將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/8/10

從傳輸加密到暫存資料抹除 完善安全管控機制

制定政策從人著手 適時汰舊保列印安全

余采霏
傳統的辦公設備正在融入先進的科技與技術。如今,所有的文件與檔案都被整合到單台具有強大功能的多功能事務機設備中,並且成為整體網路的一個環節,就連傳真都有可能受到駭客入侵,也就不難想像,為何業界專家們要大力疾呼列印安全的重要性。


傳統的辦公設備正在融入先進的科技與技術。時間如果回到15年前,列印安全可能不需受到如此關注。在當時,企業辦公環境只有網路印表機會連結到使用者的桌上型電腦,而影印機與傳真機則是分開單獨部署。如今,所有的文件與檔案都被整合到單台具有強大功能的多功能事務機設備中,並且成為整體網路的一個環節,就連傳真線路都有可能成為駭客入侵的「後門」,也就不難想像,為何業界專家們要大力疾呼列印安全的重要性。

從傳輸加密到文件安全

為了確保機敏資料在列印環境中不被洩漏,多功能事務機供應商或服務廠商多半會從網路、實體以及文件安全等幾個面向著手,並且透過相關的軟體與安全功能來提高列印安全。例如Canon imageRUNNER ADVANCE第三世代機種全面提升的資訊安全防護,除了文件輸出與資料管理安全性外,還特別強化了網路安全性(TLS版本),多樣化的驗證機制,同時搭配Canon iWSAM資料備存系統,可以全面強化事務機與文件的安全性。

除此之外,Canon也特別強調使用者操作便利性,在第三世代機種中也內建個人化設計,使用者可自由調整功能、通訊錄、語言等等的設定,以符合個人使用習慣,提升工作效率。隨著愈來愈多行動工作者透過即時通訊進行工作事務溝通,使用者也可以行動裝置與事務機進行Wi-Fi連線,直接輸出文件列印。對於管理者而言,員工帳號的管控向來是一項負擔,在身份驗證方面,也能整合AD伺服器,如此一來,便不用擔心新進或離職員工的帳號問題,也不會有時間落差。

近年來,隨著多功能事務機硬體效能愈來愈強大,存放在硬碟內部的暫存資料也就成為駭客或有心人士的目標。Canon企劃暨新產品事業部BPG事業處資深經理王友三指出,Canon一直很重視硬碟內暫存資料的安全性,使用者除了可以在面板上選擇演算法進行覆寫,最高可覆寫9次之外,也提供硬碟銷毀服務,確保機敏資料不會因為汰舊換新而外流,「有些企業已將事務機納入安全管理機制與流程,明定硬碟拔除後不能被原廠或服務供應商帶回,這也是一種可行的方案,避免硬碟在處理的過程中讓人有機可趁。」

將人員納入資安管控

▲ Canon企劃暨新產品事業部BPG事業處資深經理王友三建議,最好使用近兩年的事務機,如果是超過三年以上的舊機型,很多安全功能很可能都已經過時,受到危害的機率比較高。
一如所有的安全議題,多半會從外部威脅與內部人為資料外洩來探討,列印安全也是如此。該審視的環節除了從架構與設備功能面查看有無漏洞之外,人為導致的安全風險,也必須被仔細考量。例如不少企業會要求事務機業者提供敏感字眼的告警功能,使用者在操作事務機的過程中,一旦出現敏感字眼如報價單、工廠代號、產品名稱時,事務機便會發出告警訊息警示或讓其主管知悉。

王友三認為,外部威脅現今已有多種機制可以提供安全防範。今年初台灣多所學校的網路印表機均收到署名為Emerson Rodrigues之恐嚇信件,要求校方指定時間前支付3個比特幣,若未準時付款就會發動網路攻擊以癱瘓學校網路,以此案例來看,只需要幾個步驟就可以有效防範駭客入侵。首先是將IP位置改為私有IP,藉以提高安全性。若是無法改為私有IP位址,建議可以開啟事務機上的防火牆功能(IP Firewall),限定只能從特定IP來源輸出文件。另外,也建議使用強制保留列印功能,所有使用者的文件並不直接放行,而是保留在事務機內,等到人員身份獲得驗證後再行輸出。

但是「人」的因素就必須結合政策管控,他提到,台灣許多高科技或半導體產業會對相關設備的要求較為嚴謹,例如不能攜帶行動設備或只能使用傳統功能手機(Feature Phone),門禁出入都會搜查,甚至連紙張都不能攜帶。就現今的功能面來看,多功能事務機在外部威脅與內部安全兩個層面上已經多有考量,並且不斷在功能面上強化,但仍必須強調,如果企業內部人員沒有辦法有效地管控,就算部署多功能事務機,並且啟用所有的安全功能,資料還是可能外洩。

強化安全意識 汰舊換新

根據調查,每一年勒索軟體攻擊數都在飆升,儼然已經成為企業資安的惡夢。尤其今年5月爆發的WannaCry,更是在全球引發重大災情。這個利用Windows環境中的SMB(Server Message Block)通訊協議漏洞(CVE-2017-0144)在全球大規模散布的勒索軟體,雖然還沒有在事務機領域導致災情發生,但王友三也提醒企業千萬不要輕忽,因為事務機很可能成為跳板,讓勒索軟體擴散而導致企業引發重大災情。

「WannaCry會針對SMB 1.0的協定漏洞進行攻擊,Canon在第三世代機種中已支援SMB 3.0協定,當關閉1.0時,掃描後傳送到共享資料夾,會透2.0/3.0進行傳送,不會因此受限制。」他提到,勒索病毒肆虐已久,尤其是台灣中小企業因為沒有專職IT人員以及安全意識不足,往往成為駭客的勒索對象。企業在提高安全意識之餘,更應該檢視內部的網路印表機或事務機,是否有開啟基本的安全功能,若是連基本安全功能都沒有,則建議企業直接汰舊換新。

「台灣企業向來精省,只要設備仍然可用,即使過了租期,還是會留下來展延使用。我們便曾聽聞某公家單位事務機最長使用了6年才汰換。」王友三指出,就成本面來看,這固然有利減少成本支出,但卻可能造成資安的漏洞。因為6年前的設備,在安全功能的設計上肯定沒有最新的漏洞,要因應現代化的資安威脅有其難度,建議企業不要因小失大,「最好使用近兩年的事務機,如果是超過三年以上的舊機型,很多安全功能很可能都已經過時,受到危害的機率比較高。」

這篇文章讓你覺得滿意不滿意
送出
相關文章
多功能事務機 資安新戰場
洞悉異常文件輸出行為 多維度守護營業秘密
四面向防護列印安全 原廠授權服務更有保障
韌體嵌入三大檢測機制 杜絕事務機資安之狼
列印環境高安全風險 專家解析強化薄弱環節
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章