如何消除打印環境中的隱藏性安全漏洞

安全經理必須注意眾多的外在威脅，所以很容易忽視因多功能複合機管理不當所導致的內部威脅。幸好，最新一代的裝置與專業服務提供者的協助可成功應付此漏洞。

惡意軟件、勒索軟件、社群工程。勤奮的 IT 經理和資安總監得防止各式各樣的威脅侵害重要企業資料。但有一個區域往往不在安全雷達的監控範圍內，而且該區甚至位在最堅強的網路周邊。在這些網路上連接管理不當的多功能複合機，這會帶來重大威脅，來源包括企業駭客與員工不慎造成的資料外洩。原因：您需要不只考量網路配置和雲端服務優點的多面向方法，如此才能完整保護裝置安全。幸好，整合最新技術、管理服務與最佳做法可以防堵這些安全漏洞，而且不會影響一般使用者的生產力。在評估多功能複合機與分析潛在管理服務提供者的安全專業時，必須符合以下必要條件。

選擇專為提供安全保護而設計的裝置

資料安全應該在一開始就內建在多功能複合機中，而不是靠添加軟硬件來達成。您要如何判斷這部分？從聚焦在裝置的硬磁盤開始著手，因為硬磁盤是資料保護的「爆點」。硬磁盤應支援有聯邦政府背書的資料加密通訊協定，使用它們來處理傳輸資料和封存資料。例如，用來處理政府分類文件的進階加密標準 (Advanced Encryption Standard)。此外，多功能複合機應包含用來清除硬磁盤資料的軟件，以確保機密資訊在完成打印工作之後或裝置停用時不會外流。光是清除資料還不夠，因為工作中斷或停用磁盤清理時，資料仍有風險。加密通訊協定可在資料封存或進行網路傳輸時提供保護，但其他時候同樣存在漏洞。請勿忽視輸出紙匣的相關風險。如果多功能複合機已處理完打印工作，但傳送者還沒有時間拿取，這時路過的未經授權使用者就會看到財務資料、個人檔案及其他機密資訊。為了防止這種情形，多功能複合機品軟件中的跟隨我 (follow-me) 打印選項會集中保留打印工作，直到正確收件人掃描 ID 識別證和/或輸入密碼（取決於企業策略）。 

在公司的 Active Directory 裡集中儲存授權，而不是儲存在裝置本身，這樣管理者才能以最有效的方式管理授權。務必小心保護公司 Active Directory 和裝置識別證讀取器之間的連線安全。啟用這類傳輸最安全的方式是採用通訊加密的直接連線。此外，集中管理打印文件可加強安全，因為資訊並非儲存在裝置硬磁盤上。為了進一步強化安全，IT 經理可考慮將檔案從 PC 直接傳送到打印機，不要將打印工作集結在打印伺服器上。這很重要，因為許多組織不會針對在打印伺服器上等待打印的檔案進行加密，而這會讓駭客有機會取得資訊。您也可以選擇加密儲存區中的檔案，但這會限制組織啟用跟隨我 (follow-me) 打印選項的能力。因此，決策者必須根據待處理資料的重要性和生產力考量來平衡各種替代方案，以確保每種解決方案都能滿足他們的特定需求。如果安裝者未調整裝置的預設設定，則多功能複合機可能無法符合企業安裝標準。因此，配置過程應包含用來決定是否要限制特定工作群組和個人的掃描至電子郵件、傳真、打印及複印等活動的相關設定。對於處理高度機密資訊（例如病歷和社會安全號碼）的裝置，請考慮使用資料遺失預防 (DLP) 公用程序，它們可警示管理者甚至封鎖內含這類資料的打印工作。最後，另一個配置考量是個別裝置關聯使用者的角色。例如，不是每台裝置都會處理需要 DLP 或雙重鑑別的檔案。強制人員遵循不必要的嚴苛通訊協定，這會招致他們以生產力為名規避既有程序，結果反而形成更多漏洞。

在評估打印管理提供者時，請將安全謹記在心

在大型組織中，打印管理服務提供者扮演著重要角色。他們例行性維修與維護每台裝置以防機械問題和意外事件，生產力會因為打印機缺碳粉或紙張而停滯。這些專家還會維護適當安全設定並安裝軟件修補程序，以防駭客濫用已知錯誤。關鍵在於判斷哪些提供者擁有保護企業資訊所需的安全深度。服務提供者從遠端執行許多管理作業，因此請詳細瞭解候選者用來連結打印機集群的網路連線。分析這些連結有多安全，包括提供者是否使用專用的通道及 VPN 來與裝置進行通訊。每個工作群組都需要量身設計的裝置設定（不能太鬆也不能太麻煩），確認潛在服務提供者的安全解決方案並非以一擋百。

消除漏洞

安全經理必須注意眾多的外在威脅，所以很容易忽視因多功能複合機管理不當所導致的內部威脅。幸好，最新一代的裝置與專業服務提供者的協助可成功應付此漏洞。外在世界不可能變安全，但至少資訊總監和資安總監不用因為擔心他們的多功能複合機而徹夜難眠。