0  引言

    如今，信息化時(shí)代隨著信息交流、共享信息的需求的促使下，計(jì)算機(jī)網(wǎng)絡(luò)隨著快速發(fā)展，網(wǎng)絡(luò)的安全問題越來越明顯。人們喜歡上網(wǎng)享受便利，但被網(wǎng)絡(luò)帶來的安全問題所困擾。網(wǎng)絡(luò)保安通常是指網(wǎng)絡(luò)信息的機(jī)密性。“(confidentiality)、優(yōu)勢(possession)、實(shí)用性(utility)、真實(shí)性(authenticity)”為了解決網(wǎng)絡(luò)安全問題，安保網(wǎng)絡(luò)構(gòu)筑越來越多，越來越多的用戶受到關(guān)注。

    有預(yù)言“有紙時(shí)代即將過去”，打印機(jī)的末日已經(jīng)來臨。但是，世界上的紙張消費(fèi)每年都以加倍的速度增長，打印機(jī)的銷量也達(dá)到了平均8%的速度。這一切都不會(huì)失去打印機(jī)，發(fā)展越來越快，應(yīng)用領(lǐng)域越來越廣闊。1885年，在世界上首次出現(xiàn)打印機(jī)的時(shí)候，都是用激光打印機(jī)、墨印機(jī)打印機(jī)和針式打印機(jī)，但在兩大的年代，都是每個(gè)人都能進(jìn)行的，但并沒有出現(xiàn)安全問題。因?yàn)檫@一重視對策的重要性，很多人都忽視了很多“it周邊的服務(wù)設(shè)備”，這是設(shè)備的安全問題。共享共享資源的利用率，同時(shí)共享資源的共享特性，造成了許多危害。

1  關(guān)鍵技術(shù)的研究

1.1  防火墻技術(shù)

    防火墻是本地網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的防御系統(tǒng)。用戶表示在實(shí)施后必須采取安全政策。通過數(shù)據(jù)來決定是否過濾、屏蔽內(nèi)部網(wǎng)；使得內(nèi)部網(wǎng)在一個(gè)統(tǒng)一的安全安裝控制點(diǎn),就過濾與保護(hù)范圍內(nèi)。

    防火墻在不安全的網(wǎng)絡(luò)中構(gòu)建了相對安全的網(wǎng)絡(luò)的想法是邊境控制技術(shù)。因此，一個(gè)合理的結(jié)論，它是一個(gè)有限“人士”，也是一個(gè)“分析員”，在邏輯上，分析安全戰(zhàn)略所獲取的所有數(shù)據(jù)，并在邏輯上分割了內(nèi)部和外部網(wǎng)絡(luò)。防火墻可以是硬件，它們可以是軟件，硬硬件和兼容，但它們只接受一個(gè)簡單軟件的檢查。

    防火墻有三種基本模型:經(jīng)過濾器(防火墻)、回路、回路圈和硬件等在該過程中所起作用的主要技術(shù)是過濾、特工、地點(diǎn)和類似的。

    （1）包過濾防火墻

    在諸如internet的tcp/ip網(wǎng)絡(luò)上，所有往來的數(shù)據(jù)都被劃分成不同長度的分組，并且每個(gè)分組包括發(fā)送者和接收者的ip地址信息。這些數(shù)據(jù)分組傳送到internet,路由器,收視者的ip地址信息進(jìn)行分析,適當(dāng)?shù)奈锢砭€路傳輸,因此,一個(gè)數(shù)據(jù)包的內(nèi)容通過不同途徑到達(dá)目的地,收件人抵達(dá)后,所有的數(shù)據(jù)包可以重新組建。分組濾波式防火墻根據(jù)一定過濾的規(guī)則，檢查所有經(jīng)過的分組中的ip地址并進(jìn)行濾波。如果防火墻限制了某個(gè)ip地址的訪問，則該地址的所有數(shù)據(jù)與該地址的信息在防火墻中被破壞。

    防火墻的處理數(shù)據(jù)的速度快，構(gòu)造容易，并且對于用戶來說是透明的，用戶可以不改變?nèi)魏畏?wù)器的任何應(yīng)用，也不需要學(xué)習(xí)新東西。但是破壞一個(gè)包對黑客來說是可能的?！巴斤L(fēng)暴”和“ip地址欺騙”通常是攻擊分組的補(bǔ)丁的方式。另外,包過濾防火墻只工作在osi的第三層(網(wǎng)絡(luò)層)和第四層(傳輸層),包過濾防火墻的一個(gè)明顯的優(yōu)勢是速度,數(shù)據(jù)報(bào)的內(nèi)容,無法對核查一次過濾或?qū)彶閿?shù)據(jù)報(bào)的內(nèi)容也細(xì)描寫事件的日志系統(tǒng)無法提供。

    （2）電路級網(wǎng)關(guān)

    電路網(wǎng)關(guān)是為了具體的應(yīng)用可以執(zhí)行具體功能的網(wǎng)絡(luò)關(guān)口。電路網(wǎng)關(guān)的特點(diǎn)之一是有更多的應(yīng)用程序。用戶在得到身份認(rèn)證后，允許有線網(wǎng)絡(luò)用戶上網(wǎng)，在此過程中，簡單的轉(zhuǎn)播服務(wù)器和用戶之間的連接。電路級網(wǎng)關(guān)的代表性例子是socks服務(wù)器和代理服務(wù)器。電路網(wǎng)關(guān)的工作方式是在受到信賴的網(wǎng)絡(luò)上不受信任的tcp連接。在中轉(zhuǎn)過程中，把連接到網(wǎng)絡(luò)的ip地址轉(zhuǎn)移到網(wǎng)上，輸入自己的地址，即連接使用者和服務(wù)器。

