company_banner

Как внедряется система безопасной печати на ближайшее к пользователю устройство (follow-me printing)


    Предположим, вы банк, нефтяная компания или просто параноик. Вам хочется, чтобы:
    • Уборщицы, враги и рептилоиды не забирали документы из принтеров.
    • Память принтера надёжно очищалась после печати.
    • Нецелевая печать отсутствовала.
    • Большие задания автоматически перенаправлялись на устройства с дешёвым отпечатком.
    • При отправке на печать задания 50 раз (как часто делает паникующий пользователь) выползало только одно.
    • Чтобы тексты фильтровались по стоп-словам, а картинки — распознавались и тоже не печатались, если содержат конфиденциальные данные (есть не у всех решений).
    • В редких случаях — ну и ещё чтобы в документах на лету слово «направо» заменялось на «налево» для введения потенциального противника в заблуждение.

    Это дорого, но уже давно используется в финансовых учреждениях. Там печать выглядит так: вы отправляете задание на принт-сервер, он обрабатывает файл (если надо — посылает безопаснику на ручное согласование, но такая фича также есть не у всех решений), а потом отдаёт на определённый принтер только тогда, когда вы введёте пин и покажете свой отпечаток пальца непосредственно на устройстве, чтобы документ выпал вам лично в руки. Или не приложите свою смарт-карту вроде личного пропуска в здание.

    Расскажу детальнее.

    Занимательная статистика


    По данным разных опросов и отчётов, за один рабочий день меньше 10 листов печатает около 20% сотрудников. 11–50 листов — 61% сотрудников, 51–100 листов — 12% сотрудников, больше 100 листов — 7% сотрудников. 70% опрошенных использует одну сторону листа, ≈50% участников опроса не беспокоит число печатаемых страниц (по данным ВЦИОМ). 40% распечаток могли бы быть напечатаны в дуплексе и ч/б (данные Nuance Communications).

    Как работает система безопасной печати


    Безопасная печать позволяет идентифицировать каждого пользователя и отдавать его распечатки только ему. При этом вам не важно, откуда пришло задание — вы можете отправить документ на печать из Петербурга, затем приехать на встречу в свой офис в Москве, ввести код на принтере (или авторизоваться по карте или биометрически) и получить его именно там, куда приехали. В идеале (если таймаут достаточен и политики безопасности позволяют так делать) получается примерно так:



    В отличие от обычной печати происходит следующее:
    • Закупаются современные принтеры со встроенным софтом управления или МФУ (либо модули к имеющимся у вас железкам), которые обеспечивают идентификацию пользователей.
    • Все они объединяются в сеть под управлением принт-сервера, на который ставится одна из систем безопасной печати.
    • При отправке задания на печать оно попадает в систему безопасной печати. Потом DLP проверяет файлы (об этом чуть позже), а затем ждёт вашей аутентификации на одном из принтеров. Как правило, вы должны либо ввести пин, либо, в более серьёзных случаях, приложить свою RFID-метку (пропуск в здание) или палец к биометрическому считывателю.
    • После этого система печати убирает все следы документа из памяти принтера (в особенности если там используется HDD, где образы документа могут остаться и после неожиданного отключения питания).


    Где и почему используется


    Учитывая цену внедрения идентификаторов на принтерах, как правило, главная причина — безопасность, порой излишняя, превращающаяся в паранойю. Цена кусается: от 400 евро за комплект аутентификации на 1 устройство до 1000 евро в зависимости от типа считывателя. Плюс нужны контроллеры для старых принтеров и МФУ (новые в большинстве имеют поддержку прямо в операционке).

    Вторая причина внедрения, как это ни странно, — экономия. В пятилетней перспективе так получается дешевле. Дело в том, что вместо того чтобы ставить отдельные принтеры в каждый кабинет, можно обойтись этажными МФУ и выводить весь поток на них, но зная, что каждый документ забирает лично сотрудник. К примеру, у нас на некоторых этажах реализовано именно так, и привязка идёт либо к пину задания, либо к RFID-метке пропуска в здание.

    Если пользователь решил не приходить и не вводить пин, оно не будет выведено на печать.

    Если пользователь запаниковал и отправил 30 одинаковых документов на печать, будет выведен один (ну или 30, если специально так настроить).

    Как правило, безопасная печать исключает нецелевую печать. Учитывая тотальную идентификацию, у каждой «левой» распечатки есть ФИО.

