網絡打印設備臺賬模型關聯入網端口全景管控技術研究

鄧雄榮，王湘女，劉卓賢，姚子汭

（東莞供電局，廣東 東莞 523008）

0 引言

網絡打印設備數量眾多，臺賬及耗材管理混亂，安全風險隱患日益增多，攻擊面不斷擴大，經常出現被仿冒、被劫持、被攻擊的風險隱患。因此，在企業日常網絡安全運營過程中，強化網絡打印設備的臺賬建模、入網監測定位、運行可視、耗材監控告警、安全合規檢測等能力顯得尤為重要迫切。本文通過一種網絡打印設備臺賬模型關聯入網端口全景管控技術方法研究，實現設備從入網-運行-變更-退運全生命周期動態管控，建立臺賬模型、防范接入風險，確保在運打印設備可視可管可控，有效地確保終端網絡安全穩定運行。

1 項目背景

隨著現代化辦公網絡環境的不斷發展，國家、政府、社會各行各業的標準型、兼容性、事務型的文件需求逐漸成熟深化，網絡打印設備也成為現代化辦公的縮影，有著其高效、便捷、移動、共享的多重優勢，市場規模不斷增長。與此同時，在整個IT 信息行業及最終用戶當中，運維和安全主要關注業務系統、物理環境、基礎架構、數據保護等，并在這些方面投入了大量的人力物力，從安全運維、風險管理、業務合規層面開展了全方位的體系建設，但對影響企業辦公效率和設備安全的網絡打印設備往往投入不足，關注較低，導致設備臺賬及耗材管理混亂，接入端口被非法盜用，高危端口、弱口令、安全漏洞等問題逐漸暴露出來，給終端安全管理帶來了很大的風險隱患，時刻都有可能攻擊突破現有終端網絡安全防護體系，將直接威脅單位終端安全、數據安全和業務安全。再加上在倡導“節能減排”的今天，打印耗材成為企業需要重點節約的對象，經常出現耗材不及時更換情況，且墨盒、硒鼓、紙張等耗材消耗數量沒有相應的技術統計分析手段，造成耗材浪費而導致成本增加嚴重影響企業辦公效率和投資計劃[1]。

本文提出了一種網絡打印設備臺賬模型關聯入網端口全景管控技術方法，通對網絡打印設備的全生命周期進行動態管控，實現對網絡打印設備的臺賬建模、入網監測、運行可視、耗材監控、安全合規檢測，提升企業整體的終端網絡安全管理水平。

2 技術研究

通過網絡打印設備臺賬模型關聯入網端口全景管控平臺，主動識別全網網絡打印設備品牌機型號，關聯現有的靜態畫像數據生成臺賬模型管理，對運行狀態進行實時監測，并采集網絡設備接入信息，形成設備模型及端口可視全景圖，通過SNMP 采集網絡打印設備的運行數據，設置場景對設備變化、網絡環境變化、耗材使用進行監控告警，通過主動探測掃描，檢測設備的高危端口、高危服務、風險漏洞等安全合規屬性，實現設備全生命周期進行動態管控，實現對網絡打印設備的入網精細化管理，減低了入網的安全風險，確保終端網絡安全可控[2]。

2.1 整體功能架構及技術原理

系統主要由五大功能模塊構成，整體功能架構如圖1 所示。

圖1 整體功能架構

2.1.1 網絡打印設備臺賬建模

通過網絡打印設備常見開放端口如TELNET、FTP、SSH、HTTP、HTTPS 等進行指紋收集與banner 信息提取，建立服務關聯模型，通過服務及端口開放或關閉的多種可能組合，采用特定匹配算法，建立網絡打印資產類型庫。通對網絡內部網絡打印網段資源進行探測，采用掃描、試探、訪問等主動方式，實現未知打印設備資產發現、已知打印設備資產外部可見性檢測等功能，獲取網絡內部打印設備資產信息、打印設備狀態信息、打印設備暴露狀態信息等。通過結合設備的投放的組織架構，使用人，資產編碼，序列號，投運年限等資產畫像數據，形成完整的入網臺賬模型[3]。

