文件打印的监控方法与设备

本发明属于信息安全技术领域，尤其是涉及一种文件打印监控方法与设备。

随着技术的迅猛发展，计算机网络带来方便的同时，日益严重的网络信息安全问题，使上网企业、机构及用户面临严重威胁，而且很多信息安全隐患是来自组织内部，这些隐患可能直接导致信息被窃取和破坏。因此如何解决组织内部的网络安全已成为亟待解决的问题，特别是对于一些安全保密性要求较高政府部门、军工单位、科研院所、金融机构等，办公自动化程度不断提高，打印机等设备成为办公必备，使得文件的保密防范面临新的安全问题，包括但不限于涉密文件在打印传递过程中失控，泄、窃密；用户越权限打印，造成机密信息的泄露等。因此，对整个打印过程实施监控是非常有必要的。

传统的打印管控，或以制度实施为主、辅以人工审批，或采用集中打印方式；前者对于内容难以监控，监控日志粗放；后者则审批以及打印任务处理效率较低，资源占用较多；特别是对于非授权、越级打印的问题，传统监管方式的工作效率有待提高。

鉴于以上，提出一种文件打印监控方法与设备，用以解决非授权打印和越级打印的问题，同时提高审批处理效率。具体方案包括：

一方面，提供文件打印的监控方法，拦截打印申请，提取打印信息与预设的控制规则进行匹配，所述控制规则规定打印信息与打印类型的对应关系；根据匹配确定的打印类型，分别处理打印申请，并输出日志；所述处理打印申请包括：

若打印类型为记录打印，记录获取到的特定打印信息，执行打印任务；

若打印类型为认证打印，备份打印文件，待打印申请审批通过，从所述备份文件获取打印数据，执行打印任务；

若打印类型为禁止打印，终止打印任务。

作为优选的，所述提取的打印信息包括打印申请的用户属性、发起申请的应用属性与文件属性，所述用户属性包括用户ID，所述应用属性包括应用名称，所述文件属性包括文件类型、格式；所述控制规则包括：规定用户ID是否具有打印权限；根据用户权限为用户ID指定一种打印类型；为每一个应用名称、文件类型、文件格式分别指定打印类型。

另一方面，提供文件打印的监控设备，包括：

打印拦截模块，用于拦截用户通过应用程序发起的打印申请，获取打印信息；

虚拟打印机模块，用于备份打印文件，将打印信息与打印数据，

控制规则模块，规定打印信息与打印类型的对应关系，根据打印信息确定打印申请的打印类型为记录打印或认证打印或禁止打印；

打印任务审批模块，接收打印类型为认证打印的打印文件，通过对文件内容进行非法特征匹配审批是否允许打印；

打印任务处理模块，对于记录打印或审批通过的认证打印，将打印数据发送至物理打印机进行打印。

基于上述的技术方案，本发明具有以下有益效果：规定打印信息与打印类型的对应关系，通过拦截打印申请，获取打印信息后根据信息内容查确定打印类型，根据打印类型分别执行打印任务，不同的打印类型表示不同的用户权限、发起打印申请的应用与文件等属性，从而实现了对不同的打印申请执行不同的监控和执行措施，一方面有效解决内部组织的非授权、越级打印，另一方面提高了打印监控的处理效率。

图1为本发明的文件打印的监控方法实施例，整体流程示意图;

图2为本发明的文件打印的监控设备实施例，组成框图。

通常的打印监控，大多涉及集中打印，大致方法为：在内部网络的机器上部署客户端，拦截用户发起的打印申请，而不允许用户直接连接打印机进行输出。用户发起打印操作时，客户端软件会获取文档的原始数据流以及必要的打印参数，发起审批；经过审批流程处理和用户身份认证后，再根据用户的要求进行打印输出。本发明在这种集中打印基础上提出高效解决非授权与越级打印的问题

