专利名称:基于windows打印池的打印机打印内容监控与审计方法
技术领域:
本发明属于计算机及网络安全审计技术领域,涉及ー种打印内容监控与审计方法,具体的说是ー种基于windows打印池的打印机打印内容监控与审计方法。
背景技术:
长期以来,为保护windows系统输出信息的机密性,对打印机打印内容的监控与 审计一直是人们研究的重点之一;但目前对打印机打印内容的监控与审计技术往往难以满足实际环境的要求,造成对打印内容监控审计的遗漏和不完备,使其成为监控审计的难点之一。打印监控审计的难点主要表现在⑴打印机体系结构复杂;Windows系统打印体系以打印池为中心,并和ー套⑶I (windows图形设备接ロ)和打印池客户DLL提供的打印接ロ所支持;(2)打印机类型和接ロ类型多祥;打印机类型主要有喷墨打印机和激光打印机;打印机接ロ主要有LPT接口和USB接ロ ; 具有打印功能的应用程序普遍;如计事本、Office软件和Adobe Reader软件等!⑷打印方式有多种选择;可以使用本地打印机打印、网络共享打印机打印和独立的网络打印机打印。以上几点造成对打印机打印内容监控审计困难的客观性。目前,主要的打印监控审计技术为而轮询打印队列技术,数据的截获点在应用层,存在漏审计及无法获取副本数据的严重缺陷。windows打印池的打印流程如图I所示,所有应用层的打印,无论是否通过⑶I (windows图形设备接ロ)调用,无论是本地打印还是网络打印,最后会汇聚到winspool. drvo由此可见,如果能够截获winspool. drv的数据,便可以实现打印信息审计和打印副本截获。
发明内容
本发明所要解决的技术问题是,针对以上现有技术存在的缺点,提出一种基于windows打印池的打印机打印内容监控与审计方法,安全性高,不会引起内核崩溃,不需要专门定制的打印服务器就能有效的达到审计、监控及阻断目的。本发明解决以上技术问题的技术方案是
基于windows打印池的打印机打印内容监控与审计方法,包括用于制定监控与审计行为和打印审计数据查看的审计控制台、用于监控与审计行为下发和打印审计数据存储的数据服务器和用于打印审计数据截获的代理模块,所述数据服务器设有数据库和HTTP/HTTPS服务端(用于通过HTTP/HTTPS传输协议存储EMF副本的服务程序);审计数据由代理模块截获后,将基本文件审计数据和EMF副本数据分别存储在所述数据服务器的数据库和HTTP/HTTPS服务端,由所述审计控制台调阅;
代理模块按以下步骤截获打印审计数据
⑴过拦截打印过程中的windows打印池驱动(winspool. drv)的数据处理动作,截获文档打印起始数据、文档打印结束数据、每页文件的打印起始数据和每页文件的打印的结束数据;⑵截获文档打印起始数据和文档打印结束数据中的打印文档基本信息和打印时间;
⑶截获每页文件的打印起始数据和每页文件的打印的结束数据中的每页文件的EMF副本和统计文档总页数;
⑷将步骤⑵和⑶所截获的打印文档基本信息和打印时间以及每页文件的EMF副本和统计文档总页数作为打印审计数据。本发明进一歩限定的技术方案是
前述的基于windows打印池的打印机打印内容监控与审计方法,代理模块截获打印审计数据的步骤⑵中,打印文档基本信息为文档名,所述打印时间为打印的开始和结束时间。本发明的有益效果是(1)在windows应用层进行监控和审计,安全性高,不会引起内核崩溃(即蓝屏)可以灵活的对打印监控及审计行为进行定义,可以选择仅监控打印 行为、监控打印行为并审计打印副本、打印阻断;⑶解决了轮询打印池不能有效的阻断违规打印、不能审计到打印内容及详细的打印页数和打印份数等问题;⑷由于是通过代理程序进行审计,不需要专门定制的打印服务器就能有效的达到审计、监控及阻断目的;(5)打印副本为EMF格式,实现了副本数据与打印机的脱耦,使用一般的EMF查看工具就能够查看打印副本内容。
图I为现有技术中windows打印池的打印流程图。图2是本发明的连接框图。图3是本发明的打印数据截获流程图。
具体实施例方式实施例I
本实施例提供的一种基于windows打印池的打印机打印内容监控与审计方法,系统连接如图2所示,包括用于制定监控与审计行为和打印审计数据查看的审计控制台、用于监控与审计行为下发和打印审计数据存储的数据服务器和用于打印审计数据截获的代理模块,所述数据服务器设有数据库和HTTP/HTTPS服务端(用于通过HTTP/HTTPS传输协议存储EMF副本的服务程序);审计数据由代理模块截获后,将基本文件审计数据和EMF副本数据分别存储在所述数据服务器的数据库和HTTP/HTTPS服务端,由所述审计控制台调阅。代理模块按以下步骤截获打印审计数据,流程如图3所示
