Решения для безопасной печати в офисе
Охрана интеллектуальной собственности и обеспечение информационной безопасности необходимые условия успешной работы любой компании. Одним из аспектов данной проблемы является использование различных решений для защиты документов, печатаемых на сетевых принтерах.
еятельность любого офиса всегда связана с циркуляцией огромного количества разнообразных бумаг. Неоднократные попытки сократить этот гигантский бумажный поток за счет перехода на использование электронных документов, пока успехом не увенчались. Более того, статистические данные свидетельствуют о том, что количество печатаемых в офисах твердых копий различных документов с течением времени лишь возрастает.
Таким образом, бумажный документооборот до сих пор остается неотъемлемой частью работы офиса. Однако с точки зрения информационной безопасности бумажные документы, где содержатся конфиденциальные и секретные сведения, являются уязвимым звеном производственного процесса. Отпечатанные на сетевых принтерах документы легко могут попасть в руки посторонних лиц. Естественно, что по мере развития бизнеса компании и роста объема печатаемых документов риск утечки конфиденциальных сведений увеличивается и данная проблема становится все более актуальной.
Идентификация пользователя
при использовании встроенной в принтер функции безопасной печати
Реально ли предотвратить утечку конфиденциальной информации, содержащейся в печатаемых документах? Конечно, можно сразу же после отправки документа на печать сломя голову бежать к принтеру в надежде первым забрать распечатку, не предназначенную для посторонних глаз. Однако подобное решение вряд ли можно признать приемлемым, особенно если принтер расположен в соседнем помещении или на другом этаже.
В некоторых компаниях для печати конфиденциальных документов используются персональные принтеры, подключенные непосредственно к рабочим станциям. Однако подобный подход нельзя признать рациональным: позволяя решить одну проблему, он порождает другие. Наиболее существенными недостатками такого решения являются, во-первых, рост парка эксплуатируемой техники (что неизбежно влечет за собой увеличение затрат на ее приобретение и обслуживание), а во-вторых, повышение расходов на печать (поскольку стоимость отпечатков у персональных моделей принтеров значительно выше, чем у мощных сетевых устройств).
Впрочем, обеспечить безопасную печать можно и на сетевых устройствах. Одним из наиболее простых в реализации способов сохранения конфиденциальности документов, печатаемых на сетевых принтерах, является применение специализированных механических устройств «абонентских ящиков». Они подключаются к выводному тракту принтеров и осуществляют автоматическую сортировку выводимых документов по персональным ячейкам сотрудников. Каждая такая ячейка запирается на замок, и забрать ее содержимое может только сотрудник, у которого есть от нее ключ. Конечно, у абонентских ящиков тоже есть недостатки. В первую очередь это ограниченное количество ячеек современные модели мощных сетевых принтеров могут функционировать в подразделениях, насчитывающих более сотни сотрудников. Кроме того, абонентские ящики весьма громоздкие устройства, для установки которых требуется довольно много свободного места. Еще одним недостатком данного решения является неполное решение с его помощью проблемы безопасности: поскольку задания передаются на печать в незашифрованном виде, существует вероятность (хотя и небольшая) их перехвата в процессе передачи на принтер.
В настоящее время в ряде моделей сетевых принтеров реализованы относительно простые встроенные решения для безопасной печати. В качестве примера можно привести функцию Brother Secure Printing, имеющуюся в некоторых моделях лазерных принтеров и МФУ Brother (в частности, в HL-5270DN, HL-6050, HL-7050, HL-2700CN, DCP-8040, MFC-8440 и 8840D/DN). В зависимости от конфигурации принтера (МФУ) отправленный на печать документ хранится в RAM-диске, на жестком диске либо на карте флэш-памяти. Заголовок задания содержит информацию об имени автора, название документа и PIN-код. Процедуру идентификации пользователя можно произвести, используя панель управления принтера.
Значительно большей гибкостью и универсальностью обладают аппаратно-программные решения для обеспечения безопасной печати, поставляемые как производителями принтеров, так и сторонними разработчиками. Обычно подобные решения создаются и поставляются в рамках специальных партнерских программ, поддерживаемых крупными производителями печатающих устройств. Наиболее известным примером в данном случае является партнерская программа JetCAPS (Corporate Account Printing Solution), которую уже на протяжении многих лет развивает компания Hewlett-Packard.
