如何封闭打印环境中隐藏的安全漏洞

安全管理人员必须注意如此多的外部威胁，以至于很容易忽视来自管理不善的多功能产品的内部威胁。幸运的是，借助最新一代的设备和专家服务提供商的帮助可以成功解决这个漏洞。

恶意软件、勒索软件、社会工程。勤奋的 IT 经理和首席信息安全官会防范对关键公司数据的各种威胁。但是有一个区域经常会落在安全雷达下，它甚至位于最坚固的网络边界内。这些网络上所连接的管理不当的多功能产品（多功能数码复合机）会造成严重的安全威胁，无论是来自企业黑客攻击还是员工无意间泄露的数据。究其原因，完全保护这些设备需要多方面的措施，考虑的不仅仅是网络配置和云服务的实力。

幸运的是，最新技术、托管服务和最佳实践的组合可以在不损害最终用户生产力的情况下堵住这些安全漏洞。当评估多功能数码复合机和分析潜在的托管服务提供商的安全专业知识时，需要寻找这些必备条件。

选择专为安全性设计的设备

数据安全应该从一开始就内置到多功能数码复合机中，而不是通过附加硬件和软件来启用。您怎么确定这一点呢？首先关注一个单元的硬盘驱动器，这是数据保护的“零点位置”。该驱动器应该支持联邦政府所支持的数据加密协议，用于正在传输和静止的数据。例如用于政府机密文档的“高级加密标准”。

此外，多功能数码复合机应该包括擦除硬盘驱动器数据的软件，以确保在打印作业完成后或该单元停止工作时敏感信息不会继续存留。仅仅擦除数据是不够的，因为如果作业被中断或磁盘清理被禁用，数据仍然存在风险。

加密协议在数据静止或在网络上传输时保护数据，但在其他时间也是脆弱的。不要忽视与输出托盘相关的风险。如果在发件人有时间去取回之前多功能数码复合机就处理了打印作业，那么财务数据、人事档案和其他敏感信息都会暴露给任何碰巧路过的未经授权的人员。为了防止这种情况发生，多功能数码复合机软件中的伴随打印选项可以集中保存打印作业，直到合法的收件人扫描 ID 证章、输入密码或执行这两项操作后才能打印作业，具体取决于公司政策。

当授权集中存储在公司的 Active Directory 中而不是存储在设备自身上，授权可以得到管理员最有效的管理。应该注意保护企业的 Active Directory 和设备上证章读卡器之间的连接。对通信进行加密的直接连接是实现这些传输的最安全方式。此外，通过集中管理打印文档，安全性也得到了增强，因为信息不存储在设备的硬盘驱动器中。

为了进一步增强安全性，IT 经理可能会考虑将文件直接从 PC 发送到打印机，而不在打印服务器上集中作业。这很重要，因为许多组织不会加密在打印服务器上等待的文件，从而可能使黑客能够访问这些信息。加密集中的文件是一个选项；然而，这可能会限制组织启用伴随打印的能力。因此，决策者必须根据正在处理的数据的关键性和生产力考虑因素来平衡各种可选方案，以确保每一个解决方案都能满足其特定要求。

如果安装人员不调整单元的默认设置，多功能数码复合机可能无法遵守企业安全标准。因此，配置过程应该包括那些确定是否限制某些工作组和个人进行扫描到电子邮件、传真、打印和复印活动的设置。

对于处理特别敏感的信息（如医疗记录和社会安全号码）的设备，请考虑数据丢失防护 (DLP) 实用程序，该实用程序可以提醒管理员甚至阻止包含此类数据的打印作业。

最后还有一个配置考虑因素是与单个设备相关联的最终用户的角色。例如，并不是每一个单元都会处理保证 DLP 或双重验证的文件。强迫人们遵循不必要的强硬协议会使得他们以生产力的名义规避既定程序，这就会产生其他的漏洞。

评估打印管理提供商时请考虑安全性

打印管理服务的提供商在大型组织中扮演着重要的角色。他们定期保养和维护每一个单元，以避免由于打印机耗尽碳粉或纸张而导致生产力停滞的机械问题和事故。这些专家还能维护适当的安全设置并安装软件补丁，以防止黑客利用已知的 bug。关键是确定哪些提供商具有保护公司信息所必需的安全深度。

由于服务提供商远程执行许多管理任务，请获取有关候选人的网络如何连接到打印机设备群的详细信息。分析如何保护这些链接，包括提供商是否使用专用隧道和 VPN 来与设备通信。

而且，由于每个工作组都需要量身定制的设备设置，既不能过于宽松也不太苛刻，因此需确保潜在的服务提供商不会提供通用型的安全解决方案。

封闭漏洞

安全管理人员必须注意如此多的外部威胁，以至于很容易忽视来自管理不善的多功能数码复合机的内部威胁。幸运的是，借助最新一代的设备和专家服务提供商的帮助可以成功解决这个漏洞。外部世界可能不会变得更安全，但至少首席信息官和首席信息安全官不必因担心他们的多功能数码复合机而夜不能寐。