別讓打印機(jī)成為網(wǎng)絡(luò)安全體系中的薄弱環(huán)節(jié)

網(wǎng)絡(luò)打印機(jī)或者復(fù)印機(jī)很可能承擔(dān)著相當(dāng)重要的安全使命。沒錯(cuò)，畢竟這些設(shè)備會(huì)經(jīng)常接觸到我們的敏感文件及資料，而且它們還一直與網(wǎng)絡(luò)中的其它計(jì)算機(jī)彼此連通——因此如果大家不希望遭受黑客的襲擊，那么認(rèn)真對待打印機(jī)安全問題無疑是我們最明智的應(yīng)對方案。

構(gòu)造簡單的打印機(jī)比較常見，我們在家庭辦公環(huán)境中也用得最多。一般來說這類型號的設(shè)備都不提供內(nèi)部存儲(chǔ)功能，例如Web界面等，因此它們的安全漏洞也相對較少。相比之下，企業(yè)級多功能打印機(jī)及復(fù)印機(jī)則面臨著更為嚴(yán)峻的安全威脅，因?yàn)樗鼈兤毡閾碛歇?dú)立的硬盤驅(qū)動(dòng)器、操作系統(tǒng)并且直接與網(wǎng)絡(luò)相連。

在本文中，我將與大家共同討論打印機(jī)的安全問題，以及如何妥善加以處理。希望各位朋友能通過閱讀本文發(fā)現(xiàn)有指導(dǎo)意義的心得，并在保護(hù)現(xiàn)有設(shè)備及購買新打印機(jī)的時(shí)候?qū)⒁韵聴l目作為參考意見。

打印機(jī)的威脅

打印機(jī)面臨的威脅及漏洞主要分為五大類：

文件竊取或非法閱讀: 任何人都能順手拿起打印機(jī)上的文件看上幾分鐘，而這種現(xiàn)象對于資料高度敏感的企業(yè)而言無疑是相當(dāng)危險(xiǎn)的。

對設(shè)備設(shè)定的隨意更改: 如果我們對打印機(jī)的固有設(shè)定及控制機(jī)制未加保護(hù)，那么很可能有人無意或者故意修改并重新打印最近內(nèi)容、打開保存在設(shè)備中的文件副本或者將打印機(jī)重置為出廠默認(rèn)設(shè)置——如此一來我們將無法了解到整個(gè)過程中發(fā)生了什么。

內(nèi)部存儲(chǔ)器中的文件副本: 如果大家的打印機(jī)擁有內(nèi)部存儲(chǔ)驅(qū)動(dòng)器，那么我們所有執(zhí)行過的打印、掃描、復(fù)印及傳真等操作內(nèi)容都會(huì)被保存在其中。在這種情況下，一旦設(shè)備失竊或者被不慎丟棄，那么所有尚未被清除的數(shù)據(jù)都將成為我們的大麻煩；因?yàn)閻阂馊耸磕軌蜉p松地從中恢復(fù)那些存儲(chǔ)文件的副本。

竊取網(wǎng)絡(luò)中的打印信息: 黑客能夠監(jiān)控網(wǎng)絡(luò)中的流量，并從中捕獲并抽取出我們從計(jì)算機(jī)向打印機(jī)發(fā)出的文件內(nèi)容。

通過網(wǎng)絡(luò)或互聯(lián)網(wǎng)發(fā)起的打印機(jī)入侵: 只要處于同一內(nèi)網(wǎng)環(huán)境下，入侵連入網(wǎng)絡(luò)的打印機(jī)簡直易如反掌，尤其是對于那些缺乏新型安全功能或者密碼保護(hù)的舊機(jī)型而言。

