поиск по сайту
Обеспечение информационной безопасности процессов печати

А.С. Рябов, «ОКБ САПР»

Обеспечение информационной безопасности процессов печати

Часто требуется напечатать документ, содержащий конфиденциальную информацию, и очень важно, чтобы отпечатанный документ получил определенный сотрудник, а не кто-то другой. Отправив документ на сетевой принтер, расположенный в общедоступном месте, через некоторое время вы можете не найти его на выходном лотке устройства. Иногда пользователи даже просто забывают о своих распечатанных документах. В конце рабочего дня уборщица может просто собрать скопившиеся документы, которые могут содержать, в том числе, конфиденциальную информацию, и просто выбросить их в мусорный контейнер за пределами организации.

Разглашение содержания таких документов (персональные данные сотрудников, финансовые отчеты, информация о клиентах и партнерах и т.д.) может привести к серьезным негативным последствиям для предприятий всех уровней. Утечка информации чревата не только финансовыми потерями и юридическими последствиями, но может также привести и к потере имиджа компании и нанести серьезный урон деловой репутации. Стоит отметить, что не так давно в одном российском банке произошел очень крупный инцидент — распечатанные документы, содержащие информацию о клиентах (копии паспортов клиентов, их заявления с контактными телефонами и данными о месте жительства, работы и недвижимости) оказались на свалке.

Сегодня многие предприятия уже инвестируют в свою инфраструктуру информационной безопасности для защиты IT‐систем от внешних и внутренних угроз, но мало кто из них уделяет такое же серьезное внимание вопросам защиты процессов печати, занимающей также важнейшее место в процессе создания, обработки и распространения документов. Поэтому на сегодняшний день вопросы информационной безопасности, связанные c печатью документов, остаются еще открытыми.

Самый простой путь решения данной задачи — установка персональных принтеров для сотрудников, которые работают с конфиденциальными документами. Однако таких сотрудников может быть много, а их состав и численность непостоянными. Данный способ выхода из положения становится не только очень дорогим, но и неуправляемым.

В таких случаях решением является технология безопасной печати с авторизацией, которая позволит разграничить доступ сотрудников к устройствам, распечатываемым документам, и избежать утечки информации.

Привычная для пользователя процедура печати документа выглядит следующим образом: пользователь отправляет электронный документ на определенный принтер и через какое-то время подходит к аппарату, чтобы забрать напечатанный документ. Печать документа обычно осуществляется через выделенный принт-сервер.

Решение представляет собой распределенную в ЛВС многокомпонентную систему защиты, состоящую из специализированного принт-сервера и устройств «Сетевой контроллер», которые устанавливаются в непосредственной близости с устройством печати. Распечатка документов осуществляется только после авторизации пользователя на «Сетевом контроллере». Такой механизм дает возможность визуально контролировать процесс печати и препятствует утечкам конфиденциальной информации через бумажные носители.

Структурная схема компонентов системы защиты процессов печати приведена на рисунке 1.

Рисунок 1 — Структурная схема компонентов системы защиты процессов печати

В штатном режиме, традиционно, после обработки задания на печать, принт-сервера посылают его на принтер или МФУ. Специализированный принт-сервер приостанавливает процесс печати до авторизации пользователя в системе защиты.

Устройство «Сетевой контроллер» с двумя сетевыми интерфейсами, предназначенное для ввода аутентификационной информации (в качестве идентификаторов могут быть использованы Touch-memory DS-199x, ПСКЗИ ШИПКА), устанавливается перед принтером или МФУ. Устройство «Сетевой контроллер» функционирует под специализированной защищенной ОС семейства Linux, которая записывается в раздел Read Only (RO). Устройство имеет два сетевых интерфейса eth0 и eth1, и является шлюзом между ЛВС и устройством печати. Интерфейс eth0 подключается к ЛВС, на нем настраивается ip-адрес принтера, поэтому нет необходимости в модификации настроек инфраструктуры печати. К интерфейсу eth1 подключается устройство печати — принтер или МФУ.

Рисунок 2 — Взаимодействие компонентов системы защиты процессов печати

На рисунке 2 изображено взаимодействие компонентов системы защиты процессов печати.

Технологический процесс печати для двух пользователей (Пользователь А и Пользователь В) выглядит следующим образом.

1) С рабочих мест (АРМ) Пользователи А и В отправляют задания для печати Printjob (А’) и Printjob (В’) в очередь на принт-сервер.

2) При получении принт-сервером от Пользователя А и Пользователя В печатных заданий, процесс печати приостанавливается.

3) Принт-сервер ожидает, пока некоторый пользователь авторизуется на «Сетевом контроллере» путем ввода пользователем своих аутентификационных данных.

4) Пользователь А подходит к «Сетевому контроллеру», который расположен в непосредственной близости с МФУ или принтером, это дает ему возможность визуально контролировать процесс печати. Пользователь вводит свои аутентификационные данные для авторизации в системе.

5) С устройства идентификационные данные через сеть попадают на принт-сервер, где проходят проверку на правомерность осуществляемых операций.

6) Принт-сервер проверяет в очереди печати наличие заданий для Пользователя А, который авторизовался на «Сетевом контроллере» (из принтерного задания можно получить информацию, в том числе и о собственнике документа).

7) При наличии в очереди задания для Пользователя А (Printjob (A’)) принт-сервер передает пакеты данных на «Сетевой контроллер», который в свою очередь передает пакеты данных непосредственно на устройство печати. Задание Пользователя В (Printjob (В’)) остается в очереди на принт-сервере, до тех пор пока Пользователь В не авторизуется в системе.

8) Пользователь А забирает свой документ из лотка печатающего устройства.

В случае авторизации Пользователя В алгоритм процесса печати для него будет также одинаков и последователен, как и для пользователя А.

Рассмотренное решение обеспечения безопасности процессов печати может представлять интерес для средних и крупных организаций, где существует высокая степень рисков ИБ связанных с утечкой конфиденциальных данных. Система помогает обеспечить необходимый уровень безопасности документооборота, минимизировать риски и эффективнее управлять печатью.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них