資訊安全惠普文印管理保護解決方案
近年來,隨著辦公空間的不斷演變,印表機已逐漸演變成“聯網多功能一體機”,並成為IT基礎設施中的重要組成部分。如今,大部分多功能印表機跟電腦一樣具有存儲功能——從員工記錄到信用卡號、患者病例,它能記錄掃描、複印、列印過的每個文檔。
這樣一來,就像聯網的電腦和智慧手機一樣,對於企圖侵犯資料的破壞者而言,印表機同樣變成了可以被伺機入侵的終端設備。如果由於未能保護印表機而導致了安全風險,將會使企業花費了大量人力物力搭建、維護的安全保護基礎架構面臨崩潰,導致巨大浪費。
通常來說,大部分企業的IT決策者都很重視電腦所面臨的資訊安全風險,並為其制定了周密的安全防護措施——從防火牆到入侵偵測系統,再到防禦駭客攻擊等。不幸的是,在IT管理人員對公司資訊安全問題進行部署與考量時,印表機卻非常容易成為他們忽略的重要環節。
此外,由於列印設備具有無線/有線功能,它不僅成為了惡意軟體和病毒進行惡意攻擊的一個方便入口,其嵌入式作業系統和完整的IP堆疊也意味著駭客能夠遠端存取印表機硬碟,控制其中存儲的資料。
形勢嚴峻 文印保護亟需警惕
業界著名的滲透測試者、駭客 Peter Kim在其《駭客秘笈2:滲透測試實用指南》一書中指出,通過印表機實施網路犯罪非常容易,他曾經只用印表機作為突破點便攻破了一系列公司的資訊安全防禦系統。
此外,市調機構Ponemon研究所的資料也顯示,60%的受訪企業都出現過涉及印表機的資料洩露事件。同時,在IDC進行的一項調研中,有超過四分之一的受訪者指出,印表機是需要修復的重大IT安全性漏洞;而超過25%的安全事件也涉及到了印表機。
最近發生的一系列真實案例更凸顯了通過印表機來實施網路攻擊是多麼容易。由於遭受駭客的遠端攻擊,美國多個大學校園中的29,000台印表機出紙託盤中神秘地出現了帶有攻擊性內容的傳單。今年8月,這種攻擊再次發生,但這一次數量幾乎翻倍——有50,000台印表機受到攻擊。與之類似,在2015年11月發生的一次網路安全事件,一台雷射印表機被發現正在發送SSL通信流。
儘管以上問題最終都得到了解決,但是印表機之所以成為最脆弱的攻擊點,究其原因,就是缺乏對其安全保護的重視。事實上,只有不到44%的IT經理人把印表機列入了他們的安全戰略,與此同時,也僅有不到50%的使用者會使用印表機的“管理密碼”功能。
2016年12月23日,在惠普大廈舉辦了一場列印資訊安全媒體溝通會,在會上惠普公司印表機與耗材產品事業部市場開發經理楊子江先生講解了,惠普列印安全方面的相關知識,同時介紹了全新的文印解決方案。
風險:未受保護的列印環境的風險和成本
IT必須跨多個設備和環境來持續保護機密資訊,包括員工的身份和客戶資料。數位資料有巨大的好處,但它更難保護。由於網路上的節點和設備日益增加,再加上雲和移動性,安全風險和網路漏洞的問題比以往任何時候都更嚴重,印表機也不能豁免。
無論是惡意的網路攻擊,是偶然的內部漏洞,還是違規行為,解決安全性漏洞的成本都可能非常高。除了由於聲譽受損、商譽損害、客戶流失和新客戶獲取成本造成的商業損失,成本還可能包括罰款或訴訟費用。
如今的印表機像個人電腦安全問題不限於您的電腦和網路。如今的印表機看起來像個人電腦。它們與個人電腦有許多相同的硬體元件,包括硬碟、鍵盤和液晶顯示幕控制台。固件和軟體也一樣:印表機有內置的作業系統,運行可執行檔,有DLL檔,運行常見的協議。印表機和多功能一體機都連接到互聯網,可以用來發送電子郵件。
如今的印表機是網路上的一個全功能用戶端。從網路安全的角度來看,印表機需要與個人電腦相同程度的保護。這就是惠普利用其在個人電腦中應用用的領先技術,使我們的印表機更安全的原因。
惠普文印保護產品和解決方案
文檔保護
安全硬碟
一般在那些大型的文印設備中,都會有硬碟,裡面可能保存著很多列印、掃描、複印的敏感的電子資訊。如果設備或硬碟不受保護的話,這些資訊可能會被訪問,甚至是硬碟失竊。文印設備老舊後,會賣給回收公司,但存有敏感資訊的內置硬碟可能也一起被賣掉。硬碟中的重要資訊一旦洩露,可能會造成巨大的經濟損失或財產流失。
惠普標配硬碟的文印設備,其中硬碟均為硬體加密的安全硬碟。硬碟被去除後,在其他任何設備上都無法讀取裡面的內容,這樣就保證了資訊的安全性。
