別讓打印機成為網(wǎng)絡(luò)安全體系中的薄弱環(huán)節(jié)

網(wǎng)絡(luò)打印機或者復印機很可能承擔著相當重要的安全使命。沒錯，畢竟這些設(shè)備會經(jīng)常接觸到我們的敏感文件及資料，而且它們還一直與網(wǎng)絡(luò)中的其它計算機彼此連通——因此如果大家不希望遭受黑客的襲擊，那么認真對待打印機安全問題無疑是我們最明智的應(yīng)對方案。

構(gòu)造簡單的打印機比較常見，我們在家庭辦公環(huán)境中也用得最多。一般來說這類型號的設(shè)備都不提供內(nèi)部存儲功能，例如Web界面等，因此它們的安全漏洞也相對較少。相比之下，企業(yè)級多功能打印機及復印機則面臨著更為嚴峻的安全威脅，因為它們普遍擁有獨立的硬盤驅(qū)動器、操作系統(tǒng)并且直接與網(wǎng)絡(luò)相連。

在本文中，我將與大家共同討論打印機的安全問題，以及如何妥善加以處理。希望各位朋友能通過閱讀本文發(fā)現(xiàn)有指導意義的心得，并在保護現(xiàn)有設(shè)備及購買新打印機的時候?qū)⒁韵聴l目作為參考意見。

打印機的威脅

打印機面臨的威脅及漏洞主要分為五大類：

文件竊取或非法閱讀: 任何人都能順手拿起打印機上的文件看上幾分鐘，而這種現(xiàn)象對于資料高度敏感的企業(yè)而言無疑是相當危險的。

對設(shè)備設(shè)定的隨意更改: 如果我們對打印機的固有設(shè)定及控制機制未加保護，那么很可能有人無意或者故意修改并重新打印最近內(nèi)容、打開保存在設(shè)備中的文件副本或者將打印機重置為出廠默認設(shè)置——如此一來我們將無法了解到整個過程中發(fā)生了什么。

內(nèi)部存儲器中的文件副本: 如果大家的打印機擁有內(nèi)部存儲驅(qū)動器，那么我們所有執(zhí)行過的打印、掃描、復印及傳真等操作內(nèi)容都會被保存在其中。在這種情況下，一旦設(shè)備失竊或者被不慎丟棄，那么所有尚未被清除的數(shù)據(jù)都將成為我們的大麻煩；因為惡意人士能夠輕松地從中恢復那些存儲文件的副本。

竊取網(wǎng)絡(luò)中的打印信息: 黑客能夠監(jiān)控網(wǎng)絡(luò)中的流量，并從中捕獲并抽取出我們從計算機向打印機發(fā)出的文件內(nèi)容。

通過網(wǎng)絡(luò)或互聯(lián)網(wǎng)發(fā)起的打印機入侵: 只要處于同一內(nèi)網(wǎng)環(huán)境下，入侵連入網(wǎng)絡(luò)的打印機簡直易如反掌，尤其是對于那些缺乏新型安全功能或者密碼保護的舊機型而言。

不過需要注意的是，來自內(nèi)網(wǎng)的攻擊還只是惡意活動的一小部分。如果我們的打印機能夠通過互聯(lián)網(wǎng)進行訪問，那么潛在的安全威脅幾乎是無窮無盡的。攻擊者可以向打印機發(fā)送異常打印指令、利用打印機發(fā)送傳真、改變其液晶屏讀數(shù)、變更固有設(shè)置、發(fā)動拒絕服務(wù)攻擊、將設(shè)備鎖定甚至對設(shè)備內(nèi)保存著的文件進行檢索。他們甚至能夠通過對打印機安裝惡意軟件來對其進行遠程控制或者訪問。

打印機的物理安全保護

提升打印機的物理安全性能夠幫助我們預(yù)防文件失竊或非法閱讀、存儲文件受到非法訪問以及打印機自身以太網(wǎng)或USB連接濫用等危險。其實打印機的擺放位置也是有學問的，我們應(yīng)該從方便與安全兩個角度進行思考。最好是把它們放在大多數(shù)工作人員的眼皮底下，千萬不要將其置于單獨的房間或辦公室當中，因為這樣一來我們就無法對使用者開展監(jiān)控。另外，一定要盡量為管理層及其它敏感部門分配單獨的打印機，并保證設(shè)備遠離其他員工的活動范圍。

當然也可以考慮購買支持驗證機制的打印機，強制要求使用者在打印之前提供某種形式的身份證明（例如PIN碼）。

可絕對不要忽視文件副本，在使用過之后第一時間將這些敏感文件粉碎處理。

利用密碼保護自己的打印機

如果大家使用的是商用或者企業(yè)級打印機，那么它應(yīng)該是擁有某種形式的管理員操作面板。我們可以通過Web瀏覽器、打印機自身屏幕或者個人計算機中的命令行來訪問該管理系統(tǒng)。大多數(shù)此類打印機都允許我們設(shè)置密碼，以防止其他人在我們不知情的前提下更改控制面板中的設(shè)置。請在實際使用前認真閱讀隨機附帶的說明書，以了解密碼的具體設(shè)置方法。