⑴过拦截打印过程中的winspool. drv的数据处理动作,截获文档打印起始数据、文档打印结束数据、每页文件的打印起始数据和每页文件的打印的结束数据;
⑵截获文档打印起始数据和文档打印结束数据中的打印文档基本信息和打印时间,打印文档基本信息为文档名,所述打印时间为打印的开始和结束时间;
⑶截获每页文件的打印起始数据和每页文件的打印的结束数据中的每页文件的EMF副本和统计文档总页数;
⑷将步骤⑵和⑶所截获的打印文档基本信息和打印时间以及每页文件的EMF副本和统计文档总页数作为打印审计数据。文件格式EMF (Enhanced MetaFile) 一是在印刷工业中应用与Windows操作系统的文件格式,实际上EMF是原始WMF (Windows metafile)格式的32位版本,EMF是设备独立性的ー种格式,也就是说EMF可以始终保持着图形的精度,而无论用打印机打印出何种分辨率(dot/inch)的硬拷贝,而在网路上,较小的EMF格式可以节省带宽。为什么仅截获EMF格式,因为RAW数据和具体打印设备关联性太大,难于回放。而EMF格式由于兼容性高,数据量小,从而成为用户普遍设置的打印输出格式,而且方便转化成各种标准格式图像数据便于查看。本发明在windows应用层进行监控和审计,安全性高,不会引起内核崩溃(即蓝屏);可以灵活的对打印监控及审计行为进行定义,可以选择仅监控打印行为、监控打印行为并审计打印副本、打印阻断;解决了轮询打印池不能有效的阻断违规打印、不能审计到打印内容及详细的打印页数和打印份数等问题;由于是通过代理程序进行审计,不需要专门定制的打印服务器就能有效的达到审计、监控及阻断目的 ;打印副本为EMF格式,实现了副本数据与打印机的脱耦,使用一般的EMF查看工具就能够查看打印副本内容。除上述实施例外,本发明还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案,均落在本发明要求的保护范围。
权利要求
1.基于windows打印池的打印机打印内容监控与审计方法,其特征在于包括用于制定监控与审计行为和打印审计数据查看的审计控制台、用于监控与审计行为下发和打印审计数据存储的数据服务器和用于打印审计数据截获的代理模块,所述数据服务器设有数据库和HTTP/HTTPS服务端;所述审计数据由代理模块截获后,将基本文件审计数据和EMF副本数据分别存储在所述数据服务器的数据库和HTTP/HTTPS服务端,由所述审计控制台调阅; 所述代理模块按以下步骤截获打印审计数据 ⑴过拦截打印过程中的windows打印池驱动的数据处理动作,截获文档打印起始数据、文档打印结束数据、每页文件的打印起始数据和每页文件的打印的结束数据; ⑵截获文档打印起始数据和文档打印结束数据中的打印文档基本信息和打印时间; ⑶截获每页文件的打印起始数据和每页文件的打印的结束数据中的每页文件的EMF副本和统计文档总页数; ⑷将步骤⑵和⑶所截获的打印文档基本信息和打印时间以及每页文件的EMF副本和统计文档总页数作为打印审计数据。
2.如权利要求I所述的基于windows打印池的打印机打印内容监控与审计方法,其特征在于所述代理模块截获打印审计数据的步骤⑵中,所述打印文档基本信息为文档名,所述打印时间为打印的开始和结束时间。
全文摘要
本发明属于计算机及网络安全审计技术领域,是一种基于windows打印池的打印机打印内容监控与审计方法,包括审计控制台、数据服务器和代理模块;代理模块按以下步骤截获打印审计数据拦截打印过程中的winspool.drv的数据处理动作,截获文档打印起始数据、文档打印结束数据、每页文件的打印起始数据和每页文件的打印的结束数据;截获文档打印起始数据和文档打印结束数据中的打印文档基本信息和打印时间;截获每页文件的打印起始数据和每页文件的打印的结束数据中的每页文件的EMF副本和统计文档总页数;将所截获的打印文档基本信息和打印时间以及每页文件的EMF副本和统计文档总页数作为打印审计数据。
文档编号G06F3/12GK102855095SQ20111017436
公开日2013年1月2日 申请日期2011年6月27日 优先权日2011年6月27日
发明者花卫国, 李曙强 申请人:德讯科技股份有限公司