使用硬碟可以減少電腦反復處理同一份作業所耗費的時間和記憶體空間。通過印表機的驅動不同設置,實現審閱列印、專用作業、快速複印、存儲作業等不同的列印輸出方式;通過硬碟進行列印,可以提高列印的安全性,減少網路下載流量,提高列印速度,進而節省時間和資源。
但是,成像和列印設備在內部硬碟上存儲的敏感資訊,如果不受保護的話,這些資訊可以被訪問,存儲在設備上的資料應該被加密。然而,許多傳統設備沒有安裝或無法選配加密的存放裝置。硬碟和檔應該被定期擦除,但這一步往往被忽略。在使用壽命結束後回收再利用舊產品時,資料應完全銷毀。
PIN碼列印
PIN碼列印,實際是在電腦發出列印指令,到印表機打輸出文檔的過程中,增加了一個驗證身份的過程。就好比:不是銀行卡插入到ATM提款機中就能把錢取出來,還需要輸入取款密碼,這個密碼就是所謂的PIN碼。
工作流程:發送列印工作-為列印工作設置一個PIN碼-存儲在印表機的硬碟/伺服器中-在印表機上輸入PIN碼並領取列印工作
PIN碼列印功能可以讓文檔輸出變得更加安全,可以杜絕輸出的檔丟失、偷拿、錯拿等現象,以防個人隱私和公司機密外泄。這應該是最行之有效的解決列印文檔無人認領的尷尬問題。
PIN碼列印適用於對列印檔案隱私度需求較高、人員和資料較多的公共列印室、涉及財務列印的公司等。
網路傳輸安全
相信大多數企業使用者已使用防火牆和軟體來保護您的網路,但您是否只保護電腦和伺服器呢?在電腦和印表機之間傳輸的資料有沒有被保護呢?
網路問題:如果採用加密的方式進行列印,駭客就算從網路中攔截到了列印工作,也無法破解獲取其中的敏感資訊。
埠與協議:未經授權的用戶可以通過不安全的埠(如USB或網路埠)訪問設備或網路。使用某些協定(比如FTP、Telnet)會讓您的設備和資料陷入危險中。關閉暫時不用或可能會存在安全隱患的埠,可提高文印設備的安全性,從而保護您的文印設備不被攻擊。
設備保護
白名單
惠普的白名單功能,可以確保將良好的惠普代碼(有惠普簽名)載入到設備記憶體中。而如果證書不是來自于惠普,文印設備就會自動關機,保障您的設備不會受到攻擊,保障敏感性資料的安全。
白名單的概念與“黑名單”相對應。如今,電腦系統、手機、路由器以及很多軟體等都用到了黑、白名單規則。我們會發現,凡是涉及到控制方面幾乎都會應用到黑白名單規則。以我們的手機為例,黑名單啟用後,被列入到黑名單的連絡人將不能再“騷擾”我們。如果設立了白名單,則在白名單中的使用者或資訊會被優先通過,不會被系統過濾掉,安全性和快捷性都大大提高。
這裡所說的白名單,有助於確保只將已知良好的惠普代碼(有惠普簽名)載入到設備記憶體中,如果證書不是來自于惠普,文印設備就會自動關機,然後重啟到一個安全的離線狀態,並通知網路系統管理員。惠普是僅有的兩家提供印表機固件白名單的印表機廠商之一。
入侵偵測
惠普提供了最行之有效的即時入侵偵測功能。擁有即時入侵偵測功能的文印設備,就像電腦上安裝了殺毒軟體和防火牆一樣,讓您的文印設備遠離安全性漏洞的困擾。
入侵偵測,顧名思義就是即時偵測“威脅”並作出主動干預。一旦發現“威脅”的存在,就會啟動某種“預案”,保障被保護的設備不會受到“攻擊”。對於文印設備而言,在複雜的固件和記憶體運行過程中,即時入侵偵測功能可以在設備運行時檢測惡意軟體的入侵。它不斷地監視設備的記憶體,一旦發生攻擊,就會立即發現。
即時入侵偵測是惠普的新技術,可持續地防範攻擊。
安全啟動(sure start)
Sure Start,從字面翻譯就是“確保開機”。如何才能真正的確保開機?文印設備加電啟動,首先就要運行BIOS(Basic Input/Output System:基本輸入輸出系統),只有在BIOS準確無誤的情況,文印設備才能正常啟動並進入到正常工作狀態。而HP Sure Start就是幫助用戶驗證BIOS代碼的完整性的一種技術,可安全啟動設備。
同時,在每次重啟時,HP Sure Start都會驗證BIOS代碼的完整性,一旦發現BIOS被損壞,它將載入存儲在受保護系統區域中的BIOS黃金副本來修復自身。
HP Sure Start是具有自修復能力的BIOS,惠普商用電腦和惠普企業級印表機均有配備。
解決方案:HP JetAdvantage Security manager
