CN103605487A - 一种打印数据透明捕获的方法 - Google Patents
一种打印数据透明捕获的方法 Download PDFInfo
- Publication number
- CN103605487A CN103605487A CN201310575776.1A CN201310575776A CN103605487A CN 103605487 A CN103605487 A CN 103605487A CN 201310575776 A CN201310575776 A CN 201310575776A CN 103605487 A CN103605487 A CN 103605487A
- Authority
- CN
- China
- Prior art keywords
- module
- printing
- print data
- catching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Accessory Devices And Overall Control Thereof (AREA)
Abstract
本发明涉及计算机信息安全技术领域,具体涉及一种打印数据透明捕获的方法。一种打印数据透明捕获的方法,包括提供一打印安全管理系统,所述提供一打印安全管理系统包括:提供服务端和客户端,所述服务端至少包括:用于为打印安全系统提供基础服务的打印安全管理支撑功能模块、定义打印策略的策略模块和为所述客户端配置打印策略的维护管理模块;所述客户端执行所述打印策略,且所述客户端设有用于对打印进程的API进行控制的钩子程序对打印动作进行判断和做相应处理以控制打印行为。利用本发明的方法,可对文件打印的全生命周期进行管理,提供多种安全策略支持,构建了一个安全打印的工作环境,适用范围广。
Description
技术领域
本发明涉及计算机信息安全技术领域,具体涉及一种打印数据透明捕获的方法。
背景技术
信息技术的发展促进了人们的工作效率的提高,人们的生活、学习、工作越来越依赖于各种信息工具的使用;在实现对电子文件的信息防泄露管理的同时,需要实现对打印的纸质文件的控制,以防止纸质文件的泄密。另外,大量的打印行为、粗放的打印管理,也使企业的打印成本急剧上升。如何实现安全打印,并定量管理打印成本是非常值得关注的问题。为了解决上述问题,防火墙、防病毒软件等一系列措施相继出台,使得电脑对于外部网络的攻击有了强大的防御力。然而,外部问题的解决并没有缓解内部问题的日趋严重。不仅企业中内部泄露问题严重,个人隐私也不例外,这样的例子在日常生活中屡见不鲜。
目前打印安全和打印成本控制主要采取打印机统一控制,需要人为的干扰,这种方式导致工作效率降低,而且不易管理;同时对于如何区别企业间的文件,也无法做到;打印成本更不易统计,从而得到控制打印成本的目的。
因此,如何解决打印安全和打印成本控制的问题,并且解决的方法简单易行,可操作性强,适用性广成为一个亟待解决的问题。
发明内容
本发明目的是:针对文件打印的过程中可能造成的安全隐患以及打印成本控制在现有技术环境下的局限性,本发明提供了一种打印数据透明捕获的方法和系统。这种方法和系统对文件打印的全生命周期进行管理,提供多种安全策略支持,构建了一个安全打印的工作环境,适用范围广。这种方法和系统无需额外硬件支持,不改变用户的操作习惯,性价比高。
为达到上述目的,根据本发明的一个方面,所提供的一种打印数据透明捕获的方法包括提供打印安全管理系统,所述提供打印安全管理系统包括:提供服务端和客户端,所述服务端至少包括:用于为打印安全提供基础服务的打印安全管理支撑功能模块、定义打印策略的策略模块和为所述客户端配置打印策略的维护管理模块;所述客户端执行所述打印策略,且所述客户端设有用于对打印进程的API进行控制的钩子程序对打印动作进行判断和做相应处理以控制打印行为。
在一种具体实施方式中,所述钩子程序存放在指定的动态链接库中。
在一种优选的实施方式中,所述服务端进一步包括组织机构模块,所述组织机构模块提供定义公司和部门、新增、删除和修改用户操作。
在一种优选的实施方式中,所述服务器进一步包括统计报表模块,所述统计报表模块统一记录所述客户端的打印行为,根据定义不同打印纸张的单价,按照打印机、用户、部门、时间、打印方式形成报表。
在一种优选的实施方式中,所述服务端还包括用于监控打印机的打印机管理模块,所述打印机管理模块根据日志的反馈更改用户或打印机策略。
在一种优选的实施方式中,所述服务端还包括产品信息模块,所述产品信息模块用于查看打印安全管理软件的注册信息,所述打印管理软件的注册信息包括产品版本、注册号、授权点数、已授权点数以及提供更新授权注册号功能。
在一种优选的实施方式中,所述服务端还包括系统升级模块,所述系统升级模块用于统一下发升级补丁,实现所述客户端的自动升级。
在一种优选的实施方式中,所述客户端包括登录界面,以在开机启动时弹窗输入用户名和密码认证界面,且支持记住密码和自动登录。
在一种优选的实施方式中,所述客户端包括接入控制,在用户未登录时,不允许打印。
在一种优选的实施方式中,打印时调用GDI API时,同时创建一增强型图元文件,所述增强图元文件可转换成图片并上传至所述服务端。
根据本发明的另一方面,提供了一种包括上述服务端和客户端的打印数据透明捕获系统。
