隨著企業(yè)局域網(wǎng)的發(fā)展,實(shí)現(xiàn)了計(jì)算機(jī)聯(lián)網(wǎng),達(dá)成信息共享、資源共享和提高企業(yè)管理水平,這時(shí)原有的打印管理模式也不斷地發(fā)展,需要對局域網(wǎng)內(nèi)的打印安全管理工作進(jìn)行規(guī)劃與建設(shè)。
1、局域網(wǎng)打印管理歷程分析
1.1共享連接方式
該種方式下,網(wǎng)絡(luò)上的共享打印機(jī)以本地安裝方式通過普通并行接口(或串行接口)連接在網(wǎng)絡(luò)上的一臺計(jì)算機(jī)上,這臺計(jì)算機(jī)與其它計(jì)算機(jī)一樣連接在大家共同使用的網(wǎng)絡(luò)上面,連接打印機(jī)的計(jì)算機(jī)或工作站將所連接的打印機(jī)設(shè)置成共享設(shè)備,供網(wǎng)絡(luò)上的其他計(jì)算機(jī)使用。其它計(jì)算機(jī)上的打印命令和打印任務(wù)傳輸?shù)竭@臺與打印機(jī)相連的計(jì)算機(jī)上,由該計(jì)算機(jī)處理打印命令和打印任務(wù),然后通過連接的打印機(jī)將大家的打印任務(wù)打印出來。這樣,這臺計(jì)算機(jī)事實(shí)上就起到了打印服務(wù)器的作用了。
1.2外置打印服務(wù)器連接方式
外置打印服務(wù)器連接方式是通過打印機(jī)的主板提供的并口或者USB接口的連接方式,通過一些廠商提供的一種硬件,這種硬件的一端插在打印機(jī)提供的并口或者USB接口上,另一端上有一個(gè)網(wǎng)絡(luò)接口。這樣這臺打印機(jī)同樣也能夠一個(gè)單獨(dú)的網(wǎng)絡(luò)設(shè)備直接連接在網(wǎng)絡(luò)環(huán)境上了。這種硬件常常被稱作為外置打印服務(wù)器。
需要注意的是,這種外置打印服務(wù)器和主機(jī)相連時(shí),其工作形式和主機(jī)打印服務(wù)器工作形式并不相同,該種形式下,與打印服務(wù)器相連的電腦主機(jī)無任何打印工作負(fù)擔(dān)。
1.3內(nèi)置網(wǎng)卡打印服務(wù)器連接方式
該種方式相當(dāng)于在打印機(jī)內(nèi)置一個(gè)打印服務(wù)器,這樣就不需要單獨(dú)閑置一臺電腦用做打印服務(wù)器。這些打印機(jī)上常常會直接安裝一塊網(wǎng)絡(luò)接口卡,這塊網(wǎng)絡(luò)接口卡直接插在打印機(jī)的主板上,在網(wǎng)絡(luò)接口卡上提供一個(gè)網(wǎng)絡(luò)接口。通過一根普通的網(wǎng)線可以將打印機(jī)的網(wǎng)絡(luò)接口與辦公環(huán)境網(wǎng)絡(luò)接口直接連接上,這樣這臺打印機(jī)就以一個(gè)單獨(dú)的網(wǎng)絡(luò)設(shè)備直接連接在網(wǎng)絡(luò)環(huán)境上了。這臺打印機(jī)的地位與該網(wǎng)絡(luò)環(huán)境上的計(jì)算機(jī)是相同的。這塊網(wǎng)絡(luò)接口卡就是一個(gè)打印服務(wù)器。
在使用內(nèi)置打印服務(wù)器的時(shí)候,一些打印機(jī)上有操作面板可以為打印機(jī)設(shè)置IP地址。同時(shí)也可以采取另外一種方式,在網(wǎng)絡(luò)環(huán)境中的一臺計(jì)算機(jī)上安裝網(wǎng)絡(luò)打印軟件,通過該軟件在這臺計(jì)算機(jī)上為打印機(jī)設(shè)置IP地址。
該連接方式的特點(diǎn)是:
(1)適合各種規(guī)模的網(wǎng)絡(luò)環(huán)境,構(gòu)成靈活簡便,適合現(xiàn)代網(wǎng)絡(luò)系統(tǒng)布線。
(2)使用性能較高、擴(kuò)展能力和工作負(fù)荷能力較強(qiáng)的激光打印設(shè)備。