保障網(wǎng)絡(luò)中打印流量的安全性

單憑一套密碼肯定是攔不住黑客們的，因為當我們輸入管理員密碼并向打印機端發(fā)出請求時，惡意人士很可能在傳輸過程中就把密碼內(nèi)容（常常未經(jīng)加密）給攔截下來了。這樣一來他們就獲得了同樣的打印機管理權(quán)限。

為了避免這種情況的發(fā)生，我們應(yīng)該首先確認自己的打印機或者打印服務(wù)器是否支持密碼加密，如果支持就必須通過加密連接來訪問控制面板。例如，在通過Web瀏覽器訪問控制面板接口時，我們應(yīng)該使用以“https://”開頭的地址（使用SSL加密），而不要隨便使用普通的“http://”連接。如果需要通過命令行進行訪問，我們應(yīng)使用加密的SSH而不要用明文Telnet會話。如果大家的打印機在購買時還附帶一套管理軟件，那么別忘了看看它是否支持加密連接。

為了進一步與黑客活動展開斗爭，我們還需要利用ACL（即訪問控制列表）支持或者其它類似功能對打印機進行檢查，以確定哪些人可以使用或者管理該設(shè)備。請注意千萬不要將我們的打印機Web接口（或者任何其它管理員接口）向互聯(lián)網(wǎng)開放，以避免惡意人士通過網(wǎng)絡(luò)搜索并試圖破解我們的打印機。另外網(wǎng)絡(luò)防火墻也應(yīng)該提供足夠的保護——不過這一點一般不成問題，除非特殊設(shè)置，否則打印機訪問絕不會默認開啟。如果大家的打印機支持互聯(lián)網(wǎng)打印協(xié)議（簡稱IPP）、FTP打印任務(wù)或者任何其它通過互聯(lián)網(wǎng)實現(xiàn)的打印功能，請盡量禁用掉（除非出于業(yè)務(wù)必要）。

如果大家的打印機或者打印服務(wù)器使用SNMP（這是一種用于管理及監(jiān)控網(wǎng)絡(luò)設(shè)備的協(xié)議）進行通訊（例如惠普的JetDirect系列產(chǎn)品），請別忘了將默認的SNMP小組名稱改成強度較高的密碼，以防止可能出現(xiàn)的密碼泄露、破解以及其它攻擊活動。另外，一定盡可能地使用SNMPv3，這款新版本包含了驗證及加密等多項附加安全功能，保護手段更為有力。

保護網(wǎng)絡(luò)中的打印機用戶流量

為了防止網(wǎng)絡(luò)用戶的打印任務(wù)在向打印機傳輸?shù)耐局斜粩r截，我們首先要確定自己的打印機或者打印服務(wù)器是否支持與網(wǎng)絡(luò)計算機之間的加密連接。某些打印機會使用SSL/TLS、IPsec以及其它類型的加密機制。

檢查打印機的附帶說明書，并向經(jīng)銷商咨詢我們所使用的這款產(chǎn)品是否支持加密，或者說我們是否能夠為其購買額外的硬件或軟件來實現(xiàn)加密功能。

及時對打印機進行更新與升級

請大家確保自己所使用的打印機擁有最新的固件與驅(qū)動程序。通常情況下，這些更新及升級內(nèi)容都會提升安全性甚至帶來新的安全功能、修補已知安全漏洞并解決其它一些常見問題。

如何丟棄舊打印機

在徹底丟棄陳舊或破損打印機之前，務(wù)必確保其內(nèi)部硬盤驅(qū)動器（如果有的話）中沒有保存任何文件。查看打印機說明書或者向制造商咨詢，以確定該機型是否擁有存儲驅(qū)動器——如果有的話，了解如何刪除數(shù)據(jù)。另外，如果我們能夠輕松卸下該驅(qū)動器的話，也不妨將它連入計算機，并通過特殊的方式抹除信息，使所有內(nèi)容都無法被恢復。

網(wǎng)絡(luò)安全還需更進一步

要想徹底保障打印機的安全，我們需要從擺放位置、密碼保護、加密機制以及補丁更新等多個方面嚴防死守。不過要真正做到萬無一失，還是得多從網(wǎng)絡(luò)角度找找原因。希望大家能夠通過自身實踐找到最科學的安保方案，并真正為企業(yè)業(yè)務(wù)的騰飛保駕護航。

【本文轉(zhuǎn)自安庫網(wǎng)http://www.csochinese.com/】

【推薦閱讀】

◆IT運維管理專區(qū)

◆網(wǎng)絡(luò)安全管理要警惕九種“人”

◆網(wǎng)絡(luò)安全管理十大注意事項

◆IT運維管理：企業(yè)網(wǎng)絡(luò)安全的研究措施

◆網(wǎng)管軟件專區(qū)