    電路網(wǎng)關(guān)的優(yōu)點(diǎn)是，由于地址變更，所以有利于保護(hù)。其缺點(diǎn)在于不檢查數(shù)據(jù)包，因此會(huì)出現(xiàn)漏洞。在不公開端口的情況下，錯(cuò)誤使用端口的可能性也會(huì)提高。

    （3）狀態(tài)檢測防火墻

    該防火墻的安全性非常高，并且該模塊布置用于執(zhí)行特定環(huán)境策略的監(jiān)視引擎模塊。網(wǎng)絡(luò)監(jiān)視以正常動(dòng)作為前提,利用數(shù)據(jù)提取的方法,對網(wǎng)絡(luò)通信的各階層進(jìn)行監(jiān)視，對數(shù)據(jù)分組的狀態(tài)信息進(jìn)行分析,此后,安全地儲(chǔ)存到作為參照實(shí)行動(dòng)態(tài)的主線。監(jiān)控引擎可以支持多種應(yīng)用和協(xié)議，并且可以容易地實(shí)現(xiàn)服務(wù)和應(yīng)用的擴(kuò)充。與前兩個(gè)防火墻不同,用戶接入要求達(dá)到網(wǎng)關(guān)的操作系統(tǒng)前,狀態(tài)監(jiān)視器會(huì)對相關(guān)數(shù)據(jù)進(jìn)行分析,安全規(guī)定及有關(guān)網(wǎng)絡(luò)組成,拒絕許可、通報(bào)、身份認(rèn)證或通信進(jìn)行加密等的處理動(dòng)作。

    這種防火墻的優(yōu)點(diǎn)在于，當(dāng)一次訪問時(shí)，如果沒有合法性，則可以拒絕訪問，并記錄進(jìn)行狀況。另一個(gè)優(yōu)點(diǎn)是監(jiān)視用戶數(shù)據(jù)(udp)以及遠(yuǎn)程過程啟動(dòng)(rpc)等監(jiān)視無連接狀態(tài)的端口信息，而另一個(gè)防火墻不支持這樣的應(yīng)用。這種防火墻確實(shí)很堅(jiān)固。但是配置也非常復(fù)雜，會(huì)影響到網(wǎng)絡(luò)的速度。

1.2  身份認(rèn)證技術(shù)

    認(rèn)證是一種確保信息有效性和完整性的技術(shù)，同時(shí)也可以避免他人的主動(dòng)攻擊。它可以識別出雙向通信之間身份的真實(shí)性，同時(shí)也可以驗(yàn)證是否在傳輸?shù)倪^程中信息被假冒偽造或否認(rèn)。一般來說實(shí)體和消息認(rèn)證是常見的認(rèn)證式。實(shí)體認(rèn)證是驗(yàn)證信息發(fā)送者的真實(shí)性，確保不是冒充的。主要是對信源、信宿等信息的認(rèn)證和識別；消息認(rèn)證是對傳輸或儲(chǔ)存過程中消息的完整性和正確性進(jìn)行驗(yàn)證，避免信息被惡意更改、替代。靜態(tài)口令認(rèn)證、動(dòng)態(tài)密碼、IC卡證、生物識別技術(shù)和PKI等都是常見的身份認(rèn)證的方法。

    最常見的一種認(rèn)證是“用戶名+靜態(tài)密碼”，這也是一種安全系數(shù)相對低的、傳統(tǒng)的認(rèn)證形式。盡管它傳輸過程信息量少，使用簡單方便，對服務(wù)器的響應(yīng)速率快，成本實(shí)現(xiàn)低；但在保存確認(rèn)用戶信息、密碼強(qiáng)度方面有很多不足。一些合法用戶的身份往往會(huì)通過窮舉攻擊、線路竊聽、木馬攻擊、字典攻擊等手段或外部泄漏等原因被偽造。從安全角度來看，靜態(tài)口令認(rèn)證方式屬于單因子方式，在物聯(lián)網(wǎng)時(shí)代，已經(jīng)無法滿足對認(rèn)證安全的要求。

    動(dòng)態(tài)口令技術(shù)包括短信密碼和動(dòng)態(tài)口令牌方式（U 盾）。在用戶登錄之前首先通過系統(tǒng)頒布的令牌口令啟動(dòng)令牌，而后令牌產(chǎn)生隨機(jī)密碼作為用戶的登錄認(rèn)證密碼。由于這種方式使用方便，不受平臺(tái)的限制，同時(shí)較靜態(tài)口令相比，具有更高的安全性，在企業(yè)、金融、網(wǎng)絡(luò)等領(lǐng)域有廣泛的應(yīng)用。但其在身份辨別上存在不足，不能確保用戶身份的真實(shí)性，并且在消息傳遞中沒有限制，容易造成數(shù)據(jù)信息的丟失。

