2013年2月23日 星期六

列印前的控管做法- 個資文件印出前,應先做好列印行為權限管控


列印前的控管做法- 個資文件印出前,應先做好列印行為權限管控

不論是從列印設備開始管控,或是針對檔案限制使用者的列印權限,均可減少紙本機密、個資文件的管控

以企業自行印出的個資文件而言,企業應該針對業務流程,檢視個資文件是否有印出的需要,或是業務流程相關人員才可以印出這些文件,從源頭開始訂定員工、文件的列印權限,就像企業防護網路相關的資訊安全時,會針對電子郵件、即時通訊軟體、USB裝置等工具加以限制,降低人為疏忽或蓄意行為,同樣的,列印行為也應該納入管控之中。

從列印權限開始管制,可降低輸出至紙本後所衍生之後續管理問題。只是過去多數企業並未嚴格管制列印這一塊。

一般而言,企業有兩種的不同控管角度來做好印出前的管控,像是從列印設備為出發點,管控不同使用者的列印權限,另一種則是以檔案為出發點,透過機密文件管理系統(DRM)與資料外洩防護設備(DLP),來管控不同使用者的文件列印權限。

透過DLP主動限制,防止員工擅自列印個資文件

在DLP系統中,企業可以依據觸發的個資組合與筆數,而進行不同的管控。像是如果列印內容只有1到4筆個資,系統僅留下紀錄,但不發出任何通知;出現5到19筆個資,在使用者端會出現提醒、確認畫面;若出現20筆以上的個資,則阻擋列印並記錄事件。(圖為Websense DLP)

方法1- 列印設備功能權限控管

從列印設備的基本管控上來看,使用者身分的登入驗證工作是首道關卡,與帳號管理系統Windows AD、 LDAP等整合,是最基本可以驗證使用者身分的方式,也是企業常見的管控做法。 

管理者可以針對使用者管控其列印權限,像是使用群組原則設定來控制在AD中的印表機,或是透過印表機設備上的IP 位址過濾功能,依個人電腦等設備的IP位址或MAC位址,設定存取權限,像是只允許IP位置範圍的電腦可以連線,以防止未經授權的使用者,任意使用列印設備印出具有機敏資料的文件。 

此外,管理者也可以在列印伺服器上安裝列印管理系統,像是PaperCut、Print usage、MFP Charging、PrintSecurity或PrintQuota,並與帳號管理系統整合,即可針對使用者設定列印權限,同時也可以做到更多列印相關的控管。 

只是,過去企業並不會限制列印的權限,通常是為了管控成本,防止濫印及印量限制才導入相關機制。但不論是印表機或複合機,針對不同員工設定各自的列印設備使用權限,都是管控的一種手段,管理者可從業務流程檢討列印行為的必要性,像是A使用者只能使用某臺印表機,B使用者不可使用任何列印設備。列印功能不能像過去處於開放、未管控的狀態。 

而且,無論是一般單功能印表機,或是多功能複合機,都應該要有做到同樣的管控,才能做好紙本個資外洩預防的第一道關卡。 

在個資文件的列印管控上,讓業務流程中需要列印的使用者,才可以具有列印功能,其他人員則視其他業務需求而彈性調整其權限。這樣的作法雖然感覺較嚴苛,使部分員工不能使用列印設備,但可以減少列印所產生的可能問題。 

同時也應仔細評估各單位的工作流程,避免管控過嚴,造成工作流程上的麻煩,降低生產效益。

方法2- 透過DRM與DLP機制,讓含有個資的文件無法印出

針對個資文件或機密資料的列印管控,除了從列印設備上加以限制,也可以從檔案本身開始著手,禁止使用者擅自執行列印功能。像是有些企業將所有文件列印都由文管中心控制,而如果自行搭配文件管理系統(DRM)、資料外洩防護設備(DLP),也具有控管列印輸出的功能,可以限制文件的使用者與使用範圍,針對各文件檔案,設定不同職務使用者的閱讀、列印權限。 

