鄧雄榮，王湘女，劉卓賢，姚子汭

（東莞供電局，廣東 東莞 523008）

0 引言

網(wǎng)絡(luò)打印設(shè)備數(shù)量眾多，臺(tái)賬及耗材管理混亂，安全風(fēng)險(xiǎn)隱患日益增多，攻擊面不斷擴(kuò)大，經(jīng)常出現(xiàn)被仿冒、被劫持、被攻擊的風(fēng)險(xiǎn)隱患。因此，在企業(yè)日常網(wǎng)絡(luò)安全運(yùn)營過程中，強(qiáng)化網(wǎng)絡(luò)打印設(shè)備的臺(tái)賬建模、入網(wǎng)監(jiān)測(cè)定位、運(yùn)行可視、耗材監(jiān)控告警、安全合規(guī)檢測(cè)等能力顯得尤為重要迫切。本文通過一種網(wǎng)絡(luò)打印設(shè)備臺(tái)賬模型關(guān)聯(lián)入網(wǎng)端口全景管控技術(shù)方法研究，實(shí)現(xiàn)設(shè)備從入網(wǎng)-運(yùn)行-變更-退運(yùn)全生命周期動(dòng)態(tài)管控，建立臺(tái)賬模型、防范接入風(fēng)險(xiǎn)，確保在運(yùn)打印設(shè)備可視可管可控，有效地確保終端網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。

1 項(xiàng)目背景

隨著現(xiàn)代化辦公網(wǎng)絡(luò)環(huán)境的不斷發(fā)展，國家、政府、社會(huì)各行各業(yè)的標(biāo)準(zhǔn)型、兼容性、事務(wù)型的文件需求逐漸成熟深化，網(wǎng)絡(luò)打印設(shè)備也成為現(xiàn)代化辦公的縮影，有著其高效、便捷、移動(dòng)、共享的多重優(yōu)勢(shì)，市場(chǎng)規(guī)模不斷增長(zhǎng)。與此同時(shí)，在整個(gè)IT 信息行業(yè)及最終用戶當(dāng)中，運(yùn)維和安全主要關(guān)注業(yè)務(wù)系統(tǒng)、物理環(huán)境、基礎(chǔ)架構(gòu)、數(shù)據(jù)保護(hù)等，并在這些方面投入了大量的人力物力，從安全運(yùn)維、風(fēng)險(xiǎn)管理、業(yè)務(wù)合規(guī)層面開展了全方位的體系建設(shè)，但對(duì)影響企業(yè)辦公效率和設(shè)備安全的網(wǎng)絡(luò)打印設(shè)備往往投入不足，關(guān)注較低，導(dǎo)致設(shè)備臺(tái)賬及耗材管理混亂，接入端口被非法盜用，高危端口、弱口令、安全漏洞等問題逐漸暴露出來，給終端安全管理帶來了很大的風(fēng)險(xiǎn)隱患，時(shí)刻都有可能攻擊突破現(xiàn)有終端網(wǎng)絡(luò)安全防護(hù)體系，將直接威脅單位終端安全、數(shù)據(jù)安全和業(yè)務(wù)安全。再加上在倡導(dǎo)“節(jié)能減排”的今天，打印耗材成為企業(yè)需要重點(diǎn)節(jié)約的對(duì)象，經(jīng)常出現(xiàn)耗材不及時(shí)更換情況，且墨盒、硒鼓、紙張等耗材消耗數(shù)量沒有相應(yīng)的技術(shù)統(tǒng)計(jì)分析手段，造成耗材浪費(fèi)而導(dǎo)致成本增加嚴(yán)重影響企業(yè)辦公效率和投資計(jì)劃[1]。

本文提出了一種網(wǎng)絡(luò)打印設(shè)備臺(tái)賬模型關(guān)聯(lián)入網(wǎng)端口全景管控技術(shù)方法，通對(duì)網(wǎng)絡(luò)打印設(shè)備的全生命周期進(jìn)行動(dòng)態(tài)管控，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)打印設(shè)備的臺(tái)賬建模、入網(wǎng)監(jiān)測(cè)、運(yùn)行可視、耗材監(jiān)控、安全合規(guī)檢測(cè)，提升企業(yè)整體的終端網(wǎng)絡(luò)安全管理水平。