Идентификация пользователя в системе защищенной печати может производиться
по магнитным и бесконтактным картам,
по PIN-коду или по отпечатку пальца. Идентификационные устройства устанавливаются около сетевого принтера и подключаются
непосредственно в локальную сеть
Решение JetCAPS FollowMe позволяет производить печать конфиденциальных документов при условии идентификации пользователя, а также обеспечивает гибкие возможности по разграничению прав сотрудников на применение тех или иных печатающих устройств. Данное решение включает клиентское приложение, программу администрирования и аппаратные идентификационные устройства. Используя установленное на рабочей станции клиентское приложение, пользователь может выбирать различные режимы обработки отправляемых на печать заданий: «Напечатать и сохранить», «Напечатать и удалить» или «Удалить».
Программа администрирования JetCAPS FollowMe Printing позволяет задавать разные степени доступа и права для каждого из зарегистрированных пользователей, а также собирать статистику по авторству, объему и времени печати с целью калькуляции расходов.
В качестве идентификационных устройств могут применяться клавиатуры ввода PIN-кода, магнитные или бесконтактные карты, сканеры отпечатков пальцев. Идентификационные устройства подключаются к локальной сети и располагаются в непосредственной близости от сетевых принтеров. Для обеспечения более высокого уровня защиты предусмотрена возможность одновременного использования различных способов идентификации.
После отправки документа на печать пользователю необходимо подойти к принтеру и произвести процедуру идентификации (набрать PIN-код, поднести смарт-карту, приложить палец и т.п.), после чего задание будет передано с принт-сервера на данный принтер и отпечатано в присутствии владельца. Следует отметить, что таким образом можно производить печать на любом имеющемся в офисе принтере, подключенном в локальную сеть, задание будет автоматически перенаправлено именно на то устройство, вблизи которого произведена идентификация.
Помимо защиты от утечки информации, JetCAPS FollowMe позволяет решить еще одну весьма актуальную для ряда компаний проблему ограничить доступ к выводным устройствам, имеющим высокую себестоимость отпечатков (например, к широкоформатным цветным принтерам). Еще одно решение, разработанное в рамках программы JetCAPS для обеспечения безопасной печати, SecureDIMM. Оно позволяет защитить отправляемые на печать задания от перехвата, внесения несанкционированных изменений и вывода на других печатающих устройствах. Основные компоненты SecureDIMM специализированный DIMM-модуль, устанавливаемый в соответствующий слот принтера, и клиентское программное обеспечение, инсталлируемое на клиентских компьютерах (работающих под управлением ОС Windows или UNIX). На клиентском ПК задание, отправляемое на печать, подвергается шифрованию (по алгоритму AES Rijndael) и затем передается на сетевой принтер. Сетевой принтер, оснащенный специализированным DIMM-модулем, расшифровывает полученное задание и печатает его. Перехват задания и перенаправление его на другое печатающее устройство в этом случае становятся бессмысленными, поскольку принтер, не оборудованный модулем SecureDIMM или же использующий другой ключ, не позволит расшифровать и напечатать эти данные. Стоит отметить, что применение SecureDIMM не препятствует использованию других дополнительных функций печатающего устройства, таких как печать готовых форм, штрих-кодов и т.д.
Для защиты документов, печатаемых на удаленном принтере с применением сервиса J@mail (специализированный веб-сервис, позволяющий отравлять по электронной почте задания для печати на удаленном принтере), американская компания Capella Technologies разработала решение Secure Document Express (SD Express). В рамках данного решения реализованы механизмы шифрования передаваемой информации и авторизации пользователей для доступа к офисным принтерам, оснащенным системой удаленной печати через Интернет. SD Express представляет собой аппаратно-программное решение, базирующееся на технологической платформе Chai (Технологическая платформа Chai позволяет организовывать внутри принтера виртуальную машину, которая используется для загрузки и запуска Java-компонентов, а также встроенный веб-сервер (Embedded Web-Server, EWS). Для расширения функциональных возможностей применяются специальные аппаратные компоненты, выполненные в формфакторе модулей памяти DIMM). Основные компоненты SD Express специализированный аппаратный модуль, устанавливаемый в DIMM-слот принтера, и клиентское программное обеспечение, инсталлируемое непосредственно на компьютерах авторизованных пользователей, имеющих доступ к Интернету.
