網絡打印機安全隱患分析與防護策略研究

◆周源 魯正榮

行業與應用安全

網絡打印機安全隱患分析與防護策略研究

◆周源 魯正榮

（云南電網有限責任公司臨滄供電局 云南 677000）

網絡打印機具有顯著的快捷性以及可靠性，在人們生產生活中作用愈加凸顯。但是由于網絡打印機網絡環境錯綜復雜，因此也有較多的安全隱患，存在敏感信息泄露等風險。本文主要探討網絡打印機目前存在的安全隱患，以及安全防護措施，并根據實際安全防護效果，重點研究了通過網絡打印機WSD連接方案提升網絡打印機安全防護水平的案例，希望能夠有效提升網絡打印機的安全防護力度，降低受到網絡攻擊的概率，給相關研究人員以借鑒和參考。

網絡打印機；安全隱患；防護策略

1 前言

在現代信息社會中，打印是人們生產生活中必不可少的一種應用。從政府部門，大型企業機關辦公室，一直到家庭應用，對打印機都有著大量的需求。隨著互聯網技術的發展，網絡打印機應運而生，從噴墨打印到激光打印，一直到多機共享打印機，成為一種常見的日常辦公應用形式，這種打印模式被稱為網絡打印或者是共享的打印。

在現代網絡管理中，要求人們在互聯網上能夠對信息進行處理，網絡打印基本上是多用戶進行共享的模式，現在有許多打印屬于異地請求服務，因此對于網絡打印機的安全防護，要具有一定的自我診斷功能，能夠有效判斷所接收信息的安全性，并且能夠及時報錯，特別是當網絡打印機出現故障以及材料耗盡時，能夠向網絡管理員發出相應的信息，實現網絡管理的雙向化要求。

網絡打印利用網絡連接技術代替了原有的打印機與計算機之間接口連接，實現數據傳輸的信息化應用，與計算機能夠實現雙向的數據交換交流，網絡打印實際上是一種接口的替代技術，在現實應用中具有相當大的優勢，有效提升工作效率，同時還可以降低辦公成本，實現公共資源的合理共享，但是同時也使網絡打印機對于網絡安全的防護和管理以及網絡診斷提出了更高的要求。

與傳統的打印機具有明顯的不同，目前大多數打印機都具有網絡操作系統，并且內置有存儲設備以及其他協議，因此在互聯網環境下，很可能會受到惡意攻擊。惡意攻擊者可以通過網絡打印機竊取到單位的敏感信息，造成信息泄露，因此必須要重視網絡打印機的安全防護。

2 網絡打印的協議分析

網絡打印機網絡協議能夠實現在廣域網上進行打印。目前所使用的Internet網絡打印協議，主要基于互聯網應用層，并且面向終端的客戶以及相應的打印設備，從打印任務一直到支持打印輸出，能夠設定相應的打印機屬性和狀態，通過輸出性的打印設備能夠在互聯網中實現快速高效打印。可以實現本地操作，也可以實現遠程打印，且不需要安裝相應的驅動軟件。

IP協議能夠有效支持各種互聯網安全協議，同時還能夠提供用戶瀏覽器以及服務器之間的安全交換，傳輸層安全協議能夠在客戶以及服務器之間做好相應的身份驗證，也可以利用SSL協議對網絡安全環境進行相應的驗證。

3 網絡打印機所面臨的安全隱患分析

企業在局域網內部使用網絡打印機時，一般都會配置相應的網絡防火墻或其他相應的配套安全措施，因此可以有足夠的手段來避免網絡打印機受到惡意攻擊，但是在信息傳輸交流比較頻繁的企業，部分打印機需要放置在互聯網環境中，接受異地或者是其他服務器的訪問，因此對于這類網絡打印機的網絡安全風險就成為目前普遍關注的問題。

