◆周源 魯正榮

行業(yè)與應(yīng)用安全

網(wǎng)絡(luò)打印機(jī)安全隱患分析與防護(hù)策略研究

◆周源 魯正榮

（云南電網(wǎng)有限責(zé)任公司臨滄供電局 云南 677000）

網(wǎng)絡(luò)打印機(jī)具有顯著的快捷性以及可靠性，在人們生產(chǎn)生活中作用愈加凸顯。但是由于網(wǎng)絡(luò)打印機(jī)網(wǎng)絡(luò)環(huán)境錯綜復(fù)雜，因此也有較多的安全隱患，存在敏感信息泄露等風(fēng)險(xiǎn)。本文主要探討網(wǎng)絡(luò)打印機(jī)目前存在的安全隱患，以及安全防護(hù)措施，并根據(jù)實(shí)際安全防護(hù)效果，重點(diǎn)研究了通過網(wǎng)絡(luò)打印機(jī)WSD連接方案提升網(wǎng)絡(luò)打印機(jī)安全防護(hù)水平的案例，希望能夠有效提升網(wǎng)絡(luò)打印機(jī)的安全防護(hù)力度，降低受到網(wǎng)絡(luò)攻擊的概率，給相關(guān)研究人員以借鑒和參考。

網(wǎng)絡(luò)打印機(jī)；安全隱患；防護(hù)策略

1 前言

在現(xiàn)代信息社會中，打印是人們生產(chǎn)生活中必不可少的一種應(yīng)用。從政府部門，大型企業(yè)機(jī)關(guān)辦公室，一直到家庭應(yīng)用，對打印機(jī)都有著大量的需求。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)打印機(jī)應(yīng)運(yùn)而生，從噴墨打印到激光打印，一直到多機(jī)共享打印機(jī)，成為一種常見的日常辦公應(yīng)用形式，這種打印模式被稱為網(wǎng)絡(luò)打印或者是共享的打印。

在現(xiàn)代網(wǎng)絡(luò)管理中，要求人們在互聯(lián)網(wǎng)上能夠?qū)π畔⑦M(jìn)行處理，網(wǎng)絡(luò)打印基本上是多用戶進(jìn)行共享的模式，現(xiàn)在有許多打印屬于異地請求服務(wù)，因此對于網(wǎng)絡(luò)打印機(jī)的安全防護(hù)，要具有一定的自我診斷功能，能夠有效判斷所接收信息的安全性，并且能夠及時報(bào)錯，特別是當(dāng)網(wǎng)絡(luò)打印機(jī)出現(xiàn)故障以及材料耗盡時，能夠向網(wǎng)絡(luò)管理員發(fā)出相應(yīng)的信息，實(shí)現(xiàn)網(wǎng)絡(luò)管理的雙向化要求。

網(wǎng)絡(luò)打印利用網(wǎng)絡(luò)連接技術(shù)代替了原有的打印機(jī)與計(jì)算機(jī)之間接口連接，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)男畔⒒瘧?yīng)用，與計(jì)算機(jī)能夠?qū)崿F(xiàn)雙向的數(shù)據(jù)交換交流，網(wǎng)絡(luò)打印實(shí)際上是一種接口的替代技術(shù)，在現(xiàn)實(shí)應(yīng)用中具有相當(dāng)大的優(yōu)勢，有效提升工作效率，同時還可以降低辦公成本，實(shí)現(xiàn)公共資源的合理共享，但是同時也使網(wǎng)絡(luò)打印機(jī)對于網(wǎng)絡(luò)安全的防護(hù)和管理以及網(wǎng)絡(luò)診斷提出了更高的要求。

與傳統(tǒng)的打印機(jī)具有明顯的不同，目前大多數(shù)打印機(jī)都具有網(wǎng)絡(luò)操作系統(tǒng)，并且內(nèi)置有存儲設(shè)備以及其他協(xié)議，因此在互聯(lián)網(wǎng)環(huán)境下，很可能會受到惡意攻擊。惡意攻擊者可以通過網(wǎng)絡(luò)打印機(jī)竊取到單位的敏感信息，造成信息泄露，因此必須要重視網(wǎng)絡(luò)打印機(jī)的安全防護(hù)。

2 網(wǎng)絡(luò)打印的協(xié)議分析

網(wǎng)絡(luò)打印機(jī)網(wǎng)絡(luò)協(xié)議能夠?qū)崿F(xiàn)在廣域網(wǎng)上進(jìn)行打印。目前所使用的Internet網(wǎng)絡(luò)打印協(xié)議，主要基于互聯(lián)網(wǎng)應(yīng)用層，并且面向終端的客戶以及相應(yīng)的打印設(shè)備，從打印任務(wù)一直到支持打印輸出，能夠設(shè)定相應(yīng)的打印機(jī)屬性和狀態(tài)，通過輸出性的打印設(shè)備能夠在互聯(lián)網(wǎng)中實(shí)現(xiàn)快速高效打印。可以實(shí)現(xiàn)本地操作，也可以實(shí)現(xiàn)遠(yuǎn)程打印，且不需要安裝相應(yīng)的驅(qū)動軟件。

