2018年12月12日

    別讓事務設備成為意外的資安漏防點

    少有企業對事務機的列印內容進行記錄,難以追查。

    加上保密相關法規的壓力日增,包含個資法、營業機密保護法、歐盟正式施行的 GDPR 等,問題更形明顯。

    (本文為 2018 網路資訊「無邊界網路安全研討會」台北場之會後報導,主講者:Canon 李紹祺

    「許多企業很納悶,為何已導入諸多資安防護,還是有公司機密外洩的情事呢?」Canon 資深主任李紹祺丟出此一疑問後接續提問:「辦公室的事務機歸誰管?安全嗎?」事實上多數企業的辦公室事務機歸總務管,不歸資訊單位管,加上太多人都能使用它,事務設備(泛指影印機、印表機)並不安全,反而可能是個嚴重的資安漏防點。

    ​​​

    ​​​​Canon 資深主任李紹祺​​

    特別是今日的事務機多已連網,且目前少有企業對事務機的列印內容進行記錄,難以追查。加上保密相關法規的壓力日增,包含個資法、營業機密保護法、歐盟正式施行的 GDPR 等,問題更形明顯。

    對事務機的控管有些企業已有初步導入,例如須感應員工識別證才能列印,而現在 Canon 更進一步的主張,包含影印、列印、傳真、掃描等四種動作,都當加以控管與記錄內容。更能符合法規規範,可進一步觸發預設之多重關鍵字,主動提供告警給權責主管;雙重軌跡之設計,使資安層級大幅提升。

    ​​

    ​​​

    ​​​

    ​​以感應方式控管列印仍是不夠,愈來愈多人是透過區網方式列印,網路列印也必須控管,包含能不能存取該事務機,透過事務機列印或掃描而得的內容,也當限制其傳遞範疇,包含可以放入哪個共享資料夾、可以用附件方式轉寄給哪些人等,而且也可以設定禁止使用者新增通訊錄,也禁止用戶自行安裝印表機驅動程式來加入共享列印。

    進一步的,也可以在資料輸出時連帶印上識別的浮水印或相關的列印資訊,例如由誰印出、何時印出、事務機序號、IP位址、部門編號與文件編號等,藉此加強機密資料防護的意識。

    更神奇的是,為了避免已印出的文件被他人以影印方式竊走內容,事務機列印時可連帶印出特殊網點,網點無礙原有文件的閱讀,但若把文件重新放上事務機試圖翻印,事務機會拒絕掃描及影印。(若網點文件被拿去他廠事務機上複印或用手機翻拍,依然難保內容不外流,然這需要其他配套,如門禁管理、禁攜入手機,企業禁用他款事務機等)

    結合識別證是一種作法,也可與金融卡、信用卡整合,或者若有人偷拿他人的卡片去盜感應、盜印自己權限外的文件資料與內容,事務機也提供兩層把關機制,除卡片合法外還需輸入PIN碼才能真正啟動事務機。

    另外事務機上也提供再次確認的機會,若想印 10 份不小心輸入為 100 份,或想印黑白卻變成印彩色,均可再修改設定而後才正式列印,避免因誤印而浪費成本,據過往經驗如此可達到 18%~35% 不等的節費效益,端視企業不同的使用情境。

    或者事務機也能簡化工作程序,過往的文件掃描後均要透過接收電子郵件附檔的方式取得,而今可直接上傳至協同作業平台SharePoint上,或直接轉入其他內容管理系統、文件管理系統上,省去多道人工手動操作程序。

    最後李紹祺強調 Canon 的事務機防護方案已遵循合乎現行大宗主流資安標準,包含 SMB 3.0 通訊協定、802.1x、IPSec、SSL 加密、AES 256-bit 加密、FIPS 140-2 認證加密晶片等,也符合 IEEE 2600 資安要求。期望事務機不再是資安顧慮,持續擔任企業效率、節費的生產利器。

    ​​

    ​​​​

    ​​​​​​​