通用打印机水印技术

成果上报申请书成果名称通用打印机水印技术成果申报单位 中国移动通信集团河北有限公司 成果承担部门/分公司 业务支撑中心 项目负责人姓名项目负责人联系电话和Email成果专业类别*业务支撑所属专业部门*业务支撑线条成果研究类别*其他省内评审结果*通过关键词索引（35个）打印、水印、信息安全、防泄密、敏感数据安全应用投资50万元（指别的省引入应用大致需要的投资金额）产品版权归属单位 中国移动通信集团河北有限公司对企业现有标准规范的符合度：（按填写说明5）符合现有企业标准如果该成果来源于研发项目，请填写研发项目的年度、名称和类型（类型包括：集团重点研发项目、集团联合研发项目、省公司重点研发项目、其他研发项目），可填写多个：非研发项目成果简介：成果目的：弥补现有的打印安全技术缺陷，建立打印审批流程，每个打印操作，必须经过审批后，才能打印出纸质文件；同时，在打印的纸质文件上添加动态水印，根据水印信息可以定位跟踪打印人，IP等，为信息泄密跟踪定位提供凭据.解决的问题: 打印无审批流程，打印操作除了打印人自己知道外，无他人监督，有泄密风险；虽然能审计打印操作，但无法对打印的纸质文件标记跟踪，因此无法定位泄密责任人。将机密文件打印成纸质文件，带离办公环境，造成内部机密信息泄露。取得的效益：通过此技术，加强了业务系统中敏感数据的防护，对于敏感数据的查询后打印动作以及纸质文件，通过水印进行跟踪，起到跟踪与威慑作用。在业务中引入了打印审批环节，当用户打印资料时，必须选择相应的审批人，当审批人同意后，方可进行打印，这样使资料的打印操作在有人监督的状态下，从而避免了机密资料打印仅有打印人自己知道，无他人监督，消除监督盲点与泄密风险。使数据安全理念深入至一线运营层面，提升了业务系统数据安全性。省内试运行效果：试运行方案：在省内选择了试点范围。在此范围内，通过在业务终端部署软件，实现了强制在业务系统打印文件中增加水印，从而实现了敏感数据的水印控制功能。在打印过程中，引入的审批流程，当用户打印资料时，必须选择相应的审批人，当审批人同意后，方可进行打印，使资料的打印操作在有人监督的状态下，从而避免了机密资料打印仅有打印人自己知道，无他人监督，消除监督盲点与泄密风险。取得的效果：通过此技术，加强了业务系统中敏感数据的防护，对于敏感数据的打印动作，起到跟踪监控作用，在业务流程中引入了审计环节，使数据安全理念深入至一线运营层面，提升了业务系统数据安全性。推广价值：由于在公司内部，存在大量机密文件，由于工作需要，业务员常需要将这些文件打印出来，但同时这些信息面临安全风险。如果打印出的文件在使用后未能及时回收或销毁，都可能造成信息泄密。通过打印水印技术，使打印出的纸质文本都带有水印跟踪标记，能够唯一标识文档的打印人，做到敏感数据打印的可追述，从而提升了敏感数据的使用安全。建议：此技术具备在各类敏感信息的打印控制方面的通用性，可以普遍用于各类包含敏感数据的业务系统与内部信息管理系统。文章主体（3000字以上，可附在表格后）：文章主体一、 成果名称通用打印机加水印技术二、 本成果所属技术领域信息安全防护（敏感数据安全防护）三、 本成果技术背景现有安全核查技术主要有2大类：打印审计和打印行为控制。1，打印审计：安装客户端软件，通过客户端软件监听用户的打印操作，记录用户打印时间、计算机名、用户名进行关联，形成综合审计结果。这种技术只能审计打印操作，但无法对已打印的纸质文件进行标识，因此无法跟踪泄密，无法通过泄密文件定位泄密人。2，打印行为控制：在办公计算机安装客户端软件，通过客户端软件监听用户的打印操作，并针对机器名、机器登录用户名设置控制策略，当某个机器名称或用户名称出现在“黑名单”中，则禁止该用户打印。或可以根据打印的文档类型，结合控制策略进行控制，限制用户允许或禁止打印。四、 现有技术的缺点打印中最常见的问题缺陷主要有以下几种：1. 打印无审批流程，打印操作除了打印人自己知道外，无他人监督，因此存在监督盲点，有泄密风险；2. 无法对打印的纸质文件标记跟踪，因此无法定位泄密责任人；对于泄露的打印资料，无法追踪其来源。五、 本成果解决的问题打印过程中最常见的问题是：打印无审批流程，打印操作除了打印人自己知道外，无他人监督，有泄密风险；虽然能审计打印操作，但无法对打印的纸质文件标记跟踪，因此无法定位泄密责任人；通过本技术成果，弥补现有的打印安全技术缺陷，建立打印审批流程，每个打印操作，必须经过审批后，才能打印出纸质文件；同时，在打印的纸质文件上添加动态水印，根据水印信息可以定位跟踪打印人，IP等，为信息泄密跟踪定位提供凭据。六、 方案的详细阐述1234561. 