3.1 網絡打印機目前所存在的主要漏洞

網絡打印機，根據其系統組成主要存在著以下幾個方面的漏洞：第一，非法攻擊者可以利用網絡打印機內部設置存在漏洞對服務器進行任意的連接；第二，網絡打印機內部所設置的http服務器對于特定的請求不能夠正確驗證，網絡攻擊者可以利用此漏洞，對系統配置進行任意的更改，或者是發動相應的病毒攻擊，竊取敏感信息。

在網絡打印機中，使用簡單網絡管理協議容易受到惡意攻擊，使用簡單網絡管理協議，能夠使網絡中的網絡打印機相應的自適應，免除了各種驅動安裝的復雜操作中。但是經過后期的實踐發現，由于簡單網絡管理協議自身所存在的漏洞，使網絡打印機受到惡意攻擊的概率增大，攻擊者可以借助簡單網絡管理協議滲透到企業內部的打印機設備中，獲得網絡服務器的最高權限，給企業帶來極大的網絡安全風險隱患。

3.2 攻擊的主要過程

攻擊者攻擊網絡打印機的過程，第一，使用各種攻擊工具對網絡打印機的設備進行搜尋，例如借助各種網絡掃描工具，對特定網絡中的打印機設備進行掃描，以獲得網絡打印機的IP地址或者是其他屬性信息；第二，利用網絡打印機的漏洞進行惡意攻擊，使網絡打印機所處的網絡無法正常運行；第三，通過攻擊，改變打印機顯示的內容，并將打印機內部的FTP服務器作為自身文件傳輸的工具；第四，對打印機內部的文件進行查找以及捕獲；第五，借助非法程序來實現對網絡打印機的控制。這種攻擊過程是攻擊者非法控制打印機的常規技術，能夠有效控制網絡打印機的打印內容以及文件的傳輸，利用網絡打印機的漏洞竊取敏感信息。

4 網絡打印機的常規安全防護策略分析

第一，定期更新軟件版本、安全補丁。需要定期更新網絡打印機軟件版本，定期進行漏洞掃描，及時安裝安全補丁，保障網絡打印機的安全運行。

第二，進行合理、安全的配置。針對不同用戶合理設置使用權限；使用身份鑒別功能，設置登錄口令、強口令，采用生物識別技術進行加密或使用智能卡進行訪問。

第三，保障良好的網絡環境。對網絡拓撲結構圖進行分析，找出結構安全、訪問控制、邊界完整性、入侵防范、惡意代碼防范、網絡設備防護、安全審計方面的薄弱點，同時從遠程管理防竊聽、用戶源限制、開放端口情況等方面對網絡進行檢查。

以上探討的安全防護策略已極大提升了網絡打印機的安全防護水平，減少了安全隱患，但在實際使用網絡打印機過程中，一是由于打印機固件版本較低等情況影響，如FTP、SNMP、SLP等漏洞無法有效關閉，漏洞長期存在，網絡安全風險隱患較高；二是各使用部門、單位存在連接混亂的現象，若交換機出現斷電，打印機網絡IP地址極容易改變，造成打印機終端無法完成工作，極大影響工作效率；三是網絡打印機出廠系統存在SLP、Telnet、FTPTFTP等系統性漏洞，整改較難。為有效解決這些問題，我們對網絡打印機WSD連接方案進行深入研究分析，提出以下解決辦法。

5 網絡打印機WSD連接方案的優點分析

通過研究分析，可以采用網絡打印機WSD連接方案，此連接方案具有連接穩定以及加密方式更為安全的特性，能夠有效限制網絡打印機的訪問范圍在一定范圍內，減少終端運維故障提高工作效率。此外，能有效防止SLP、SNMP、Telnet、FTPTFTP等終端打印機高危漏洞被惡意掃描利用。