    Итоговый эффект — пропажа документов, которые пользователи отправляют на печать и забывают забрать (обычно таких до 20% в потоке), отсутствие повторной печати документов, резкое снижение печати личных документов, удешевление за счёт применения правил и условий перенаправления заданий на более производительные устройства, контроль цветной печати и принудительная конвертация в ч/б или на двустороннюю печать для определённых групп пользователей (типов документов, времени и т. д.), отчётность.

    Большой Брат следит за тобой


    Радость отдела ИБ в тотальном контроле:
    • Есть опция ручного подтверждения каждого документа (не у всех решений).
    • Есть полностью автоматический режим контроля утечек.
    • У отдельных решений есть режим подтверждения только вызывающих вопросы у робота документов.
    • Пользователь идентифицирует себя перед печатью.
    • Есть информация, кто, что, где, когда печатал.


    Как правило, операции следующие:
    • На «крутых» интеграциях в самом начале составляется список стоп-слов (либо импортируется список фильтров из системы предотвращения утечек — всё это функции DLP). Всё то, что не должно быть выведено на печать в офисе, не будет выведено ещё на уровне принт-сервера, а для ИБ будет создано уведомление. Некоторые системы также могут обучаться методом указания документов, за которыми нужен контроль, — там либо простейшие нейросети по словам, либо не очень сложные эвристики.
    • Каждый документ сканируется на предмет соответствия фильтрам, причём информация собирается не только из текстовой части: всё то, что можно преобразовать к тексту, преобразуется. В особенности распознаются изображения, благо у ABBYY есть очень быстрый OCR-модуль, который своим качеством вызывает ряд вопросов о том, где ещё Большой Брат его использует уже за пределами корпоративного рынка.
    • При подозрительном документе или настроенном правиле контроля (по группам сотрудников, по длине документа и т. п.) производится ручной контроль. Принцип эскалации зависит от конкретного используемого ПО для сервера, настроек обычно много.
    • С документом могут выполняться автоматические преобразования: например, удаляться все фамилии, занижаться разрешение чертежей до 12 dpi, выдаваться случайные числа вместо финансовых показателей и т. п. Замена «право» на «лево» и «севера» на «юг» — не анекдот, у нас похожие ситуации были на практике. Эти решения очень редки и, как правило, очень специализированы.
    • Применяются политики печати: например, принудительный перевод в ч/б для этого пользователя, у которого нет прав на цветную печать. Самая частая политика — отправка документов свыше 100 страниц на принтер с самой низкой стоимостью отпечатка в офисе и отправка по почте уведомления пользователю об этом.
    • И, наконец, только после этого документ встаёт в очередь ждать прихода пользователя к принтеру и двухфакторной аутентификации. Из коробки поддерживаются AD Username/Password, PIN-коды, бесконтактные карты: HID (I, II), EM- Marine, Mifare, iClass, Hitag, Cotag, Legic, Indala, ISO, Deister, Paxton, обычные магнитные карты, штрих-коды и биометрические сканеры (отпечатки пальцев).


    Опыт внедрения


    В одной крупной нефтяной компании разрабатывалась система безопасной печати для удалённых офисов. Основной офис — в арендованном бизнес-центре. Здание большое, несколько этажей, система строилась централизованно сразу на все офисы. Интеграция такая, что где бы ни отправил — можно получить в другом городе в течение суток.

    МФУ и принтеры размещались в принтерных комнатах, защищённых СКУД, но для большей безопасности ещё и использовались контроллеры доступа к МФУ с аутентификацией по бесконтактной карте.

    Поскольку последним звеном утечки распечаток оставался мусорный бак, вместо них там поставили шредеры, способные перемолоть скрепки, жвачку и даже не очень крупные части человеческого организма. Но не зубы. С зубами надо было придумывать что-то другое.

    Была настроена мобильная политика печати — когда сотрудник печатал с планшета или телефона, по Wi-Fi-роутеру находился этаж, и уже там задача отдавалась в очередь на ближайший принтер.

    «Свои» устройства, включая мобильные, отличали по сертификатам на Wi-Fi (802.1x).

    Парк апгрейдился от трёх разных наборов оборудования, закупленных слоями с разницей в несколько лет, причём от разных вендоров. Самый свежий слой поддерживал технологии аутентификации на уровне ОС устройств печати и МФУ, остальные потребовали специальных контроллеров.

    Идею безопасной печати принесла ИБ, но больше всех радовались, кажется, финансисты — они смогли привязать все расходы на печать к конкретным подразделениям. Потом они ещё настроили подробные отчёты об отпечатанных и копированных заданиях и поставили лимиты для различных групп пользователей: запретили цветную печать части подразделений, ограничили для ряда пользователей печать документов больше 20 страниц и только по рабочим часам. Для одного из отделов настроили принудительную конвертацию в ч/б и принудительную двустороннюю печать.

