Безопасная печать
В наше время информация является, пожалуй, одним из наиболее ценных товаров. Поэтому не удивительно, что охрана интеллектуальной собственности и обеспечение информационной безопасности являются крайне важными условиями успешной работы в современных условиях. В этой статье мы рассмотрим один из аспектов этой проблемы, а именно обеспечение информационной безопасности при использовании сетевых печатающих устройств.
опреки оптимистичным прогнозам о грядущем переходе на безбумажное делопроизводство количество печатаемых в офисах твердых копий самых разнообразных документов год от года растет. При этом вполне понятно, что печать документов, содержащих важные и секретные сведения, является довольно уязвимым звеном производственного процесса, поскольку сделанные на сетевых принтерах отпечатки легко могут попасть в руки посторонних лиц.
Конечно, можно немедленно после отправки документа на печать сломя голову бежать к принтеру в надежде успеть первым забрать распечатку, не предназначенную для посторонних глаз. Однако подобное решение вряд ли можно признать приемлемым, особенно если принтер расположен в соседнем помещении или на другом этаже.
В ряде организаций для печати конфиденциальных документов используются персональные принтеры, подключенные непосредственно к рабочим станциям. Неудобства такого решения очевидны: во-первых, наращивание парка эксплуатируемой техники означает увеличение затрат на ее приобретение и обслуживание, а во-вторых, стоимость отпечатков у персональных моделей принтеров значительно выше, чем у мощных сетевых устройств.
Несколько лет назад стали появляться первые специализированные решения, позволяющие избежать попадания печатаемых документов в руки посторонних. Такие аппаратные устройства подключаются к выводному тракту принтеров и осуществляют автоматическую сортировку выводимых документов по персональным ячейкам сотрудников. Каждая из ячеек запирается на замок, и забрать ее содержимое может только тот сотрудник, у которого имеется ключ от этой ячейки. Подобные системы «абонентских ящиков» стали определенным шагом вперед, однако и у них есть довольно существенные недостатки. В первую очередь ограниченное количество ячеек, а ведь современные модели мощных сетевых принтеров могут функционировать в подразделениях, насчитывающих более сотни сотрудников. Кроме того, это весьма громоздкие устройства, требующие для установки довольно много свободного места. Еще одним недостатком данного решения является лишь частичное решение проблемы: поскольку задания передаются на печать в незашифрованном виде, существует вероятность (хотя и небольшая) их перехвата по пути к принтеру.
Вполне очевидно, что такие решения, как использование персональных принтеров и персональных ячеек, позволяют решить проблему безопасной печати лишь отчасти, а к тому же не обладают необходимой гибкостью.
Некоторые производители сетевых принтеров предлагают несложные встроенные решения для безопасной печати. В качестве примера можно привести реализованную в ряде лазерных принтеров Brother (в частности, в моделях HL-1870N, HL-2460N, HL-3260N, HL-2600CN и HL-3450CN) функцию Brother Secure Printing. В зависимости от конфигурации принтера, отправленный на печать документ хранится в RAM-диске, на жестком диске либо на карте флэш-памяти. Заголовок задания содержит информацию об имени автора, название документа и PIN-код. Процедуру идентификации пользователя можно производить либо непосредственно с панели управления принтера, либо дистанционно при помощи обычного Web-браузера.
В настоящее время на рынке представлены и гораздо более гибкие коммерческие решения, реализуемые на базе специализированных аппаратно-программных комплексов. Рассмотрим наиболее известные из них.
Одной из первых решения, позволяющие реализовать полноценную систему безопасной печати на корпоративном уровне, начала поставлять в рамках программы JetCAPS1 компания Hewlett-Packard. Данные решения базируются на применяемой в современных моделях принтеров HP LaserJet технологической платформе Chai: внутри принтера организуется виртуальная машина2, позволяющая загружать и запускать Java-компоненты. Функциональные возможности виртуальных машин можно расширять, устанавливая специализированные DIMM-модули, а наличие встроенного Web-сервера дает администратору сети возможность не только получать детальную информацию о состоянии принтера и отпечатанных на нем заданиях, но и производить его настройку с удаленного компьютера при помощи обычного Web-браузера.
JetCAPS FollowMe позволяет производить печать конфиденциальных документов при условии идентификации пользователя, а также имеет гибкие возможности по разграничению прав сотрудников на использование тех или иных печатающих устройств. Данное решение включает клиентское приложение, программу администрирования и аппаратные идентификационные устройства. Используя установленное на рабочей станции клиентское приложение, пользователь может выбирать различные режимы обработки отправляемых на печать заданий: «Напечатать и сохранить», «Напечатать и удалить» или «Удалить».
Программа администрирования JetCAPS FollowMe Printing позволяет назначать разные степени доступа и права для различных пользователей, а также собирать статистику по авторству, объему и времени печати с целью калькуляции расходов.