(3)打印系統(tǒng)成本主要取決于打印機(jī)的配置,龐大的擴(kuò)充部件庫價(jià)值可能不低于打印機(jī)本身。
(4)網(wǎng)絡(luò)功能極強(qiáng)、工作效率很高、安全管理完善、設(shè)備可靠性較高。
(5)可以同時(shí)跨接兩個(gè)以上不同協(xié)議、不同操作系統(tǒng)的網(wǎng)絡(luò)。
2、局域網(wǎng)打印管理趨勢分析
縱觀網(wǎng)絡(luò)打印的發(fā)展歷程,不難發(fā)現(xiàn)共享打印和網(wǎng)絡(luò)打印之間的前后繼承性,和相互包容的范疇性,具體來講,網(wǎng)絡(luò)打印仍然是共享打印,只不過這樣的共享打印已經(jīng)遠(yuǎn)非昨日的共享打印所能比擬的。事實(shí)上利用PC實(shí)現(xiàn)共享打印是網(wǎng)絡(luò)打印的最原始方式,實(shí)際上并不是真正意義上的網(wǎng)絡(luò)打印,F(xiàn)代的網(wǎng)絡(luò)打印不是傳統(tǒng)意義上的局域打印,打印機(jī)己不在是一個(gè)外設(shè),而作為網(wǎng)絡(luò)上的一個(gè)節(jié)點(diǎn)存在,能夠以網(wǎng)絡(luò)的速度實(shí)現(xiàn)高速打印輸出。而共享打印則是一種低端的網(wǎng)絡(luò)打印,打印機(jī)處于Pc外設(shè)的地位,主要通過PC服務(wù)器或者共享服務(wù)器實(shí)現(xiàn)簡單的網(wǎng)絡(luò)連接,但是數(shù)據(jù)傳輸仍然必須通過打印機(jī)的并口來進(jìn)行,因此速度很低。在打印效率方面,它們實(shí)際上是有本質(zhì)區(qū)別的。網(wǎng)絡(luò)打印與共享打印最大的不同是它具有管理性,易用性和高可靠性,其中最核心的是可管理性,管理軟件已經(jīng)與打印服務(wù)器并列為其兩個(gè)核心部件。網(wǎng)絡(luò)打印管理軟件可提供卓越的管理性,極大地減少了管理人員用于處理網(wǎng)絡(luò)中打印相關(guān)問題的時(shí)間,F(xiàn)在的網(wǎng)絡(luò)打印已經(jīng)可以滿足用戶日益增加的需求,也已具備很多傳統(tǒng)共享打印所沒有的優(yōu)勢,它在提高設(shè)備使用效率、打印速度和質(zhì)量、提供個(gè)性化的打印滿足以及降低整體擁有成本方面的一系列優(yōu)勢,也逐漸為用戶所認(rèn)識,隨著信息化的進(jìn)一步推進(jìn),無論是個(gè)人企業(yè),還是行業(yè)用戶對網(wǎng)絡(luò)打印需求的增加,用戶選擇網(wǎng)絡(luò)打印勢在必行。
3、企業(yè)局域網(wǎng)內(nèi)網(wǎng)絡(luò)打印安全管理方案
實(shí)踐證明,完整有效的局域網(wǎng)內(nèi)網(wǎng)絡(luò)打印安全管理方案包括軟件、硬件和管理三個(gè)方面內(nèi)容。網(wǎng)絡(luò)打印安全管理方案僅僅依靠技術(shù)是有其局限性,根據(jù)經(jīng)驗(yàn),管理性要求甚至比網(wǎng)絡(luò)打印能力顯得更為重要,如果不能做到全網(wǎng)打印的統(tǒng)一管理,再強(qiáng)的軟件也不能發(fā)揮應(yīng)有作用。
3.1嚴(yán)格的權(quán)限控制
權(quán)限控制策略也稱安全策略,是用來控制和管理主體對客體訪問的一系列規(guī)則,它反映網(wǎng)絡(luò)打印管理對安全的需求。安全策略的制定和實(shí)施是圍繞主體、客體和安全控制規(guī)則集三者之間的關(guān)系展開的,在安全打印管理策略的制定和實(shí)施中,要遵循下列原則:
