不可忽視的打印安全

某單位發生了一起比較嚴重的泄密事件，導致在某次商務談判中失利。經過內部嚴格審查，發現是內部人員將一份涉及商業機密的文檔泄漏給了競爭對手。按理說，公司的內部安全管理比較嚴格，對內外部的網絡入侵都進行了精心的防范，對重要文檔也都進行嚴格的加密和審核，怎么會讓機密文檔外泄呢？

在經過調查后發現，問題出在了打印環節，有相關人員在打印文檔時，由于疏忽大意，讓別有用心的人輕松得到了企業的機密文檔。

從這一事件中不難看出，對企業的打印環節進行必要的安全管理，對于保護企業的數據安全是極為重要的，而這又往往被人們忽視。

打印環節面臨的安全問題

說起網絡安全，大家都會想到黑客入侵、病毒滲透、木馬后門等“熱點”內容。但是對于打印的安全就不以為然了。

實際上，隨著企業業務的發展，如何保護企業核心機密的安全以防止黑客進行竊取，越來越成為大家比較關注的問題。于是，很多企業都實現了內外網分隔的機制，通過配置防火墻，利用上網行為檢測、主動防御等設備，對進出的流量進行嚴格的控制。在企業內部，通過使用殺毒軟件等安全軟件，來防范可能潛入的木馬病毒。對于內部員工來說，會對其操作電腦的行為進行管控，禁止進行非法操作，例如隨意使用U盤等設備復制數據等等。

很多人認為通過這些常見的安全手段，企業數據安全就可以高深無憂了。其實，在企業日常辦公場景中，經常需要進行打印操作，不管機密文檔經過了多么復雜的加密措施，在進行打印時總是需要顯示其真實內容的。但是，對于打印管理來說，恰恰是很多企業最忽視的環節。

例如辦公人員隨意找一臺連接了打印機的電腦，之后打開Office等辦公軟件，對機密文檔進行打印。在此期間，很多無關人員都可以接觸到打印機，甚至可以偷窺、拍攝或盜取打印的文檔。例如，相關人員暫時離開打印機后，有不法分子乘機盜走幾份資料，當其返回后發現打印的內容不全，也會毫不在意的多打幾份了事。

殊不知，機密信息已經被人悄悄的泄漏出去了。企業對于打印安全的忽視，主要表現在打印的隨意性上，讓不法分子可以輕易接觸到打印資料。實際上，即使有專門的主機實現打印操作，不法分子也可以通過內網滲透入侵的方法，來獲取該機的控制權（例如安裝后門等），這相對于外網滲透要簡單容易的多，當相關人員將機密文檔復制到該機上后，不法分子就可以很輕松地利用后門來盜取文檔，還不會留下任何痕跡。

一些企業的安全措施實際比較強，會建立集中打印系統，以為這樣做就可以杜絕隱患。其實，在該環境中打印設備往往放置在單獨的房間中，并沒有專門的人員進行看護。而辦公人員和打印設備距離比較遠，而且集中打印會同時處理很多打印任務，往往在打印一段時間后相關人員才過去取打印資料。同時不同部門的打印資料往往堆積在一起，這就給了不法分子以可乘之機，使其可以潛入打印區域隨意盜取機密文檔。當打印文檔使用完畢后，很多人都習慣于將其一扔了事，而沒有進行徹底的銷毀，對于一些“有心人”來說，可以很輕松的從廢紙簍等地方找到包含機密信息的紙張，這對企業的數據安全威脅很大。

應對打印安全問題的方法

面對以上和打印相關的安全問題，必須采用各種手段加以管控，對打印過程進行監控是非常好的一個辦法。

例如，對于集中打印系統來說，雖然無法為其配置專門的人員進行守護，但是可以通過在打印區域設置監控攝像頭的方法進行全方面監控，及時發現和排查隨意接觸和翻閱打印資料的可疑人員。對于集中打印機來說，往往都配置了比較高端的打印機，這些打印機都可以安裝諸如電子分頁器，多輸出紙盒、堆疊器、裝訂器等輔助配件，可以實現自動資料輸出、自動裝訂資料等。同時可以將不同部分的打印資料分類存放，便于進行有效管理。

對于使用后的打印資料，最好使用專業的碎紙機進行徹底粉碎，防止非法用戶通過拼接來獲取機密信息。一些企業為了實現更好的打印效果，會配置使用了熱升華技術的打印機/傳真機/復印機等，雖然其打印效果很好，但是會存在在碳帶上存留有打印痕跡的隱患，如果別人得到遺棄的碳帶，就可以根據碳帶上的這些潛影信息來了解打印的內容。對于這類打印機來說，使用過的碳帶不要隨意丟棄。

對分散打印進行集中監控

對于大多數企業來說，往往是分散式打印操作。在很多部門都配置了打印機，作為網絡管理人員，如果想對網絡中打印機的使用情況進行精確統計的話，采用手工記錄的方式就顯得費時費力。何況很多單位員工私用、濫用打印機的情況經常發生，更重要的是由此可能引發的安全問題。打印機往往成為泄漏企業的重要數據的快捷通道，別人可以輕易的將敏感數據打印出來，在別人毫不知曉的情況下悄悄帶走。