    IC卡是由特定的廠商根據(jù)特定的需求生產(chǎn)出的一種不可復(fù)制的硬件產(chǎn)品，是一種封裝在塑料基片中的集成芯片。在IC卡芯片能夠?qū)懭氩⒋鎯?chǔ)數(shù)據(jù)，IC卡的信息存儲(chǔ)和處理方式可分為接觸式卡、感應(yīng)式卡。接觸式卡信息的讀寫是由讀寫器接觸片上的觸點(diǎn)相接觸之后進(jìn)行的；感應(yīng)卡則是由非接觸式進(jìn)行的。在IC卡芯片上儲(chǔ)存了與用戶相關(guān)的身份信息，在合法用戶進(jìn)行登陸時(shí)，將IC卡插入專門的讀卡器讀取信息來驗(yàn)證用戶的身份。由于卡片自身的不可復(fù)制性，用戶的身份信息不會(huì)被仿造或替換。但是信息在IC卡中是靜態(tài)的，可能被不法分子通過監(jiān)聽或掃描等技術(shù)所截獲。

    生物識別是利用人體所固有的生物特征，通過計(jì)算機(jī)、生物傳感器等先進(jìn)技術(shù)進(jìn)行身份認(rèn)證的一種技術(shù)。該技術(shù)以人體很多唯一生理特征作為判斷標(biāo)準(zhǔn)，包括人臉識別、指紋識別、眼虹膜識別等，具有難以仿冒、篡改、方便使用等優(yōu)點(diǎn)。但是這種技術(shù)實(shí)現(xiàn)很復(fù)雜，運(yùn)行成本很高，并且在數(shù)據(jù)傳輸過程中，消息的機(jī)密性和完整性有可能被截獲和替代，也會(huì)造成一定的安全風(fēng)險(xiǎn)。所以生物識別認(rèn)證只是在一些安全性很高的場合才會(huì)應(yīng)用，并沒有得到大面積的推廣。

    PKI是一種基于數(shù)字證書的認(rèn)證方式，其使用了公鑰算法的原理和技術(shù)，是適應(yīng)安全需求的一種解決措施。PKI體系包括了證書注冊機(jī)構(gòu)RA、認(rèn)證機(jī)構(gòu)CA、證書和證書庫以及密鑰管理等方面。隨著PKI技術(shù)的日趨完善，數(shù)字證書技術(shù)被廣泛地應(yīng)用在涉密程序中進(jìn)行身份識別以及數(shù)據(jù)信息加解密，數(shù)字證書是由CA頒發(fā)的。CA為某一用戶頒發(fā)證書時(shí)，首先計(jì)算證書中除簽名部分以外剩余信息的Hash值，然后用自己的私鑰對證書進(jìn)行加密，將加密后的證書作為簽名，其他的用戶利用CA的公鑰對前面信息解密得到另一個(gè)Hash值，對兩個(gè)Hash值進(jìn)行對比，從而確認(rèn)用戶是否是合法的用戶。在傳輸過程中以數(shù)字證書技術(shù)為加密技術(shù)對消息進(jìn)行簽名和認(rèn)證，保證了消息持有者在網(wǎng)絡(luò)中的真實(shí)性，消息在傳輸過程中的完整和保密性，從而保證網(wǎng)絡(luò)交易安全。數(shù)字證書是應(yīng)用較多的一種身份認(rèn)證方法。

1.3  打印機(jī)刷卡控制技術(shù)

1.3.1  刷卡打印的基礎(chǔ)介紹

    卡打印是實(shí)現(xiàn)打印安全管理的第一步。在實(shí)施例之后，打印作業(yè)是用戶在打印機(jī)前使用該卡，并且用戶的打印工作已被打印。這樣，只有真正的打印用戶能夠接收可打印的紙張，從而能夠防止敏感信息的泄露。在打印之后，如果不在一定時(shí)間內(nèi)使用卡，則直接刪除打印作業(yè)，從而能夠防止由于錯(cuò)誤的操作或者不必要的打印導(dǎo)致的資源浪費(fèi)。

    打印使用的卡是會(huì)員卡，普通的員工卡有4種類型:磁鐵卡、接觸式ic卡、非接觸ic卡、id卡。最普通的非接觸ic卡。

    磁條(magnetic card)是一種信息介質(zhì)，它是諸如液磁性材料或磁條等的信息介質(zhì)，并且將磁性材料(例如存折)或?qū)挾燃s6 ~ 14mm的磁條貼在卡片上(例如，一般的銀聯(lián)卡)。磁卡作為卡用一般使用，寫入、保存、重寫信息的內(nèi)容、特征是可靠性、記錄數(shù)據(jù)密度大、誤讀率低、信息輸入、讀出速度快。信用卡信息的讀寫相對容易,很容易使用,低成本,快速發(fā)展,ic卡發(fā)售前,從世界范圍看,卡技術(shù)的普及的基礎(chǔ)很好,被廣泛地應(yīng)用，與后來發(fā)展ic卡相比,有以下的不足：信息存儲(chǔ)量小、磁條易讀出和偽造、保密性差。

    ic卡(集成電路)ic卡(integrated cuit card)是開發(fā)超大型集成電路技術(shù)、計(jì)算機(jī)技術(shù)、信息安全技術(shù)等的發(fā)展結(jié)果。集成電路芯片嵌入在塑料基板的指定位置處，利用集成電路的保存特性對芯片上的信息進(jìn)行歸檔、讀取和修正。ic卡有接觸式和非接觸式。