最小特權(quán)原則:最小特權(quán)原則是指主體執(zhí)行操作時(shí),按照主體所需權(quán)利的最小化原則分配給主體權(quán)力。最小特權(quán)原則的優(yōu)點(diǎn)是最大程度地限制了主體實(shí)施授權(quán)行為,可以避免來自突發(fā)事件、錯(cuò)誤和未授權(quán)使用主體的危險(xiǎn)。
最小泄露原則:最小泄露原則是指主體執(zhí)行網(wǎng)絡(luò)打印任務(wù)時(shí),按照主體所需要知道的信息最小化的原則分配給主體權(quán)力。
多級安全策略:多級安全策略是指主體和客體間的網(wǎng)絡(luò)打印數(shù)據(jù)流向和權(quán)限控制按照安全級別的絕密、機(jī)密、秘密、內(nèi)部和非秘密五級來劃分。多級安全策略的優(yōu)點(diǎn)是避免敏感信息的擴(kuò)散。具有安全級別的信息資源,只有安全級別比他高的主體才能夠訪問然后進(jìn)行打印。
3.2數(shù)據(jù)加密管理
對數(shù)據(jù)進(jìn)行加密,是解決泄密的最好方法,數(shù)據(jù)加密要求只有在指定的用戶或網(wǎng)絡(luò)下,才能解除密碼而獲得原來的數(shù)據(jù),在未知網(wǎng)絡(luò)或者未授權(quán)用戶使用的情況下,數(shù)據(jù)顯示為密文。加密技術(shù),能在源頭上保護(hù)數(shù)據(jù)。
按照作用的不同,數(shù)據(jù)加密技術(shù)可以分為數(shù)據(jù)傳輸加密、數(shù)據(jù)存儲加密、數(shù)據(jù)完整性加密管理等。數(shù)據(jù)傳輸加密是對傳輸中的數(shù)據(jù)流進(jìn)行加密,常用的方法有鏈路加密、節(jié)點(diǎn)加密和端到端加密三種。數(shù)據(jù)存儲加密,是為了防止在存儲環(huán)節(jié)中造成信息泄露,分為密文存儲和存取控制兩種。數(shù)據(jù)完整性鑒別技術(shù)是對接入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證,達(dá)到保密的要求。
鏈路加密,對于在兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的某一次通信鏈路,鏈路加密能為網(wǎng)上傳輸?shù)臄?shù)據(jù)提供安全保證,所有的信息均以密文形式出現(xiàn),掩蓋了被傳輸消息的源點(diǎn)和終點(diǎn),從而防止了對通信業(yè)務(wù)的分析。但是鏈路加密通常在點(diǎn)對點(diǎn)的同步或異步線路上,要求先對在鏈路兩端的加密設(shè)備進(jìn)行同步,然后使用一種鏈模式對鏈路上傳輸?shù)臄?shù)據(jù)進(jìn)行加密,這給網(wǎng)絡(luò)的性能和可管理性帶來了副作用。
節(jié)點(diǎn)加密,同鏈路加密操作方式類似,均在通信鏈路上為傳輸?shù)南⑻峁┌踩,這種方法對于防止攻擊者分析通信業(yè)務(wù)是脆弱的,同樣也會給網(wǎng)絡(luò)性能帶來不良影響。
端到端的加密,允許數(shù)據(jù)在從源點(diǎn)到終點(diǎn)的傳輸過程中始終以密文形式存在。采用端到端加密(又稱脫線加密或包加密),消息在被傳輸?shù)竭_(dá)終點(diǎn)之前不進(jìn)行解密,因?yàn)橄⒃谡麄(gè)傳輸過程中均受到保護(hù),所以即使有節(jié)點(diǎn)被損壞也不會使消息泄露,端到端的加密系統(tǒng)成本較低,并且與鏈路加密和節(jié)點(diǎn)加密相比更加可靠。更容易設(shè)計(jì)、實(shí)現(xiàn)和維護(hù)。端到端加密還避免了其它加密系統(tǒng)所固有的同步問題,因?yàn)槊總(gè)數(shù)據(jù)包均是獨(dú)立加密的,所以一個(gè)報(bào)文包所發(fā)生的傳輸錯(cuò)誤不會影響后續(xù)的報(bào)文包。此外,從用戶對安全需求的直覺上講,端到端加密更自然些。
