Однако тема безопасности сетевой печати этим не ограничивается и охватывает, к примеру, права доступа к принтерам или управление выдачей напечатанных документов.
Подключение принтеров к сети осуществляется, как правило, при помощи внешних или внутренних серверов печати либо через встроенные интерфейсы локальной сети. Ряд производителей принтеров, помимо прочего, интегрирует в свои профессиональные принтеры старшего класса и многофункциональные устройства пакеты обеспечения безопасности. Для менее оснащенного оборудования защита обеспечивается за счет дополнительных аппаратных решений, к примеру серверов печати. Некоторые из них поддерживают шифрование по протоколам защищенных сокетов (Secure Sockets Layer, SSL) и безопасности транспортного уровня (Transport Layer Security, TLS) на всем отрезке передачи данных: от клиента и до принтера.
ПОЛНЫЕ ПАКЕТЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Защита отправленных на печать данных — вплоть до принтера и даже до лотка с отпечатанными документами — может быть обеспечена разными путями. Некоторые производители, среди них Canon, Lexmark и Ricoh, все чаще используют в своих принтерах старшего класса и многофункциональных устройствах интегрированные решения обеспечения безопасности. Такие устройства, к примеру, содержат жесткие диски — т. е. компоненты, на которых данные оставляют цифровые следы. Поэтому производители начали серийно оснащать соответствующие продуктовые линейки расширенными функциями обеспечения безопасности.
К таковым обычно относятся управление правами доступа, защита конфигурации, а также активация и деактивация сетевых протоколов, приложений и портов. Ряд моделей Lexmark помимо поддержки SSL и IPSec дополнительно предлагают аутентификацию 802.1х, шифрование опциональных жестких дисков и функции наподобие запирания принтера. В некоторых продуктовых линейках от Ricoh предусматриваются шифрование SSL и передача данных по защищенному сетевому протоколу.
К стандартным возможностям подобных сетевых принтеров относятся решения с выдачей заданий на печать лишь тогда, когда уполномоченный пользователь запустит процесс печати непосредственно с устройства. Для регистрации на принтере можно по выбору использовать ввод кода PIN, магнитные или чип-карты, бесконтактные карты или биометрические методы. Так называемые «пакеты обеспечения безопасности» (Security Kit) следят за тем, чтобы данные, сохраненные на жестком диске принтера, шифровались и удалялись или перезаписывались после выполнения печати. Кроме того, содержимое жесткого диска можно полностью и безвозвратно удалить при смене местоположения принтера или при его окончательной утилизации.
ШИФРОВАНИЕ ДАННЫХ
У такой функциональности есть своя цена, и соответствующие реализации рассчитаны на устройства старшего класса для профессионального применения. Однако пользователи менее оснащенных или более старых принтеров не должны оставаться без защиты. Для этих устройств вывода выпускаются аппаратные решения, благодаря которым важнейшие функции обеспечения безопасности устройств старшего класса становятся доступны и им. Наиболее часто используется функция личной печати, предлагаемая среди прочих компаниями Ringdale (Followme Printing), Jetmobile (Megatrack) или MSE (Card'n'Print/Card'n'Copy). Данный метод помимо подключения к сети через интерфейс принтера требует установки рядом с ним дополнительного устройства. Личная печать предполагает также шифрование данных печати и предлагает приложения для управления стоимостью печати или правами доступа к принтеру.
Одна из набирающих силу тенденций — поддержка внешними и внутренними принтерами шифрования данных печати. Так, весь ассортимент принт-серверов компании SEH передает данные на печать с шифрованием SSL. Аналогичные решения предлагают Hewlett-Packard и Lexmark. В области шифрования печатаемых данных существует лишь единственный независимый от производителя протокол — протокол печати Internet (Internet Printing Protocol, IPP) в версии 1.1, описанный в RFC 2910/2911/3196 (см. http//www.pwg.org/ipp). IPP версии 1.1 базируется на HTTP версии 1.1 и охватывает все расширения HTTP, к каковым относится и SSL/TSL. Однако операционные системы Windows пока не поддерживают IPP 1.1. SEH решает эту проблему при помощи специально разработанного программного обеспечения для Windows, шифрующего задания на печать. Клиенты Windows получают возможность выбора между печатью через сокеты (порт 9100) и печатью по НТТР (порт 80), после чего пользователи решают, печатать ли с шифрованием через HTTPS (порт 431) или без шифрования (порт 80). Еще один пример — разработанный недавно компанией Thinprin метод шифрования Thinprint SSL, который производитель интегрировал в свое решение печати для оптимизации занимаемой пропускной способности. Но и в этой области крепнет сотрудничество: к примеру, последний сервер печати от SEH поддерживает Thinprint SSL.