5.1 網絡打印機WSD連接方案安全防護策略研究

連接WSD端口的網絡打印機必須具備相應的WSD接口功能，自身具備自動獲取IP功能。網絡打印機與客戶端需處于同一網段中，網絡打印機IP不能與其他設備相互沖突，以免造成工作干擾。由于打印機在出現斷電或者是重啟之后，IP地址會丟失，造成終端無法連接網絡打印機；部分電腦連接打印機的時間過長，需要卸載驅動或者是重新安裝打印機軟件之后，才能夠連接網絡打印機。針對這些問題分析，主要的原因是網絡打印機沒有設置固定的IP地址，因此導致重啟后，網絡打印機IP地址與原先設定的IP地址不一致，造成工作服務不正常。針對這一原因，可以采取以下解決措施：第一，網絡打印機配置成169.254.*.*的固定IP，且網關地址需要和IP地址是同一IP地址；第二，出現連接不穩定的終端電腦，在安裝打印機驅動時端口連接方式需要更改為TCP/IP協議進行連接，使用該TCP/IP協議可減少脫機情況；第三，可以將打印機恢復出廠設置或者是進行版本升級。

5.2 網絡打印機WSD連接方案配置步驟分析

第一：打開網絡打印機并且連通網線；

第二：關閉原來的DHCP設置，改為自動獲取IP地址，IP協議為IPv4啟用。這時IP地址為169.254.*.*開頭，目的是將網絡打印機的訪問范圍限定在一定范圍之內，增加網絡安全性。

第三：把獲取到的169.254.*.*的IP地址設置成固定IP，避免網絡打印機IP地址在斷電或者是重啟之后發生變化，避免IP地址產生沖突。

第四：沒有自動獲取IPv4地址功能的打印機，可以選擇手動設置IPv4地址，將打印機轉變為一個小的服務器。如原來使用DHCP服務獲取到的IP地址是10.181.12.1，那么選擇手動設置IPv4地址IP為169.254.12.1，子網掩碼為255.255.255.0，網關為169.254.12.1。打印機成為一個小的服務器，利用同一臺交換機網絡，基于TCP/IP協議，在IP地址不同的情況下，處于同一交換機網絡的電腦都能夠連接網絡打印機，而不至于發生地址沖突。

第五，打印機網絡設置配置完成后，就可以在終端電腦上使用169.254.*.*的IP地址的網絡打印機。

第六，其他需要注意的事項。可以將打印機IP地址Mac信息進行收集和整理，存儲成文檔，以便于后期進行整理和使用。推薦使用指定固定IP的連接方法比較穩定，使用過程中不會出現未知原因打印機自動脫機的情況。沒有觸控屏或設置按鍵的打印機，可連通網絡后通過電腦登錄該打印機后臺WEB配置頁，先取消打印機配置密碼（此處為防止設置成169.254.*.*的IP后造成網絡不通的情況下，還可以在打印機上進行恢復操作，避免打印機被鎖死），在WEB配置頁處直接設置該網絡打印機的IPv4地址成想要的169.254.*.*即可。

6 結束語

網絡打印機對于傳統的打印機來說具有非常明顯的優勢，它能夠有效實現打印資源的共享，同時能夠異地使用，能夠有效降低辦公成本，但是由于網絡打印機的可連接性，使其很容易受到其他惡意攻擊者的攻擊，造成打印信息的泄露及其他損失。采用常規方法：即對存在網絡安全風險隱患的軟件和硬件采取安全防護措施，及時下載相應的安全補丁，升級軟硬件版本，借助于主動防護軟件查殺病毒等措施能夠降低網絡打印機帶來的部分網絡安全風險，但依然存在反復整改、反復出現漏洞的網絡安全風險；采用網絡打印機WSD連接方案后，能夠將網絡打印機的訪問范圍限制在小范圍樓層交換機網絡以內，既滿足日常辦公需求，又大幅度降低網絡安全風險，且使用更穩定、可靠，有效提高工作效率，網絡安全防護水平得到極大提升。

[1]陳斯迅.網絡打印機信息安全研究[J].中國管理信息化，2018，21（10）：169-171.

[2]姚遠.網絡打印機安全隱患與防護措施分析[J].農家參謀，2018（10）：261+295.

[3]陳昊.網絡打印機安全分析與防護[J].計算機產品與流通，2018（05）：124.

[4]李莉，陳詩洋，楊子羿，付凱.網絡打印機安全研究與防護建議[J].電子產品世界，2019，26（03）：58-61.