    由于顯示了接觸式ic卡的芯片芯片，所以該數(shù)據(jù)集成在卡中的集成電路(ic)中，可以與可讀到芯片上的8個(gè)接點(diǎn)的可讀取設(shè)備接觸并交換信息。非接觸ic卡、“無觸點(diǎn)ic卡”和“無線頻率卡”是世界近年來發(fā)展的新技術(shù)。其芯片都是卡其色內(nèi)被封鎖,裸露部分,不僅如此,卡中還為小型天線,嵌入的芯片和讀取卡之間的相互通信,電磁場的誘導(dǎo)和無線電波中信息交換。結(jié)合ic技術(shù)和射頻識別技術(shù)，解決了無接觸和無源(信用卡中的無電源)這兩個(gè)難題，是電子設(shè)備領(lǐng)域的一大突破。這個(gè)技術(shù)的優(yōu)點(diǎn)是，信息交換，不需要卡和讀取器之間的接觸。這張卡的保存容量通常為256 B ~ 72 kB之間，目前最受歡迎的技術(shù)legic、mifare、desfireicode、hidiclass等非接觸ic卡使用的芯片數(shù)量最多，達(dá)到飛利浦制造的mifare (mifare one)和s70芯片，達(dá)到80%。

    id卡是通常的無線頻率卡。最簡單的是，最常見的無線頻率卡是低125 kHz的id卡(厚角卡、薄卡的點(diǎn))。由于id卡一度使用瑞士EM4100/4102碼片，也被稱為“em卡”。id卡具有閱讀專用功能，含有唯一的64 B被加密密碼。這張卡在發(fā)貨時(shí)被固定，保證了世界的唯一性，永遠(yuǎn)無法改變。

1.3.2  刷卡打印的實(shí)現(xiàn)研究

    目前大多數(shù)公司使用的員工卡是非接觸ic卡，這種非接觸ic卡具有與其他信用卡相比較的優(yōu)勢。非接觸ic卡具有以下優(yōu)點(diǎn)：

    （1）高信賴性的:那是,領(lǐng)導(dǎo)人之間沒有機(jī)械接觸,寫讀而產(chǎn)生的各種故障,接觸不良,芯片的剝離,或被破壞,被掀翻或等是不可避免的。

    （2）操作方便快捷，在非接觸通信中，讀取器可以在10 cm范圍內(nèi)進(jìn)行卡操作，在使用時(shí)沒有方向，用戶的使用非常方便，可以提高效率。

    （3）沖突:由于在非接觸卡中具有迅速的碰撞機(jī)制，可以防止卡之間的數(shù)據(jù)干擾，因此可以在“同時(shí)”并行處理多個(gè)卡，提高系統(tǒng)的工作速度。

    （4）適合各種各樣的用途，這張卡的存儲(chǔ)結(jié)構(gòu)的特征可以用那張卡，通過密碼和訪問條件的設(shè)定而應(yīng)用于不同的系統(tǒng)。

    （5）加密性能較好的:非接觸ic卡的號碼是唯一的，制造商不能固化而改變。在卡片內(nèi)每個(gè)扇區(qū)都具有自己的口令和訪問條件，在卡和讀取器之間采用雙向驗(yàn)證機(jī)制，在通信過程中所有數(shù)據(jù)都被加密。

    非接觸ic卡的巨大優(yōu)勢和市場占有率，本研究項(xiàng)目必須采用非接觸ic卡。但是，非接觸ic卡的市場占有率較高，一些企業(yè)將磁卡和接觸式ic卡用作公司職員卡。系統(tǒng)的使用,為了提高性本明細(xì)書領(lǐng)導(dǎo)人裝置監(jiān)視程序,復(fù)數(shù)的信用卡不能匹配,非接觸ic卡,接觸式ic卡,磁卡,具備多種信用卡的閱讀可能同時(shí)有必要識別。

1.4  打印內(nèi)容監(jiān)控、審計(jì)與統(tǒng)計(jì)技術(shù)的研究

1.4.1  打印監(jiān)控技術(shù)的研究

    打印機(jī)是計(jì)算機(jī)的重要輸出裝置，是為了保護(hù)輸出信息的秘密，進(jìn)行了打印機(jī)的印刷內(nèi)容的監(jiān)視和監(jiān)察的人們的研究的重點(diǎn)之一。但是，現(xiàn)在對打印機(jī)的打印內(nèi)容的監(jiān)控和審計(jì)技術(shù)無法滿足實(shí)際環(huán)境的要求，監(jiān)視對印刷內(nèi)容的監(jiān)控的遺漏和缺陷，成為監(jiān)視審計(jì)的困難之一。

    當(dāng)前，主要印刷監(jiān)視技術(shù)有api漏洞、driverhook、虛擬打印機(jī)和打印隊(duì)列技術(shù)等。api hook技術(shù)監(jiān)視使用winsp001。drv層:driver hook是printprovider下層的驅(qū)動(dòng)程序?qū)?。虛擬打印機(jī)被構(gòu)造成printprovider下面的打印處理器(iocalspl、d11）的層。另外，打印隊(duì)列技術(shù)的監(jiān)聽在應(yīng)用層進(jìn)行。4種技術(shù)的打印內(nèi)容監(jiān)視數(shù)據(jù)取得由winsp001 .drv層生成的打印工作部spl文件。此次研究將以虛擬打印機(jī)為主使用的方式來實(shí)現(xiàn)監(jiān)控效果。