2 技術(shù)研究

通過網(wǎng)絡(luò)打印設(shè)備臺(tái)賬模型關(guān)聯(lián)入網(wǎng)端口全景管控平臺(tái)，主動(dòng)識(shí)別全網(wǎng)網(wǎng)絡(luò)打印設(shè)備品牌機(jī)型號(hào)，關(guān)聯(lián)現(xiàn)有的靜態(tài)畫像數(shù)據(jù)生成臺(tái)賬模型管理，對(duì)運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并采集網(wǎng)絡(luò)設(shè)備接入信息，形成設(shè)備模型及端口可視全景圖，通過SNMP 采集網(wǎng)絡(luò)打印設(shè)備的運(yùn)行數(shù)據(jù)，設(shè)置場(chǎng)景對(duì)設(shè)備變化、網(wǎng)絡(luò)環(huán)境變化、耗材使用進(jìn)行監(jiān)控告警，通過主動(dòng)探測(cè)掃描，檢測(cè)設(shè)備的高危端口、高危服務(wù)、風(fēng)險(xiǎn)漏洞等安全合規(guī)屬性，實(shí)現(xiàn)設(shè)備全生命周期進(jìn)行動(dòng)態(tài)管控，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)打印設(shè)備的入網(wǎng)精細(xì)化管理，減低了入網(wǎng)的安全風(fēng)險(xiǎn)，確保終端網(wǎng)絡(luò)安全可控[2]。

2.1 整體功能架構(gòu)及技術(shù)原理

系統(tǒng)主要由五大功能模塊構(gòu)成，整體功能架構(gòu)如圖1 所示。

圖1 整體功能架構(gòu)

2.1.1 網(wǎng)絡(luò)打印設(shè)備臺(tái)賬建模

通過網(wǎng)絡(luò)打印設(shè)備常見開放端口如TELNET、FTP、SSH、HTTP、HTTPS 等進(jìn)行指紋收集與banner 信息提取，建立服務(wù)關(guān)聯(lián)模型，通過服務(wù)及端口開放或關(guān)閉的多種可能組合，采用特定匹配算法，建立網(wǎng)絡(luò)打印資產(chǎn)類型庫。通對(duì)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)打印網(wǎng)段資源進(jìn)行探測(cè)，采用掃描、試探、訪問等主動(dòng)方式，實(shí)現(xiàn)未知打印設(shè)備資產(chǎn)發(fā)現(xiàn)、已知打印設(shè)備資產(chǎn)外部可見性檢測(cè)等功能，獲取網(wǎng)絡(luò)內(nèi)部打印設(shè)備資產(chǎn)信息、打印設(shè)備狀態(tài)信息、打印設(shè)備暴露狀態(tài)信息等。通過結(jié)合設(shè)備的投放的組織架構(gòu)，使用人，資產(chǎn)編碼，序列號(hào)，投運(yùn)年限等資產(chǎn)畫像數(shù)據(jù)，形成完整的入網(wǎng)臺(tái)賬模型[3]。