2.1.2 實時感知與采集

通過SSH 或SNMP 協議，定時對當前網絡中的所有交換設備和網關設備進行主動采集，獲取ARP 表和MAC 地址表，并對打印設備資產所屬的全網表項進行整合分析，明確當前打印設備資產所關聯的IP 地址在線和下線情況，明確打印設備資產所關聯的IP 地址對應的MAC 地址及MAC 地址所屬廠商情況，明確打印設備資產所關聯的MAC 地址所屬交換機端口情況，建立全網可視的打印設備資產分布表。通過SNMP 協議，定時對可選范圍內的所有打印設備進行主動采集，獲取當前及歷史運行數據，包括“設備名稱”“設備運行時間”“設備序列號”“設備歷史打印紙張數”“設備重啟后的打印設備紙張數”“設備成像技術”等20 種以上的運行數據，并在采集完成后對運行數據進行實時分析入庫，達成運行數據可視、運行狀態可監控、告警信息可推送、耗材信息可預測的網狀運行視圖。

2.1.3 運行可視化

通過定時化的主動采集和探測策略，記錄每一次信息關聯融合的打印設備運行狀態、打印設備定位信息、開放服務信息等詳細數據，采用實時分析算法，關聯全網設備更替，追蹤數據變化，記錄歷史生命周期，掌握打印設備資產移動、更新、下線等全量狀態。

“機械工程材料基礎B”是由上海理工大學機械工程學院開設的一門學科基礎課程,授課對象是非材料類的學生,主要包括能源與動力學院和機械工程學院。這些學院的學生在今后學習專業課和進行科研工作的時候,不需要應用高深的材料學方面的知識,但卻要掌握應用需要選擇材料的方法和改進材料性能的手段,以及運用理論知識解釋工程實際中的現象等。根據機械設計制造及其自動化專業工程認證的要求,按照“評價—反饋—改進”的質量監控和持續改進機制,以“機械工程材料基礎B”的課程目標及其對畢業要求的支撐為依據,隨機抽取該專業學生的考試結果進行分析和達成度計算,探討改進教學質量的途徑,培養符合工程認證要求的畢業生。

通過定時化的主動采集策略，詳細記錄每一個打印設備耗材的名稱、類型、顏色、打印量、余量等詳細數據，做到耗材余量有告警、耗材更替有記錄、耗材使用有章法的全方位耗材管理能力。

對全網打印設備資產臺賬進行核對、校準、驗證，根據更新策略對打印設備資產進行變更檢查、知識庫自動更新。

2.1.4 風險合規檢測

采用輕量化的端口檢測和掃描機制，通過主動的打印設備資產自動探測，理清網內打印設備資產的開放端口、服務類型、所屬應用，并進行自動化歸類和梳理，快速掌握全網打印設備資產暴露面。

通過內置的高危服務列表和可自定義的服務信息添加模塊，快速有效的整理導出高危服務詳情及關聯打印設備資產詳情，快速進行應急響應和處置。

系統集成并行式的漏洞檢測框架，在基于現有打印設備資產服務和資產類型的基礎上進行快速并行式的漏洞掃描，并可通過建立定期調度的策略掃描模式，不斷及時的發現打印設備資產風險，實時進行告警處置，閉環修復整改流程。

將打印設備漏洞信息與資產信息進行整合顯示，實現漏洞態勢可視化展示、漏洞數據管理、漏洞掃描任務管理、漏洞態勢分析、漏洞閉環處置等功能，進行全網打印設備風險漏洞統一關聯管理。

利用已識別出的打印設備品牌、型號，已探測的打印設備開放端口、對應服務，已采集的打印設備MAC地址、接入位置，已獲取的打印設備描述、序列號、運行時間、紙張消耗等運行信息，已導入的物理位置、管理員等各類信息，來實現打印設備資產關聯和定位，包括打印運行情況分析、打印設備IP 地址定位、打印設備設備定位、打印設備上下線時間等，全方位展示打印設備資產特征知識庫，掌握全生命周期資產信息脈絡。

2.2 部署架構說明

系統旁路部署在內網核心交換機上，確保能訪問到所有的網絡打印設備網段及網絡接入設備網管網段，通過主動探測采集感知，展現設備入網全生命周期全景信息[4]。

2.3 技術管控流程

入網后根據已識別出的打印設備品牌、型號，已探測的打印設備開放端口、對應服務，結合設備臺賬畫像數據，形成臺賬模型，再采集的打印設備MAC 地址、接入位置，獲取打印設備描述、序列號、運行時間、紙張消耗等運行信息，最終形成一套全生命周期基準數據，對各項指標數據進行實時監控告警，特殊資產重點監控管理，出現問題啟動響應處置流程，實現設備入網可視可知，運行變更可視，安全風險可視。最終實現對網絡打印設備的入網精細化管理，減低了入網的安全風險，確保終端網絡安全可控[5]。管控流程如圖2 所示。