在windows系统下,点击打印按钮时,软件会调用windows GDI startdoc()函数,打印每一页时会调用windows GDI startpage(),结束一页调用endpage(),结束打印调用enddoc()等函数,本发明系统的客户端会对这些API进行过滤,当受控的进程调用这些API的时候实际上会执行过滤函数,会对打印动作进行判断和做相应处理,这样保证打印行为得到控制,并且整个文件的打印过程对用户来说都是透明的。
在windows系统下,文件打印时,startdoc()函数开启一个打印任务,在此函数内,可以执行管理员配置的相关打印策略,包括允许打印的文件类型、允许打印时间、允许打印的打印机等。
在windows系统下,文件打印时,都是GDI相关API在打印设备上绘制文字和图形,然后打印驱动程序根据绘制命令在纸张上绘制,本系统通过API 过滤技术截获相关绘图API,在另外一张同纸张相同大小的图元文件上绘制,以获取打印内容,如同快照功能一样,最后以图片形式展示在服务端上,供管理员审阅。
在windows系统下,文件打印时,打印的方式分为彩色打印和黑白打印,windows GDI settextcolor()函数对打印文本内容可以控制打印色彩,对于一些不重要的文档打印,完全可以控制其打印方式为黑白打印,以节约企业打印成本。
水印功能也是打印的一项重要功能,通过水印功能可以区别企业间的文件,防止文件遗失。
从上述方案可以看出,本发明对打印行为可以得到全方位的控制,同时可以得到控制打印成本的效果。打印监控过程对用户透明,不改变用户的操作习惯。使用直观,操作便捷,适用面广。
附图说明
图1为本发明中的打印安全管理系统架构示意图;
图2为Windows消息循环示意图;
图3为打印数据捕获模型示意图。
具体实施方式
本发明所提供的一种打印数据透明捕获的方法包括提供一打印安全管理系统打印安全管理系统,所述提供一打印安全管理系统包括:提供服务端和客户端,所述服务端至少包括:用于为打印安全提供基础服务的打印安全管理支撑功能模块、定义打印策略的策略模块和为所述客户端配置打印策略的维护管理模块;所述客户端执行所述打印策略,且所述客户端设有用于对打印进程的API进行控制的钩子程序对打印动作进行判断和做相应处理以控制打印行为。
本发明中的打印安全管理系统采取服务端和客户端类B/S架构模式,系统架构示意图如图1所示。
企业内部搭建服务端,所有客户的信息,包括计算机信息、用户信息、部门等全部集中在该服务端上,所有信息均为集中管理方式,管理员可以针对不同用户分配不同权限。系统管理员统一指定客户端用户的权限,相应人员分别行使各自权限。
所述服务端可用于监视所有客户端(客户端1-N)的打印行为。具体地,所述服务端包括用于为打印安全提供基础服务的打印安全管理支撑功能模块,提供打印安全系统的基础服务。没有后台服务端的保障,打印安全管理系统则无法运行。所述服务端还包括策略模块,主要是定义打印策略,对打印文件的类型、大小、打印时间和是否记录源文件、打印成本、彩打、省墨、水印等操作进行控制。所述服务端还包括维护管理模块,对授权用户和计算机配置打印策略,观察用户和计算机的使用状态,管理公司组织架构信息。
所述客户端包括执行策略模块,用于执行管理员下发的策略,记录用户的打印行为,上传用户打印的文档至服务端,控制用户允许打印的时间和内容等。此外,所述客户端还设有用于对打印进程的API进行控制的钩子程序对打印动作进行判断和做相应处理以控制打印行为。
本发明一个关键的技术是API过滤技术。所有的Windows应用程序的操作都需要调用系统API函数进行。但现有的API接口并不能满足所有操作的要求,虽然也出现了很多高级编程技术,但某些功能的附加值却无法实现。可以通过拦截相关API的请求进行跳转函数来实现。这个过程涉及到Windows中的钩子技术和API过滤两个方面,将这两方面的技术相结合就是本发明系统所需要的打印过滤模块中所用到的API HOOK技术。
Windows消息挂钩技术:
Windows中一个消息从产生到被处理分为五个步骤,其流程如图2所示。
消息的处理流程如下:
上述步骤中3和4构成了消息系统中最关键的一个部分——消息循环。消息循环往往被认为是Windows应用程序的核心内容,因为消息循环使一个应用程序能够响应外部事件。消息循环的任务是从消息队列中检索相关消息,然后将其分发给相关联的窗口。如果消息队列中不存在这样的消息,Windows就允许其他应用程序去处理它们自己的消息。当有钩子程序存在时,消息被传递给相应窗口的过程前,钩子程序会截获传递给窗口的消息,此时,Windows的消息传递过程会发生很大的改变。
钩子的本质一种特殊的消息处理函数,由系统调用。将钩子挂入系统,可以监视系统进程的各种消息处理。每当消息发出时,相应的钩子程序在这些消息被传递到窗口之前截获它们,这样,钩子程序就获得了消息的控制权,可以对消息进行自己的处理。钩子在Windows消息处理机制中就充当一个监视者的角色。钩子可以监视指定窗口的消息。钩子机制允许钩子程序在当消息到达后截获并处理窗口消息 。
还可以将钩子理解为Windows留给应用程序开发的后门。当程序想控制硬件,例如键盘、鼠标等。Windows系统并不允许用户直接操作硬件。但程序可以通过拦截键盘消息来达到控制键盘的目的,因为Windows是消息驱动。一般的程序都可以控制自己的进程,但想要控制其他进程或者所有进程的消息就必须使用钩子来完成消息的捕获和处理。本系统将钩子处理程序放在指定的DLL(Dynamic Link Library,动态链接库)中,一旦发送与挂钩相关的消息,钩子函数就能够过滤该消息。