2.1.2 實(shí)時(shí)感知與采集

通過SSH 或SNMP 協(xié)議，定時(shí)對(duì)當(dāng)前網(wǎng)絡(luò)中的所有交換設(shè)備和網(wǎng)關(guān)設(shè)備進(jìn)行主動(dòng)采集，獲取ARP 表和MAC 地址表，并對(duì)打印設(shè)備資產(chǎn)所屬的全網(wǎng)表項(xiàng)進(jìn)行整合分析，明確當(dāng)前打印設(shè)備資產(chǎn)所關(guān)聯(lián)的IP 地址在線和下線情況，明確打印設(shè)備資產(chǎn)所關(guān)聯(lián)的IP 地址對(duì)應(yīng)的MAC 地址及MAC 地址所屬廠商情況，明確打印設(shè)備資產(chǎn)所關(guān)聯(lián)的MAC 地址所屬交換機(jī)端口情況，建立全網(wǎng)可視的打印設(shè)備資產(chǎn)分布表。通過SNMP 協(xié)議，定時(shí)對(duì)可選范圍內(nèi)的所有打印設(shè)備進(jìn)行主動(dòng)采集，獲取當(dāng)前及歷史運(yùn)行數(shù)據(jù)，包括“設(shè)備名稱”“設(shè)備運(yùn)行時(shí)間”“設(shè)備序列號(hào)”“設(shè)備歷史打印紙張數(shù)”“設(shè)備重啟后的打印設(shè)備紙張數(shù)”“設(shè)備成像技術(shù)”等20 種以上的運(yùn)行數(shù)據(jù)，并在采集完成后對(duì)運(yùn)行數(shù)據(jù)進(jìn)行實(shí)時(shí)分析入庫，達(dá)成運(yùn)行數(shù)據(jù)可視、運(yùn)行狀態(tài)可監(jiān)控、告警信息可推送、耗材信息可預(yù)測(cè)的網(wǎng)狀運(yùn)行視圖。

2.1.3 運(yùn)行可視化

通過定時(shí)化的主動(dòng)采集和探測(cè)策略，記錄每一次信息關(guān)聯(lián)融合的打印設(shè)備運(yùn)行狀態(tài)、打印設(shè)備定位信息、開放服務(wù)信息等詳細(xì)數(shù)據(jù)，采用實(shí)時(shí)分析算法，關(guān)聯(lián)全網(wǎng)設(shè)備更替，追蹤數(shù)據(jù)變化，記錄歷史生命周期，掌握打印設(shè)備資產(chǎn)移動(dòng)、更新、下線等全量狀態(tài)。

“機(jī)械工程材料基礎(chǔ)B”是由上海理工大學(xué)機(jī)械工程學(xué)院開設(shè)的一門學(xué)科基礎(chǔ)課程,授課對(duì)象是非材料類的學(xué)生,主要包括能源與動(dòng)力學(xué)院和機(jī)械工程學(xué)院。這些學(xué)院的學(xué)生在今后學(xué)習(xí)專業(yè)課和進(jìn)行科研工作的時(shí)候,不需要應(yīng)用高深的材料學(xué)方面的知識(shí),但卻要掌握應(yīng)用需要選擇材料的方法和改進(jìn)材料性能的手段,以及運(yùn)用理論知識(shí)解釋工程實(shí)際中的現(xiàn)象等。根據(jù)機(jī)械設(shè)計(jì)制造及其自動(dòng)化專業(yè)工程認(rèn)證的要求,按照“評(píng)價(jià)—反饋—改進(jìn)”的質(zhì)量監(jiān)控和持續(xù)改進(jìn)機(jī)制,以“機(jī)械工程材料基礎(chǔ)B”的課程目標(biāo)及其對(duì)畢業(yè)要求的支撐為依據(jù),隨機(jī)抽取該專業(yè)學(xué)生的考試結(jié)果進(jìn)行分析和達(dá)成度計(jì)算,探討改進(jìn)教學(xué)質(zhì)量的途徑,培養(yǎng)符合工程認(rèn)證要求的畢業(yè)生。

通過定時(shí)化的主動(dòng)采集策略，詳細(xì)記錄每一個(gè)打印設(shè)備耗材的名稱、類型、顏色、打印量、余量等詳細(xì)數(shù)據(jù)，做到耗材余量有告警、耗材更替有記錄、耗材使用有章法的全方位耗材管理能力。

對(duì)全網(wǎng)打印設(shè)備資產(chǎn)臺(tái)賬進(jìn)行核對(duì)、校準(zhǔn)、驗(yàn)證，根據(jù)更新策略對(duì)打印設(shè)備資產(chǎn)進(jìn)行變更檢查、知識(shí)庫自動(dòng)更新。

2.1.4 風(fēng)險(xiǎn)合規(guī)檢測(cè)