不過需要注意的是，來自內(nèi)網(wǎng)的攻擊還只是惡意活動(dòng)的一小部分。如果我們的打印機(jī)能夠通過互聯(lián)網(wǎng)進(jìn)行訪問，那么潛在的安全威脅幾乎是無窮無盡的。攻擊者可以向打印機(jī)發(fā)送異常打印指令、利用打印機(jī)發(fā)送傳真、改變其液晶屏讀數(shù)、變更固有設(shè)置、發(fā)動(dòng)拒絕服務(wù)攻擊、將設(shè)備鎖定甚至對設(shè)備內(nèi)保存著的文件進(jìn)行檢索。他們甚至能夠通過對打印機(jī)安裝惡意軟件來對其進(jìn)行遠(yuǎn)程控制或者訪問。

打印機(jī)的物理安全保護(hù)

提升打印機(jī)的物理安全性能夠幫助我們預(yù)防文件失竊或非法閱讀、存儲(chǔ)文件受到非法訪問以及打印機(jī)自身以太網(wǎng)或USB連接濫用等危險(xiǎn)。其實(shí)打印機(jī)的擺放位置也是有學(xué)問的，我們應(yīng)該從方便與安全兩個(gè)角度進(jìn)行思考。最好是把它們放在大多數(shù)工作人員的眼皮底下，千萬不要將其置于單獨(dú)的房間或辦公室當(dāng)中，因?yàn)檫@樣一來我們就無法對使用者開展監(jiān)控。另外，一定要盡量為管理層及其它敏感部門分配單獨(dú)的打印機(jī)，并保證設(shè)備遠(yuǎn)離其他員工的活動(dòng)范圍。

當(dāng)然也可以考慮購買支持驗(yàn)證機(jī)制的打印機(jī)，強(qiáng)制要求使用者在打印之前提供某種形式的身份證明（例如PIN碼）。

可絕對不要忽視文件副本，在使用過之后第一時(shí)間將這些敏感文件粉碎處理。

利用密碼保護(hù)自己的打印機(jī)

如果大家使用的是商用或者企業(yè)級打印機(jī)，那么它應(yīng)該是擁有某種形式的管理員操作面板。我們可以通過Web瀏覽器、打印機(jī)自身屏幕或者個(gè)人計(jì)算機(jī)中的命令行來訪問該管理系統(tǒng)。大多數(shù)此類打印機(jī)都允許我們設(shè)置密碼，以防止其他人在我們不知情的前提下更改控制面板中的設(shè)置。請?jiān)趯?shí)際使用前認(rèn)真閱讀隨機(jī)附帶的說明書，以了解密碼的具體設(shè)置方法。

保障網(wǎng)絡(luò)中打印流量的安全性

單憑一套密碼肯定是攔不住黑客們的，因?yàn)楫?dāng)我們輸入管理員密碼并向打印機(jī)端發(fā)出請求時(shí)，惡意人士很可能在傳輸過程中就把密碼內(nèi)容（常常未經(jīng)加密）給攔截下來了。這樣一來他們就獲得了同樣的打印機(jī)管理權(quán)限。

為了避免這種情況的發(fā)生，我們應(yīng)該首先確認(rèn)自己的打印機(jī)或者打印服務(wù)器是否支持密碼加密，如果支持就必須通過加密連接來訪問控制面板。例如，在通過Web瀏覽器訪問控制面板接口時(shí)，我們應(yīng)該使用以“https://”開頭的地址（使用SSL加密），而不要隨便使用普通的“http://”連接。如果需要通過命令行進(jìn)行訪問，我們應(yīng)使用加密的SSH而不要用明文Telnet會(huì)話。如果大家的打印機(jī)在購買時(shí)還附帶一套管理軟件，那么別忘了看看它是否支持加密連接。

為了進(jìn)一步與黑客活動(dòng)展開斗爭，我們還需要利用ACL（即訪問控制列表）支持或者其它類似功能對打印機(jī)進(jìn)行檢查，以確定哪些人可以使用或者管理該設(shè)備。請注意千萬不要將我們的打印機(jī)Web接口（或者任何其它管理員接口）向互聯(lián)網(wǎng)開放，以避免惡意人士通過網(wǎng)絡(luò)搜索并試圖破解我們的打印機(jī)。另外網(wǎng)絡(luò)防火墻也應(yīng)該提供足夠的保護(hù)——不過這一點(diǎn)一般不成問題，除非特殊設(shè)置，否則打印機(jī)訪問絕不會(huì)默認(rèn)開啟。如果大家的打印機(jī)支持互聯(lián)網(wǎng)打印協(xié)議（簡稱IPP）、FTP打印任務(wù)或者任何其它通過互聯(lián)網(wǎng)實(shí)現(xiàn)的打印功能，請盡量禁用掉（除非出于業(yè)務(wù)必要）。

