別讓打印機成為網絡安全體系中的薄弱環(huán)節(jié)

網絡打印機或者復印機很可能承擔著相當重要的安全使命。沒錯，畢竟這些設備會經常接觸到我們的敏感文件及資料，而且它們還一直與網絡中的其它計算機彼此連通——因此如果大家不希望遭受黑客的襲擊，那么認真對待打印機安全問題無疑是我們最明智的應對方案。

構造簡單的打印機比較常見，我們在家庭辦公環(huán)境中也用得最多。一般來說這類型號的設備都不提供內部存儲功能，例如Web界面等，因此它們的安全漏洞也相對較少。相比之下，企業(yè)級多功能打印機及復印機則面臨著更為嚴峻的安全威脅，因為它們普遍擁有獨立的硬盤驅動器、操作系統(tǒng)并且直接與網絡相連。

在本文中，我將與大家共同討論打印機的安全問題，以及如何妥善加以處理。希望各位朋友能通過閱讀本文發(fā)現有指導意義的心得，并在保護現有設備及購買新打印機的時候將以下條目作為參考意見。

打印機的威脅

打印機面臨的威脅及漏洞主要分為五大類：

文件竊取或非法閱讀: 任何人都能順手拿起打印機上的文件看上幾分鐘，而這種現象對于資料高度敏感的企業(yè)而言無疑是相當危險的。

對設備設定的隨意更改: 如果我們對打印機的固有設定及控制機制未加保護，那么很可能有人無意或者故意修改并重新打印最近內容、打開保存在設備中的文件副本或者將打印機重置為出廠默認設置——如此一來我們將無法了解到整個過程中發(fā)生了什么。

內部存儲器中的文件副本: 如果大家的打印機擁有內部存儲驅動器，那么我們所有執(zhí)行過的打印、掃描、復印及傳真等操作內容都會被保存在其中。在這種情況下，一旦設備失竊或者被不慎丟棄，那么所有尚未被清除的數據都將成為我們的大麻煩；因為惡意人士能夠輕松地從中恢復那些存儲文件的副本。

竊取網絡中的打印信息: 黑客能夠監(jiān)控網絡中的流量，并從中捕獲并抽取出我們從計算機向打印機發(fā)出的文件內容。

通過網絡或互聯網發(fā)起的打印機入侵: 只要處于同一內網環(huán)境下，入侵連入網絡的打印機簡直易如反掌，尤其是對于那些缺乏新型安全功能或者密碼保護的舊機型而言。

不過需要注意的是，來自內網的攻擊還只是惡意活動的一小部分。如果我們的打印機能夠通過互聯網進行訪問，那么潛在的安全威脅幾乎是無窮無盡的。攻擊者可以向打印機發(fā)送異常打印指令、利用打印機發(fā)送傳真、改變其液晶屏讀數、變更固有設置、發(fā)動拒絕服務攻擊、將設備鎖定甚至對設備內保存著的文件進行檢索。他們甚至能夠通過對打印機安裝惡意軟件來對其進行遠程控制或者訪問。

打印機的物理安全保護

提升打印機的物理安全性能夠幫助我們預防文件失竊或非法閱讀、存儲文件受到非法訪問以及打印機自身以太網或USB連接濫用等危險。其實打印機的擺放位置也是有學問的，我們應該從方便與安全兩個角度進行思考。最好是把它們放在大多數工作人員的眼皮底下，千萬不要將其置于單獨的房間或辦公室當中，因為這樣一來我們就無法對使用者開展監(jiān)控。另外，一定要盡量為管理層及其它敏感部門分配單獨的打印機，并保證設備遠離其他員工的活動范圍。

當然也可以考慮購買支持驗證機制的打印機，強制要求使用者在打印之前提供某種形式的身份證明（例如PIN碼）。

可絕對不要忽視文件副本，在使用過之后第一時間將這些敏感文件粉碎處理。

利用密碼保護自己的打印機

如果大家使用的是商用或者企業(yè)級打印機，那么它應該是擁有某種形式的管理員操作面板。我們可以通過Web瀏覽器、打印機自身屏幕或者個人計算機中的命令行來訪問該管理系統(tǒng)。大多數此類打印機都允許我們設置密碼，以防止其他人在我們不知情的前提下更改控制面板中的設置。請在實際使用前認真閱讀隨機附帶的說明書，以了解密碼的具體設置方法。