IP協(xié)議能夠有效支持各種互聯(lián)網(wǎng)安全協(xié)議，同時還能夠提供用戶瀏覽器以及服務(wù)器之間的安全交換，傳輸層安全協(xié)議能夠在客戶以及服務(wù)器之間做好相應(yīng)的身份驗(yàn)證，也可以利用SSL協(xié)議對網(wǎng)絡(luò)安全環(huán)境進(jìn)行相應(yīng)的驗(yàn)證。

3 網(wǎng)絡(luò)打印機(jī)所面臨的安全隱患分析

企業(yè)在局域網(wǎng)內(nèi)部使用網(wǎng)絡(luò)打印機(jī)時，一般都會配置相應(yīng)的網(wǎng)絡(luò)防火墻或其他相應(yīng)的配套安全措施，因此可以有足夠的手段來避免網(wǎng)絡(luò)打印機(jī)受到惡意攻擊，但是在信息傳輸交流比較頻繁的企業(yè)，部分打印機(jī)需要放置在互聯(lián)網(wǎng)環(huán)境中，接受異地或者是其他服務(wù)器的訪問，因此對于這類網(wǎng)絡(luò)打印機(jī)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)就成為目前普遍關(guān)注的問題。

3.1 網(wǎng)絡(luò)打印機(jī)目前所存在的主要漏洞

網(wǎng)絡(luò)打印機(jī)，根據(jù)其系統(tǒng)組成主要存在著以下幾個方面的漏洞：第一，非法攻擊者可以利用網(wǎng)絡(luò)打印機(jī)內(nèi)部設(shè)置存在漏洞對服務(wù)器進(jìn)行任意的連接；第二，網(wǎng)絡(luò)打印機(jī)內(nèi)部所設(shè)置的http服務(wù)器對于特定的請求不能夠正確驗(yàn)證，網(wǎng)絡(luò)攻擊者可以利用此漏洞，對系統(tǒng)配置進(jìn)行任意的更改，或者是發(fā)動相應(yīng)的病毒攻擊，竊取敏感信息。

在網(wǎng)絡(luò)打印機(jī)中，使用簡單網(wǎng)絡(luò)管理協(xié)議容易受到惡意攻擊，使用簡單網(wǎng)絡(luò)管理協(xié)議，能夠使網(wǎng)絡(luò)中的網(wǎng)絡(luò)打印機(jī)相應(yīng)的自適應(yīng)，免除了各種驅(qū)動安裝的復(fù)雜操作中。但是經(jīng)過后期的實(shí)踐發(fā)現(xiàn)，由于簡單網(wǎng)絡(luò)管理協(xié)議自身所存在的漏洞，使網(wǎng)絡(luò)打印機(jī)受到惡意攻擊的概率增大，攻擊者可以借助簡單網(wǎng)絡(luò)管理協(xié)議滲透到企業(yè)內(nèi)部的打印機(jī)設(shè)備中，獲得網(wǎng)絡(luò)服務(wù)器的最高權(quán)限，給企業(yè)帶來極大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患。

3.2 攻擊的主要過程

攻擊者攻擊網(wǎng)絡(luò)打印機(jī)的過程，第一，使用各種攻擊工具對網(wǎng)絡(luò)打印機(jī)的設(shè)備進(jìn)行搜尋，例如借助各種網(wǎng)絡(luò)掃描工具，對特定網(wǎng)絡(luò)中的打印機(jī)設(shè)備進(jìn)行掃描，以獲得網(wǎng)絡(luò)打印機(jī)的IP地址或者是其他屬性信息；第二，利用網(wǎng)絡(luò)打印機(jī)的漏洞進(jìn)行惡意攻擊，使網(wǎng)絡(luò)打印機(jī)所處的網(wǎng)絡(luò)無法正常運(yùn)行；第三，通過攻擊，改變打印機(jī)顯示的內(nèi)容，并將打印機(jī)內(nèi)部的FTP服務(wù)器作為自身文件傳輸?shù)墓ぞ?；第四，對打印機(jī)內(nèi)部的文件進(jìn)行查找以及捕獲；第五，借助非法程序來實(shí)現(xiàn)對網(wǎng)絡(luò)打印機(jī)的控制。這種攻擊過程是攻擊者非法控制打印機(jī)的常規(guī)技術(shù)，能夠有效控制網(wǎng)絡(luò)打印機(jī)的打印內(nèi)容以及文件的傳輸，利用網(wǎng)絡(luò)打印機(jī)的漏洞竊取敏感信息。