采用輕量化的端口檢測(cè)和掃描機(jī)制，通過主動(dòng)的打印設(shè)備資產(chǎn)自動(dòng)探測(cè)，理清網(wǎng)內(nèi)打印設(shè)備資產(chǎn)的開放端口、服務(wù)類型、所屬應(yīng)用，并進(jìn)行自動(dòng)化歸類和梳理，快速掌握全網(wǎng)打印設(shè)備資產(chǎn)暴露面。

通過內(nèi)置的高危服務(wù)列表和可自定義的服務(wù)信息添加模塊，快速有效的整理導(dǎo)出高危服務(wù)詳情及關(guān)聯(lián)打印設(shè)備資產(chǎn)詳情，快速進(jìn)行應(yīng)急響應(yīng)和處置。

系統(tǒng)集成并行式的漏洞檢測(cè)框架，在基于現(xiàn)有打印設(shè)備資產(chǎn)服務(wù)和資產(chǎn)類型的基礎(chǔ)上進(jìn)行快速并行式的漏洞掃描，并可通過建立定期調(diào)度的策略掃描模式，不斷及時(shí)的發(fā)現(xiàn)打印設(shè)備資產(chǎn)風(fēng)險(xiǎn)，實(shí)時(shí)進(jìn)行告警處置，閉環(huán)修復(fù)整改流程。

將打印設(shè)備漏洞信息與資產(chǎn)信息進(jìn)行整合顯示，實(shí)現(xiàn)漏洞態(tài)勢(shì)可視化展示、漏洞數(shù)據(jù)管理、漏洞掃描任務(wù)管理、漏洞態(tài)勢(shì)分析、漏洞閉環(huán)處置等功能，進(jìn)行全網(wǎng)打印設(shè)備風(fēng)險(xiǎn)漏洞統(tǒng)一關(guān)聯(lián)管理。

利用已識(shí)別出的打印設(shè)備品牌、型號(hào)，已探測(cè)的打印設(shè)備開放端口、對(duì)應(yīng)服務(wù)，已采集的打印設(shè)備MAC地址、接入位置，已獲取的打印設(shè)備描述、序列號(hào)、運(yùn)行時(shí)間、紙張消耗等運(yùn)行信息，已導(dǎo)入的物理位置、管理員等各類信息，來實(shí)現(xiàn)打印設(shè)備資產(chǎn)關(guān)聯(lián)和定位，包括打印運(yùn)行情況分析、打印設(shè)備IP 地址定位、打印設(shè)備設(shè)備定位、打印設(shè)備上下線時(shí)間等，全方位展示打印設(shè)備資產(chǎn)特征知識(shí)庫，掌握全生命周期資產(chǎn)信息脈絡(luò)。

2.2 部署架構(gòu)說明

系統(tǒng)旁路部署在內(nèi)網(wǎng)核心交換機(jī)上，確保能訪問到所有的網(wǎng)絡(luò)打印設(shè)備網(wǎng)段及網(wǎng)絡(luò)接入設(shè)備網(wǎng)管網(wǎng)段，通過主動(dòng)探測(cè)采集感知，展現(xiàn)設(shè)備入網(wǎng)全生命周期全景信息[4]。

2.3 技術(shù)管控流程

入網(wǎng)后根據(jù)已識(shí)別出的打印設(shè)備品牌、型號(hào)，已探測(cè)的打印設(shè)備開放端口、對(duì)應(yīng)服務(wù)，結(jié)合設(shè)備臺(tái)賬畫像數(shù)據(jù)，形成臺(tái)賬模型，再采集的打印設(shè)備MAC 地址、接入位置，獲取打印設(shè)備描述、序列號(hào)、運(yùn)行時(shí)間、紙張消耗等運(yùn)行信息，最終形成一套全生命周期基準(zhǔn)數(shù)據(jù)，對(duì)各項(xiàng)指標(biāo)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控告警，特殊資產(chǎn)重點(diǎn)監(jiān)控管理，出現(xiàn)問題啟動(dòng)響應(yīng)處置流程，實(shí)現(xiàn)設(shè)備入網(wǎng)可視可知，運(yùn)行變更可視，安全風(fēng)險(xiǎn)可視。最終實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)打印設(shè)備的入網(wǎng)精細(xì)化管理，減低了入網(wǎng)的安全風(fēng)險(xiǎn)，確保終端網(wǎng)絡(luò)安全可控[5]。管控流程如圖2 所示。