КОНТРОЛЬ ДОСТУПА К СЕТИ ПРИ ПОМОЩИ СЕРВЕРА RADIUS
Для дальнейшего повышения уровня безопасности при печати в сети можно воспользоваться методами аутентификации. В качестве интерфейса между принтером и сетью серверы печати следят за тем, чтобы устройства правильно регистрировались в сети. При коммуникации клиента с сервером печати последний надежно идентифицируется. Речь идет, как правило, об аутентификации на базе IEEE 802.1Х (см. Рисунок 1). Этот метод типичен для технологии беспроводных локальных сетей, где аутентификация происходит посредством точек доступа и сервера RADIUS. В проводных сетях функции точки доступа берет на себя коммутатор. В беспроводных сетях стандарт IEEE 802.1X уже утвердился, но и в проводных он получает все большее распространение.
ЗАЩИТА ОТ МАНИПУЛЯЦИЙ
Поскольку серверы печати играют все более важную роль в области безопасности — вплоть до шифрования данных печати, необходимо жестко регламентировать права на их конфигурацию, которая максимально просто и эффективно защищается от манипуляций и неправомочного доступа при помощи пароля. Довольно часто все пользователи сети могут просматривать конфигурацию сервера печати через его опции управления, к примеру через браузер или собственные инструменты управления производителя, однако изменение конфигурации в большинстве случаев допускается лишь после ввода пароля. Ряд серверов печати с функцией контроля доступа, в частности от SEH, дополнительно предлагают функцию скрытия конфигурации сервера печати от неуполномоченных пользователей сети. Для некоторых моделей принтеров при помощи этой функциональности можно также блокировать конфигурацию сервера печати через панель принтера.
ЗАЩИТА ДОСТУПА ПОСРЕДСТВОМ СЕРВЕРА ПЕЧАТИ
Доступ к сетевому принтеру с целью печати также эффективно регулируется при помощи принт-сервера. Многие профессиональные серверы печати предусматривают для этого соответствующие параметры конфигурации. Однако обозначение такой функциональности у разных производителей разное: IP Sender у SEH, IP Filtering у Silex, Access Control у Hewlett-Packard или Protected IP Printing у Epson. Эту функцию фильтрации можно конфигурировать посредством специальных инструментов управления. Она защищает принтеры от несанкционированного использования, назначая права доступа лишь для определенных IP-адресов — и, таким образом, для конкретных рабочих мест. Для ввода IP-адресов или имен хостов, а также ввода областей IP-адресов с применением символов подстановки предназначены особые поля.
«ДЫРЫ» В СИСТЕМЕ БЕЗОПАСНОСТИ: ПЕЧАТЬ ДОКУМЕНТОВ
При помощи таких технологий администраторы могут четко определить список лиц, имеющих право обращаться к устройству: доступом к принтерам можно управлять как для отдельных пользователей и небольших групп, так и для целых подразделений. Возможен, например, следующий сценарий: в отделе маркетинга принтер цветной печати формата А3 доступен лишь тем сотрудникам, кому он действительно нужен по работе.
Когда задание на печать уже выполняется, шифрование данных не поможет защититься от несанкционированного доступа, если распечатанный документ оказывается в лотке. Здесь-то и могут пригодиться решения личной печати. Пример согласованного решения — комбинация упомянутого уже Card'n'Print с серверами печати от SEH для принтеров Kyocerа, при этом система идентификации и расчетов MSE подключается к принт-серверу через последовательный порт, а подкачка заданий пользователей на печать происходит на вычислительном сервере. Если у пользователя есть право доступа, то система разрешает выполнить печать. Таким образом гарантируется, что только уполномоченные сотрудники получают доступ к конкретным принтерам и что при этом они непосредственно присутствуют на месте выполнения задания на печать.
ЗАКЛЮЧЕНИЕ
В то время как для защиты важных, чувствительных и конфиденциальных данных предпринимаются серьезные меры предосторожности, тема печати по сети остается почти без внимания. Однако производители принтеров предлагают ряд решений, надежно защищающих отправленные на печать данные от несанкционированного доступа в процессе передачи по сети, а также во время собственно печати. Кроме того, весьма важно, чтобы и сами решения были защищены от постороннего доступа и манипуляций. Главными инструментами являются шифрование, права доступа, система идентификации пользователей и выдача отпечатанных документов уполномоченным пользователям.
Маргарет Койлен — менеджер по маркетинговым коммуникациям компании SEH Computertechnik. С ней можно связаться по адресу: pf@lanline.awi.de.
? AWi Verlag