從上述分析可以看出,采用鏈路加密或者節(jié)點(diǎn)加密,整個(gè)數(shù)據(jù)包都采用密文形式進(jìn)行傳輸,這樣會造成網(wǎng)絡(luò)結(jié)構(gòu)的改變或網(wǎng)絡(luò)性能的降低,并且成本太高。
由于網(wǎng)絡(luò)打印安全系統(tǒng)工作在局域網(wǎng)中,采用集線器將用戶PC和網(wǎng)絡(luò)打印機(jī)進(jìn)行連接,不涉及中間節(jié)點(diǎn),按照不對網(wǎng)絡(luò)結(jié)構(gòu)做較大改動的要求,采用端到端的加密技術(shù)最為合適。在不改變網(wǎng)絡(luò)打印機(jī)傳輸網(wǎng)絡(luò)數(shù)據(jù)協(xié)議的基礎(chǔ)上,只對數(shù)據(jù)包內(nèi)容進(jìn)行加密,網(wǎng)絡(luò)數(shù)據(jù)包以密文的形式在線路上進(jìn)行傳輸,在網(wǎng)絡(luò)打印機(jī)的前端配置解密平臺對數(shù)據(jù)包進(jìn)行解密。
3.3安全審計(jì)
審計(jì)是對訪問控制的必要補(bǔ)充,是訪問控制的一個(gè)重要內(nèi)容。審計(jì)會對用戶使用何種信息資源、使用的時(shí)間、以及如何使用(執(zhí)行何種操作)進(jìn)行記錄與監(jiān)控。日志用于全程記錄系統(tǒng)所有操作,便于分析判斷違規(guī)行為。日志分為打印任務(wù)日志、回收任務(wù)日志和系統(tǒng)日志。
打印任務(wù)日志對于打印任務(wù)從發(fā)起到輸出至打印機(jī)前的各個(gè)事件和狀態(tài)變化進(jìn)行完整記錄,可追溯打印過程中發(fā)生的打印任務(wù)提出、審批、進(jìn)入打印隊(duì)列、打印輸出等環(huán)節(jié)的關(guān)鍵信息。
回收任務(wù)日志記錄了回收任務(wù)各環(huán)節(jié)的關(guān)鍵信息。日志記錄了回收任務(wù)從發(fā)起請求至監(jiān)督確認(rèn)的各個(gè)環(huán)節(jié)的關(guān)鍵信息。主要記錄了文檔編號、文件名稱、打印人、密級、文件用途、審批人、監(jiān)銷人、操作類型、操作結(jié)果、操作時(shí)間、打印機(jī)名、打印內(nèi)容、任務(wù)狀態(tài)、回收份數(shù)、回收銷毀頁數(shù)、已回收份數(shù)、申請回收份數(shù)、申請回收頁數(shù)等信息。
系統(tǒng)日志中詳細(xì)記錄了所有類型用戶除查詢外的所有操作日志,可以通過選擇開始時(shí)間以及結(jié)束時(shí)間來檢索要查看的系統(tǒng)日志。系統(tǒng)日志記錄了操作人、事件類型、操作時(shí)間、操作結(jié)果。
對于打印來說,打印內(nèi)容也是日志的一部分,但是其占用空間相對較大,管理員可以根據(jù)需要設(shè)置自動刪除的策略,或者手動刪除,為新的打印任務(wù)騰出空間。
3.4打印機(jī)隔離
隨著網(wǎng)絡(luò)打印機(jī)技術(shù)的發(fā)展,現(xiàn)在的網(wǎng)絡(luò)打印機(jī)通過內(nèi)置打印服務(wù)器,使用獨(dú)立的網(wǎng)絡(luò)接口卡,擁有自己的IP地址,使用的網(wǎng)絡(luò)協(xié)議也是多種多樣,有些高端網(wǎng)絡(luò)打印機(jī)甚至內(nèi)置操作系統(tǒng)、存儲設(shè)備和IP協(xié)議棧。從網(wǎng)絡(luò)角度來看,網(wǎng)絡(luò)打印機(jī)作為網(wǎng)絡(luò)中的一個(gè)獨(dú)立節(jié)點(diǎn),不需要依附于網(wǎng)絡(luò)中的任何一臺電腦主機(jī),通過自身攜帶的網(wǎng)絡(luò)端口和網(wǎng)絡(luò)連接,網(wǎng)絡(luò)中的任何一臺主機(jī)只要和該打印機(jī)在同一個(gè)局域網(wǎng)中,都可以訪問到該網(wǎng)絡(luò)打印機(jī),并且任何一臺主機(jī)的開/關(guān)都不影響網(wǎng)絡(luò)打印機(jī)的正常使用。