楊子江

大數(shù)據(jù)、移動(dòng)互聯(lián)、云計(jì)算等新興技術(shù)正為企業(yè)開啟轉(zhuǎn)型之路。數(shù)據(jù)信息沖擊前所未有的體量，并成為驅(qū)動(dòng)企業(yè)決策的關(guān)鍵。因此，在技術(shù)創(chuàng)造紅利的背景下，守護(hù)數(shù)字資產(chǎn)，被賦予了更為重要的意義。同時(shí)不可忽視的是，擁抱數(shù)字化體驗(yàn)也許代表著更多形式的風(fēng)險(xiǎn)挑戰(zhàn)，而在深入的技術(shù)變革中，信息泄漏將帶來災(zāi)難性的后果。

隨著信息在云端的交換和共享，網(wǎng)絡(luò)中的任何終端設(shè)備都可能成為風(fēng)險(xiǎn)來源。而打印機(jī)作為終端設(shè)備中的一員，常常會(huì)成為極易被攻擊的薄弱環(huán)節(jié)。美國獨(dú)立研究機(jī)構(gòu)Ponemon Institute公布的報(bào)告顯示，64%的IT經(jīng)理認(rèn)為其公司的打印機(jī)可能感染了惡意軟件。與此同時(shí)，56%的企業(yè)級(jí)用戶在終端安全策略中忽視了打印機(jī)。尤其在金融業(yè)等數(shù)據(jù)密集型行業(yè)中，從各個(gè)細(xì)節(jié)保證設(shè)備、文檔、數(shù)據(jù)和身份信息安全是業(yè)內(nèi)重要的生存法則。其中，文印是不可忽視的關(guān)口。對(duì)此，惠普在針對(duì)大中型企業(yè)工作組用戶提供的中高端激光打印機(jī)產(chǎn)品家族中，多級(jí)安全設(shè)置保障了從啟動(dòng)到關(guān)機(jī)全程中的安全威脅檢測和及時(shí)修護(hù)，防止存儲(chǔ)在打印機(jī)和傳輸中的敏感數(shù)據(jù)發(fā)生泄漏。

“內(nèi)外兼修”

降低文檔泄密可能性

不同來源的交叉打印常常會(huì)增加企業(yè)內(nèi)部信息泄露的風(fēng)險(xiǎn)。

針對(duì)內(nèi)部文檔泄密，我們將以往通常應(yīng)用于高端產(chǎn)品的PIN碼打印廣泛應(yīng)用于2016年秋季最新激光打印產(chǎn)品。PIN碼打印以及USB閃存打印，可有效控制打印權(quán)限，實(shí)現(xiàn)即插即打，在很大程度上減小了內(nèi)部文檔泄密的可能性。

面臨更加復(fù)雜的網(wǎng)絡(luò)環(huán)境，訪問控制、數(shù)據(jù)加密等基礎(chǔ)性保護(hù)措施顯然不足以抵抗更為頻繁的中間人攻擊。為了改善數(shù)據(jù)傳輸薄弱環(huán)節(jié)，惠普從內(nèi)置性能開始進(jìn)行深層防護(hù)，提供三大核心安全技術(shù)，包括：HP SureStart、白名單及運(yùn)行時(shí)入侵檢測。

SureStart技術(shù)用以檢測惡意BIOS攻擊，并從攻擊中實(shí)現(xiàn)自我修復(fù)。此前這項(xiàng)技術(shù)主要應(yīng)用在PC上，面對(duì)各種潛在惡意攻擊、未知錯(cuò)誤、升級(jí)失敗以及其他意外故障，實(shí)現(xiàn)PC BIOS修復(fù)，獲得更高工作效率。相同的BIOS保護(hù)功能現(xiàn)已全面擴(kuò)展到全新的惠普企業(yè)級(jí)激光打印機(jī)中。該技術(shù)能夠自動(dòng)檢測BIOS是否損害，一旦發(fā)現(xiàn)任意未授權(quán)的代碼改變，便會(huì)啟動(dòng)系統(tǒng)當(dāng)中特別存儲(chǔ)隱藏的一個(gè)黃金拷貝，實(shí)現(xiàn)系統(tǒng)自我恢復(fù)，保證設(shè)備和基礎(chǔ)代碼不受損害。

其次，固件白名單確保只有已知安全固件可載入打印機(jī)并運(yùn)行。白名單能夠檢查每一個(gè)固件組件上的特征碼，在加載到設(shè)備的內(nèi)存之前先確認(rèn)固件代碼的授權(quán)，確保只有已知的安全固件可以載入到打印機(jī)上并且運(yùn)行。如果發(fā)現(xiàn)證書不是源自于惠普，那么就意味著打印機(jī)有很高的幾率是已經(jīng)被攻擊者篡改了，這個(gè)部件會(huì)被自動(dòng)關(guān)閉，同時(shí)通知網(wǎng)絡(luò)管理員。

運(yùn)行時(shí)入侵檢測是一項(xiàng)新功能，主要是針對(duì)惡意攻擊提供設(shè)備內(nèi)存監(jiān)測，扮演著防火墻的角色，能夠?qū)Πl(fā)現(xiàn)的任何入侵都進(jìn)行最精細(xì)的檢測，給設(shè)備修復(fù)做好預(yù)先的配置。一旦有任何的異樣或者攻擊出現(xiàn)，它都能隨時(shí)修復(fù)這些配置，自動(dòng)重啟系統(tǒng)，高效地擦除攻擊者留在打印機(jī)里內(nèi)存的惡意代碼，降低感染風(fēng)險(xiǎn)，并且通過SIEM管理應(yīng)用，提供警報(bào)通知。