常用的钩子按照事件分,主要分为五种类型:
按照钩子的使用范围分可以分为两种:
线程钩子,也称局部钩子,它只对指定线程进行挂钩,截获与指定线程相关的消息。
系统钩子,也称全局钩子,它监听的是系统中所有应用程序的事件消息,因此,钩子函数所在的代码会被注入到系统的每个进程中。有鉴于此,全局钩子的钩子函数必须放在独立的DLL中,这样系统会自动把该DLL注入到所有的进程空间中。
一旦设置了钩子,系统就会建立一个钩子链表。钩子链表是用来存储钩子的指针列表,它的指针指向钩子中的处理函数,即钩子的子程序的回调函数。类似于栈的后进先出的运作过程,最后安装的钩子放在链表中的最顶层,最先安装的则放在链表的最底层,钩子所捕获的消息从表头流向表尾,所以最后加入的钩子优先获得控制权。当与钩子类型相关联的消息发生时,系统则将该消息传到相应的钩子子程序,这些程序中的回调函数会在消息到达窗口之前进行处理。
综上所述,本系统将API过滤模块用DLL来实现,设置全局钩子,对于在相关配置文件中所指定的需要进行过滤的应用软件一旦发送与该全局钩子相关联的信息就过滤模块所在DLL注入,进行API过滤模块中的处理。具体地,设置在客户端的钩子用于截获客户端发出的打印任务,从服务端上获取能否打印的权限(匹配用户的打印策略),并反馈打印信息至服务端。
本发明的服务端还包括组织机构模块,所述组织机构模块提供定义公司和部门、新增、删除和修改用户操作。
本发明的服务端还包括统计报表模块,所述统计报表模块统一记录所述客户端的打印行为,根据定义不同打印纸张的单价,按照打印机、用户、部门、时间、打印方式形成报表。
本发明中的服务端还包括用于监控打印机的打印机管理模块,所述打印机管理模块根据日志的反馈更改用户或打印机策略。
本发明的服务端还包括产品信息模块,所述产品信息模块用于查看打印安全管理软件的注册信息,所述打印管理软件的注册信息包括产品版本、注册号、授权点数、已授权点数以及提供更新授权注册号功能。
本发明的服务端还包括系统升级模块,所述系统升级模块用于统一下发升级补丁,实现所述客户端的自动升级。
作为优选,本发明的客户端包括登录界面,以在开机启动时弹窗输入用户名和密码认证界面,且支持记住密码和自动登录。
作为优选,本发明的客户端包括接入控制,在用户未登录时,不允许打印。
本发明还采用了打印数据捕获技术。在windows系统中典型的有三种打印流程:利用原始假脱机文件的打印流程、利用增强型图元文件(EMF)的打印流程以及直接打印流程。
不管应用软件采用何种打印,在打印时都会调用GDI相关函数在相关设备文件上绘制。利用windows的打印机制,结合上述API HOOK技术,当应用软件调用GDI API时,同时创建一个的增强型图元文件,当应用软件向打印设备绘制命令时,同时在创建的图元文件上绘制相同的命令。
因为EMF类型的文件本身不包含打印文档的具体内容,它的内容是记录应用程序调用GDI绘制函数的操作过程,这使得打印过程很快,同时EMF是和具体打印设备无关的。
生成的EMF文件通过其它形式转换成图片,最终上传到服务端,这样就如同拍照一样,将打印的文档记录下来。
以上所描述的仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。因此,本发明的保护范围当视权利要求书所界定者为准。
Claims (10)
1.一种打印数据透明捕获的方法,包括提供一种打印安全管理系统,所述提供一种打印安全管理系统包括:提供服务端和客户端,所述服务端至少包括:用于为打印安全提供基础服务的打印安全管理支撑功能模块、定义打印策略的策略模块和为所述客户端配置打印策略的维护管理模块;所述客户端执行所述打印策略,且所述客户端设有用于对打印进程的API进行控制的钩子程序对打印动作进行判断和做相应处理以控制打印行为。
2.根据权利要求1所述的打印数据透明捕获的方法,所述钩子程序存放在指定的动态链接库中。
3.根据权利要求1所述的打印数据透明捕获的方法,所述服务端进一步包括组织机构模块,所述组织机构模块提供定义公司和部门、新增、删除和修改用户操作。
4.根据权利要求3所述的打印数据透明捕获的方法,所述服务端进一步包括统计报表模块,所述统计报表模块统一记录所述客户端的打印行为,根据定义不同打印纸张的单价,按照打印机、用户、部门、时间、打印方式形成报表。
5.根据权利要求1所述的打印数据透明捕获的方法,所述服务端还包括用于监控打印机的打印机管理模块,所述打印机管理模块根据日志的反馈更改用户或打印机策略。
6.根据权利要求1所述的打印数据透明捕获的方法,所述服务端还包括产品信息模块,所述产品信息模块用于查看打印安全管理软件的注册信息,包括产品版本、注册号、授权点数、已授权点数以及提供更新授权注册号功能。
7.根据权利要求1所述的打印数据透明捕获的方法,所述服务端还包括系统升级模块,所述系统升级模块用于统一下发升级补丁,实现所述客户端的自动升级。
8.根据权利要求1所述的打印数据透明捕获的方法,所述客户端包括登录界面,开机启动时弹出登录窗口,输入用户名和密码认证界面,且支持记住密码和自动登录功能。
9.根据权利要求1所述的打印数据透明捕获的方法,所述客户端包括接入控制,在用户未登录时,不允许打印。