下面结合附图与实施例对本发明的技术方案进行详细说明。

如图1所示，文件打印的监控方法，包括：拦截打印申请，根据打印信息判断当前打印申请的打印类型，分别处理打印申请，并输出日志；具体的为：

若打印类型为记录打印，记录或保存打印信息记录和原始的打印内容，由物理打印机执行打印任务；

若打印类型为认证打印，备份打印文件，对打印文件进行审批，若审批通过，从所述备份文件获取打印数据，执行打印任务；若审批不通过则结束打印任务。

若打印类型为禁止打印，终止打印任务。

所述的判断打印申请的打印类型包括：建立规定打印信息与打印类型对应关系的控制规则，提取打印信息与预设的控制规则进行匹配。

上述的提取打印信息包括获取打印申请的用户属性，所述用户属性包括用户ID；当存在多个待处理打印任务时，按照用户ID的打印权限等级依次处理，权限等级相同时按用户ID顺序依次处理。

作为一种实施方式，打印信息与控制规则进行匹配，包括：根据用户权限为用户ID指定一种打印类型；提取打印信息中的用户ID，从控制规则中查所属打印类型，根据打印类型处理打印申请。

作为另一种实施方式，所述提取的打印信息还包括发起申请的应用属性与文件属性，，所述应用属性包括应用名称，所述文件属性包括文件类型、格式；

所述控制规则包括：规定用户ID是否具有打印权限；为每一个应用名称、文件类型、文件格式分别指定打印类型为记录打印或认证打印；

打印信息与控制规则进行匹配，包括：判断用户ID的打印权限，若不具有打印权限则终止打印任务，若具有打印权限则执行打印任务；分别判断应用名称、文件类型、文件格式所属的打印类型：若三者的打印类型一致，则分别按打印类型执行打印任务；若三者的打印类型不同，则按认证打印执行打印任务。

作为优选的，若打印类型为认证打印，通过虚拟打印机备份打印文件，提取文件内容，与预设的非法特征库进行匹配，所述非法特征库包括非法关键字；若匹配成功则审批不通过，终止打印任务；若匹配不成功则审批通过，从所述备份文件获取打印数据执行打印任务。

所述文件属性还包括文件大小，将小于特定大小的文件的打印类型指定为记录打印，否则指定为认证打印。

如图2所示，文件打印的监控设备，包括：

打印拦截模块，用于拦截用户通过应用程序发起的打印申请，获取打印信息；

虚拟打印机模块，用于备份打印文件，将打印信息与打印数据，

控制规则模块，规定打印信息与打印类型的对应关系，根据打印信息确定打印申请的打印类型为记录打印或认证打印或禁止打印；

打印任务审批模块，接收打印类型为认证打印的打印文件，通过对文件内容进行非法特征匹配审批是否允许打印；

打印任务处理模块，对于记录打印或审批通过的认证打印，将打印数据发送至物理打印机进行打印。

上述的打印拦截模块将拦截到的打印信息发送至控制规则模块，确定当前打印申请的打印类型，包括：

若打印类型为记录打印，记录获取到的特定打印信息，由打印任务处理模块执行打印任务；

若打印类型为认证打印，虚拟打印机模块备份打印文件，并向打印任务审批模块发起审批，当文件内容不存在非法特征时，从所述备份文件获取打印数据，由打印任务处理模块执行打印任务；

若打印类型为禁止打印，由打印任务处理模块终止打印任务。

监控设备进行打印监控的一种实施方式，包括：根据用户权限为用户ID指定一种打印类型；提取打印信息中的用户ID，从控制规则中查所属打印类型，根据打印类型处理打印申请。

监控设备进行打印监控的另一种实施方式，包括：判断用户ID的打印权限，若不具有打印权限则终止打印任务，若具有打印权限则执行打印任务；分别判断应用名称、文件类型、文件格式所属的打印类型：若三者的打印类型一致，则分别按打印类型执行打印任务；若三者的打印类型不同，则按认证打印执行打印任务。

下面通过实施例，对上述的文件打印监控方法与设备的技术方案进行详细说明。

实施例一

如前所述，实施例中每个用户都具有各自的客户端，该客户端可以是在常见的主机监控与审计系统客户端上增加打印监控实现。每个客户端均具有对应的用户ID，该ID具有特定的顺序，如由不重复的数字组成，或由数字与字符组成。