4 網(wǎng)絡(luò)打印機(jī)的常規(guī)安全防護(hù)策略分析

第一，定期更新軟件版本、安全補(bǔ)丁。需要定期更新網(wǎng)絡(luò)打印機(jī)軟件版本，定期進(jìn)行漏洞掃描，及時安裝安全補(bǔ)丁，保障網(wǎng)絡(luò)打印機(jī)的安全運(yùn)行。

第二，進(jìn)行合理、安全的配置。針對不同用戶合理設(shè)置使用權(quán)限；使用身份鑒別功能，設(shè)置登錄口令、強(qiáng)口令，采用生物識別技術(shù)進(jìn)行加密或使用智能卡進(jìn)行訪問。

第三，保障良好的網(wǎng)絡(luò)環(huán)境。對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行分析，找出結(jié)構(gòu)安全、訪問控制、邊界完整性、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)、安全審計(jì)方面的薄弱點(diǎn)，同時從遠(yuǎn)程管理防竊聽、用戶源限制、開放端口情況等方面對網(wǎng)絡(luò)進(jìn)行檢查。

以上探討的安全防護(hù)策略已極大提升了網(wǎng)絡(luò)打印機(jī)的安全防護(hù)水平，減少了安全隱患，但在實(shí)際使用網(wǎng)絡(luò)打印機(jī)過程中，一是由于打印機(jī)固件版本較低等情況影響，如FTP、SNMP、SLP等漏洞無法有效關(guān)閉，漏洞長期存在，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患較高；二是各使用部門、單位存在連接混亂的現(xiàn)象，若交換機(jī)出現(xiàn)斷電，打印機(jī)網(wǎng)絡(luò)IP地址極容易改變，造成打印機(jī)終端無法完成工作，極大影響工作效率；三是網(wǎng)絡(luò)打印機(jī)出廠系統(tǒng)存在SLP、Telnet、FTPTFTP等系統(tǒng)性漏洞，整改較難。為有效解決這些問題，我們對網(wǎng)絡(luò)打印機(jī)WSD連接方案進(jìn)行深入研究分析，提出以下解決辦法。

5 網(wǎng)絡(luò)打印機(jī)WSD連接方案的優(yōu)點(diǎn)分析

通過研究分析，可以采用網(wǎng)絡(luò)打印機(jī)WSD連接方案，此連接方案具有連接穩(wěn)定以及加密方式更為安全的特性，能夠有效限制網(wǎng)絡(luò)打印機(jī)的訪問范圍在一定范圍內(nèi)，減少終端運(yùn)維故障提高工作效率。此外，能有效防止SLP、SNMP、Telnet、FTPTFTP等終端打印機(jī)高危漏洞被惡意掃描利用。

5.1 網(wǎng)絡(luò)打印機(jī)WSD連接方案安全防護(hù)策略研究

連接WSD端口的網(wǎng)絡(luò)打印機(jī)必須具備相應(yīng)的WSD接口功能，自身具備自動獲取IP功能。網(wǎng)絡(luò)打印機(jī)與客戶端需處于同一網(wǎng)段中，網(wǎng)絡(luò)打印機(jī)IP不能與其他設(shè)備相互沖突，以免造成工作干擾。由于打印機(jī)在出現(xiàn)斷電或者是重啟之后，IP地址會丟失，造成終端無法連接網(wǎng)絡(luò)打印機(jī)；部分電腦連接打印機(jī)的時間過長，需要卸載驅(qū)動或者是重新安裝打印機(jī)軟件之后，才能夠連接網(wǎng)絡(luò)打印機(jī)。針對這些問題分析，主要的原因是網(wǎng)絡(luò)打印機(jī)沒有設(shè)置固定的IP地址，因此導(dǎo)致重啟后，網(wǎng)絡(luò)打印機(jī)IP地址與原先設(shè)定的IP地址不一致，造成工作服務(wù)不正常。針對這一原因，可以采取以下解決措施：第一，網(wǎng)絡(luò)打印機(jī)配置成169.254.*.*的固定IP，且網(wǎng)關(guān)地址需要和IP地址是同一IP地址；第二，出現(xiàn)連接不穩(wěn)定的終端電腦，在安裝打印機(jī)驅(qū)動時端口連接方式需要更改為TCP/IP協(xié)議進(jìn)行連接，使用該TCP/IP協(xié)議可減少脫機(jī)情況；第三，可以將打印機(jī)恢復(fù)出廠設(shè)置或者是進(jìn)行版本升級。