10.根据权利要求1所述的打印数据透明捕获的方法,其特征在于,打印时调用GDI API时,同时创建增强型图元文件,所述增强图元文件可转换成图片并上传至所述服务端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310575776.1A CN103605487A (zh) | 2013-11-18 | 2013-11-18 | 一种打印数据透明捕获的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310575776.1A CN103605487A (zh) | 2013-11-18 | 2013-11-18 | 一种打印数据透明捕获的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103605487A true CN103605487A (zh) | 2014-02-26 |
Family
ID=50123719
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310575776.1A Pending CN103605487A (zh) | 2013-11-18 | 2013-11-18 | 一种打印数据透明捕获的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103605487A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105630433A (zh) * | 2015-12-24 | 2016-06-01 | 北京奇虎科技有限公司 | 基于局域网的打印控制方法和装置 |
CN107402728A (zh) * | 2016-05-19 | 2017-11-28 | 北大方正集团有限公司 | 一种文件打印方法及系统 |
CN108646988A (zh) * | 2018-03-20 | 2018-10-12 | 北京明朝万达科技股份有限公司 | 文档打印方法和系统 |
CN109388352A (zh) * | 2017-10-24 | 2019-02-26 | 浙江华途信息安全技术股份有限公司 | 打印水印方法及系统 |
CN110955393A (zh) * | 2018-09-27 | 2020-04-03 | 长沙博为软件技术股份有限公司 | 一种基于虚拟打印的医疗数据采集方法及系统 |
WO2020073267A1 (en) * | 2018-10-11 | 2020-04-16 | Entit Software Llc | Asymmetric-man-in-the-middle capture based application sharing protocol traffic recordation |
CN113641312A (zh) * | 2021-08-11 | 2021-11-12 | 北京天空卫士网络安全技术有限公司 | 一种文件打印方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101453327A (zh) * | 2007-11-29 | 2009-06-10 | 北京鼎信高科信息技术有限公司 | 一种信息防泄密系统 |
CN102509032A (zh) * | 2011-09-23 | 2012-06-20 | 国网电力科学研究院 | 一种基于Windows底层驱动的打印安全监控系统实现方法 |
CN102799440A (zh) * | 2012-07-24 | 2012-11-28 | 深圳市深信服电子科技有限公司 | 一种Windows系统下的打印审计方法和系统 |
-
2013
- 2013-11-18 CN CN201310575776.1A patent/CN103605487A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101453327A (zh) * | 2007-11-29 | 2009-06-10 | 北京鼎信高科信息技术有限公司 | 一种信息防泄密系统 |
CN102509032A (zh) * | 2011-09-23 | 2012-06-20 | 国网电力科学研究院 | 一种基于Windows底层驱动的打印安全监控系统实现方法 |
CN102799440A (zh) * | 2012-07-24 | 2012-11-28 | 深圳市深信服电子科技有限公司 | 一种Windows系统下的打印审计方法和系统 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105630433A (zh) * | 2015-12-24 | 2016-06-01 | 北京奇虎科技有限公司 | 基于局域网的打印控制方法和装置 |
CN107402728A (zh) * | 2016-05-19 | 2017-11-28 | 北大方正集团有限公司 | 一种文件打印方法及系统 |
CN109388352A (zh) * | 2017-10-24 | 2019-02-26 | 浙江华途信息安全技术股份有限公司 | 打印水印方法及系统 |
CN108646988A (zh) * | 2018-03-20 | 2018-10-12 | 北京明朝万达科技股份有限公司 | 文档打印方法和系统 |