    一臺(tái)打印機(jī)的打印任務(wù)的必須經(jīng)過系統(tǒng)的一臺(tái)虛擬打印機(jī)中,添加對切斷了所有的應(yīng)用程序虛擬打印機(jī)以外的所有打印機(jī),印刷數(shù)據(jù)的虛擬打印機(jī)必須經(jīng)過,然后,虛擬打印機(jī)的打印處理器物理打印機(jī)的打印任務(wù)完成傳輸打印任務(wù)。因此，對打印機(jī)的打印內(nèi)容的監(jiān)視和檢查已經(jīng)完成。

1.4.2  打印審批技術(shù)研究

    審批是用戶在執(zhí)行打印任務(wù)前，先提出申請，將要打印的文件、申請者、申請時(shí)間等信息提交給審批服務(wù)，審批服務(wù)根據(jù)事先設(shè)定的權(quán)限信息來判斷是否要對打印申請進(jìn)行審批。如果需要審批，則將打印申請?zhí)峤唤o相應(yīng)的文件審批員，文件審批人員經(jīng)過一級或者多級審批判斷是否允許此次打印申請，后將審批結(jié)果反饋給打印申請者。

    在審批過程中，無論流轉(zhuǎn)到審批過程的哪一個(gè)審批人，都要先對文件進(jìn)行審批。在文件審批過程中，文件始終處于某種狀態(tài)，主要包含：待審批、審批中、通過、未通過四種狀態(tài)。“待審批” 指打印文件申請遞交上去但還未被處理；“審批中”指打印申請正在被處理；“通過” 指審批過程已經(jīng)結(jié)束，打印申請得到批準(zhǔn)，可以對申請打印的文件經(jīng)行打印“未通過” 指由于某種原因，文件審批人員認(rèn)為用戶無權(quán)打印已提交打印申請的文件而對用戶的打印申請進(jìn)行拒絕；當(dāng)有各級審批人員中有一級審批未通過時(shí)，該打印申請就被否決，整個(gè)審批過程結(jié)束。

    根據(jù)系統(tǒng)功能需求，在數(shù)據(jù)庫中用三個(gè)表來實(shí)現(xiàn)文件的多級審批，分別為用戶表、作業(yè)表、作業(yè)審批級別表。當(dāng)用戶登錄時(shí)，審批服務(wù)通過用戶的角色I(xiàn)D判斷用戶是否為文件審批員。若用戶是文件審批員，則根據(jù)用戶審批級別和作業(yè)審批級別確定用戶負(fù)責(zé)審批的作業(yè)。最終將用戶負(fù)責(zé)審批的作業(yè)以列表的形式展現(xiàn)給審批用戶。

    （1）用戶表tb—users：

    字段名類型長度（字節(jié)）是否允許為空說明

    用戶名 varchar 15 否可變長度

    密碼 char 16 是用戶密碼

    姓名 varchar 10 是用戶姓名

    部門ID int 4 是用戶所屬部門標(biāo)識

    角色I(xiàn)D int 4 是用戶所屬角色標(biāo)識

    審批級別int 4 是用戶所屬角色標(biāo)識

    卡號 char 10 是用戶卡號

    說明：用戶表保存用戶信息

    （2）作業(yè)表tb—tasks

    字段名類型長度（字節(jié)）是否允許為空說明

    作業(yè)ID int 4 否作業(yè)的唯一標(biāo)識

    用戶名 varchar 15 是申請打印作業(yè)的用名

    文件名 varchar 80 是文件名稱

    密級ID int 4 是文件密級標(biāo)識

    去向ID int 4 是文件去向標(biāo)識

    用途ID int 4 是文件用途標(biāo)識

    頁數(shù)int 4 是文件頁數(shù)

    份數(shù)int 4 是文件份數(shù)

    審批級別datetime 4 是文件當(dāng)前的審批級別

    申請時(shí)間datetime 8 是文件申請時(shí)間

    打印時(shí)間datetime 8 是文件打印時(shí)間

    刪除時(shí)間datetime 8 是文件刪除時(shí)間

    拒絕原因 varchar 100 是文件拒絕打印理由

    作業(yè)狀態(tài)int 4 是文件所處狀態(tài)：審批中、同意打印和拒絕打印三者中的一種

    打印標(biāo)志 bit 1 是文件是否打印

    說明：作業(yè)表中保存的是用戶提交打印申請作業(yè)的信息。刪除時(shí)間表示作業(yè)已經(jīng)審批完成并且同意打印但用戶在打印客戶端取消作業(yè)或者作業(yè)已經(jīng)審批完成但用戶未及時(shí)打印有服務(wù)器自動(dòng)刪除的時(shí)間。