5.2 網(wǎng)絡(luò)打印機(jī)WSD連接方案配置步驟分析

第一：打開網(wǎng)絡(luò)打印機(jī)并且連通網(wǎng)線；

第二：關(guān)閉原來的DHCP設(shè)置，改為自動獲取IP地址，IP協(xié)議為IPv4啟用。這時IP地址為169.254.*.*開頭，目的是將網(wǎng)絡(luò)打印機(jī)的訪問范圍限定在一定范圍之內(nèi)，增加網(wǎng)絡(luò)安全性。

第三：把獲取到的169.254.*.*的IP地址設(shè)置成固定IP，避免網(wǎng)絡(luò)打印機(jī)IP地址在斷電或者是重啟之后發(fā)生變化，避免IP地址產(chǎn)生沖突。

第四：沒有自動獲取IPv4地址功能的打印機(jī)，可以選擇手動設(shè)置IPv4地址，將打印機(jī)轉(zhuǎn)變?yōu)橐粋€小的服務(wù)器。如原來使用DHCP服務(wù)獲取到的IP地址是10.181.12.1，那么選擇手動設(shè)置IPv4地址IP為169.254.12.1，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為169.254.12.1。打印機(jī)成為一個小的服務(wù)器，利用同一臺交換機(jī)網(wǎng)絡(luò)，基于TCP/IP協(xié)議，在IP地址不同的情況下，處于同一交換機(jī)網(wǎng)絡(luò)的電腦都能夠連接網(wǎng)絡(luò)打印機(jī)，而不至于發(fā)生地址沖突。

第五，打印機(jī)網(wǎng)絡(luò)設(shè)置配置完成后，就可以在終端電腦上使用169.254.*.*的IP地址的網(wǎng)絡(luò)打印機(jī)。

第六，其他需要注意的事項(xiàng)?？梢詫⒋蛴C(jī)IP地址Mac信息進(jìn)行收集和整理，存儲成文檔，以便于后期進(jìn)行整理和使用。推薦使用指定固定IP的連接方法比較穩(wěn)定，使用過程中不會出現(xiàn)未知原因打印機(jī)自動脫機(jī)的情況。沒有觸控屏或設(shè)置按鍵的打印機(jī)，可連通網(wǎng)絡(luò)后通過電腦登錄該打印機(jī)后臺WEB配置頁，先取消打印機(jī)配置密碼（此處為防止設(shè)置成169.254.*.*的IP后造成網(wǎng)絡(luò)不通的情況下，還可以在打印機(jī)上進(jìn)行恢復(fù)操作，避免打印機(jī)被鎖死），在WEB配置頁處直接設(shè)置該網(wǎng)絡(luò)打印機(jī)的IPv4地址成想要的169.254.*.*即可。

6 結(jié)束語

網(wǎng)絡(luò)打印機(jī)對于傳統(tǒng)的打印機(jī)來說具有非常明顯的優(yōu)勢，它能夠有效實(shí)現(xiàn)打印資源的共享，同時能夠異地使用，能夠有效降低辦公成本，但是由于網(wǎng)絡(luò)打印機(jī)的可連接性，使其很容易受到其他惡意攻擊者的攻擊，造成打印信息的泄露及其他損失。采用常規(guī)方法：即對存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患的軟件和硬件采取安全防護(hù)措施，及時下載相應(yīng)的安全補(bǔ)丁，升級軟硬件版本，借助于主動防護(hù)軟件查殺病毒等措施能夠降低網(wǎng)絡(luò)打印機(jī)帶來的部分網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但依然存在反復(fù)整改、反復(fù)出現(xiàn)漏洞的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；采用網(wǎng)絡(luò)打印機(jī)WSD連接方案后，能夠?qū)⒕W(wǎng)絡(luò)打印機(jī)的訪問范圍限制在小范圍樓層交換機(jī)網(wǎng)絡(luò)以內(nèi)，既滿足日常辦公需求，又大幅度降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，且使用更穩(wěn)定、可靠，有效提高工作效率，網(wǎng)絡(luò)安全防護(hù)水平得到極大提升。

[1]陳斯迅.網(wǎng)絡(luò)打印機(jī)信息安全研究[J].中國管理信息化，2018，21（10）：169-171.

[2]姚遠(yuǎn).網(wǎng)絡(luò)打印機(jī)安全隱患與防護(hù)措施分析[J].農(nóng)家參謀，2018（10）：261+295.

[3]陳昊.網(wǎng)絡(luò)打印機(jī)安全分析與防護(hù)[J].計(jì)算機(jī)產(chǎn)品與流通，2018（05）：124.

[4]李莉，陳詩洋，楊子羿，付凱.網(wǎng)絡(luò)打印機(jī)安全研究與防護(hù)建議[J].電子產(chǎn)品世界，2019，26（03）：58-61.