网络打印机安全隐患分析与防护策略研究

◆周源 鲁正荣

行业与应用安全

网络打印机安全隐患分析与防护策略研究

◆周源 鲁正荣

（云南电网有限责任公司临沧供电局 云南 677000）

网络打印机具有显著的快捷性以及可靠性，在人们生产生活中作用愈加凸显。但是由于网络打印机网络环境错综复杂，因此也有较多的安全隐患，存在敏感信息泄露等风险。本文主要探讨网络打印机目前存在的安全隐患，以及安全防护措施，并根据实际安全防护效果，重点研究了通过网络打印机WSD连接方案提升网络打印机安全防护水平的案例，希望能够有效提升网络打印机的安全防护力度，降低受到网络攻击的概率，给相关研究人员以借鉴和参考。

网络打印机；安全隐患；防护策略

1 前言

在现代信息社会中，打印是人们生产生活中必不可少的一种应用。从政府部门，大型企业机关办公室，一直到家庭应用，对打印机都有着大量的需求。随着互联网技术的发展，网络打印机应运而生，从喷墨打印到激光打印，一直到多机共享打印机，成为一种常见的日常办公应用形式，这种打印模式被称为网络打印或者是共享的打印。

在现代网络管理中，要求人们在互联网上能够对信息进行处理，网络打印基本上是多用户进行共享的模式，现在有许多打印属于异地请求服务，因此对于网络打印机的安全防护，要具有一定的自我诊断功能，能够有效判断所接收信息的安全性，并且能够及时报错，特别是当网络打印机出现故障以及材料耗尽时，能够向网络管理员发出相应的信息，实现网络管理的双向化要求。

网络打印利用网络连接技术代替了原有的打印机与计算机之间接口连接，实现数据传输的信息化应用，与计算机能够实现双向的数据交换交流，网络打印实际上是一种接口的替代技术，在现实应用中具有相当大的优势，有效提升工作效率，同时还可以降低办公成本，实现公共资源的合理共享，但是同时也使网络打印机对于网络安全的防护和管理以及网络诊断提出了更高的要求。

与传统的打印机具有明显的不同，目前大多数打印机都具有网络操作系统，并且内置有存储设备以及其他协议，因此在互联网环境下，很可能会受到恶意攻击。恶意攻击者可以通过网络打印机窃取到单位的敏感信息，造成信息泄露，因此必须要重视网络打印机的安全防护。

2 网络打印的协议分析

网络打印机网络协议能够实现在广域网上进行打印。目前所使用的Internet网络打印协议，主要基于互联网应用层，并且面向终端的客户以及相应的打印设备，从打印任务一直到支持打印输出，能够设定相应的打印机属性和状态，通过输出性的打印设备能够在互联网中实现快速高效打印。可以实现本地操作，也可以实现远程打印，且不需要安装相应的驱动软件。

IP协议能够有效支持各种互联网安全协议，同时还能够提供用户浏览器以及服务器之间的安全交换，传输层安全协议能够在客户以及服务器之间做好相应的身份验证，也可以利用SSL协议对网络安全环境进行相应的验证。

3 网络打印机所面临的安全隐患分析

企业在局域网内部使用网络打印机时，一般都会配置相应的网络防火墙或其他相应的配套安全措施，因此可以有足够的手段来避免网络打印机受到恶意攻击，但是在信息传输交流比较频繁的企业，部分打印机需要放置在互联网环境中，接受异地或者是其他服务器的访问，因此对于这类网络打印机的网络安全风险就成为目前普遍关注的问题。

3.1 网络打印机目前所存在的主要漏洞

网络打印机，根据其系统组成主要存在着以下几个方面的漏洞：第一，非法攻击者可以利用网络打印机内部设置存在漏洞对服务器进行任意的连接；第二，网络打印机内部所设置的http服务器对于特定的请求不能够正确验证，网络攻击者可以利用此漏洞，对系统配置进行任意的更改，或者是发动相应的病毒攻击，窃取敏感信息。

在网络打印机中，使用简单网络管理协议容易受到恶意攻击，使用简单网络管理协议，能够使网络中的网络打印机相应的自适应，免除了各种驱动安装的复杂操作中。但是经过后期的实践发现，由于简单网络管理协议自身所存在的漏洞，使网络打印机受到恶意攻击的概率增大，攻击者可以借助简单网络管理协议渗透到企业内部的打印机设备中，获得网络服务器的最高权限，给企业带来极大的网络安全风险隐患。

3.2 攻击的主要过程

攻击者攻击网络打印机的过程，第一，使用各种攻击工具对网络打印机的设备进行搜寻，例如借助各种网络扫描工具，对特定网络中的打印机设备进行扫描，以获得网络打印机的IP地址或者是其他属性信息；第二，利用网络打印机的漏洞进行恶意攻击，使网络打印机所处的网络无法正常运行；第三，通过攻击，改变打印机显示的内容，并将打印机内部的FTP服务器作为自身文件传输的工具；第四，对打印机内部的文件进行查找以及捕获；第五，借助非法程序来实现对网络打印机的控制。这种攻击过程是攻击者非法控制打印机的常规技术，能够有效控制网络打印机的打印内容以及文件的传输，利用网络打印机的漏洞窃取敏感信息。