HP JetAdvantage Security Manager是基於政策的列印安全合規性工具。
它實現了對設備安全設置的自動安全監控。它幫助增加安全性,加強合規性,並降低列印和成像設備組面臨的風險;通過許多流程的自動化節省了IT的時間。
HP Security Manager讓您可以通過一種簡單、直觀的方法,在整個惠普印表機設備組範圍內建立安全設置,立即自動地保護新添加到您的網路中的設備。由於一台企業級多功能一體機擁有超過250個設置,因此該流程可以節省數千小時時間。HP Security Manager還能高效地管理設備組的獨特身份證書。
除了即時入侵偵測或HP Sure Start可以發現攻擊並自動恢復外,HP JetAdvantage Security Manager的零秒預熱功能也會在重啟時檢查和修復(如果有必要)設備的設置。
HP Security Manager提供了全面的文印安全保護功能。當部署在我們的企業級印表機上時,我們的嵌入式列印安全技術和軟體解決方案實質上“強化”了我們的印表機,可有效防禦已知的攻擊。
買家實驗室(BLI)將HP JetAdvantage Security Manager評為具有“開拓性”的解決方案並且給了它5星評價。
HP Access Control (HP Proximity Cards)
HP AC可以限制對設備的訪問,保護文檔,降低風險
限制設備/文檔訪問,以幫助提供安全性
控制對設備功能訪問,以減少浪費
加密檔,以保護機密資訊
允許使用者將檔發送到啟用的網路設備列印,以提高生產力
方便移動員工訪問設備,無論他們在哪裡
有助於消除列印件無人認領的情況,以減少費用和浪費
HP and Troy Secure Document Printing Solution
Troy文檔安全解決方案的安全元素
TROY標識:一個獨特的靜態或可變資料的印刷浮水印,在文檔的正面或背面上的一個定義區域上的對角線印刷,以防止欺詐性的改變
微縮列印:靜態和可變微縮是一個安全功能,列印文本在一個很小的字體是易讀的流覽時放大五倍或更大,會出現難以辨認時,複製,當變數的複製和變更保護。
縮放列印:Troy安全文檔用複製明顯縮放以防止未經授權的複製。縮放是一個隱藏的功能,出現在一個影印版的安全列印文檔的“無效”,“非法”、“複製”或使用者定義的消息
文字方塊/警告框:Troy智慧報警框讓一線人員輕鬆驗證文件的真實性。告警箱可以準確描述特徵如縮微和改變副本的存在。
影像元素:容易添加一個安全浮水印或隱藏的紫外元素在您的公司的標誌或其他識別標誌或圖像標記的形式。
額外的安全功能
可變的/動態的資料:所有的安全元素都必須從文檔中捕獲可變資料,以在安全元素中存在。此活的個性化資料添加了在預列印的安全表單中沒有找到的安全級別
工作資料(列印痕跡):使用選項列印跟蹤模組,使用者可以直接將特定的工作資料插入到安全元素中。這項工作的資料包括用戶名等關鍵的阻嚇作用,電腦名稱和日期和時間印
HP Print Security Advisory Services
為了幫助IT經理制定安全政策,惠普推出了文印保護諮詢服務(HP Printing Security Advisory Services),可以説明IT部門制定強大的安全性原則,同時讓成本和效率得到最佳的均衡。
另外很重要的是惠普推出了FutureSmart固件,它的目的是很好地保護客戶在硬體的投資。比如2011年買的印表機,已經有5年的歷史了,企業級的印表機,依然可以通過Future Smart 的固件來做升級,客戶不需要再買新的印表機,通過升級就能做到很好的投資保護。
新一代A3數碼複合機應運而生
為了應對客戶購買行為的改變並解決客戶目前在使用A3產品時面臨的問題,惠普把在列印品質和可靠性以及影印機的列印成本優勢整合到新一代A3產品組合中。
PageWide 技術有望重新定義服務成本、推動彩色印表機的普及和用戶端生產力以及行業領先的 LaserJet 用於廣泛的產品組合,從25ppm到65ppm,並提供更多的列印精加工選項。
新一代惠普服務——綜合雲解決方案和大資料預測分析可以保護您的整個網路,包括即時威脅檢測、自動監測和內置軟體驗證。攜手管道合作夥伴提供這一切,他們將為您獨特的業務環境提供量身定制的方案。