    （3）審批級別表tb—file—approveLevel

    字段類型長度（字節(jié)）是否允許為空說明

    密級ID int 4 否密級ID、去向ID和用途ID共同組成作業(yè)審批級別表的主鍵

    去向ID int 4 否

    用途ID int 4 否

    審批級別int 4 是密級、去向和用途組合對應(yīng)的審批級別

    說明：作業(yè)審批級別表中保存的是作業(yè)的密級ID、去向ID 和用途ID 所對應(yīng)的審批級別。系統(tǒng)管理員對作業(yè)的密級、去向和用途信息進(jìn)行添加、刪除和修改，安全保密員根據(jù)需要管理密級、去向和用途對應(yīng)的審批級別?？梢愿鶕?jù)密級、去向和用途的組合共同確定審批級別，也可以只使用其中的一項(xiàng)或者項(xiàng)。這樣，系統(tǒng)使用非常方便，對于涉密單位或者非涉密單位都適用。

1.4.3  打印統(tǒng)計(jì)技術(shù)研究

    為了完整地記錄打印歷史信息，將數(shù)據(jù)庫配置在服務(wù)器側(cè)，考慮嵌入資源的極限，該研究項(xiàng)目采用了用于嵌入式系統(tǒng)(sqlite)相關(guān)數(shù)據(jù)庫。sqlite可以使用，并且可以實(shí)現(xiàn)用于包容、零配置、支持的sql數(shù)據(jù)庫引擎，所述sql具有結(jié)構(gòu)緊湊、高效率、可靠的特征。sqlite提供相應(yīng)的c語言函數(shù)接口，并且可以經(jīng)由這些接口來執(zhí)行標(biāo)準(zhǔn)sql詞語。打印結(jié)束后，本系統(tǒng)將打印的時(shí)間打印到數(shù)據(jù)庫文件中，以使打印用戶名、打印文件名稱、打印頁數(shù)、打印份數(shù)等打印信息被寫入數(shù)據(jù)庫文件中。

    即使打印結(jié)束了，也會(huì)發(fā)生不可恢復(fù)的故障，在打印途中離開，并保存對應(yīng)的信息。在后期的打印檢查中，管理員能夠保存方便的查詢存儲(chǔ)在服務(wù)器側(cè)的打印記錄，進(jìn)行打印后的安全性控制

1.5  銷毀管理的實(shí)現(xiàn)技術(shù)研究

    條碼嵌入的程序,主要包括兩個(gè)部分,第一部分條碼的生成技術(shù)，對應(yīng)的id參數(shù)輸入,條碼的生成程序應(yīng)根據(jù)需要印刷美術(shù)內(nèi)會(huì)嵌入到一樣,一個(gè)id的條碼的工作將會(huì)生成。第二部分是條的嵌入處理，該部分讀取要首先打印的圖片的數(shù)據(jù)，解析圖像數(shù)據(jù)的特定位置并將生成的條數(shù)據(jù)嵌入指定的位置。在這個(gè)過程中,需要注意的是,讀取圖像數(shù)據(jù)壓縮加密后的數(shù)據(jù)顯示,首先解除解壓縮圖像的處理,圖像處理的過程中,需要判斷圖像的旁邊也為縱條罩衫嵌入在圖像的正左上角,如果圖像是縱向的,根據(jù)需要旋轉(zhuǎn)圖像。

1.5.1  條碼生成設(shè)計(jì)

    此次研究可以編碼39碼、39碼能對數(shù)字和字母等44個(gè)字母進(jìn)行對應(yīng)。實(shí)際的動(dòng)作中,代碼是只包含數(shù)字，字母代碼有必要留下一個(gè)接口,在39符號中自我驗(yàn)證性錯(cuò)誤率低、簡單容易實(shí)現(xiàn)、顯示文字的數(shù)量多等優(yōu)點(diǎn)，安全印刷的效率可以大大提高。39碼的編碼規(guī)則在5個(gè)線路上表示一個(gè)字符。線條表示0，粗線表示為1；線之間的縫隙表示為0，寬度的表示1；除了五條線之外，它們之間的4個(gè)間隙是九位數(shù)二進(jìn)制碼，在其九位中，一定有一個(gè)為1，所以就說39碼。條形碼的最初的尾是各*識別符的開始和結(jié)束。根據(jù)該編碼規(guī)則，創(chuàng)建39個(gè)代碼的生成程序。

    條碼的嵌入過程是,印刷作業(yè)分析,完成了程序的擴(kuò)展性和普遍性,為了提高條碼的接口方式實(shí)現(xiàn)指定條碼內(nèi)存畫布上加速的程序時(shí)內(nèi)存逼中將條碼畫形象的像素提取,本系統(tǒng)在39碼的生成的程序是對人類的形式實(shí)現(xiàn),條罩衫和使用的設(shè)置,幾個(gè)需要提供的接口,本系統(tǒng)需要實(shí)現(xiàn)條碼生成的程序提供的接口是條碼清除信息的日期;在帶處理后的校長(以像素為單位，包括條的開始和結(jié)束位置)。代碼的設(shè)定幅度小。代碼被使用時(shí),一般來說,需要了解代碼的長度,而且本系統(tǒng)內(nèi)折,文件嵌入代碼,條碼的長度需要預(yù)先知道，以便決定條碼的單位寬度，使得條碼的長度最接近于我們所需要的長度。

