数字化演进 企业如何守护文印安全

　　大数据、移动互联、云计算等新兴技术正为企业开启转型之路。数据信息冲击前所未有的体量，并成为驱动企业决策的关键。因此，在技术创造红利的背景下，守护数字资产，被赋予了更为重要的意义。同时不可忽视的是，拥抱数字化体验也许代表着更多形式的风险挑战，而在深入的技术变革中，信息泄漏将带来灾难性的后果。

　　随着信息在云端的交换和共享，网络中的任何终端设备都可能成为风险来源。而打印机作为终端设备中的一员，常常会成为极易被攻击的薄弱环节。美国独立研究机构Ponemon Institute公布的报告显示，64%的IT经理认为其公司的打印机可能感染了恶意软件。与此同时，56%的企业级用户在终端安全策略中忽视了打印机。尤其在金融业等数据密集型行业中，从各个细节保证设备、文档、数据和身份信息安全是业内重要的生存法则。其中，文印是不可忽视的关口。对此，惠普在针对大中型企业工作组用户提供的中高端激光打印机产品家族中，多级安全设置保障了从启动到关机全程中的安全威胁检测和及时修护，防止存储在打印机和传输中的敏感数据发生泄漏。

　　“内外兼修”降低文档泄密可能性

　　不同来源的交叉打印常常会增加企业内部信息泄露的风险。

　　针对内部文档泄密，我们将以往通常应用于高端产品的PIN码打印广泛应用于2016年秋季最新激光打印产品。PIN码打印以及USB闪存打印，可有效控制打印权限，实现即插即打，在很大程度上减小了内部文档泄密的可能性。

　　面临更加复杂的网络环境，访问控制、数据加密等基础性保护措施显然不足以抵抗更为频繁的中间人攻击。为了改善数据传输薄弱环节，惠普从内置性能开始进行深层防护，提供三大核心安全技术，包括：HP SureStart、白名单及运行时入侵检测。

　　SureStart技术用以检测恶意BIOS攻击，并从攻击中实现自我修复。此前这项技术主要应用在PC上，面对各种潜在恶意攻击、未知错误、升级失败以及其他意外故障，实现PC BIOS修复，获得更高工作效率。相同的BIOS保护功能现已全面扩展到全新的惠普企业级激光打印机中。该技术能够自动检测BIOS是否损害，一旦发现任意未授权的代码改变，便会启动系统当中特别存储隐藏的一个黄金拷贝，实现系统自我恢复，保证设备和基础代码不受损害。

　　其次，固件白名单确保只有已知安全固件可载入打印机并运行。白名单能够检查每一个固件组件上的特征码，在加载到设备的内存之前先确认固件代码的授权，确保只有已知的安全固件可以载入到打印机上并且运行。如果发现证书不是源自于惠普，那么就意味着打印机有很高的几率是已经被攻击者篡改了，这个部件会被自动关闭，同时通知网络管理员。

　　运行时入侵检测是一项新功能，主要是针对恶意攻击提供设备内存监测，扮演着防火墙的角色，能够对发现的任何入侵都进行最精细的检测，给设备修复做好预先的配置。一旦有任何的异样或者攻击出现，它都能随时修复这些配置，自动重启系统，高效地擦除攻击者留在打印机里内存的恶意代码，降低感染风险，并且通过SIEM管理应用，提供警报通知。

　　“软硬兼施”响应未来需求的安全机制

　　在逐步深化的数字化革命中，大中型企业面临更多战略创新与改革。随着企业规模的不断扩大，分支结构和二级单位难以在文印安全管理上形成统一。告别传统运营和业务模式，转型与创新需要更加灵活的IT系统响应。我们针对企业级环境推出了智优解决方案（HP JetAdvantage Security Manager），让文印安全管理更为高效和便捷。它是一个基于安全政策的打印机安全合规解决方案，IT部门可以通过智优解决方案建立并维护安全设置，例如关闭端口、禁用访问协议、自动擦除文件等等。

　　该解决方案可面向大型群组中全部的办公打印设备和网络，管理打印机群。一旦有新的打印机加入群组，这台新设备能够按照这个网络当中其他打印机所使用的政策和管理方法运行，这样IT管理部门可以无缝地管理设备间的信息交换，保护用户数据安全，保证公司在打印机管理上符合规定。

　　在设备重新启动时，解决方案中的HP Instant-On Security功能将自动检查并重置任何受影响的设置，让设备符合用户公司的安全政策。目前，惠普已对智优解决方案进行了更新，提高其自动化水平，包括自动发现设备，让寻找打印机和添加打印机变得更加简单。这种面向打印群组的安全合规解决方案，在IT资源有限的情况下，能够为大家省时省力，实现高效的管理。

　　除了惠普智优解决方案（HP JetAdvantage Security Manager）可保护敏感商业数据，企业常用的HP Web Jetadmin也可集中控制文印环境，提升风险管控效率。规模可观的大中型企业中更需要借助解决方案搭建统一的安全文印体系，将安全管理由被动响应转为主动管理。

　　相关链接

　　哈尔滨银行文印安全“防御术”

　　哈尔滨银行对文印安全的关注不是被动防护，也不是事故后的亡羊补牢，提升文印安全防护理念已成为哈尔滨银行数据中心工作人员的共识。

　　对银行数据中心而言，打印机广泛应用于汇总数据报表、数据迁移核对、内控文件分享等方面。虽然很多数据已采用数字化方式保存，但纸质文件的备份和存档仍不可或缺，特别是每一次数据迁移之后的核对工作，数据中心都需打印大量文件。

　　而随着数据量不断增长，原来配置的打印机已不能快速高效地完成哈尔滨银行数据中心的日常打印需求。“新的M506激光打印机为输出带来了很多积极变化。”哈尔滨银行数据中心工程师洪烨表示，“M506激的唤醒时间较短，应用中也就8~9秒的超短时间打印机就能从休眠状态启动工作。此外，该设备的打印速度非常快，能实现每分钟43页的输出速度。而最重要的是，该设备还可以支持双面打印操作，非重要的核对数据文件可采用双面输出，不仅可以减少纸张消耗，打印输出也更加高效。”

　　此外，M506也提供了相对周全的安全防护策略。据洪烨介绍，M506配置了多项主动安全防范应对策略，如HP SureStart功能。当打印机运行时会检测BIOS代码的完整性，一旦BIOS被破坏，HP SureStart会重启设备，并加载安全的BIOS的黄金副本，确保办公设备不会成为第三方偷窥的工具。另外，M506还具备固件白名单功能，打印机在启动过程中会检查固件，确保它是可信、已知良好的代码。此外，如果打印机遭遇外部入侵，打印机会第一时间重启设备，保护用户的文印安全。

　　在洪烨看来，这种安全防护体系非常有意义。

　　杨子江