    Сисадмины тоже начали улыбаться, когда поняли, что теперь выход из строя принтера означал просто поход пользователя до другого без особых эксцессов. И истерик со срочной заменой уже не стало.

    Ограничения (на примере FollowMe)


    Из коробки работает с ОС:
    • Windows (начиная с Win95).
    • Apple Macintosh.
    • AS/400 iSeries.
    • LINUX/UNIX.
    • Другие ОС с поддержкой протокола LPR.

    Есть интеграция с каталогами Windows Active Directory, Novell eDirectory, OpenLDAP.

    Для решений, например, вендора Nuance нужен сервер со следующими параметрами: Windows 2003 Server SP2 (32/64 бит), Windows 2008 Server с пакетом обновления 1 (32/64 бит) или Windows Server 2008 R2 сервер (32/64 бит). Аналог Intel Xeon 64 по производительности, минимум 1 ГБ свободной оперативной памяти (рекомендуется минимум 4 Гб), 5 ГБ на HDD для буферизации печати работы и обработки данных (рекомендуется 10 ГБ). Если пользователи работают с OpenOffice и MS Office — нужны будут ещё инсталляции на сервере (в случае с MS это означает ещё одну лицензию).

    На печать можно отправлять файл как обычным способом или через электронную почту, так и давать URL через корпоративный портал на страницу, которую нужно напечатать (этим часто пользуются для мобильной печати).

    Ссылки


    • Список вендоров:
      Ringdale — один из лидеров в технологиях печати, комплексное решение FollowMe позволяет компаниям снизить затраты на печать, повысить эффективность и безопасность печати (Ringdale FollowMe Printing);
      Nuance — транснациональная корпорация, производитель программного обеспечения в сфере коммуникаций, распознавания речи и изображений, печати, решения: SafeCom и Equitrac;
      YSoft — европейская компания, специализируется на управлении доступом к печатным документам с использованием идентификационных карт и считывателей, SafeQ.
      HP — ведущий мировой производитель оборудования и программного обеспечения, в частности печатной техники и систем печати, решения HP Access Control и HP Imaging and Printing Security Center,
      ThinPrint — хорошее решение на рынке по оптимизации печати, тесная интеграция с решениями ведущих мировых производителей технологий терминального доступа и виртуализации, реализация безопасной печати, Personal Printing;
      MyQ — европейская компания, специализируется на управлении печатью и безопасной печати с использованием технологий контроля доступа и распознавания символов OCR, решения;
      Арти — российская компания, в числе решений которой есть АСУПиМ, — автоматизированная система управления печатью и мониторинга, а также обеспечения безопасной печати с технологиями распознавания символов OCR, решения: АСУПиМ и PrintSafe.
      Ubiquitech – разрабатывает целый перечень продуктов для интеллектуального управления печатью. Например, Ubiquitech EASY/VDMS Server – готовое серверное решение для управления печатью в SMB, HSPM/PSPM – серверное решение для управления печатью в крупных компаниях, Public Print solution — решение для организации платных услуг печати в библиотеках, аэропортах, гостиницах и т. д.
    • Моя почта — OScherbakov@croc.ru.
    КРОК
    IT-компания

    Комментарии 21

      –2
      А каким образом система распознавания «ключевых фраз» в картинках способна распознать кражу секрета посредством печати при вот такой конструкции:
      cat secret |zx|gpg -c|base64|print
      


      А если найти добротный софт для стеганографии в картинку?

      Как средство контроля за кражей информации — совсем не убеждает.
        +8
        Если у вас есть сотрудник, способный стеганографировать в картинку, то вам нужна уже не система защиты печати, а паяльник. Естественно, техническое решение само по себе никогда не защитит от профессиональной направленной атаки, но может помочь решить 90% обычных ситуаций. В случае направленной атаки, реализуемой экспертом, может помочь только другой эксперт из вашей службы ИБ, ну и грамотная интеграция с DLP.
          –1
          «Стеганографировать в картинку» в современных реалиях — тупенький js'ик в браузере, считай, «скачать программку».

