别让打印机成为网络安全体系中的薄弱环节

网络打印机或者复印机很可能承担着相当重要的安全使命。没错，毕竟这些设备会经常接触到我们的敏感文件及资料，而且它们还一直与网络中的其它计算机彼此连通——因此如果大家不希望遭受黑客的袭击，那么认真对待打印机安全问题无疑是我们最明智的应对方案。

构造简单的打印机比较常见，我们在家庭办公环境中也用得最多。一般来说这类型号的设备都不提供内部存储功能，例如Web界面等，因此它们的安全漏洞也相对较少。相比之下，企业级多功能打印机及复印机则面临着更为严峻的安全威胁，因为它们普遍拥有独立的硬盘驱动器、操作系统并且直接与网络相连。

在本文中，我将与大家共同讨论打印机的安全问题，以及如何妥善加以处理。希望各位朋友能通过阅读本文发现有指导意义的心得，并在保护现有设备及购买新打印机的时候将以下条目作为参考意见。

打印机的威胁

打印机面临的威胁及漏洞主要分为五大类：

文件窃取或非法阅读: 任何人都能顺手拿起打印机上的文件看上几分钟，而这种现象对于资料高度敏感的企业而言无疑是相当危险的。

对设备设定的随意更改: 如果我们对打印机的固有设定及控制机制未加保护，那么很可能有人无意或者故意修改并重新打印最近内容、打开保存在设备中的文件副本或者将打印机重置为出厂默认设置——如此一来我们将无法了解到整个过程中发生了什么。

内部存储器中的文件副本: 如果大家的打印机拥有内部存储驱动器，那么我们所有执行过的打印、扫描、复印及传真等操作内容都会被保存在其中。在这种情况下，一旦设备失窃或者被不慎丢弃，那么所有尚未被清除的数据都将成为我们的大麻烦；因为恶意人士能够轻松地从中恢复那些存储文件的副本。

窃取网络中的打印信息: 黑客能够监控网络中的流量，并从中捕获并抽取出我们从计算机向打印机发出的文件内容。

通过网络或互联网发起的打印机入侵: 只要处于同一内网环境下，入侵连入网络的打印机简直易如反掌，尤其是对于那些缺乏新型安全功能或者密码保护的旧机型而言。

不过需要注意的是，来自内网的攻击还只是恶意活动的一小部分。如果我们的打印机能够通过互联网进行访问，那么潜在的安全威胁几乎是无穷无尽的。攻击者可以向打印机发送异常打印指令、利用打印机发送传真、改变其液晶屏读数、变更固有设置、发动拒绝服务攻击、将设备锁定甚至对设备内保存着的文件进行检索。他们甚至能够通过对打印机安装恶意软件来对其进行远程控制或者访问。

打印机的物理安全保护

提升打印机的物理安全性能够帮助我们预防文件失窃或非法阅读、存储文件受到非法访问以及打印机自身以太网或USB连接滥用等危险。其实打印机的摆放位置也是有学问的，我们应该从方便与安全两个角度进行思考。最好是把它们放在大多数工作人员的眼皮底下，千万不要将其置于单独的房间或办公室当中，因为这样一来我们就无法对使用者开展监控。另外，一定要尽量为管理层及其它敏感部门分配单独的打印机，并保证设备远离其他员工的活动范围。

当然也可以考虑购买支持验证机制的打印机，强制要求使用者在打印之前提供某种形式的身份证明（例如PIN码）。

可绝对不要忽视文件副本，在使用过之后第一时间将这些敏感文件粉碎处理。

利用密码保护自己的打印机

如果大家使用的是商用或者企业级打印机，那么它应该是拥有某种形式的管理员操作面板。我们可以通过Web浏览器、打印机自身屏幕或者个人计算机中的命令行来访问该管理系统。大多数此类打印机都允许我们设置密码，以防止其他人在我们不知情的前提下更改控制面板中的设置。请在实际使用前认真阅读随机附带的说明书，以了解密码的具体设置方法。

保障网络中打印流量的安全性

单凭一套密码肯定是拦不住黑客们的，因为当我们输入管理员密码并向打印机端发出请求时，恶意人士很可能在传输过程中就把密码内容（常常未经加密）给拦截下来了。这样一来他们就获得了同样的打印机管理权限。

为了避免这种情况的发生，我们应该首先确认自己的打印机或者打印服务器是否支持密码加密，如果支持就必须通过加密连接来访问控制面板。例如，在通过Web浏览器访问控制面板接口时，我们应该使用以“https://”开头的地址（使用SSL加密），而不要随便使用普通的“http://”连接。如果需要通过命令行进行访问，我们应使用加密的SSH而不要用明文Telnet会话。如果大家的打印机在购买时还附带一套管理软件，那么别忘了看看它是否支持加密连接。

为了进一步与黑客活动展开斗争，我们还需要利用ACL（即访问控制列表）支持或者其它类似功能对打印机进行检查，以确定哪些人可以使用或者管理该设备。请注意千万不要将我们的打印机Web接口（或者任何其它管理员接口）向互联网开放，以避免恶意人士通过网络搜索并试图破解我们的打印机。另外网络防火墙也应该提供足够的保护——不过这一点一般不成问题，除非特殊设置，否则打印机访问绝不会默认开启。如果大家的打印机支持互联网打印协议（简称IPP）、FTP打印任务或者任何其它通过互联网实现的打印功能，请尽量禁用掉（除非出于业务必要）。

如果大家的打印机或者打印服务器使用SNMP（这是一种用于管理及监控网络设备的协议）进行通讯（例如惠普的JetDirect系列产品），请别忘了将默认的SNMP小组名称改成强度较高的密码，以防止可能出现的密码泄露、破解以及其它攻击活动。另外，一定尽可能地使用SNMPv3，这款新版本包含了验证及加密等多项附加安全功能，保护手段更为有力。

保护网络中的打印机用户流量

为了防止网络用户的打印任务在向打印机传输的途中被拦截，我们首先要确定自己的打印机或者打印服务器是否支持与网络计算机之间的加密连接。某些打印机会使用SSL/TLS、IPsec以及其它类型的加密机制。

检查打印机的附带说明书，并向经销商咨询我们所使用的这款产品是否支持加密，或者说我们是否能够为其购买额外的硬件或软件来实现加密功能。

及时对打印机进行更新与升级

请大家确保自己所使用的打印机拥有最新的固件与驱动程序。通常情况下，这些更新及升级内容都会提升安全性甚至带来新的安全功能、修补已知安全漏洞并解决其它一些常见问题。

如何丢弃旧打印机

在彻底丢弃陈旧或破损打印机之前，务必确保其内部硬盘驱动器（如果有的话）中没有保存任何文件。查看打印机说明书或者向制造商咨询，以确定该机型是否拥有存储驱动器——如果有的话，了解如何删除数据。另外，如果我们能够轻松卸下该驱动器的话，也不妨将它连入计算机，并通过特殊的方式抹除信息，使所有内容都无法被恢复。

网络安全还需更进一步

要想彻底保障打印机的安全，我们需要从摆放位置、密码保护、加密机制以及补丁更新等多个方面严防死守。不过要真正做到万无一失，还是得多从网络角度找找原因。希望大家能够通过自身实践找到最科学的安保方案，并真正为企业业务的腾飞保驾护航。

【本文转自安库网http://www.csochinese.com/】

【推荐阅读】

◆IT运维管理专区

◆网络安全管理要警惕九种“人”

◆网络安全管理十大注意事项

◆IT运维管理：企业网络安全的研究措施

◆网管软件专区