“軟硬兼施”

響應(yīng)未來需求的安全機(jī)制

在逐步深化的數(shù)字化革命中，大中型企業(yè)面臨更多戰(zhàn)略創(chuàng)新與改革。隨著企業(yè)規(guī)模的不斷擴(kuò)大，分支結(jié)構(gòu)和二級(jí)單位難以在文印安全管理上形成統(tǒng)一。告別傳統(tǒng)運(yùn)營和業(yè)務(wù)模式，轉(zhuǎn)型與創(chuàng)新需要更加靈活的IT系統(tǒng)響應(yīng)。我們針對(duì)企業(yè)級(jí)環(huán)境推出了智優(yōu)解決方案（HP JetAdvantage Security Manager），讓文印安全管理更為高效和便捷。它是一個(gè)基于安全政策的打印機(jī)安全合規(guī)解決方案，IT部門可以通過智優(yōu)解決方案建立并維護(hù)安全設(shè)置，例如關(guān)閉端口、禁用訪問協(xié)議、自動(dòng)擦除文件等等。

該解決方案可面向大型群組中全部的辦公打印設(shè)備和網(wǎng)絡(luò)，管理打印機(jī)群。一旦有新的打印機(jī)加入群組，這臺(tái)新設(shè)備能夠按照這個(gè)網(wǎng)絡(luò)當(dāng)中其他打印機(jī)所使用的政策和管理方法運(yùn)行，這樣IT管理部門可以無縫地管理設(shè)備間的信息交換，保護(hù)用戶數(shù)據(jù)安全，保證公司在打印機(jī)管理上符合規(guī)定。

在設(shè)備重新啟動(dòng)時(shí)，解決方案中的HP Instant-On Security功能將自動(dòng)檢查并重置任何受影響的設(shè)置，讓設(shè)備符合用戶公司的安全政策。目前，惠普已對(duì)智優(yōu)解決方案進(jìn)行了更新，提高其自動(dòng)化水平，包括自動(dòng)發(fā)現(xiàn)設(shè)備，讓尋找打印機(jī)和添加打印機(jī)變得更加簡單。這種面向打印群組的安全合規(guī)解決方案，在IT資源有限的情況下，能夠?yàn)榇蠹沂r(shí)省力，實(shí)現(xiàn)高效的管理。

除了惠普智優(yōu)解決方案（HP JetAdvantage Security Manager）可保護(hù)敏感商業(yè)數(shù)據(jù)，企業(yè)常用的HP Web Jetadmin也可集中控制文印環(huán)境，提升風(fēng)險(xiǎn)管控效率。規(guī)?？捎^的大中型企業(yè)中更需要借助解決方案搭建統(tǒng)一的安全文印體系，將安全管理由被動(dòng)響應(yīng)轉(zhuǎn)為主動(dòng)管理。

相關(guān)鏈接

哈爾濱銀行文印安全“防御術(shù)”

哈爾濱銀行對(duì)文印安全的關(guān)注不是被動(dòng)防護(hù)，也不是事故后的亡羊補(bǔ)牢，提升文印安全防護(hù)理念已成為哈爾濱銀行數(shù)據(jù)中心工作人員的共識(shí)。

對(duì)銀行數(shù)據(jù)中心而言，打印機(jī)廣泛應(yīng)用于匯總數(shù)據(jù)報(bào)表、數(shù)據(jù)遷移核對(duì)、內(nèi)控文件分享等方面。雖然很多數(shù)據(jù)已采用數(shù)字化方式保存，但紙質(zhì)文件的備份和存檔仍不可或缺，特別是每一次數(shù)據(jù)遷移之后的核對(duì)工作，數(shù)據(jù)中心都需打印大量文件。

而隨著數(shù)據(jù)量不斷增長，原來配置的打印機(jī)已不能快速高效地完成哈爾濱銀行數(shù)據(jù)中心的日常打印需求。“新的M506激光打印機(jī)為輸出帶來了很多積極變化?！惫枮I銀行數(shù)據(jù)中心工程師洪燁表示，“M506激的喚醒時(shí)間較短，應(yīng)用中也就8～9秒的超短時(shí)間打印機(jī)就能從休眠狀態(tài)啟動(dòng)工作。此外，該設(shè)備的打印速度非?？欤軐?shí)現(xiàn)每分鐘43頁的輸出速度。而最重要的是，該設(shè)備還可以支持雙面打印操作，非重要的核對(duì)數(shù)據(jù)文件可采用雙面輸出，不僅可以減少紙張消耗，打印輸出也更加高效?！?/p>

此外，M506也提供了相對(duì)周全的安全防護(hù)策略。據(jù)洪燁介紹，M506配置了多項(xiàng)主動(dòng)安全防范應(yīng)對(duì)策略，如HP SureStart功能。當(dāng)打印機(jī)運(yùn)行時(shí)會(huì)檢測BIOS代碼的完整性，一旦BIOS被破壞，HP SureStart會(huì)重啟設(shè)備，并加載安全的BIOS的黃金副本，確保辦公設(shè)備不會(huì)成為第三方偷窺的工具。另外，M506還具備固件白名單功能，打印機(jī)在啟動(dòng)過程中會(huì)檢查固件，確保它是可信、已知良好的代碼。此外，如果打印機(jī)遭遇外部入侵，打印機(jī)會(huì)第一時(shí)間重啟設(shè)備，保護(hù)用戶的文印安全。

在洪燁看來，這種安全防護(hù)體系非常有意義。