中文印服務器端、用戶客戶端、讀卡器、打印機,部署模式如下:
如圖所示:集中文印系統安裝在服務器上,在網絡內的用戶終端上安裝打印客戶端,打印機接入部署集中文印服務器的網絡中,每臺打印機都需配備一個打印讀卡器,讀卡器也必須接入網絡。
(四)接入方式
集中文印系統部署方式簡單,不改變現有網絡結構。服務器部署在中心機房,讀卡器、回收終端、掃描槍以及打印機等硬件設備部署在集中文印室,用戶打印終端部署在用戶辦公區。
(五)打印工作流程
打印客戶端發起打印,向服務器提交打印申請(內容包括打印機、打印文件名、文件內容、打印份數、文件密級、申請人、時間等信息),系統自動根據打印文件密級和打印人員身份將打印申請提交給指定的審批者,審批通過后系統將打印任務發送至指定打印機,由打印者刷卡完成打印,審批未通過則由客戶端告知打印發起者。
四、系統主要功能
(一)身份認證
結合文印管控終端實現身份識別和權限認證的功能,同時系統詳細記錄文件輸出日志信息;支持刷卡認證輸出功能;保證提交人客戶端身份認證和刷卡雙重的身份認證。身份認證終端支持人臉識別、指紋認證、文印卡三種交互方式。
(二)集中打印
打印設備集中統一管理,打印實施權限控制,用戶需登錄才能打印,且無法向未授權的打印機上提交作業,強制集中打印輸出。打印者需在身份鑒別終端上刷卡,審批后的作業才能被打印機輸出,杜絕他人接觸到該作業。
(三)打印監控
打印監控:有身份識別和權限認證功能,通過身份認證的人員才能輸出操作,未通過系統身份認證的人員無法使用設備的打印功能,從而保證設備不會被隨意使用;
(四)驅動管理
系統內所有打印機、復印機等設備的驅動安裝在系統服務器上,是文印驅動的唯一入口;禁用本系統外的所有打印機。
(五)打印任務撤銷
可通過系統撤銷已提交的文印任務。
(六)刷卡輸出
刷卡輸出:用戶發往監控打印機作業不能直接輸出,經過刷卡、確認打印作業后輸出,刷卡控制終端通過液晶顯示屏輸出作業,允許打印人選擇需要打印的任務,并可以進行任務刪除操作;
該系統設備可實現混合部署,液晶屏支持直接刷卡認證打印,并支持指紋認、人臉識別身份認證,顯示待打印列表,并可對打印任務進行預覽,以及單項或多項打印任務的打印輸出與取消,實現任務交互。
(七)漫游打印
漫游打印:提供漫游打印功能,用戶發起的打印作業可在系統監控范圍內的一組打印機中任一臺設備進行刷卡輸出;
(八)條碼嵌入
系統自動在打印文件上嵌入PDF417二維條碼,條碼嵌入內容可更改,可調整條碼在頁面的嵌入位置;
滿足條形碼嵌入功能,一個打印任務輸出的文件強制嵌入一個唯一的二維條形碼(下方可設置顯示打印單位、人員姓名及打印時間等信息),條形碼的大小、位置、內容均可在系統內提前設置好。
(九)用戶權限控制與三權分立
本系統的打印客戶端作為用戶在網內打印的唯一入口,系統內的打印用戶必須處于激活狀態,通過打印客戶端軟件進行身份校驗并登錄本系統,才能發起打印行為。
系統依托三權分立的原則,做到系統管理、安全管理、系統審計權利義務的分離,并將上述權利和義務,相應的賦予給系統管理員、安全管理員、審計員。
(十)回收管理
可通過文檔密級對文檔是否需要回收進行定義,在回收授權時可以按部門設定,也可按管理人員進行設定。回收方式采用二維碼掃描槍進行打印文檔作業回收。時刻提醒相關管理人員誰在什么時間輸出的文檔需要回收。
(十一)文檔閉環
本系統設計的理念是“文檔全生命周期管理”——即打印作業打印成功后,根據使用人的不同會發生文檔的流轉,在完成自身用途之后,應被執行生命周期結束的處理。本系統可為每個部門設置文檔閉環管理員的角色,通過二維條碼掃描來完成相應管理。
(十二)日志審計
日志查詢和審計功能滿足所有領導的不同查詢需求,可以導出形式多樣報表。
可以進行分類查詢統計例如:打印作業申請查詢、打印作業審核查詢、打印作業輸出查詢、打印回收查詢、打印機查詢、讀卡器查詢、權限查詢、打印策略查詢,同時也可以按時間、密級、部門、人員、打印機進行組合查詢,對文印文檔全生命周期進行有效跟蹤記錄,對輸出的文印文檔進行審計工作。
(十三)查詢管理
軟件能夠提供多種查詢和報表功能,可以按照時間范圍、部門、人員、密級等多種維度統計輸出,打印、復印計數;可實現分級管理,各層級領導可通過系統查看所屬人員文件印制、管理及銷毀等情況。
(十四)報表統計
報表統計功能記錄每次打印任務的文檔密級、打印用途、審批過程、用戶名、計算機名、打印機名、文檔名、打印頁數、份數、打印時間等詳細信息,并可自動生成打印清單。
提供完善查詢統計功能,打印統計、回收統計等
(十五)全生命周期管理
可以實現對打印文件從生成、使用、保存到銷毀的全壽命管控;對于復印的文件或外來文件實現管理。
(十六)四密同步
根據集中文印部署的密級要求可設置系統的密級等級,并自定義各個密級的密級名稱。
(十七)水印標識
管理員可以設置水印標識策略,在輸出作業上,強制附加文字水印的功能,其字體、位置、格式、字體均可自定義。水印的內容包括用戶名、部門、打印日期、審批信息等。可單獨設定每臺打印機的水印深淺。