為此可以使用iPrint、PrintShield、PrintUsage等專門的管控軟件，對其進行集中控制。

這里以PrintUsage打印監控系統為例進行說明，其能夠對局域網中的任何一臺打印機或打印服務器進行全面監控和記錄，為網管人員提供詳細的打印監控信息，甚至可以直接查看打印的內容。從而合理的控制打印機的使用，不僅可以節省辦公成本，還能避免潛在的安全問題。

當PrintUsage安裝完成后，會在系統中新建一個名為“PrintUsage Service”的系統服務。雙擊桌面上的“PrintUsage WEB管理站點”快捷圖標，在瀏覽器中打開“打印管理登錄”頁面，輸入管理員名稱和密碼（默認狀態下管理員名稱為“admin”，口令為空），登錄成功后進入PrintUsage管理頁面，在左側的導航欄中點擊“服務器組”、“所有打印機”，在右側的“打印機列表”頁面中列出所有的打印機信息。

在PrintUsage初始運行狀態下，只顯示連接到本機的打印機信息。利用PrintUsage可以輕松管理局域網中所有的共享打印機。在打印機列表下部單擊“添加”按鈕，出現打印機添加向導界面，在“添加打印機--選擇待添加的服務器”頁面中點擊“添加服務器”鏈接，在“添加服務器”頁面輸入其他服務器的名稱、IP和描述信息，完成服務器的添加操作。隨后在“服務器名”列表中選中合適的服務器名稱，點擊“下一步”按鈕，在“添加打印機”頁面中列出連接到該服務器上的打印機名稱，將其選中即可完成打印機的添加操作。按照這種方法，可以在“打印機列表”頁面中列出局域網中的所有共享打印機。

在左側的導航欄中點擊“服務器組”、“所有打印機”，在右側的“打印機列表”頁面中勾選對應“受監控”列中選擇框，就實現了對指定打印機的監控。值得注意的是，在設置好打印機監控功能之后，需要重啟服務。經過設置之后，不管是本地打印機，還是局域網中的共享打印機，只要其處于PrintUsage監控列表中，只要其執行了打印操作，都可以在PrintUsage中直接查看到打印的內容。

以管理員身份登錄PrintUsage打印管理窗口，在左側導航欄中點擊“日志”、“打印日志”，在右側窗口中就顯示出PrintUsage記錄的打印日志列表，包括用戶名、組名、計算機名稱、打印時間、打印機名、文檔名、內容、狀態、頁數、份數、紙張等詳細的信息，使網絡管理人員對局域網中打印機的使用情況了如指掌。如果想單獨查看某一打印日志信息，在打印日志列表中對應行的“文檔”中點擊“打印的文檔名”，就能打開更加詳細的打印報告窗口，使管理人員能更深入的了解該打印過程的狀態信息。

PrintUsage最強大的功能是可以記錄打印的完整內容，并將其自動保存為Tif圖片格式。在需要查看的打印日志項目的“內容”列中點擊“查看”圖標，在彈出的文件下載對話框中點擊“打開”或“保存”按鈕，這樣就可以利用看圖程序打開該Tif文件，于是打印文檔內容就全部顯示出來了。

為了避免其他人隨意使用PrintUsage，需要及時的更改管理員密碼。在左側的導航欄中點擊“設置”、“管理員設置”項，在列表中選中“Admin”用戶，點擊“重設密碼”按鈕，在彈出的密碼設置窗口中輸入新的密碼。當然，也可以點擊“增加”按鈕，來添加新的用戶，同時還可以指定該用戶是否具有管理員權限。

為打印機加上“安全鎖”

對于較小的單位來說，會在某臺主機上連接打印機，實現專門的打印操作。在默認情況下，任何人都可以執行打印操作。

有時出于安全管理的需要，我們往往不希望打印機被隨意使用，那么，最好的辦法就是對其進行鎖定處理。使用Port Locker軟件不僅可以鎖定打印機，而且可以禁用網絡連接和USB設備。Port Locker安裝完成后，會在系統中創建一個名稱為“Port Locker Service”的服務，可以跟隨系統自動運行，全程監控打印機和USB設備的連接情況。

在系統托盤中右擊Port Locker圖標，在彈出菜單中點擊“初始化向導”項，在向導界面中密碼設置界面中輸入密碼和提示信息，點擊“下一步”按鈕，即可自動鎖定所有的USB端口和打印機。當別人在本機上執行打印操作或者使用USB設備時，Port Locker即可進行攔截。在自動彈出的認證窗口中必須輸入正確的密碼，點擊“確定”按鈕后，才可以恢復打印機和USB設備的正常使用狀態。在Port Locker右鍵菜單上點擊“管理控制臺”項，輸入正確的密碼，進入控制窗口。

在控制臺窗口左側依次點擊“裝置控制中心”、“智能鎖定裝置”項，在右側窗口中點擊“U盤”或者“打印機”圖標，可以在激活和鎖定之間切換。在窗口左側點擊“安全鎖定裝置”項，在右側窗口中點擊“網絡連接”圖標，可以激活或者禁用網絡連接。在窗口左側點擊“更改設置”項，在右側窗口中可以更改認證密碼。

當然，您可以隨時在Port Locker的右鍵菜單上點擊“解鎖所有裝置”項，輸入密碼后即可解除所有的鎖定操作。之后可以自由上網，連接USB設備，打印文檔等操作。在Port Locker右鍵菜單上點擊“鎖定所有裝置”項，可以立即執行針對打印機，USB設備，網絡連接的鎖定操作。