CN110955393A (zh) * | 2018-09-27 | 2020-04-03 | 长沙博为软件技术股份有限公司 | 一种基于虚拟打印的医疗数据采集方法及系统 |
WO2020073267A1 (en) * | 2018-10-11 | 2020-04-16 | Entit Software Llc | Asymmetric-man-in-the-middle capture based application sharing protocol traffic recordation |
US11956275B2 (en) | 2018-10-11 | 2024-04-09 | Micro Focus Llc | Asymmetric-man-in-the-middle capture based application sharing protocol traffic recordation |
CN113641312A (zh) * | 2021-08-11 | 2021-11-12 | 北京天空卫士网络安全技术有限公司 | 一种文件打印方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103605487A (zh) | 一种打印数据透明捕获的方法 | |
JP7213334B2 (ja) | ブロックチェーンに基づく全生存期間におけるプレハブ部材の品質追跡方法とシステム | |
US10735964B2 (en) | Associating services to perimeters | |
US6070244A (en) | Computer network security management system | |
AU2015312382B2 (en) | Systems and methods for network analysis and reporting | |
CN104008330B (zh) | 基于文件集中存储及隔离技术的数据防泄漏系统及其方法 | |
CA2725274C (en) | Monitoring and tracking application usage | |
CN105243321B (zh) | 一种基于容器虚拟化技术的密码机、实现及工作方法 | |
US20060123101A1 (en) | Application instrumentation and monitoring | |
DE112015004555T5 (de) | Verarbeiten eines Gast-Ereignisses in einem von einem Hypervisor gesteuerten System | |
WO2012089109A1 (zh) | 一种文档打印管控与文档溯源追踪的方法和系统 | |
CN104484612A (zh) | 一种用于远程桌面应用中的敏感信息屏蔽方法及系统 | |
CN101520831A (zh) | 安全终端系统及终端安全方法 | |
DE202013012500U1 (de) | Systemübergreifende Installation von Online-Applikationen | |
DE112011102224B4 (de) | Identitätsvermittlung zwischen Client- und Server-Anwendungen | |
CN101320414A (zh) | 电子文件信息安全控管系统及其方法 | |
EP3152874B1 (de) | Routing-verfahren zur weiterleitung von task-anweisungen zwischen computersystemen, computernetz-infrastruktur sowie computerporgamm-produkt | |
CN114650170B (zh) | 跨集群资源管理方法、装置、设备和存储介质 | |
WO2017114210A1 (zh) | 一种数据处理系统的安全控制装置及方法 | |
CN107967166A (zh) | 一种云环境下遥感图像处理服务流实现方法 | |
DE102015208665B4 (de) | Verfahren und System zum Implementieren eines sicheren Sperrbildschirms | |
US11379416B1 (en) | Systems and methods for common data ingestion | |
US20110289548A1 (en) | Guard Computer and a System for Connecting an External Device to a Physical Computer Network | |
DE102021108971A1 (de) | Steuerung des zugriffs auf periphere anschlüsse eines host-rechnersystems | |
CN115208689A (zh) | 基于零信任的访问控制方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140226 |