圖2 管控流程

3 技術(shù)關(guān)鍵點(diǎn)、創(chuàng)新點(diǎn)

3.1 全生命周期臺(tái)賬模型展現(xiàn)

綜合關(guān)聯(lián)已識(shí)別出的打印設(shè)備品牌、型號(hào)，已探測(cè)的打印設(shè)備開放端口、對(duì)應(yīng)服務(wù)，已采集的打印設(shè)備MAC 地址、接入位置，已獲取的打印設(shè)備描述、序列號(hào)、運(yùn)行時(shí)間、紙張消耗等運(yùn)行信息，已導(dǎo)入的物理位置、管理員等各類畫像數(shù)據(jù)信息，來實(shí)現(xiàn)打印設(shè)備資產(chǎn)關(guān)聯(lián)和定位，包括打印運(yùn)行情況分析、打印設(shè)備IP 地址定位、打印設(shè)備定位、打印設(shè)備上下線時(shí)間等，全方位展示打印設(shè)備資產(chǎn)特征知識(shí)庫，掌握全局資產(chǎn)信息脈絡(luò)。結(jié)合對(duì)當(dāng)前網(wǎng)絡(luò)中的所有交換設(shè)備和網(wǎng)關(guān)設(shè)備進(jìn)行主動(dòng)采集，獲取ARP 表和MAC 地址表，并對(duì)打印設(shè)備資產(chǎn)所屬的全網(wǎng)表項(xiàng)進(jìn)行整合分析，明確當(dāng)前打印設(shè)備資產(chǎn)所關(guān)聯(lián)的IP 地址在線和下線情況，明確打印設(shè)備資產(chǎn)所關(guān)聯(lián)的IP 地址對(duì)應(yīng)的MAC 地址及MAC 地址所屬廠商情況，明確打印設(shè)備資產(chǎn)所關(guān)聯(lián)的MAC 地址所屬交換機(jī)端口接入配置合規(guī)情況，展現(xiàn)全生命周期標(biāo)準(zhǔn)臺(tái)賬模型全景。

3.2 設(shè)備關(guān)聯(lián)入網(wǎng)端口全景展現(xiàn)

通過采集網(wǎng)絡(luò)實(shí)時(shí)關(guān)聯(lián)信息，形成臺(tái)賬模型與網(wǎng)絡(luò)端口關(guān)聯(lián)關(guān)系圖，展現(xiàn)設(shè)備臺(tái)賬與網(wǎng)絡(luò)接入對(duì)應(yīng)全景圖，監(jiān)控此類接入端口變更情況，實(shí)時(shí)掌控端口的接入合規(guī)情況及風(fēng)險(xiǎn)隱患。

3.3 實(shí)現(xiàn)運(yùn)營可視化

監(jiān)測(cè)記錄信息關(guān)聯(lián)融合的打印設(shè)備運(yùn)行狀態(tài)、打印設(shè)備定位信息、開放服務(wù)信息、風(fēng)險(xiǎn)合規(guī)信息等詳細(xì)數(shù)據(jù)，采用實(shí)時(shí)分析算法，關(guān)聯(lián)全網(wǎng)設(shè)備更替，追蹤數(shù)據(jù)變化，記錄歷史生命周期，掌握打印設(shè)備資產(chǎn)入網(wǎng)、移動(dòng)、更新、下線等全量狀態(tài)。

4 成果推廣及應(yīng)用前景

目前，通過網(wǎng)絡(luò)打印設(shè)備臺(tái)賬模型關(guān)聯(lián)入網(wǎng)端口全景管控技術(shù)，實(shí)現(xiàn)了對(duì)企業(yè)網(wǎng)絡(luò)打印設(shè)備的臺(tái)賬建模、入網(wǎng)監(jiān)測(cè)、運(yùn)行可視、耗材監(jiān)控、安全合規(guī)檢測(cè)的全生命周期過程的動(dòng)態(tài)管控。確保了入網(wǎng)中的打印設(shè)備可視可管可控，有效地確保終端網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。