保障網絡中打印流量的安全性

單憑一套密碼肯定是攔不住黑客們的，因為當我們輸入管理員密碼并向打印機端發(fā)出請求時，惡意人士很可能在傳輸過程中就把密碼內容（常常未經加密）給攔截下來了。這樣一來他們就獲得了同樣的打印機管理權限。

為了避免這種情況的發(fā)生，我們應該首先確認自己的打印機或者打印服務器是否支持密碼加密，如果支持就必須通過加密連接來訪問控制面板。例如，在通過Web瀏覽器訪問控制面板接口時，我們應該使用以“https://”開頭的地址（使用SSL加密），而不要隨便使用普通的“http://”連接。如果需要通過命令行進行訪問，我們應使用加密的SSH而不要用明文Telnet會話。如果大家的打印機在購買時還附帶一套管理軟件，那么別忘了看看它是否支持加密連接。

為了進一步與黑客活動展開斗爭，我們還需要利用ACL（即訪問控制列表）支持或者其它類似功能對打印機進行檢查，以確定哪些人可以使用或者管理該設備。請注意千萬不要將我們的打印機Web接口（或者任何其它管理員接口）向互聯網開放，以避免惡意人士通過網絡搜索并試圖破解我們的打印機。另外網絡防火墻也應該提供足夠的保護——不過這一點一般不成問題，除非特殊設置，否則打印機訪問絕不會默認開啟。如果大家的打印機支持互聯網打印協(xié)議（簡稱IPP）、FTP打印任務或者任何其它通過互聯網實現的打印功能，請盡量禁用掉（除非出于業(yè)務必要）。

如果大家的打印機或者打印服務器使用SNMP（這是一種用于管理及監(jiān)控網絡設備的協(xié)議）進行通訊（例如惠普的JetDirect系列產品），請別忘了將默認的SNMP小組名稱改成強度較高的密碼，以防止可能出現的密碼泄露、破解以及其它攻擊活動。另外，一定盡可能地使用SNMPv3，這款新版本包含了驗證及加密等多項附加安全功能，保護手段更為有力。

保護網絡中的打印機用戶流量

為了防止網絡用戶的打印任務在向打印機傳輸的途中被攔截，我們首先要確定自己的打印機或者打印服務器是否支持與網絡計算機之間的加密連接。某些打印機會使用SSL/TLS、IPsec以及其它類型的加密機制。

檢查打印機的附帶說明書，并向經銷商咨詢我們所使用的這款產品是否支持加密，或者說我們是否能夠為其購買額外的硬件或軟件來實現加密功能。

及時對打印機進行更新與升級

請大家確保自己所使用的打印機擁有最新的固件與驅動程序。通常情況下，這些更新及升級內容都會提升安全性甚至帶來新的安全功能、修補已知安全漏洞并解決其它一些常見問題。

如何丟棄舊打印機

在徹底丟棄陳舊或破損打印機之前，務必確保其內部硬盤驅動器（如果有的話）中沒有保存任何文件。查看打印機說明書或者向制造商咨詢，以確定該機型是否擁有存儲驅動器——如果有的話，了解如何刪除數據。另外，如果我們能夠輕松卸下該驅動器的話，也不妨將它連入計算機，并通過特殊的方式抹除信息，使所有內容都無法被恢復。

網絡安全還需更進一步

要想徹底保障打印機的安全，我們需要從擺放位置、密碼保護、加密機制以及補丁更新等多個方面嚴防死守。不過要真正做到萬無一失，還是得多從網絡角度找找原因。希望大家能夠通過自身實踐找到最科學的安保方案，并真正為企業(yè)業(yè)務的騰飛保駕護航。

【本文轉自安庫網http://www.csochinese.com/】

【推薦閱讀】

◆IT運維管理專區(qū)

◆網絡安全管理要警惕九種“人”

◆網絡安全管理十大注意事項

◆IT運維管理：企業(yè)網絡安全的研究措施

◆網管軟件專區(qū)