          А если системы защиты защищают только от идиотов, то самые ценные данные оказываются без защиты, да?
            +2
            Вы несколько преувеличиваете: нет системы, способной защитить от такого. Только большой комплекс технических мер вроде грамотного разделения доступа плюс работа специалистов ИБ. Задача систем — сделать так, чтобы специалисты ИБ не занимались обычными случаями и не решали вопросы потери данных по случайности, а работали с «кротами». В общем случае по раздолбайству утекает куда больше данных, чем при атаках, и это-то как раз легко решается технически.
              0
              Я думаю что те места для которых пишется — там нет доступа в интернет, и соответственно нет JS в браузере. Хотя возможно код настолько просто, что его можно запомнить и перепечатать.
          • НЛО прилетело и опубликовало эту надпись здесь
              0
              Стегонография позволяет отправить стеганограмму посредством понятной телеграфисту телеграммы.
              • НЛО прилетело и опубликовало эту надпись здесь
                  0
                  Можно и так, но есть минусы. Например, если принтер не работоспособен, пользователь либо не получит документ, либо ему придется отправлять задание на печать повторно и на другой принтер. Налицо потери рабочего времени. А если сотрудников с потребностями печати в «запираемые ячейки» (кстати, они тоже могут открываться по биометрическому доступу) много и всем приспичит распечатать документы?

                  Поэтому защищенный лоток – это лишь временное решение проблем, на мой взгляд. В системах безопасной печать функционал FollowMe позволит получить документ на любом рабочем принтере, в том числе и в том случае, когда образуется очередь.
            0
            > Итоговый эффект — пропажа документов
            Наверно, всё-таки отсутствие или снижение пропажи?
            А вообще, довольно печально читать:
            > 11–50 листов — 61% сотрудников
            Какой-то дикий расход бумаги. И все эти упрощения печати лишь увеличивают количество печатаемого впустую.
              0
              ----вы отправляете задание на принт-сервер, он обрабатывает файл (если надо — посылает безопаснику на ручное согласование

              Это просто дичь какая-то — уже давно есть серверные решения.

              https://www.ricoh-usa.com/products/software/product_details2.aspx?cid=147&scid=46&sid=2702&ptm=overview

              В компаниях где 10-50 тышь принтеров никто так делать не будет.

                0
                Пользователь в любом случае отправляет задание на печать. Приведенная ссылка – это софт мониторинга парка оргтехники и принт-серверов.
                Я же говорю про workflow безопасной печати, где участвую такие процессы, как аутентификация/авторизация, FollowMe Printing, оптическое распознавание OCR, DLP и др.
                  0
                  — аутентификация/авторизация, FollowMe Printing, оптическое распознавание OCR

                  кроме FollowMe Printing все остальное давно реализовано на уровне MFP устройств.
                    0
                    Как правило у компаний/предприятий очень «разношерстый» парк оргтехники, и мультивендорные решения безопасной печати позволяют консолидировать и унифицировать процессы управления печатью и обеспечения безопасности.
                +1
                Замена «право» на «лево» и «севера» на «юг»

                Энциклонги дружными шеренгами одобряют Ваше начинание!

                  0
                  Вставлю свои 5 копеек.

                  Если документ можно открыть и в нем нет правок (чертежи видны, север не на юге и фамилии учредителей легко читаемы), то вопрос того, как это распечатать («отинсайдерить») можно даже не поднимать. Проверка прав должна начинаться слегка раньше.
                    +1
                    Интересное решение для крупных компаний.
                    Задумался — эти проценты по печати пользователей — они ведь не только в крупных компаниях такие, в большинстве мест народ не думает, ради 3х строчек «ща отправлю на принтер» и дикий расход, а выбрать отчёт без фильтра и отправить на печать Nx100 листов — это норма (в одной из разрабатываемых систем при печати более нескольких страниц, система принудительно выдавала фильтр для уменьшения выборки — заказчику очень не нравился расход бумаги десятками пользователей по куче листов, а там уже не только тонер, но и ресурс принтера страдал).
                      0
                      Хмм. Оно же умеет печатать задание от конкретного сотрудника только из конкретного лотка бумаги, помещая результат в конкретный запираемый лоток сортера?
                        0
                        Политиками маршрутизации печати можно перенаправить задание конкретного пользователя в конкретный лоток устройства.
                        0

                        А правильно ли я понимаю что нет такой системы без использования Microsoft на серверах? Т.е. чтоб серверная часть была на Линуксе?
                        У вас упоминаются никсы но не понятно клиенты или сервера. Я пытаюсь понять можно ли вообще сделать систему для гугл принтер self hosted. А потом накрутить безопасность и плюшки.

                          0

                          Выше не для гугл а "а-ля", как своя замена в связи закрытием проекта гуглом

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое