將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/8/16

因小失大不划算 成本考量也該兼顧安全性

四面向防護列印安全 原廠授權服務更有保障

余采霏
業列印環境中具有極大的潛在安全風險,如何確保列印資料在網路傳輸的過程中不被他人截取、檔案文件不會被人有意無意的取走、列印設備的基本設定不會被竄改,以及機敏資料的控管,都是企業應該關注的環節。


長期以來,在企業心中,網路印表機與多功能事務機只被視為辦公室周邊設備,因此,企業關心的焦點,多半是鎖定如何透過這類型的設備來達到節省成本的效益、提高人員生產力,或是透過文件數位化來簡化作業流程。儘管設備業者早就意識到列印環境的安全風險,並且提供相關的選購功能,例如機密列印、控制面板鎖定、資料加密、IP過濾器或是影像複寫功能,但是多數企業在採購當下的判定依據,依然是關注在單張列印成本與列印速度。

重視成本卻忽略安全

富士全錄印表機亞太區技術服務部資深經理杜宗益苦笑地說,直到今日,這樣的思維仍然沒有改變。「許多企業的思維還是維持在能『印』就好的觀念上。再加上,有些安全機制與解決方案原本就需要投入較高昂的成本,採購人員在基於成本考量下,往往自動忽略。」他提到,以往只有較具資安意識企業或部門,以及大型企業對列印安全較為重視,「或許也是因為一直以來並沒有發生大型入侵或資料外洩的安全事件,使得企業疏於防範。」

直到近兩年發生多起入侵或勒索軟體攻擊,企業才開始留意相關設備的安全性,而企業也才發現到,設備本身早就具有基本安全防護功能,只是並沒有被啟用或變更密碼。杜宗益指出,5月份WannaCry利用Windows作業系統漏洞入侵,富士全錄亞太地區的客服人員便接到許多詢問電話,詢問這次的攻擊事務機會不會受到影響。「雖然富士全錄的事務機並不是Windows作業系統,沒有被入侵的疑慮,但富士全錄還是在第一時間針對微軟技術通報,協助企業停用SMBv1,以避免安全疑慮。」

他強調,一直以來富士全錄設計產品的概念是安全性為優先考量,便利性反而是次要考量,那怕是低階入門款,針對網路安全的通訊協定,都有支援IP Security、SNMPv3等等,這些都納入在基本設計中。有些品牌業者基於維護的方便性,在產品推出市場一至兩年後,提供韌體遠端自動更新。但富士全錄的作法反而是請工程師手動更新,或是消費者打電話到客服中心,由客服人員線上指導更新,「我們並不建議企業做自動更新,原因便在於,一旦原廠可以透過網際網路連進企業端設備,也就意味著有心人士或駭客也有機會循著這條管道入侵到企業內部的事務機設備,造成企業內部的網路安全受到影響。」

四面向確保列印安全

▲富士全錄印表機亞太區技術服務部資深經理杜宗益指出,駭客有可能從多功能事務機中未受保護的傳真連線走「後門」入侵。
業界專家警告,企業列印環境中具有極大的潛在安全風險,如何確保列印資料在網路傳輸的過程中不被他人截取、檔案文件不會被人有意無意的取走、列印設備的基本設定不會被竄改,以及機敏資料的控管,都是企業應該關注的環節。

杜宗益指出,一般而言,列印安全可以從四個面向來討論,包含實體安全、文件安全、資料安全以及管理安全。在實體安全方面,常見提供控制面板鎖定以及結合第三方裝置,如讀卡機或指紋辨識等驗證方案搭配使用。而在文件安全與維護方面,主要考量兩個面向,一是避免文件遺失而造成企業生產力損失,另一個層面則是預防機敏資料外洩。「文件安全是企業相當關注的問題,像是使用者須在裝置上以磁卡或輸入識別碼認證後,才能取回列印文件的跟隨列印(Follow me)以及機密列印,都是常見提供的功能。」

為了確保資料在傳輸與暫存在列印設備內部硬碟過程的安全性,在資料安全方面也提供了多項安全機制,舉例而言,企業可啟用SNMPv3,保護在印表機與管理伺服器間進行傳輸的資訊;或是使用SSL/TLS加密,讓資料在輸出或輸入裝置或是暫存到硬碟的過程中都被加密保護。另外,影像覆寫功能可在列印、影印、掃描或傳真工作結束後,清除或覆寫硬碟中的影像文件資料,再搭配硬碟加密與機密列印功能,可有效防止有心人士竊取企業機密文件,造成資訊外洩。

最後是管理安全性。主要是透過限制存取重要列印與網路管理功能,來提供安全的列印環境。他舉例,富士全錄網路印表機或多功能事務機皆內建CentreWare Internet Service(CWIS)網路智慧遠端裝置處理工具。基本的CWIS功能可設定一組管理密碼,但在進階機種中,則可再依據使用者與管理者設定不同密碼,藉此賦予不同的使用權限。又利如IP位址過濾,這項功能可讓系統管理員允許只有特定IP位址才可存取,以避免遠端攻擊者的入侵。如果IP位址不在允許範圍,將無法存取印表機或多功能事務機。

杜宗益也特別提到,就現今的安全機制來看,影印與列印的防範機制會較為完善,而傳真與掃描,則相對較難管控。就以數位傳真來說,企業雖然部署了防火牆,以避免未經授權者來存取網路,但駭客卻有可能從多功能事務機中未受保護的傳真連線走「後門」入侵。「富士全錄現今已能做到完全區隔傳真電話線與網路連線,以避免這項風險。」

原廠授權資料 安全有保障

在台灣商用列印市場,企業多半會選擇租賃的方式來部署網路印表機或多功能事務機,當企業租約期滿或是汰舊換新時,設備供應商與服務業者如何處理暫存在硬碟上的資料,也相當關鍵。

之前美國CBS新聞便曾參觀位於新澤西州的二手事務機倉庫,很輕易地便取得幾台二手事務機硬碟,意外發現了許多機敏資料,而且在記者參觀的同時,正有兩家貨運公司忙著將二手事務機裝進貨櫃,把這些有重要資料的設備運往阿根廷和新加坡的未知買家。

換言之,台灣企業「退役」下來的列印設備,也很有可能依據這樣模式,再轉銷售給其他國家。「我們的建議是,企業在採購的過程中也需要特別留意租賃廠商與維護廠商是不是原廠授權的業者,如此才會較有保障。」他提到,有時候也會獲得來自於使用者的回饋,提到某些小型供應商可以提供特別「便宜」的價格,但使用者並不知道這些解決方案的來源是「平行輸入」或是「中古整新機」。杜宗益再次強調「安全有價」,企業當然能以成本為優先考量,但忽視安全勢必會大幅提高風險,應考慮是否會因小失大。

這篇文章讓你覺得滿意不滿意
送出
相關文章
多功能事務機 資安新戰場
洞悉異常文件輸出行為 多維度守護營業秘密
韌體嵌入三大檢測機制 杜絕事務機資安之狼
制定政策從人著手 適時汰舊保列印安全
列印環境高安全風險 專家解析強化薄弱環節
留言
顯示暱稱:
留言內容:
送出