文/张怿 王伟聪 黄智

0 引言

打印机、复印机是办公过程中的重要设备，广泛应用在各个领域。在中国市场，仅A3幅面办公用打印机、复印机保有量就有约400万台，每年更新约80万台，其中用于党、政、军办公环节以及各级涉密部门约占总量的40%，即160万台，每年更新32万台。全球打印复印机的主要品牌仅10余个，其中美国品牌1个，英国、荷兰品牌各1个（均已被日本企业并购），中国台湾品牌1个（代工生产日本产品），其余均为日本品牌，生产核心技术主要被外国垄断，这使得中国党政军各级部门在文件输出环节的安全隐患巨大。为此，中国军方曾经二度花费巨资进行文印输出管控方式的标准制定以及推广，国家保密及机要系统也投入专项资金对普通打印复印机进行安全增强研制。但这些只是防范性措施，如果某些国家通过在打印复印机内植入程序、预留后门，我们使用其技术品牌的打印复印机会造成巨大的信息泄密，造成难以估量的损失；同时，由于我们没有完全知识产权，无法加解密要打印或复印的绝密文件，所有的防范措施只能从外围着手，事倍功半。

1 打印复印系统面临的安全风险隐患

中高端打印复印机通常是通过网络共享使用的，网络上如果有某非常规接收节点，不论是否连接因特网，都有可能造成信息泄露。更不要说还有少部分信息安全意识差的涉密单位，还会与打印复印机共用根服务器基本在国外的因特网，将造成更大的网络泄密风险。

2 打印复印机的安全可信管控系统设计

本研究针对系统级芯片（SoC）打印复印机研制一套基于安全可信技术的管控系统，通过基于自主可控的加、解密技术，控制芯片嵌入SM2、SM3和SM4国产密码算法，可以实现在电脑端加密，然后到打印复印端解密的工作方式，从根本上解决中高端打印复印机需要网络共享却又容易因网络泄密的问题。

安全可信管控系统的核心子系统中安全监控逻辑结构、物理监控结构、存储客户端警报结构、TCP发送接口数据结构、系统容错处理等系统组成。

2.1 安全监控逻辑结构设计

互联网报警信息一方面要保证有足够的证据确定发生违规行为的单位和终端，另一方面要收集相关的外联通道信息，帮助违规单位分析原因、提高涉密网络管理水平，因此，互联网报警信息应当包含终端纪录信息、配置管理信息和网址索引信息，见表1至表3。

表1 互联网报警终端记录信息

表1 （续）

表2 互联网报警配置管理信息

表3 互联网报警网址索引信息

2.2 物理监控结构设计

该模块针对系统敏感信息进行监控，对输入和输出文件进行加、解密和追踪。

错误配置文件：err.conf g [errCode:errString]

错误头文件：err.h [enum{errExp= errCode,...}]

程序目录结构：

--plugin 存放第三方分析程序。

--save.conf g 保存设置。

--secret.db 敏感信息库。

--Servs.OutStream.Mapping IPC 文件映射通信

读取、服务端[供第三方读取任务]

--Client.InStream.Mapping IPC 文件映射通信写

入。服务端[第三方写入任务进度]

--{TASK_PATH} ask.conf g 任务设置。

--{TASK_PATH}secret 已涉及敏感信息网页。

--{TASK_PATH}secret eport.log 敏感信息网页

报告。

--{TASK_PATH}anaylse_res 第三方分析结果。

--{TASK_PATH}anaylse_res{URI_NAME}.anay

lse.res 每个资源的分析结果。

--{TASK_PATH}index.idx 任务索引。

--{TASK_PATH}{WEB_PAGE_NAME_MD5} 资

源目录。

--{TASK_PATH}{WEB_PAGE_NAME_

MD5}uri.idx 网络资源名-本地文件名对应

索引。

2.3 存储客户端警报的结构设计

该数据结构主要用于警报解码后进行填充，然后将填充好数据传入组包模块。组包模块将利用该数据结构组包。

struct ClientInfo

{

TCHAR name[101]; //主机名

CHAR ZoneCode[16]; //地区编码

CHAR UnitName[128]; //单位名

CHAR Dept[48]; //部门

CHAR UserName[101]; //用户名

ULONGLONG MAC[3]; //本机MAC地址

ULONG hip[3]; //本机IP

CHAR OS[51]; //操作系统信息

CHAR MasterCode[51]; //主板编码

CHAR HDCode[256]; // m_HDCode[256];

CHAR ver[21]; //客户端程序Ver

TCHAR TranName[101]; //转发服务器名

ULONG TranIp; //被转发的IP

TCHAR TranTime[101]; //转发的时间

}

2.4 TCP发送接口数据结构设计

为保证数据传输质量，特独立创建线程进行通信。但线程函数只能传输一个参数，所以创建一个结构体，把必要信息一起传进去。

struct TCPSendInfo

{

SOCKADDR_IN Addr; //TCP发送的目的

IP 地址

char Data[2014]; //TCP 发送的数据

UINT Size; //发送数据的大小

}

2.5 系统容错处理设计

（1）出错信息

针对系统稳定性进行容错处理设计，首先将出错信息进行分类如表4所示，对常见的问题实施预处理，非常规问题应有补救措施，系统定期进行维护。

（2）补救措施

说明故障出现后可能采取的变通措施，包括：

a. 索引[数据]设备出现故障后，应立即使用后备数据；

b. 当应用程序出现错误应该能自动重启，接着上次未完成任务继续。

表4 打印复印机管理系统常见问题与处理方法

（3）系统维护

● 出错重启动

在程序运行时向系统服务控制器写入保护请求，在程序正常关闭时关闭保护请求。这样，如果在程序异常退出时，则系统会重新启动程序。

● 断点续传

程序在维护日期写入程序运行日志，直到程序关闭为止。如果在程序重新启动之后发现程序没有正常关闭，则会读取日志，完成未完成的任务。

3 总结

目前国产打印复印机存在低效且容易因网络共享造成信息泄露等问题，本研究通过研制基于安全可信技术的打印复印机管控系统，能够很好地填补我国相关技术空白并解决以上问题。采用离线双向秘钥互补加、解密算法，弥补了现有打印数据容易发生传输窃取泄密的缺陷；结合SoC芯片动态自调试与身份匹配，从而实现打印复印机在任一场景下做到系统安全可信。