這樣的方式,可依據不同權職的員工設定存取權限,像是限制使用者只可以在電腦上檢視個資文件,但無法列印,而授權主管有開啟、列印這份文件的資格。讓個資文件在開啟前就已經被控管,或是透過遮罩的方式,減少個人資料檔案被印出的可能性。甚至,也要阻擋匯出、複製功能,避免資料內容被再製、印出。這樣的方式,也可以更精確地鎖定業務流程中,使用者對於個資文件的列印權限。 

此外,由於這類產品已經提供個資盤點的功能,現在,針對列印行為,也有廠商提供可以即時過濾個資文件列印的機制。像是Websense DLP工具,便可以針對列印方面提供主動的管控方式。 

只要在企業Windows系統的列印伺服器上,加裝DLP的Print Agent,便可記錄列印軌跡,而再搭配OCR技術,更是可以設定個資過濾條件。例如,當使用者印出超過設定個資數量的文件時,系統可以禁止文件被列印出,像是設定列印內容只有4筆以下的個資時,可以列印,但系統僅留下紀錄;若列印內容有20筆以上的個資,文件將無法列印出。 

此外,系統也能夠自動針對列管的機密內容去演算偵測,使機密文件也能夠同樣受到保護。

落實登入驗證,才能徹底管控文件輸出

個人登入驗證機制是列印設備上相當必要的動作,使用者後續在設備上的動作才能被管控與追蹤。 

如同企業管控網路,利用身分驗證系統(如Active Directory、LDAP 和RADIUS)是最基本的管控方式,而在印表機的管控上,直接整合公司AD帳號進行輸出管理是相當基本的驗證方式,使用者後續在設備上的動作才能被管控與追蹤。 

比較值得注意的是,在桌上型的多功能事務機、落地式的複合機等設備方面,多數中小企業單位在登入驗證的措施上,卻不像網路管控那樣嚴謹,而且,設備提供的管控能力是否足夠,這也是管理者要留意的。 

為了要做好設備的管控,個人身分登入驗證機制是相當重要的第一步。過去,也有些企業採取部門式的管理驗證方式,但多是從成本管控的角度出發,或是為了簡化管理設定。臺灣富士全錄公司產品行銷經理郭家瑋強調,若只是採用部門識別碼來管控,管理人員無法辨識是誰掃描文件、傳真文件,在後續稽核上無法釐清責任歸屬,難以做到完善的管控。 

利用卡片感應簡化使用者身分驗證
登入驗證機制是管控上很重要的一步,員工在使用設備時,可以輸入帳號密碼的方式,或是搭配讀卡機、整合員工識別卡來驗證使用者身分,以簡化設備操作流程。 (圖中設備為Canon iR-ADV C5035)

從提供登入驗證機制的複合機上來看,常見到的使用方式有輸入帳號、密碼登入,或是藉由卡片辨識機制來驗證使用者身分。其中,由於用卡片辨識身分的方式可以簡化登入驗證的手續,對於設備操作流程的影響最小,因此,這樣的解決方案能被大多數企業所接受。 

簡單來說,列印設備的卡座系統就像是企業的門禁安全系統,通過驗證才允許員工使用這臺設備。目前臺灣市場上,感應卡片主要以EM、HID、Mifare這3種規格最普遍。 

臺灣佳能資訊BIS事業處企畫部洪彥群也表示,為了簡化員工攜帶卡片的數量,因此,整合企業現行的員工識別卡進行登入驗證是常見的做法。而小規模的企業也可以藉由輸入帳號密碼的方式來管制,雖然與以往的作法相比,流程上會有些麻煩,但登入驗證本來就是做好管控的第一步。 

除了卡片辨識的方式,HP影像列印暨個人系統事業群業務專案經理魏麒峯表示,HP複合機在登入驗證方面有更進階的做法,就是利用指紋輸入的方式,讓登入驗證的程序可以方便,也降低企業員工在識別證的保管問題。

轉載自《iThome》