Идентификационные устройства подключаются напрямую в локальную сеть и располагаются в непосредственной близости от сетевых принтеров. В качестве идентификационных устройств могут использоваться клавиатуры ввода PIN-кода, магнитные или бесконтактные карты, системы ввода отпечатков пальцев. Для обеспечения более высокого уровня защиты возможно применение различных комбинаций способов идентификации.
После отправки документа на печать пользователю необходимо подойти к принтеру и произвести процедуру идентификации (набрать PIN-код, поднести смарт-карту, приложить палец и т.п.), после чего задание будет передано с принт-сервера на данный принтер и отпечатано в присутствии владельца. Следует отметить, что таким образом можно производить печать на любом имеющемся в офисе принтере, подключенном в локальную сеть, задание будет автоматически перенаправлено именно на то устройство, вблизи которого произведена идентификация.
Помимо защиты от утечки информации, JetCAPS FollowMe позволяет решить также весьма актуальную для ряда компаний проблему ограничения доступа к выводным устройствам, имеющим высокую себестоимость отпечатков (например, к широкоформатным цветным принтерам).
Для защиты документов, печатаемых на удаленный принтер с использованием сервиса J@mail3, предназначено решение Secure Document Express (SD Express), разработанное американской компанией Capella Technologies. Оно позволяет осуществлять шифрование передаваемой информации и авторизацию пользователей для доступа к офисным принтерам, оснащенным системой удаленной печати через Интернет. Данное решение включает специальный DIMM-модуль, который устанавливается в соответствующий слот любого принтера HP LaserJet, имеющего встроенную виртуальную машину, и клиентское программное обеспечение, инсталлируемое непосредственно на компьютерах авторизованных пользователей, имеющих доступ к Интернету.
Работает это следующим образом: отправитель документа печатает его обычным способом (с точки зрения пользователя, эта процедура ничем не отличается от печати на локальный принтер), а затем клиентское приложение системы SD Express осуществляет шифрование задания и пересылает документ по электронной почте на принтер получателя. Когда поступившее задание сохранено на жестком диске удаленного принтера, логический модуль системы оповещает отправителя и получателя о доставке документа. После получения уведомления получатель может подойти к указанному принтеру, произвести процедуру идентификации и распечатать присланный документ. Необходимо отметить, что задания на жестком диске принтера хранятся в зашифрованном виде, а их дешифрование и растеризация производятся лишь после идентификации пользователя, имеющего соответствующие права доступа. Принтер, оснащенный системой SD Express, может быть использован и для печати незашифрованных заданий.
В конце октября прошлого года объявила о выпуске собственного решения защищенной печати компания Lexmark. Данное решение включает выполненный в виде платы расширения специализированный аппаратный модуль и клиентское ПО.
Плату Lexmark PrintCryption Card можно устанавливать в оснащенные встроенным сетевым адаптером лазерные принтеры Lexmark T520n, T520dn, T522n, T522dn, T620n, T620dn, T622n, T622dn, а также во многофункциональное устройство Lexmark X620e. Клиентское ПО, осуществляющее шифрование отправляемых на печать заданий, было разработано компанией Levi, Ray & Shoup, Inc. Для шифрования заданий применяется алгоритм AES Rijndael с длиной ключа 128, 192 и 256 бит. По умолчанию для каждого из заданий используется свой уникальный ключ. Кроме того, возможно использование фиксированного ключа, изменяемого администратором. Ключ пересылается по сети в зашифрованном виде и хранится в энергонезависимой памяти принтера.
Данное решение может работать в любых сетях, использующих протокол TCP/IP. Кроме того, при установке в принтер беспроводного адаптера Lexmark Wireless Print Adapter функция защищенной печати может быть реализована и для беспроводного подключения по протоколу 802.11b.
Наверное, вы обратили внимание на то, что описанные выше решения JetCAPS и компании Lexmark ориентированы исключительно на использование печатающих устройств одного производителя, что существенно ограничивает свободу выбора оборудования. Поэтому если существует необходимость реализовать систему безопасной печати на базе принтеров различных производителей, то имеет смысл обратить внимание на решение SafeCom Secure Printing System4, разработанное одним из подразделений компании i-data5.
Решение SafeCom Secure Printing System включает два специализированных аппаратных устройства (внешний принт-сервер и блок идентификации пользователей), а также серверное и клиентское ПО. Для установки серверного ПО требуется сервер под управлением ОС Windows NT. Блок идентификации пользователей, подключаемый непосредственно к принт-серверу, оснащен устройством для считывания информации с магнитных карт и сенсорным ЖК-экраном. Для проведения процедуры идентификации пользователю необходимо вставить магнитную карту и набрать PIN-код.
Отправляемое на печать задание автоматически подвергается шифрованию на клиентском компьютере и в зашифрованном виде сохраняется в специальной базе данных на корпоративном сервере. После идентификации пользователя на любом из оборудованных системой SafeCom принтере задание направляется на соответствующий принт-сервер, дешифруется и распечатывается.
В заключение стоить отметить, что SafeCom Secure Printing System позволяет реализовать защищенную печать как внутри локальной сети, так и на удаленный принтер, оборудованный данной системой.