如果大家的打印機(jī)或者打印服務(wù)器使用SNMP（這是一種用于管理及監(jiān)控網(wǎng)絡(luò)設(shè)備的協(xié)議）進(jìn)行通訊（例如惠普的JetDirect系列產(chǎn)品），請別忘了將默認(rèn)的SNMP小組名稱改成強(qiáng)度較高的密碼，以防止可能出現(xiàn)的密碼泄露、破解以及其它攻擊活動(dòng)。另外，一定盡可能地使用SNMPv3，這款新版本包含了驗(yàn)證及加密等多項(xiàng)附加安全功能，保護(hù)手段更為有力。

保護(hù)網(wǎng)絡(luò)中的打印機(jī)用戶流量

為了防止網(wǎng)絡(luò)用戶的打印任務(wù)在向打印機(jī)傳輸?shù)耐局斜粩r截，我們首先要確定自己的打印機(jī)或者打印服務(wù)器是否支持與網(wǎng)絡(luò)計(jì)算機(jī)之間的加密連接。某些打印機(jī)會(huì)使用SSL/TLS、IPsec以及其它類型的加密機(jī)制。

檢查打印機(jī)的附帶說明書，并向經(jīng)銷商咨詢我們所使用的這款產(chǎn)品是否支持加密，或者說我們是否能夠?yàn)槠滟徺I額外的硬件或軟件來實(shí)現(xiàn)加密功能。

及時(shí)對打印機(jī)進(jìn)行更新與升級

請大家確保自己所使用的打印機(jī)擁有最新的固件與驅(qū)動(dòng)程序。通常情況下，這些更新及升級內(nèi)容都會(huì)提升安全性甚至帶來新的安全功能、修補(bǔ)已知安全漏洞并解決其它一些常見問題。

如何丟棄舊打印機(jī)

在徹底丟棄陳舊或破損打印機(jī)之前，務(wù)必確保其內(nèi)部硬盤驅(qū)動(dòng)器（如果有的話）中沒有保存任何文件。查看打印機(jī)說明書或者向制造商咨詢，以確定該機(jī)型是否擁有存儲(chǔ)驅(qū)動(dòng)器——如果有的話，了解如何刪除數(shù)據(jù)。另外，如果我們能夠輕松卸下該驅(qū)動(dòng)器的話，也不妨將它連入計(jì)算機(jī)，并通過特殊的方式抹除信息，使所有內(nèi)容都無法被恢復(fù)。

網(wǎng)絡(luò)安全還需更進(jìn)一步

要想徹底保障打印機(jī)的安全，我們需要從擺放位置、密碼保護(hù)、加密機(jī)制以及補(bǔ)丁更新等多個(gè)方面嚴(yán)防死守。不過要真正做到萬無一失，還是得多從網(wǎng)絡(luò)角度找找原因。希望大家能夠通過自身實(shí)踐找到最科學(xué)的安保方案，并真正為企業(yè)業(yè)務(wù)的騰飛保駕護(hù)航。

【本文轉(zhuǎn)自安庫網(wǎng)http://www.csochinese.com/】

【推薦閱讀】

◆IT運(yùn)維管理專區(qū)

◆網(wǎng)絡(luò)安全管理要警惕九種“人”

◆網(wǎng)絡(luò)安全管理十大注意事項(xiàng)

◆IT運(yùn)維管理：企業(yè)網(wǎng)絡(luò)安全的研究措施

◆網(wǎng)管軟件專區(qū)