一种打印防泄漏的方法

本发明涉及电子文件安全管理，尤其涉及一种打印防泄漏的方法，属于计算机信息安全技术领域。

泄密的主要途径主要有三种：mail泄密、移动存储泄密、打印泄密。其中发生概率较多的是mail泄密和移动存储泄密，一般通过这两种途径泄密的95%以上都是一些相对保密等级不高的普通信息，而且现在已经可以采用多种手段抑制，破案率较高。发生次数相对较少的是打印泄密，虽然这种泄密途径发生次数较少，但是通过这种方式泄密的80%以上的泄密事件几乎都涉及到了较高等级甚至是核心级的信息，破案率很低，破坏力非常巨大。

许多国家重点军工、科技单位及其他各行各业，安全保密认证新要求已经开始贯彻，我们在电子媒体管理制度和手段方面不断加大力度的同时，对打印过程需要采取必要有效的手段和细化的管理制度。加强打印安全监控管理已刻不容缓。

打印过程中最主要的问题是对于泄露的打印资料，无法追踪其来源。无法采用有效措施解决泄露途径。如何实现安全打印是非常值得关注的问题。

本发明公开了一种打印防泄漏的方法，解决了防止打印文件泄漏的问题。

为实现上述发明目的，本发明采取的技术方案是：一种打印防泄漏的方法，该方法包括：

提供进程控制模块，当打印请求者提交打印请求时，HOOK打印文件的API函数，打印控制模块判断提交打印请求的进程是否被允许启动打印功能，如果提交打印请求的进程不被允许启动打印功能，则返回打印不被允许的信息，如果提交打印请求的进程被允许启动打印功能，则向服务器提交打印请求；

提供审批模块，服务器将接收到的打印请求发送给审批模块，由审批模块对所述打印请求进行审批；

提供数据库，将审批通过的打印请求记录在数据库中；以及 

提供打印代理模块，打印代理模块对打印申请人的信息进行认证，根据所认证的打印申请人信息读取数据库中属于该打印申请人的所有已经审批通过但尚未打印的打印请求，将这些打印请求打印出来，并在数据库中将这些打印请求更新为已打印。

进一步地，所述打印防泄漏的方法还包括提供审计模块，所述审计模块提供打印请求查询功能，便于追踪打印材料泄漏来源。

进一步地，可以通过配置文件对允许启动打印功能的进程进行配置。

进一步地，数据库中每个打印请求的信息包括审批人、打印申请人、打印内容、审批标志、打印标志。

进一步地，记录在数据库中审批通过还未打印的打印请求的审批标志为审批通过，打印标志为未打印。

进一步地，记录在数据库中已打印的打印请求的打印标志为已打印。

进一步地，打印代理模块对打印申请人的信息进行认证的方法为：打印申请人在打印代理模块上刷卡验证或输入个人信息验证。

本发明方法中，进程控制模块对允许启动打印功能的进程进行识别，禁止不被允许的进程打印文件，为防止打印文件的泄漏提供了第一层保障。 审批模块、数据库和打印代理模块三者的结合，为防止打印文件的泄漏提供了第二层保障。审计模块提供了打印查询的功能，每个打印申请都被记录在数据库中，每一次打印记录都可查询，为打印文件的泄漏提供了第三层的保障。本发明方法的三层保障不仅能够有效防止打印文件的泄漏并在泄漏之后能够追踪打印文件泄漏来源。本发明方法还具有操作便捷、性价比高和适用面广等优点。

图1为API HOOK技术示意图。

图2为审批模块的工作流程示意图。

图3为打印代理模块的工作流程示意图。

图4为审计模块的工作流程示意图。

所有的Windows应用程序的操作都需要调用系统API函数进行。但现有的API接口并不能满足所有操作的要求，某些功能的附加值可以通过拦截相关API的请求后执行跳转函数来实现。这种拦截API的技术叫API HOOK 技术。本方法主要是使用了API HOOK 技术。图1为API HOOK技术示意图。

当打印申请人试图打印一个文件时，正常的流程是调用Windows API的打印函数把文件出来。在本发明方法中，申请人试图打印一个文件时，会首先使用API HOOK 技术HOOK打印文件的API，这样，在打印申请人打印文件的时候不直接走打印文件的流程，而是走到了审批流程里面的进程控制模块。进程控制模块会检测打印进程是否是允许打印的，比如在配置文件中只配置了WINWORD.EXE，本次想打印的PDF文件用Adobe Reader.exe打开之后打印，就会因为Adobe Reader.exe进程没有在允许打印的进程列表里面而打印失败。

图2为审批模块的工作流程示意图。审批模块的功能是所有要打印的请求都需要得到上层领导的审批才可以打印。如果提交打印请求的进程被允许启动打印功能，则该打印请求会被提交给服务器，审批人可以看到待审批的打印请求，如果打印请求为未被批准，会返回打印请求未被批准的消息；如果打印请求被批准通过，则该打印请求会被记录在数据库中，数据库中记录的打印请求的信息包括审批人、打印申请人、打印内容、审批标志、打印标志。此时，审批标志为审批通过，打印标志为未打印。只有审批通过的打印请求才会被记录在数据库中，即每次审批通过后，数据库中会增加一个新的打印请求记录。

图3为打印代理模块的工作流程示意图。每个打印申请人在打印代理模块上刷卡验证，当然也可以通过其它验证方法进行验证，包括但不限于通过输入申请人的信息进行验证。打印代理模块根据打印申请人的信息在数据库中查询该打印申请人所有已经审批通过但尚未打印的打印请求，并把这些打印请求打印的内容打印出来。对于每一个已经打印的打印请求，把该打印请求的打印标志更新为已打印，这样该打印申请人下次使用打印代理模块时，打印代理模块就会过滤已经打印的文件避免重复打印。

图4为审计模块的工作流程示意图。通过审计模块，审计者输入想要查询的信息，包括审批人、打印申请人、打印内容等，经过数据库查询之后返回查询结果。因为每个打印申请都被记录在数据库中，所以每一次打印记录都可查询，为打印泄漏的追溯提供了条件。

以上所说的仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所做的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。因此，本发明的保护范围当视权利要求书所界定者为准。