养之表理 从扁鹊应答启示看打印安全
有一个典故很有意思。战国时期,扁鹊因医术高明被誉为神医。当时的统治者魏文王见到扁鹊之后有意问他,听说你的长兄二人也 精于医术,相较之下谁最好?扁鹊却答,长兄最好,长兄治病,善于养生,易在病前铲除病因;中兄次之,中兄善预防,易于病灶扩大前扼杀其形;而本人最差,本人善治疗,易在病发时穿针放血,敷药诊疗。
扁鹊的回答表明了他的观点,治疗不如预防,预防不如养生。养生,是一个全盘的视角,重于对机体的各个层面进行精细的保养和补养,从而以最优状态和非常好的效能抵御来自外界的各种攻击,延长生命的时限。相应之理在管理之道上也得以映射:事后控制不如事中控制,事中控制不如事前部署。事前部署可以让机体快速妥善地应对问题,防止亡羊补牢的遗憾。受益于此精辟论断,企业在目前信息安全方面多采以养生之观,通过为各个业务流程部署安全策略,确保企业信息免遭来自于网络中的各种不安全隐患的攻击。
意想不到的病灶
就当企业为信息安全布局感到欣慰之时,一项来自美国《计算机犯罪与安全调查报告》的调查结果却令所有人大跌眼镜,“病毒和黑客已不再是谋害企业信息安全的罪魁祸首,相反,通过mail、移动存储和打印泄密的人为窥探和窃取才是真凶”。其中,通过网络打印方式带来的泄密几乎涉及到企业较高等级甚至是核心级的商业信息,损失数额巨大,已成为威胁企业生存和发展的绝对杀手!
看来打印安全防护实施势在必行。作为全球打印及成像系统的领导者,惠普认为打印安全应和其他IT资源一样受到企业重视,企业需要改变一直以来对打印环节的错误认识(认为打印只是一种周边IT服务)而将其纳入到企业整体信息安全防御体系当中。为此惠普提出主动打印安全解决方案,全面解决打印过程中所涉及的认证、授权、计费和审计四大安全领域,从而加强打印网络安全的防御机能,抵御各种因素对于企业信息泄密的侵袭。
全面养生 优化防御
养之于表。你是否有过这样的经历?为了确保自己打印的保密文件不被其他人看到,你不得不在按下打印键之后快速守候在位于公共区域的打印设备旁?或是在认领作业时需要在一堆已经打印完毕的作业中去找到自己的作业?无论如何,这些情况都会造成一些机密信息的泄露或流失。面对打印输出的“最后一里”安全,惠普打印安全解决方案提出了先发送、安全保存、认证、打印输出的安全策略,完全抛弃了过去令人匆忙而紧张的打印环节。在此方案下,文印设备不会立即输出文件,而用户只需将打印的文件安全发送到网络打印机或打印服务器上,当用户完成身份认证之后,可再决定是否打印或删除已显示在打印机面板上的打印作业。当然,不管用户将文件存储在打印机或是打印服务器上,都可以设置保存策略,比如是否加密、是否在打印设备或服务器上设定数据保存期限,一旦超过这个时限没有输出,该保存文件即会自动删除等。值得一提的是,惠普打印安全解决方案所提供的身份认证手段丰富而完善,从面板PIN码到安全级别更高的智能卡、射频卡甚至是指纹访问认证一应俱全。
如果你对文印设备的存储硬件会存储下机密信息有所顾虑的话,惠普解决方案还为你提供三种硬盘数据的删除方式,包括非安全快速擦除、安全快速擦除和安全清洁擦除,其中后两种硬盘数据擦除方式,即使在硬盘被窃取的情况下,用户作业数据也无法再被恢复。
无论是面板PIN码访问认证还是指纹识别认证,虽然它们在安全级别上有所差别,但是共同点还是显而易见的,那就是基于用户的合理身份给予用户最大程度的使用权利保护,阻止非授权用户的访问与使用。如果说在用户已知身份的条件下进行认证相对算是病灶表层的话,那么如何对不同用户身份进行定义和权利授予则是惠普解决方案中最内核的安全策略了。
养之于理。“人心叵测”。有数据显示,企业重要或机密信息的泄漏都是由企业内部人员有意或无意造成的,这包括普通员工和管理层的任何人员。因此,哪些级别的人员可以打印哪些类型的文件?在现有安全级别的准许下打印范围如何界定?当与授权不符的文件被指令输出时,系统如何识别并自动切断打印命令?以及如何在打印权限受限的条件下获得额外打印权利?想想这些复杂的问题就已经够令人烦恼的,那么用IT安全策略来部署并解决这些问题似乎难上加难,绝对称得上是病灶的机理。
为了解决此问题,惠普安全打印解决方案结合现有企业的人员权限划分,为企业部署了一个高效且严密的事前审批方案。所谓事前审批方案,简单地说就是当用户准备执行打印、复印、扫描及数码发送业务时,系统会根据预先设定的作业执行者权限信息来判断是否需要对该作业进行审批,比如对打印、复印、扫描的内容及执行者的信息、执行时间、执行任务的设备名等多方信息进行一一审计和综合判断;当系统判断传送过来的信息内容或设备的IP地址不符合既定审批标准的话,那么系统会当机立断对执行进行拒绝。
如果文件需要审批,则作业内容及一些用户的审批附加请求信息会被提交到授权审批人,由审批流程来决定是否同意该文印作业的执行。审批结果会自动通知申请人,并根据审批结果决定是否触发文印动作(如提交打印机打印);对于权限用户,假如他们的文印作业不需要审批,那么,系统会直接触发文印动作并通知用户认领作业。令人欣慰的是,这个文印工作流系统不仅具有事前审批的功能,同时也兼备事后审计的功能,因为所有纳入该系统的用户不论权限如何,他们的文印作业历史都会被记录在工作流系统中,通过系统配置的审计员角色登陆到工作流系统中后,再对用户的文印工作进行审计。这样才可以一个系统从根本上保证了企业用户文印工作的安全性。
养之于脉。基于网络的打印流程因为网络的连接而处于动态平衡中,没有网络就没有方便流畅的办公室打印环境,当然,没有网络,也没有如此让人紧张的打印安全病灶。HP打印安全解决方案还将打印网络传输中的所有安全遗漏问题一网打尽。
比如惠普网络打印服务器产品本身具有很多安全性方面的优势,例如它可以遵照多种业界安全标准协议,多重保护文档在传输过程中的安全可靠。但是风险还是存在的,比如当企业用户将一份机密文件传送到网络打印机时,文件很可能被潜藏在网络中的非法用户或黑客截获,截获者不仅可以通过特殊工具看到打印内容,还很有可能对内容中的某些关键信息进行修改。为了避免这种信息泄露,惠普解决方案采用特别的加密技术为文件信息从生成到输出的整个过程保驾护航,有效保证企业信息在传输时的安全。同时,解决方案还准许用户在惠普网络打印机/多功能一体机上进行设置,通过关闭某些不需要的网络服务或协议,大为减少非法用户的潜入和破坏,从而加强整个传输网络的防御能力。
千里之堤,毁于蚁穴。不要让“最后一里”的网络打印成为摧垮整个信息安全链条上的缺口。亡羊补牢为时已晚,全面防御才是正道。