有一個典故很有意思。戰國時期,扁鵲因醫術高明被譽為神醫。當時的統治者魏文王見到扁鵲之后有意問他,聽說你的長兄二人也 精于醫術,相較之下誰最好?扁鵲卻答,長兄最好,長兄治病,善于養生,易在病前鏟除病因;中兄次之,中兄善預防,易于病灶擴大前扼殺其形;而本人最差,本人善治療,易在病發時穿針放血,敷藥診療。
扁鵲的回答表明了他的觀點,治療不如預防,預防不如養生。養生,是一個全盤的視角,重于對機體的各個層面進行精細的保養和補養,從而以最優狀態和最佳效能抵御來自外界的各種攻擊,延長生命的時限。相應之理在管理之道上也得以映射:事后控制不如事中控制,事中控制不如事前部署。事前部署可以讓機體快速妥善地應對問題,防止亡羊補牢的遺憾。受益于此精辟論斷,企業在目前信息安全方面多采以養生之觀,通過為各個業務流程部署安全策略,確保企業信息免遭來自于網絡中的各種不安全隱患的攻擊。
意想不到的病灶
就當企業為信息安全布局感到欣慰之時,一項來自美國《計算機犯罪與安全調查報告》的調查結果卻令所有人大跌眼鏡,“病毒和黑客已不再是謀害企業信息安全的罪魁禍首,相反,通過mail、移動存儲和打印泄密的人為窺探和竊取才是真兇”。其中,通過網絡打印方式帶來的泄密幾乎涉及到企業較高等級甚至是核心級的商業信息,損失數額巨大,已成為威脅企業生存和發展的絕對殺手!
看來打印安全防護實施勢在必行。作為全球打印及成像系統的領導者,惠普認為打印安全應和其他IT資源一樣受到企業重視,企業需要改變一直以來對打印環節的錯誤認識(認為打印只是一種周邊IT服務)而將其納入到企業整體信息安全防御體系當中。為此惠普提出主動打印安全解決方案,全面解決打印過程中所涉及的認證、授權、計費和審計四大安全領域,從而加強打印網絡安全的防御機能,抵御各種因素對于企業信息泄密的侵襲。
全面養生 優化防御
養之于表。你是否有過這樣的經歷?為了確保自己打印的保密文件不被其他人看到,你不得不在按下打印鍵之后快速守候在位于公共區域的打印設備旁?或是在認領作業時需要在一堆已經打印完畢的作業中去找到自己的作業?無論如何,這些情況都會造成一些機密信息的泄露或流失。面對打印輸出的“最后一里”安全,惠普打印安全解決方案提出了先發送、安全保存、認證、打印輸出的安全策略,完全拋棄了過去令人匆忙而緊張的打印環節。在此方案下,文印設備不會立即輸出文件,而用戶只需將打印的文件安全發送到網絡打印機或打印服務器上,當用戶完成身份認證之后,可再決定是否打印或刪除已顯示在打印機面板上的打印作業。當然,不管用戶將文件存儲在打印機或是打印服務器上,都可以設置保存策略,比如是否加密、是否在打印設備或服務器上設定數據保存期限,一旦超過這個時限沒有輸出,該保存文件即會自動刪除等。值得一提的是,惠普打印安全解決方案所提供的身份認證手段豐富而完善,從面板PIN碼到安全級別更高的智能卡、射頻卡甚至是指紋訪問認證一應俱全。
如果你對文印設備的存儲硬件會存儲下機密信息有所顧慮的話,惠普解決方案還為你提供三種硬盤數據的刪除方式,包括非安全快速擦除、安全快速擦除和安全清潔擦除,其中后兩種硬盤數據擦除方式,即使在硬盤被竊取的情況下,用戶作業數據也無法再被恢復。
無論是面板PIN碼訪問認證還是指紋識別認證,雖然它們在安全級別上有所差別,但是共同點還是顯而易見的,那就是基于用戶的合理身份給予用戶最大程度的使用權利保護,阻止非授權用戶的訪問與使用。如果說在用戶已知身份的條件下進行認證相對算是病灶表層的話,那么如何對不同用戶身份進行定義和權利授予則是惠普解決方案中最內核的安全策略了。
養之于理。“人心叵測”。有數據顯示,企業重要或機密信息的泄漏都是由企業內部人員有意或無意造成的,這包括普通員工和管理層的任何人員。因此,哪些級別的人員可以打印哪些類型的文件?在現有安全級別的準許下打印范圍如何界定?當與授權不符的文件被指令輸出時,系統如何識別并自動切斷打印命令?以及如何在打印權限受限的條件下獲得額外打印權利?想想這些復雜的問題就已經夠令人煩惱的,那么用IT安全策略來部署并解決這些問題似乎難上加難,絕對稱得上是病灶的機理。
為了解決此問題,惠普安全打印解決方案結合現有企業的人員權限劃分,為企業部署了一個高效且嚴密的事前審批方案。所謂事前審批方案,簡單地說就是當用戶準備執行打印、復印、掃描及數碼發送業務時,系統會根據預先設定的作業執行者權限信息來判斷是否需要對該作業進行審批,比如對打印、復印、掃描的內容及執行者的信息、執行時間、執行任務的設備名等多方信息進行一一審計和綜合判斷;當系統判斷傳送過來的信息內容或設備的IP地址不符合既定審批標準的話,那么系統會當機立斷對執行進行拒絕。
如果文件需要審批,則作業內容及一些用戶的審批附加請求信息會被提交到授權審批人,由審批流程來決定是否同意該文印作業的執行。審批結果會自動通知申請人,并根據審批結果決定是否觸發文印動作(如提交打印機打印);對于權限用戶,假如他們的文印作業不需要審批,那么,系統會直接觸發文印動作并通知用戶認領作業。令人欣慰的是,這個文印工作流系統不僅具有事前審批的功能,同時也兼備事后審計的功能,因為所有納入該系統的用戶不論權限如何,他們的文印作業歷史都會被記錄在工作流系統中,通過系統配置的審計員角色登陸到工作流系統中后,再對用戶的文印工作進行審計。這樣才可以一個系統從根本上保證了企業用戶文印工作的安全性。
養之于脈。基于網絡的打印流程因為網絡的連接而處于動態平衡中,沒有網絡就沒有方便流暢的辦公室打印環境,當然,沒有網絡,也沒有如此讓人緊張的打印安全病灶。HP打印安全解決方案還將打印網絡傳輸中的所有安全遺漏問題一網打盡。
比如惠普網絡打印服務器產品本身具有很多安全性方面的優勢,例如它可以遵照多種業界安全標準協議,多重保護文檔在傳輸過程中的安全可靠。但是風險還是存在的,比如當企業用戶將一份機密文件傳送到網絡打印機時,文件很可能被潛藏在網絡中的非法用戶或黑客截獲,截獲者不僅可以通過特殊工具看到打印內容,還很有可能對內容中的某些關鍵信息進行修改。為了避免這種信息泄露,惠普解決方案采用特別的加密技術為文件信息從生成到輸出的整個過程保駕護航,有效保證企業信息在傳輸時的安全。同時,解決方案還準許用戶在惠普網絡打印機/多功能一體機上進行設置,通過關閉某些不需要的網絡服務或協議,大為減少非法用戶的潛入和破壞,從而加強整個傳輸網絡的防御能力。
千里之堤,毀于蟻穴。不要讓“最后一里”的網絡打印成為摧垮整個信息安全鏈條上的缺口。亡羊補牢為時已晚,全面防御才是正道。
(新聞稿 2007-06-18)