Когда пользователь отправляет документы на принтер или сервер печати, задание на печать, как правило, передается по сети в своем оригинальном виде. Эту информацию легко отследить и извлечь. Кроме того, еще какое-то время задания хранятся на внутреннем жестком диске принтера или многофункционального устройства. Хакерам не составляет труда вскрыть жесткие диски с помощью так называемого «супер-пароля», который любой желающий может получить на официальных страницах производителей: большинство из них выкладывает там инструкции по эксплуатации своей техники, заодно предоставляя информационным ворам пароль, который изначально предназначался лишь для сервисных инженеров.
Еще одна брешь в защите — тот момент, когда печатное задание выводится на бумагу. Принтеры, располагающиеся в отделах, доступны многим пользователям и «на блюдечке» преподносят всем желающим конфиденциальные сведения, в том числе критичные личные данные или, к примеру, информацию о пациентах. Мало того, к печатным документам часто удается добраться не только сотрудникам, но и посторонним лицам. Получается, что необходимая конфиденциальность и защита обеспечиваются далеко не всегда.
Оба примера показывают, что решение вопросов безопасности, связанных с принтерами, пойдет предприятию на пользу. Многие ответственные за ИТ уже осознают эту проблему и начинают разрабатывать возможные меры и технические решения. Все чаще проявляется стремление полностью исключить перлюстрацию данных с жесткого диска принтера, перехват заданий при печати и несанкционированный доступ к уже распечатанной информации.
ШИФРОВАНИЕ ПРИ ПЕРЕДАЧЕ ДАННЫХ
Для повышения уровня защиты при печати предприятия могут добавить в сеть различные дополнительные функции: защищенные серверы, технологии шифрования, специализированное аппаратное обеспечение. Система управления выводом PrinTaurus от AKI, к примеру, использует для печатаемых документов два стандарта шифрования, так что при отправке заданий на печать документы остаются конфиденциальными вплоть до их поступления на жесткий диск принтера. Для прямой передачи с ПК на сетевой принтер это решение использует протокол сетевой печати (Internet Printing Protocol, IPP) в сочетании с протоколом защищенных сокетов (Secure Socets Layer, SSL), поскольку многие принтеры поддерживают стандарт SSL. Целостность и аутентичность данных обеспечиваются с помощью контрольных сумм. Другой метод шифрования — алгоритм Blowfish. Он применяется, когда печатные данные передаются с одного сервера печати на другой. Blowfish, симметричный блочный метод шифрования, считается одним из самых надежных. На сервере печати информация также защищена.
Благодаря шифрованию печатаемые данные оказываются не доступны для неуполномоченных лиц, и сотрудники, занимающиеся вопросами безопаснос-ти, могут быть уверены в соблюдении конфиденциальности документов. Для того чтобы в результате применения двух вышеупомянутых механизмов шифрования не пострадала производительность системы, предусмотрено дополнительное сжатие. Документы пересылаются на принтер с обычной скоростью. Это важный аспект для практического использования, равно как и независимость такого решения от производителей или типов принтеров.
АУТЕНТИФИКАЦИЯ С ПОМОЩЬЮ СЧИТЫВАТЕЛЯ КАРТ
Для вызова заданий на печать существуют современные решения для аутентификации с применением считывателя карт. Решение Follow Print от AKI, к примеру, совместимо с любыми сетевыми принтерами и обеспечивает надежное обращение с конфиденциальными печатаемыми документами: сервер направляет задание на устройство вывода только после аутентификации пользователя с помощью магнитной карты (см. Рисунок 1). По завершении печати конфиденциальная информация стирается. Для применения подобных решений важна независимость от производителя.
Как известно, многие компании, привлекаемые получением более выгодных условий, переходят на закупку принтеров у одного производителя, однако на очень многих предприятиях до сих пор существует исторически сформировавшаяся гетерогенная инфраструктура принтеров. Как правило, такие устройства покупались по мере необходимости, так что даже там, где делается ставка на одного производителя, параллельно эксплуатируются одиночные принтеры, многофункциональные устройства, сетевые лазерные и струйные принтеры.
Выбор гибкого решения позволяет оснастить функциями защиты все имеющиеся принтеры. В результате не приходится приобретать специальное дорогостоящее оборудование с собственной системой ввода кодов PIN. Для аутентификации сотрудников можно использовать имеющиеся идентификационные карты, к примеру, карты для входа в здание или питания в столовой. К тому же, независимость таких решений от производителей предоставляет дополнительную защиту инвестиций, поскольку позднее их можно применить для новых типов принтеров. Чтобы управление пользователями при аутентификации на принтере не требовало от администратора дополнительных усилий, нужно, чтобы в средах Windows, к примеру, они использовали назначение прав Active Directory.
Естественно, для защиты печатных заданий, например, на сервере печати, решения аутентификации и шифрования можно комбинировать. Кроме того, концепцию защиты можно еще больше расширить, в частности, организовать печать через индивидуальные буферные файлы (Private Spool Files) с защитой версий, просматривать и управлять которыми сможет только их создатель. Такие файлы нельзя скопировать, переадресовывать на другой принтер или удалить. Содержание потока печатных данных также невозможно изменить. Таким образом на предприятии может поддерживаться защита документов от изменений, когда требуется, чтобы документы печатались лишь однократно.
ПРОФЕССИОНАЛЬНЫЕ РЕШЕНИЯ ДЛЯ УПРАВЛЕНИЯ ВЫВОДОМ
При отсутствии решений для обеспечения защиты печати предприятия сталкиваются со сложным выбором. Не следует ли приобрести множество индивидуальных принтеров, чтобы по возможности исключить неправомочный доступ к документам? Но это потребует больших затрат и сущест-венно увеличит административные расходы. Может быть, из соображений цены отдать предпочтение многофункциональным устройствам? Но тогда пользователю необходимо находиться рядом с принтером, чтобы вовремя принять собственное задание на печать и не позволить коллегам проявить неуместное любопытство в отношении закрытой информации. В долгосрочной перспективе оптимальным решением являются несколько эффективно загруженных сетевых принтеров и многофункциональных устройств, однако они должны соответствовать повышенным требованиям к защите данных.
Профессиональное управление выводом требуется не только для конфиденциальных данных, защищенных серверов и технологий шифрования. Оно дает преимущества также при администрировании печатной среды. Это позволяет удобно управлять различными типами устройств от разных производителей и их настройками с помощью одной-единственной программы. Кроме того, такое решение обеспечивает мониторинг принтерного ландшафта. Зачастую ошибки можно распознать и устранить на мониторе, поэтому проблемы с принтерами редко приходится решать на месте.
ЗАКЛЮЧЕНИЕ
Необдуманное применение принтеров в сети угрожает корпоративным стандартам безопасности ИТ. В эпоху цифровых информационных носителей такие проблемы быстро становятся достоянием общественности и нередко приводят к серьезному кризису на предприятии. Надежные и практичные решения, частично уже опробованные в международных и многофилиальных компаниях, позволяют обеспечить конфиденциальность печатаемых данных и документов.
Армин Кноблаух — руководитель компании AKI, специализирующейся на решениях управления выводом на печать.
© AWi Verlag