Одним из важных достоинств SD Express является максимальная прозрачность для конечных пользователей. Отправитель документа печатает его обычным способом (с точки зрения пользователя, эта процедура ничем не отличается от печати на локальный принтер), а затем клиентское приложение системы SD Express осуществляет шифрование задания и пересылает документ по электронной почте (в виде вложения) на принтер получателя. Когда поступившее задание сохранено на жестком диске удаленного принтера, логический модуль системы оповещает по электронной почте отправителя и получателя о доставке документа. Получив уведомление, получатель может подойти к указанному принтеру и произвести процедуру идентификации, после чего присланный документ будет распечатан в его присутствии. Помимо максимальной простоты использования, SD Express обеспечивает высокий уровень безопасности: задания на жестком диске принтера хранятся в зашифрованном виде, а их дешифрование и растеризация производятся лишь после идентификации пользователя, имеющего соответствующие права доступа.
Начиная с 2002 года собственное решение для реализации защищенной печати на своих лазерных принтерах и МФУ поставляет компания Lexmark. Данное решение включает специализированный аппаратный модуль (PrintCryption Card), выполненный в виде платы расширения принтера, и клиентское ПО.
Плату Lexmark PrintCryption Card можно устанавливать в оснащенные встроенным сетевым адаптером лазерные принтеры и МФУ. В настоящее время выпускаются модификации PrintCryption Card для цветных лазерных принтеров C510, C752/C752L, C760/C762 и C912, монохромных лазерных принтеров T430, T630/T632/T634 и W812, а также многофункциональных устройств X830e/X832e и W820. Клиентское ПО, осуществляющее шифрование отправляемых на печать заданий, было разработано компанией Levi, Ray & Shoup, Inc. Для шифрования заданий применяется алгоритм AES Rijndael с длиной ключа 128, 192 и 256 бит. По умолчанию для каждого из заданий используется свой уникальный ключ. Кроме того, возможно применение фиксированного ключа, изменяемого администратором. Ключ пересылается по сети в зашифрованном виде и хранится в энергонезависимой памяти принтера.
Внешний принт-сервер AXIS 5600 один
из компонентов решения AXIS ControlPrint
Данное решение может работать в любых сетях, использующих протокол TCP/IP. Кроме того, при установке в принтер беспроводного адаптера (Lexmark Wireless Print Adapter) функция защищенной печати может быть реализована и для беспроводного подключения по протоколу IEEE 802.11b.
Недостатком вышеописанных решений является их ориентация на печатающие устройства одного производителя, тогда как в настоящее время в офисе нередко эксплуатируются принтеры разных производителей. В этом случае можно использовать универсальные решения для безопасной печати, реализованные на базе внешних принт-серверов.
Несколько лет назад компания Axis Communication разработала универсальное решение AXIS ControlPrint для организации безопасной печати на сетевые принтеры. Одной из его особенностей является возможность эксплуатации нескольких сетевых принтеров различных производителей. Аппаратная часть AXIS ControlPrint включает внешние принт-серверы (AXIS 5600 или AXIS 660) и устройства для считывания магнитных карт. В программную составляющую входят серверный модуль (для организации очереди печати, администрирования и регистрации авторизованных пользователей) и клиентское ПО, устанавливаемое на рабочие станции. Средства администрирования AXIS ControlPrint позволяют создавать уникальный пользовательский профиль для каждого владельца магнитной карточки.
Авторизованные пользователи могут отправлять задания на печать либо в общую очередь (документ будет сразу же отпечатан на указанном устройстве), либо в безопасную очередь. В последнем случае для запуска печати необходимо активировать задание, используя персональную магнитную карточку. Кроме того, при отправке задания в безопасную очередь можно реализовать функцию Follow Me.