網(wǎng)絡(luò)打印機(jī)己經(jīng)從一個(gè)啞終端變成了一個(gè)獨(dú)立的同普通Pc一樣的網(wǎng)絡(luò)設(shè)備,但是由于網(wǎng)絡(luò)打印機(jī)其自身的特殊性,不能像普通Pc一樣通過安裝軟件來抵抗網(wǎng)絡(luò)攻擊,這就給網(wǎng)絡(luò)打印機(jī)的安全造成很大的威脅,所以要針對網(wǎng)絡(luò)打印機(jī)自身的特點(diǎn)尋求增強(qiáng)其抗攻擊能力的方法。
從目前情況來看,網(wǎng)絡(luò)打印機(jī)主要存在兩方面的漏洞:第一,內(nèi)置的FTP服務(wù)器不限制FTP PORT命令的使用,利用該漏洞,黑客可以通過FTPI]及務(wù)器任意連接系統(tǒng);第二,內(nèi)置的HTTP服務(wù)器不能正確驗(yàn)證特定HTTP請求,這樣黑客就可以任意更改系統(tǒng)配置,或發(fā)動DoS攻擊。
鑒于網(wǎng)絡(luò)打印機(jī)自身存在的安全漏洞及其特殊性,本文提出采用防火墻技術(shù)增強(qiáng)網(wǎng)絡(luò)打印機(jī)的安全性能,由于無法在其自身系統(tǒng)上安裝防火墻軟件以增強(qiáng)其自身安全性,可以通過在網(wǎng)絡(luò)打印機(jī)前端安裝一個(gè)嵌入式防火墻系統(tǒng)來解決這個(gè)問題。
根據(jù)網(wǎng)絡(luò)打印機(jī)所處的環(huán)境,采用兩級過濾模式在兩個(gè)不同的過濾點(diǎn)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的過濾,第一級在內(nèi)核下采用內(nèi)核模塊過濾的方式過濾發(fā)往網(wǎng)絡(luò)打印機(jī)的數(shù)據(jù)包,第二級在用戶層采用IPtab]eS規(guī)則進(jìn)行過濾,控制網(wǎng)絡(luò)上主機(jī)對網(wǎng)絡(luò)打印機(jī)的訪問,同時(shí)也限制了打印機(jī)對局域網(wǎng)的嗅探,從而增強(qiáng)網(wǎng)絡(luò)打印機(jī)的抗攻擊能力。
3.5建立完善管理制度
要做好企業(yè)數(shù)據(jù)安全保護(hù)工作,除實(shí)施以上技術(shù)手段外,應(yīng)結(jié)合企業(yè)所處行業(yè)及企業(yè)自身的特點(diǎn),制定一套完善的數(shù)據(jù)安全管理制度。流程化、規(guī)范化安全打印的相關(guān)工作。比如:在員工入職時(shí)需簽訂保密協(xié)議,確保員工保護(hù)好公司數(shù)據(jù)安全義務(wù),如果發(fā)生丟失、外泄,應(yīng)以竊取公司機(jī)密而做出處理,讓員工明白他們應(yīng)承擔(dān)怎樣的后果。應(yīng)建立起文件打印的審批制度,明確責(zé)任人及其應(yīng)負(fù)的相應(yīng)職責(zé):應(yīng)建立起涉密文件回收制度,定期進(jìn)行涉密文件回收銷毀工作。
4、總結(jié)
通過以上措施,可以有效地保證企業(yè)網(wǎng)絡(luò)安全打印管理,封堵打印輸出泄露、遺失的途徑,并通過審計(jì)證據(jù)迅速定位事故源頭,從事前、事中、事后三個(gè)層面保障網(wǎng)絡(luò)打印安全。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)內(nèi)網(wǎng)打印安全管理方案的設(shè)計(jì)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839312769.html