項(xiàng)目成果已成功應(yīng)用于全公司范圍，通過采集打印設(shè)備數(shù)據(jù)，建立各部門網(wǎng)絡(luò)打印設(shè)備臺(tái)賬模型，實(shí)現(xiàn)了自動(dòng)識(shí)別網(wǎng)絡(luò)打印設(shè)備品牌及型號(hào)，自動(dòng)采集網(wǎng)絡(luò)打印設(shè)備上下線情況、序列號(hào)等運(yùn)行狀態(tài)，自動(dòng)采集墨盒、硒鼓、紙張等耗材運(yùn)行數(shù)據(jù)，對(duì)使用情況進(jìn)行及時(shí)報(bào)警監(jiān)測(cè)，定期提醒管理員更換相關(guān)耗材，節(jié)省企業(yè)成本提高工作效益。

（1）經(jīng)濟(jì)性。倡導(dǎo)“節(jié)能減排”，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)打印設(shè)備耗材使用情況，精確到碳粉余量的具體百分值，彩色打印設(shè)備能監(jiān)控到每一種顏色碳粉余量的具體百分值，對(duì)生產(chǎn)所需耗材進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，統(tǒng)計(jì)各部門損耗，降低企業(yè)成本，在經(jīng)濟(jì)上具有大規(guī)模推廣意義。

（2）實(shí)用性。無須登錄逐臺(tái)打印設(shè)備進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，只需一個(gè)系統(tǒng)，通過自動(dòng)化建立臺(tái)賬模型，對(duì)打印設(shè)備運(yùn)行情況、存活情況、分布情況、網(wǎng)絡(luò)接入位置、上線下線情況實(shí)時(shí)監(jiān)測(cè)，快速識(shí)別網(wǎng)絡(luò)打印設(shè)備的品牌及型號(hào)，實(shí)時(shí)掌握打印變化狀態(tài)、耗材存量和消耗情況、紙張消耗情況等。避免了人工統(tǒng)計(jì)數(shù)據(jù)，提高了日常網(wǎng)絡(luò)安全運(yùn)維效率。

（3）安全性。系統(tǒng)集成了風(fēng)險(xiǎn)檢測(cè)模塊，與臺(tái)賬模型關(guān)聯(lián)，快速對(duì)網(wǎng)絡(luò)打印設(shè)備進(jìn)行安全風(fēng)險(xiǎn)檢測(cè)，第一時(shí)間檢測(cè)出可能存在的風(fēng)險(xiǎn)，增強(qiáng)了網(wǎng)絡(luò)安全合規(guī)管理，杜絕非法接入入侵，提升了特殊終端入網(wǎng)安全防護(hù)能力。

5 結(jié)語

本文所描述的網(wǎng)絡(luò)打印設(shè)備臺(tái)賬模型關(guān)聯(lián)入網(wǎng)端口全景管控系統(tǒng)，旁路部署接入網(wǎng)絡(luò)環(huán)境中，重點(diǎn)針對(duì)目前缺乏技術(shù)管理控制手段的網(wǎng)絡(luò)打印設(shè)備，通過有針對(duì)性的建立臺(tái)賬模型全景，實(shí)時(shí)掌控入網(wǎng)設(shè)備的耗材運(yùn)行數(shù)據(jù)及安全運(yùn)行態(tài)勢(shì)，并對(duì)耗材使用情況及攻擊者盜用端口滲透破壞進(jìn)行事前預(yù)警，杜絕了風(fēng)險(xiǎn)傳播隱患。今后，本系統(tǒng)將擴(kuò)大覆蓋范圍，涵蓋企業(yè)其他泛終端設(shè)備的入網(wǎng)安全管控，實(shí)現(xiàn)更多的泛終端網(wǎng)絡(luò)全生命周期動(dòng)態(tài)管控場(chǎng)景。