由于网络打印安全系统工作在局域网中，采用集线器将用户PC和网络打印机进行连接，不涉及中间节点，按照不对网络结构做较大改动的要求，采用端到端的加密技术最为合适。在不改变网络打印机传输网络数据协议的基础上，只对数据包内容进行加密，网络数据包以密文的形式在线路上进行传输，在网络打印机的前端配置解密平台对数据包进行解密。

3.3安全审计

审计是对访问控制的必要补充，是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间、以及如何使用(执行何种操作)进行记录与监控。日志用于全程记录系统所有操作，便于分析判断违规行为。日志分为打印任务日志、回收任务日志和系统日志。

打印任务日志对于打印任务从发起到输出至打印机前的各个事件和状态变化进行完整记录，可追溯打印过程中发生的打印任务提出、审批、进入打印队列、打印输出等环节的关键信息。

回收任务日志记录了回收任务各环节的关键信息。日志记录了回收任务从发起请求至监督确认的各个环节的关键信息。主要记录了文档编号、文件名称、打印人、密级、文件用途、审批人、监销人、操作类型、操作结果、操作时间、打印机名、打印内容、任务状态、回收份数、回收销毁页数、已回收份数、申请回收份数、申请回收页数等信息。

系统日志中详细记录了所有类型用户除查询外的所有操作日志，可以通过选择开始时间以及结束时间来检索要查看的系统日志。系统日志记录了操作人、事件类型、操作时间、操作结果。

对于打印来说，打印内容也是日志的一部分，但是其占用空间相对较大，管理员可以根据需要设置自动删除的策略，或者手动删除，为新的打印任务腾出空间。

3.4打印机隔离

随着网络打印机技术的发展，现在的网络打印机通过内置打印服务器，使用独立的网络接口卡，拥有自己的IP地址，使用的网络协议也是多种多样，有些高端网络打印机甚至内置操作系统、存储设备和IP协议栈。从网络角度来看，网络打印机作为网络中的一个独立节点，不需要依附于网络中的任何一台电脑主机，通过自身携带的网络端口和网络连接，网络中的任何一台主机只要和该打印机在同一个局域网中，都可以访问到该网络打印机，并且任何一台主机的开/关都不影响网络打印机的正常使用。网络打印机己经从一个哑终端变成了一个独立的同普通Pc一样的网络设备，但是由于网络打印机其自身的特殊性，不能像普通Pc一样通过安装软件来抵抗网络攻击，这就给网络打印机的安全造成很大的威胁，所以要针对网络打印机自身的特点寻求增强其抗攻击能力的方法。

从目前情况来看，网络打印机主要存在两方面的漏洞：第一，内置的FTP服务器不限制FTP PORT命令的使用，利用该漏洞，黑客可以通过FTPI]及务器任意连接系统;第二，内置的HTTP服务器不能正确验证特定HTTP请求，这样黑客就可以任意更改系统配置，或发动DoS攻击。

鉴于网络打印机自身存在的安全漏洞及其特殊性，本文提出采用防火墙技术增强网络打印机的安全性能，由于无法在其自身系统上安装防火墙软件以增强其自身安全性，可以通过在网络打印机前端安装一个嵌入式防火墙系统来解决这个问题。

根据网络打印机所处的环境，采用两级过滤模式在两个不同的过滤点进行网络数据包的过滤，第一级在内核下采用内核模块过滤的方式过滤发往网络打印机的数据包，第二级在用户层采用IPtab]eS规则进行过滤，控制网络上主机对网络打印机的访问，同时也限制了打印机对局域网的嗅探，从而增强网络打印机的抗攻击能力。

3.5建立完善管理制度

要做好企业数据安全保护工作，除实施以上技术手段外，应结合企业所处行业及企业自身的特点，制定一套完善的数据安全管理制度。流程化、规范化安全打印的相关工作。比如：在员工入职时需签订保密协议，确保员工保护好公司数据安全义务，如果发生丢失、外泄，应以窃取公司机密而做出处理，让员工明白他们应承担怎样的后果。应建立起文件打印的审批制度，明确责任人及其应负的相应职责：应建立起涉密文件回收制度，定期进行涉密文件回收销毁工作。

4、总结

通过以上措施，可以有效地保证企业网络安全打印管理，封堵打印输出泄露、遗失的途径，并通过审计证据迅速定位事故源头，从事前、事中、事后三个层面保障网络打印安全。

(责任编辑：)