    在繪制條碼過程中，需要對條碼數(shù)據(jù)進(jìn)行處理，將條碼的編碼規(guī)則轉(zhuǎn)換為條碼繪制所需要數(shù)據(jù)格式，為了便于條碼的繪制，本文提出使用兩個(gè)二進(jìn)制位來表示39 碼各個(gè)線條的性質(zhì)，第一個(gè)二進(jìn)制位標(biāo)識線的黑白性質(zhì)，1 表示黑色，0 表示白色；第二個(gè)二進(jìn)制位標(biāo)識條碼的線的寬窄性質(zhì)，1 表示寬線，0 表示窄線。在本系統(tǒng)的實(shí)現(xiàn)中，需先將條碼信息在開始和結(jié)束位置加上*號，即39 碼的起始和結(jié)束位。然后將條碼信息按照以上的方法轉(zhuǎn)換為程序可以直接使用的數(shù)據(jù)，而39碼的具體編碼規(guī)則是公開的，我們可以知道每個(gè)條碼信息是怎么表示的以下列舉一些。

    {'1', "wnnwnnnnwn"}, {'2', "nnwwnnnnwn"},

    {'3', "wnwwnnnnnn"}, {'4', "nnnwwnnnwn"},

    {'5', "wnnwwnnnnn"}, {'6', "nnwwwnnnnn"},

    {'7', "nnnwnnwnwn"}, {'8', "wnnwnnwnnn"},

    {'9', "nnwwnnwnnn"}, {'0', "nnnwwnwnnn"},

    {'A',"wnnnnwnnwn"}, {'B',"nnwnnwnnwn"},

    {'C',"wnwnnwnnnn"}, {'D',"nnnnwwnnwn"},

    {'E', "wnnnwwnnnn"}, {'F', "nnwnwwnnnn"},

    {'G',"nnnnnwwnwn"}, {'H',"wnnnnwwnnn"},

    {'I', "nnwnnwwnnn"}, {'J', "nnnnwwwnnn"},

    385/5000  

    其中w為寬，n為窄，條形碼是黑白的，最初是黑色的條紋，在這里不顯示，在處理數(shù)據(jù)的過程中提取這些信息。因此，轉(zhuǎn)換過程僅根據(jù)39碼的編碼規(guī)則將代碼信息內(nèi)的各文字轉(zhuǎn)換為包含在0、1、2和3中的字符串。當(dāng)然，轉(zhuǎn)換后的數(shù)據(jù)長度也必須記錄。

    條的規(guī)則轉(zhuǎn)換后的信息根據(jù)字符串的值，根據(jù)字符串的值而選擇畫筆的顏色和畫筆的寬度，能夠在存儲(chǔ)器面板中畫一條線。

    另外，在本系統(tǒng)中，在程序的初始化中，提供了更窄的尺度設(shè)定接口，使得更窄的比例可被設(shè)定為3。用戶可以用接口來設(shè)定自己所希望的比例。

1.5.2  條碼嵌入技術(shù)的實(shí)現(xiàn)

    在正常的操作中，根據(jù)原始打印作業(yè)數(shù)據(jù)格式，為了讀取圖像的數(shù)據(jù)，需定義兩個(gè)結(jié)構(gòu)體，分別為：

    （1）讀取圖像的結(jié)構(gòu)體

    結(jié)構(gòu)體raw閱讀用結(jié)構(gòu)體的讀取整個(gè)文件的頭,用一頁的數(shù)據(jù)顯示,其中newdatanewlengthrwidth和flag,實(shí)現(xiàn)圖像的旋轉(zhuǎn)的變數(shù)是圖像的旋轉(zhuǎn)是順時(shí)針旋轉(zhuǎn),旋轉(zhuǎn)過程的圖像的注意的一行的總字節(jié)數(shù)為4字節(jié)的整數(shù)倍,旋轉(zhuǎn)后的圖像的行數(shù)為4的可能性的一個(gè)整數(shù)倍,字節(jié),需用填補(bǔ)保存rwdith變數(shù)下新的圖像幅度。flag變量用于識別圖像如何旋轉(zhuǎn)。

    整體嵌入程序被分為3個(gè)，第一部分進(jìn)行圖像讀取和前處理工作。第二部分,通過符號生成程序被指定的脫衣繪制圖像,并切片圖像的一行的像素,后使用的數(shù)列,另外,條紋下面的數(shù)字和條碼的下方的文字都集中在數(shù)組里。第三部分將編碼和代碼信息嵌入到打印圖像的指定位置中，并且重新創(chuàng)建最終處理的圖像文件。

    第一部分文件開頭讀取以外,還要對現(xiàn)在的文件數(shù)據(jù)解碼并解凍,文件現(xiàn)在的信息對圖像旋轉(zhuǎn),判斷是否有可能旋轉(zhuǎn),如果有必要,順時(shí)針方向旋轉(zhuǎn)圖像,圖像的新的保存的寬度和高度。下面為圖像預(yù)處理的流程：

    （2）圖像預(yù)處理流程

    第二部分:條紋符號及代碼的生成圖像的繪制完成,編碼圖像,根據(jù)代碼生成程序提供接口被調(diào)用，,圖像的繪制是內(nèi)存板塊上進(jìn)行,調(diào)用前需要對專用的編碼圖像進(jìn)行充分的處理，所以需建立一個(gè)足夠容納條碼圖像的內(nèi)存畫板。在此次的研究模擬實(shí)驗(yàn)中，內(nèi)存畫板的大小為2 000×400，有必要適應(yīng)各種情況。