圖2 管控流程

3 技術關鍵點、創新點

3.1 全生命周期臺賬模型展現

綜合關聯已識別出的打印設備品牌、型號，已探測的打印設備開放端口、對應服務，已采集的打印設備MAC 地址、接入位置，已獲取的打印設備描述、序列號、運行時間、紙張消耗等運行信息，已導入的物理位置、管理員等各類畫像數據信息，來實現打印設備資產關聯和定位，包括打印運行情況分析、打印設備IP 地址定位、打印設備定位、打印設備上下線時間等，全方位展示打印設備資產特征知識庫，掌握全局資產信息脈絡。結合對當前網絡中的所有交換設備和網關設備進行主動采集，獲取ARP 表和MAC 地址表，并對打印設備資產所屬的全網表項進行整合分析，明確當前打印設備資產所關聯的IP 地址在線和下線情況，明確打印設備資產所關聯的IP 地址對應的MAC 地址及MAC 地址所屬廠商情況，明確打印設備資產所關聯的MAC 地址所屬交換機端口接入配置合規情況，展現全生命周期標準臺賬模型全景。

3.2 設備關聯入網端口全景展現

通過采集網絡實時關聯信息，形成臺賬模型與網絡端口關聯關系圖，展現設備臺賬與網絡接入對應全景圖，監控此類接入端口變更情況，實時掌控端口的接入合規情況及風險隱患。

3.3 實現運營可視化

監測記錄信息關聯融合的打印設備運行狀態、打印設備定位信息、開放服務信息、風險合規信息等詳細數據，采用實時分析算法，關聯全網設備更替，追蹤數據變化，記錄歷史生命周期，掌握打印設備資產入網、移動、更新、下線等全量狀態。

4 成果推廣及應用前景

目前，通過網絡打印設備臺賬模型關聯入網端口全景管控技術，實現了對企業網絡打印設備的臺賬建模、入網監測、運行可視、耗材監控、安全合規檢測的全生命周期過程的動態管控。確保了入網中的打印設備可視可管可控，有效地確保終端網絡安全穩定運行。

項目成果已成功應用于全公司范圍，通過采集打印設備數據，建立各部門網絡打印設備臺賬模型，實現了自動識別網絡打印設備品牌及型號，自動采集網絡打印設備上下線情況、序列號等運行狀態，自動采集墨盒、硒鼓、紙張等耗材運行數據，對使用情況進行及時報警監測，定期提醒管理員更換相關耗材，節省企業成本提高工作效益。

（1）經濟性。倡導“節能減排”，實時監控網絡打印設備耗材使用情況，精確到碳粉余量的具體百分值，彩色打印設備能監控到每一種顏色碳粉余量的具體百分值，對生產所需耗材進行數據統計，統計各部門損耗，降低企業成本，在經濟上具有大規模推廣意義。

（2）實用性。無須登錄逐臺打印設備進行數據統計，只需一個系統，通過自動化建立臺賬模型，對打印設備運行情況、存活情況、分布情況、網絡接入位置、上線下線情況實時監測，快速識別網絡打印設備的品牌及型號，實時掌握打印變化狀態、耗材存量和消耗情況、紙張消耗情況等。避免了人工統計數據，提高了日常網絡安全運維效率。

（3）安全性。系統集成了風險檢測模塊，與臺賬模型關聯，快速對網絡打印設備進行安全風險檢測，第一時間檢測出可能存在的風險，增強了網絡安全合規管理，杜絕非法接入入侵，提升了特殊終端入網安全防護能力。

5 結語

本文所描述的網絡打印設備臺賬模型關聯入網端口全景管控系統，旁路部署接入網絡環境中，重點針對目前缺乏技術管理控制手段的網絡打印設備，通過有針對性的建立臺賬模型全景，實時掌控入網設備的耗材運行數據及安全運行態勢，并對耗材使用情況及攻擊者盜用端口滲透破壞進行事前預警，杜絕了風險傳播隱患。今后，本系統將擴大覆蓋范圍，涵蓋企業其他泛終端設備的入網安全管控，實現更多的泛終端網絡全生命周期動態管控場景。