首先是规定控制规则，即规定打印信息与打印类型的对应关系。实际中，为不同的用户ID配置不同的权限，该权限包括不同级别的ID具有不同的打印权限；比如将用户ID 划分为三个级别，其中第一级别的用户ID可以不经审批打印所有的文件，第二级别的用户ID可以经审批打印特定的文件，第三级别的用户ID则不允许打印。那么，在该实施例中，可以将第一级别的ID指定打印类型为记录打印，第二级别ID指定为认证打印，对第三级别的ID指定打印类型为禁止打印。

其次规定不同打印类型的任务执行方式，即：

若打印类型为记录打印，记录或保存打印信息记录和原始的打印内容，再由物理打印机执行打印任务；

若打印类型为认证打印，通过虚拟打印机备份打印文件，发起审批，若审批通过，从所述备份文件获取打印数据，再由物理打印机执行打印任务；若审批不通过则结束打印任务。

若打印类型为禁止打印，终止打印任务。

最后，当客户端接收到用户的打印申请时，通过hook技术拦截该申请，提取打印信息中的用户ID，从上述的控制规则中查所属打印类型，再根据打印类型处理打印任务。

作为一种优选的实施方式，当存在多个待处理打印任务时，按照用户ID的打印权限等级依次处理，权限等级相同时，则按用户ID顺序依次处理。例如当任务队列中存在多个用户发起的打印申请，则根据各用户ID判断其打印权限的级别，优先处理第一级别的用户ID发起的打印申请，如果第一级别的用户ID存在多个时，则按照用户ID的序号进行处理，如此可以有效提高打印申请的处理效率，避免无序拥堵的发生。

实施例二

同样的，实施例中每个用户都具有各自的客户端，该客户端可以是在常见的主机监控与审计系统客户端上增加打印监控实现。每个客户端均具有对应的用户ID，该ID具有特定的顺序，如由不重复的数字组成，或由数字与字符组成。

区别于实施例一，本实施例的打印信息还包括发起申请的应用属性与文件属性，所述应用属性包括应用名称，如word、IE、pdf阅读器等；所述文件属性包括文件类型、格式，文件类型例如文本、图片、数据库文件，文件格式例如txt、jpg等。

区别于实施例一，本实施例的控制规则包括：规定用户ID是否具有打印权限；为每一个应用名称、文件类型、文件格式分别指定打印类型为记录打印或认证打印；例如规定IE的打印类型为记录打印，word的打印类型为认证打印等。

例如：本实施例中存在一个打印申请，是由ID为002的用户通过office应用发起的，其控制规则规定：该ID具有打印权限；应用名称为office，打印类型为认证打印；文件类型为文本，打印类型为记录打印；文件格式为doc，打印类型为认证打印。

则通过hook技术拦截该申请，提取打印信息中的用户ID、应用名称、文件类型、文件格式。打印信息与控制规则进行匹配，包括：用户ID具有打印权限，则执行打印任务；分别判断应用名称、文件类型、文件格式所属的打印类型为认证打印、记录打印与认证打印，可见若三者的打印类型不同，则按认证打印执行打印任务：通过虚拟打印机备份打印文件，提取文件内容，与预设的非法关键字特征库进行匹配，若匹配成功则审批不通过，终止打印任务；若匹配不成功则审批通过，从所述备份文件获取打印数据执行打印任务。当然，本实施例中所述的非法关键字特征库可以由人工进行手动更新，也可以利用大数据算法进行自动更新，在此不做限定。

作为进一步优选的实施方式，本实施例中的文件属性还包括文件大小，将小于特定大小的文件的打印类型指定为记录打印，否则指定为认证打印。例如当文件大小为500K以下则指定为记录打印，大于500K则指定为认证打印，然后按照上述的匹配过程确定打印类型，并执行相应的任务处理。

如上所述的实施例，实现了对不同的打印申请执行不同的监控和执行措施，一方面有效解决内部组织的非授权、越级打印，另一方面提高了打印监控的处理效率。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。