網(wǎng)絡(luò)打印機(jī)和復(fù)印機(jī)在很多企業(yè)中都是薄弱環(huán)節(jié)�,除了安全企業(yè)。
長期以來對微軟的抱怨是因?yàn)樗詭Я颂嗟墓δ埽虼司陀兄嗟陌踩┒础?一個帶有啞終端(dumb terminals)的主機(jī)��,從另一方面來說����,受到的攻擊會少得多。 但是安全經(jīng)理現(xiàn)在需要注意另一個進(jìn)入他們網(wǎng)絡(luò)的途徑:那就是通常帶有互聯(lián)網(wǎng)訪問功能的智能���、多功能打印機(jī)���。
“這個技術(shù)復(fù)雜多了,特別是那些多功能的產(chǎn)品會提高各種威脅的數(shù)量���,”Gartner的分析師Ken Weilerstein說�。
IT安全人員因此需要小心這些設(shè)備所帶來的威脅�,并且采取一些戰(zhàn)略來把可能受到的攻擊最小化。
“最大的錯誤是將打印機(jī)視作為一個獨(dú)立的應(yīng)用�����,”Steve Reynolds說�,他是位于馬薩諸塞州Newton市的 Lyra Research公司的高級分析師?����!八前踩缘囊蛩刂唬⑶倚枰鶕?jù)具體情況來對待�?�!?/FONT>
新的攻擊
當(dāng)涉及到安全打印時���,會產(chǎn)生兩個問題-將打印機(jī)視作為一個網(wǎng)絡(luò)設(shè)備而保護(hù)起來�,然后對所打印的文件進(jìn)行嚴(yán)格控制�。 打印機(jī)和復(fù)印機(jī)不再是啞設(shè)備。
“在不久以前我們還都是獨(dú)立打印機(jī)����,而那時連接到復(fù)印機(jī)上的東西也只有一條電源線,”Weilerstein說�。 “如今它們增添了很多的功能,它們可以被連入網(wǎng)絡(luò)�����,或許還可以連接電話線���?��!?/FONT>
這樣就打開了三條攻擊線路�����。 第一個是設(shè)備本身����,它們現(xiàn)在有自己的硬盤和操作系統(tǒng)�����,并且通常會有一些類型的網(wǎng)絡(luò)服務(wù)來與廠商的支持人員進(jìn)行互動�。 這樣就打開了被安裝惡意代碼的可能性。
第二個威脅是未經(jīng)授權(quán)的文件訪問�。 那些硬盤是被用作緩存來儲存等待列印的文件和經(jīng)常打印的文件的。 只要有另外一個硬盤��,這些文件就能被竊走����。 若要把硬盤保護(hù)起來,Weilerstein 建議覆寫掉打印機(jī)和復(fù)印機(jī)硬盤上的文件要比單單刪除它們來的有效��。
最后的問題就是這些文件在網(wǎng)絡(luò)上傳輸?shù)臅r候可能會被中途截取��。 一家公司或許會有大量的文件儲存在它的文件管理系統(tǒng)里面,但是你卻無法輕易的說出哪些文件是最重要的�。 在將其中一個文件輸送到打印機(jī)的過程中就意味著在此時此刻這個文件是活動的和有價值的。 普通的打印機(jī)文件可以被輕易的讀取���。
“人們并不覺得在他們的打印數(shù)據(jù)輸送過程中會有什么危險��,”Bob Forte說,他是位于伊里諾斯州Springfield市的Levi, Ray and Shoup (LRS)公司的高級系統(tǒng)工程師��?!皩?shí)際上,任何基本的行式數(shù)據(jù)或PCL(打印機(jī)指令語言)都很容易被讀取���?����!?/FONT>
要防止數(shù)據(jù)在傳輸過程中被截取�����,數(shù)據(jù)需要在發(fā)送方的電腦或服務(wù)器上進(jìn)行加密�����,然后在打印機(jī)上解密�。 HP和Lexmark公司的打印機(jī)都帶有加密功能,并且LRS有軟件可以在本地或在站點(diǎn)之間加密打印機(jī)數(shù)據(jù)����。
對于那些使用遠(yuǎn)程連接到辦公室打印機(jī)的用戶,“可以利用自帶的安全和加密功能�����、VPN通道或者網(wǎng)絡(luò)上的128位碼加密來進(jìn)行打印�����,”Reynolds說����。
控制紙張的進(jìn)出
另一個安全漏洞是控制誰在收發(fā)所打印的文件。 最普遍的問題是當(dāng)某人發(fā)送一個文件到打印機(jī)時��,正好有人在那里等待他們所打印的文件出來��。 根據(jù)今年春季IDC所發(fā)布的一項(xiàng)調(diào)查顯示��,24%的人在共享的打印機(jī)中發(fā)現(xiàn)了財務(wù)數(shù)據(jù)��,而18%的人則發(fā)現(xiàn)了私人記錄。
這個問題可以通過給用戶購買獨(dú)立打印機(jī)來解決���,并且通常只需要針對敏感區(qū)域����,比如財務(wù)部和人事部�,但是對員工數(shù)量眾多的公司來說這不是一個有成本效益的方法。 而對其他人來說��,這意味著要奔跑到打印機(jī)處�����,在別人發(fā)現(xiàn)之前把打印文件取走��。
有一個迂回的解決方案是在打印機(jī)上安裝小鍵盤或觸摸屏��。 當(dāng)一個用戶發(fā)出打印指令后�,文件被傳送到打印機(jī)服務(wù)器上的打印列隊或者打印機(jī)的硬盤上�����。 然后用戶可以在空閑時走到打印機(jī)前�,輸入他們的密碼��,然后獲取他們的打印文件��。
采用智能卡或指紋識別器可以免除IT人員時不時的去重設(shè)那些被遺忘的密碼��。 政府服務(wù)承包商L-3 Communications近期就開始在他們的部分打印機(jī)上安裝Silex Technology America公司所產(chǎn)的指紋識別器���。 識別器被插入到打印機(jī)的USB端口上,根據(jù)L-3 IT服務(wù)小組的副總裁和副總經(jīng)理Chuck Jarrow所說��,“如果公司突然發(fā)現(xiàn)他們有安全打印的需要�����,他們就會有一個非??焖俸陀谐杀拘б娴姆椒▉韴?zhí)行?!?/FONT>
最后一點(diǎn)是控制誰可以打印哪些文件,并保存打印任務(wù)的審查記錄����。
“當(dāng)電腦系統(tǒng)的其它方面都被嚴(yán)格的控制起來后,紙張就成為了所剩不多的可以不留痕跡的從代理那里帶走信息的途徑之一了�����,”Weilerstein說。 “如果你嘗試去將信息下載到本地儲存設(shè)備上�����,你或許會被策略封鎖�,但是打印則不會?�!?/FONT>
為了讓這個潛在的問題得到控制��,公司可以使用類似Software Shelf International Print Manager Plus的軟件�,它可以控制打印機(jī)的訪問并記錄所有打印任務(wù)的日志。 通過在文件抬頭上設(shè)置安全指定可以封鎖打印或者只有特定人員才能打印����。
“如果管理層沒有辦法知道是誰在打印�,打印了些什么,以及在哪里打印����,他們就沒有辦法來實(shí)施任何安全措施,”Software Shelf的CEO Bill Feeley說����。