    此次研究中規(guī)定條碼正好為打印圖像的寬度為五分之一，繪制條碼的寬度(即條碼窄線寬),根據(jù)圖像的寬度,確定條碼生成的程序提供接口使用指定條碼的寬度,以此為依據(jù),可以得到可以接受的條碼的寬度,這條碼寬度正好等于照片的寬度的五分之一，本系統(tǒng)中使用CDC 的StretchBlt()方法將圖像縮放至指定的寬度。此后內(nèi)存畫板里。存儲(chǔ)的就是寬度剛好為圖像寬度五分之一的條碼。

    第三部分完成條碼圖像及條碼信息的嵌入工作，因?yàn)樾枰诿宽搱D像上進(jìn)行嵌入工作，而對內(nèi)存畫板的操作都比較費(fèi)時(shí)，所以在本系統(tǒng)中先將內(nèi)存畫板中的條碼圖像及條碼信息的像素提取出來存儲(chǔ)到數(shù)組中，在嵌入時(shí)只需使用memcopy()重復(fù)工作，這樣可以大大增加效率。在嵌入過程中，需要確定條碼的嵌入位置，本系統(tǒng)中通過多次測試，選取條碼寬度的十五分之一（也就是整個(gè)圖像的寬度的七十五分之一）為條碼嵌入的行坐標(biāo)和縱坐標(biāo)，這樣做使得條碼不管在何種分辨率的圖像上，條碼的嵌入位置及條碼的大小都相對一樣。因條碼的每行的像素都一樣，提取條碼圖像像素時(shí)只需選取條碼圖像的一行存入數(shù)組。最后要注意的是根據(jù)flag 的值判斷圖像是否進(jìn)行過旋轉(zhuǎn)，以做出不同的處理動(dòng)作。

    全體的嵌入程序是兼用24位和8位圖像,通過圖像的讀取文件,只提取圖像的像素位數(shù)條碼畫形象及相關(guān)信息,提取相應(yīng)的圖像像素的位數(shù),然后圖像嵌入過程中相應(yīng)的嵌入對應(yīng)的字節(jié)數(shù),不同的圖像的像素位數(shù)可以兼容的實(shí)現(xiàn)，條碼是在打印過程中嵌入嵌入程序,所以需要很高的效率，因此程序要做到耗時(shí)最少，程序中最耗時(shí)的是解密解壓縮過程，,其次是圖像的讀取和寫入，經(jīng)過測試,c程序的文件讀寫效率最高,本研究最終選擇c系統(tǒng)的程序?qū)崿F(xiàn)對文件的讀寫,另外要注意的是,文件的讀寫過程中要用二進(jìn)制的形式，否則此文件的解讀失誤的可能性很高。

2  總結(jié)

    如上所述，這些各種打印監(jiān)控技術(shù)分別具有各自的優(yōu)點(diǎn)，但也有各自的短板。實(shí)際打印監(jiān)控審計(jì)應(yīng)用場景中,考慮到打印監(jiān)控技術(shù)實(shí)現(xiàn)的簡易性和監(jiān)控審計(jì)內(nèi)容的完備性的雙重的目標(biāo)，在未來的印刷監(jiān)控審計(jì)技術(shù)的一種發(fā)展趨勢是實(shí)際應(yīng)用場景的各種印刷監(jiān)控審計(jì)技術(shù),選擇性地結(jié)合使用經(jīng)濟(jì)性和發(fā)揮最大的這些技術(shù)的優(yōu)點(diǎn)，彌補(bǔ)單獨(dú)使用這些技術(shù)的監(jiān)控時(shí)的不足。

參考文獻(xiàn)

[1] 李培修，敖勇，賈永強(qiáng)．內(nèi)網(wǎng)涉密信息泄露途徑及防范[J]．計(jì)算機(jī)安全，2005(7)：75-76．

[2] 薛質(zhì)，王軼駿．Windows系統(tǒng)安全原理與技術(shù)[M]. 北京：清華大學(xué)出版社，2005．

[3] 劉宜軒，李光耀，劉曉靜，等. ASE.NET環(huán)境下的網(wǎng)上審批流程的設(shè)計(jì)及實(shí)現(xiàn)[J] .計(jì)算機(jī)工程與設(shè)計(jì)，2010，31(3)：525-527.

[4] 周海靜. 網(wǎng)絡(luò)打印安全體系結(jié)構(gòu)研究與系統(tǒng)設(shè)計(jì)[D]. 西安：西安電子科技大學(xué)，2010.

[5] 高明松.基于DES 和RSA 網(wǎng)絡(luò)數(shù)據(jù)安全系統(tǒng)的研究與實(shí)現(xiàn)[D]. 哈爾濱: 哈爾濱工程大學(xué), 2000.

[6] Michael Rash.Linux Firewalls.O'Reilly[S].2007: 108-110.

[7] Michael Rash.Linux Firewalls.O'Reilly[S].2007: 123-143.

作者信息:

裴  翾1，俞睿默1，劉逸逸1，李  姝1，陳  興1，秦  峰2

（1. 國網(wǎng)上海市電力公司信息通信公司，上海 200122；

2. 上海安言信息技術(shù)有限公司，上海 200050）