系统结构图本解决方案完全架构在客户现有的网络上，各模块间采用TCP/IP协议通信。图表 1系统网络拓扑图2. 技术方案1) 动态水印添加管理员可自定义打印水印，在打印时系统将水印自动添加到每个打印任务的纸媒体上。水印的内容可包含打印者姓名、所属部门名称、所属组名称、打印时间、审批者姓名以及用户自定义的文本水印信息。用户选择通用打印机进行打印虚拟打印截获打印任务内容发送打印任务内容到打印服务器储存打印任务到数据库插入水印并在打印机上进行打印记录打印日志客户端打印服务器用户操作读取管理员预设的水印样式收集用户信息(用户名,机器名等)根据用户信息动态生成水印内容图表 2水印添加流程2) 打印审批在用户进行打印的时候选择设置该文档的密级，没有选择密级不能打印。密级分为：非密、内部、秘密和机密。在审批时候，审批者在审批时可以看到对应文档的密级和打印文档的内容。当使用强制审批时，所有的打印任务均需要审批，审批通过的打印任务才能够进行打印。当使用过滤审批时，系统根据管理员设定的关键字进行过滤，发现打印任务中含有设定的关键字时，将该任务转发给审批者，审批通过的打印任务才能够进行打印。管理员可以为单位、部门、组分别设定多名审批者，并指定每个审批者所能够审批的密级。但部门和组审批者也可以不进行设定，当没有设定组审批者时，将由部门审批者进行审批；当没有设定部门审批者时，将由单位审批者进行审批。用户选择通用打印机进行打印虚拟打印截获打印任务内容，用户选择密级发送打印任务内容到打印服务器储存打印任务到数据库客户端打印服务器用户操作对打印进行内容过滤需要审批？在打印机上进行打印记录打印日志收到审批任务审批者进行审批审批结果？发送审批请求要审批不需要审批通过取消打印任务未通过审批者PC完成审批者操作在启用打印身份认证的情况下，不进行打印，等待用户刷卡图表 3 审批流程七、 本成果有何优点1，添加动态水印：当用户在办公或生产计算机上打印文件时，在纸质文件添加动态水印，水印内容可以定义为“IP”“姓名”“公司名称”“部门名称”等，通过水印信息，可以直接辨识出打印自然人，因此针对泄密文件，可进行追踪定责。目前现状是无此技术，此技术属于创新成果。2，打印审批：当用户打印资料时，必须选择相应的审批人，当审批人同意后，方可进行打印，这样使资料的打印操作在有人监督的状态下，从而避免了机密资料打印仅有打印人自己知道，无他人监督，消除监督盲点与泄密风险。目前现状是无此技术，此技术属于创新成果。八、 本成果取得的效果通过此技术，加强了业务系统中敏感数据的防护，对于敏感数据的打印动作，起到跟踪监控作用，在业务流程中引入了审计环节，使数据安全理念深入至一线运营层面，提升了业务系统数据安全性。由于在公司内部，存在大量机密文件，由于工作需要，业务员常需要将这些文件打印出来，但同时这些信息面临安全风险。如果打印出的文件在使用后未能及时回收或销毁，都可能造成信息泄密。本技术在实际的应用环境经过测试、使用，在性能和功能方面表现良好，具备了技术推广应用条件。用户选择通用打印机进行打印虚拟打印截获打印任务内容，用户选择密级发送打印任务内容到打印服务器储存打印任务到数据库客户端打印服务器用户操作对打印进行内容过滤需要审批？在打印机上进行打印记录打印日志收到审批任务审批者进行审批审批结果？发送审批请求要审批不需要审批通过取消打印任务未通过审批者PC完成审批者操作在启用打印身份认证的情况下，不进行打印，等待用户刷卡图表 4 审批流程八、本成果的关键点和欲保护点1，添加动态水印：当用户在办公或生产计算机上打印文件时，在纸质文件添加动态水印，水印内容可以定义为“IP”“姓名”“公司名称”“部门名称”等，通过水印信息，可以直接辨识出打印自然人，因此针对泄密文件，可进行追踪定责。目前现状是无此技术，此技术属于创新成果。2，打印审批：当用户打印资料时，必须选择相应的审批人，当审批人同意后，方可进行打印，这样使资料的打印操作在有人监督的状态下，从而避免了机密资料打印仅有打印人自己知道，无他人监督，消除监督盲点与泄密风险。九、本成果有何优点1，添加动态水印：当用户在办公或生产计算机上打印文件时，在纸质文件添加动态水印，水印内容可以定义为“IP”“姓名”“公司名称”“部门名称”等，通过水印信息，可以直接辨识出打印自然人，因此针对泄密文件，可进行追踪定责。2，打印审批：当用户打印资料时，必须选择相应的审批人，当审批人同意后，方可进行打印，这样使资料的打印操作在有人监督的状态下，从而避免了机密资料打印仅有打印人自己知道，无他人监督，消除监督盲点与泄密风险。十、本成果是否经过实验、模拟、使用而证明可行，结果如何？本技术在实际的应用环境经过测试、使用，在性能和功能方面表现良好，具备了技术推广应用条件。9