4 网络打印机的常规安全防护策略分析

第一，定期更新软件版本、安全补丁。需要定期更新网络打印机软件版本，定期进行漏洞扫描，及时安装安全补丁，保障网络打印机的安全运行。

第二，进行合理、安全的配置。针对不同用户合理设置使用权限；使用身份鉴别功能，设置登录口令、强口令，采用生物识别技术进行加密或使用智能卡进行访问。

第三，保障良好的网络环境。对网络拓扑结构图进行分析，找出结构安全、访问控制、边界完整性、入侵防范、恶意代码防范、网络设备防护、安全审计方面的薄弱点，同时从远程管理防窃听、用户源限制、开放端口情况等方面对网络进行检查。

以上探讨的安全防护策略已极大提升了网络打印机的安全防护水平，减少了安全隐患，但在实际使用网络打印机过程中，一是由于打印机固件版本较低等情况影响，如FTP、SNMP、SLP等漏洞无法有效关闭，漏洞长期存在，网络安全风险隐患较高；二是各使用部门、单位存在连接混乱的现象，若交换机出现断电，打印机网络IP地址极容易改变，造成打印机终端无法完成工作，极大影响工作效率；三是网络打印机出厂系统存在SLP、Telnet、FTPTFTP等系统性漏洞，整改较难。为有效解决这些问题，我们对网络打印机WSD连接方案进行深入研究分析，提出以下解决办法。

5 网络打印机WSD连接方案的优点分析

通过研究分析，可以采用网络打印机WSD连接方案，此连接方案具有连接稳定以及加密方式更为安全的特性，能够有效限制网络打印机的访问范围在一定范围内，减少终端运维故障提高工作效率。此外，能有效防止SLP、SNMP、Telnet、FTPTFTP等终端打印机高危漏洞被恶意扫描利用。

5.1 网络打印机WSD连接方案安全防护策略研究

连接WSD端口的网络打印机必须具备相应的WSD接口功能，自身具备自动获取IP功能。网络打印机与客户端需处于同一网段中，网络打印机IP不能与其他设备相互冲突，以免造成工作干扰。由于打印机在出现断电或者是重启之后，IP地址会丢失，造成终端无法连接网络打印机；部分电脑连接打印机的时间过长，需要卸载驱动或者是重新安装打印机软件之后，才能够连接网络打印机。针对这些问题分析，主要的原因是网络打印机没有设置固定的IP地址，因此导致重启后，网络打印机IP地址与原先设定的IP地址不一致，造成工作服务不正常。针对这一原因，可以采取以下解决措施：第一，网络打印机配置成169.254.*.*的固定IP，且网关地址需要和IP地址是同一IP地址；第二，出现连接不稳定的终端电脑，在安装打印机驱动时端口连接方式需要更改为TCP/IP协议进行连接，使用该TCP/IP协议可减少脱机情况；第三，可以将打印机恢复出厂设置或者是进行版本升级。

5.2 网络打印机WSD连接方案配置步骤分析

第一：打开网络打印机并且连通网线；

第二：关闭原来的DHCP设置，改为自动获取IP地址，IP协议为IPv4启用。这时IP地址为169.254.*.*开头，目的是将网络打印机的访问范围限定在一定范围之内，增加网络安全性。

第三：把获取到的169.254.*.*的IP地址设置成固定IP，避免网络打印机IP地址在断电或者是重启之后发生变化，避免IP地址产生冲突。

第四：没有自动获取IPv4地址功能的打印机，可以选择手动设置IPv4地址，将打印机转变为一个小的服务器。如原来使用DHCP服务获取到的IP地址是10.181.12.1，那么选择手动设置IPv4地址IP为169.254.12.1，子网掩码为255.255.255.0，网关为169.254.12.1。打印机成为一个小的服务器，利用同一台交换机网络，基于TCP/IP协议，在IP地址不同的情况下，处于同一交换机网络的电脑都能够连接网络打印机，而不至于发生地址冲突。

第五，打印机网络设置配置完成后，就可以在终端电脑上使用169.254.*.*的IP地址的网络打印机。

第六，其他需要注意的事项。可以将打印机IP地址Mac信息进行收集和整理，存储成文档，以便于后期进行整理和使用。推荐使用指定固定IP的连接方法比较稳定，使用过程中不会出现未知原因打印机自动脱机的情况。没有触控屏或设置按键的打印机，可连通网络后通过电脑登录该打印机后台WEB配置页，先取消打印机配置密码（此处为防止设置成169.254.*.*的IP后造成网络不通的情况下，还可以在打印机上进行恢复操作，避免打印机被锁死），在WEB配置页处直接设置该网络打印机的IPv4地址成想要的169.254.*.*即可。

6 结束语

网络打印机对于传统的打印机来说具有非常明显的优势，它能够有效实现打印资源的共享，同时能够异地使用，能够有效降低办公成本，但是由于网络打印机的可连接性，使其很容易受到其他恶意攻击者的攻击，造成打印信息的泄露及其他损失。采用常规方法：即对存在网络安全风险隐患的软件和硬件采取安全防护措施，及时下载相应的安全补丁，升级软硬件版本，借助于主动防护软件查杀病毒等措施能够降低网络打印机带来的部分网络安全风险，但依然存在反复整改、反复出现漏洞的网络安全风险；采用网络打印机WSD连接方案后，能够将网络打印机的访问范围限制在小范围楼层交换机网络以内，既满足日常办公需求，又大幅度降低网络安全风险，且使用更稳定、可靠，有效提高工作效率，网络安全防护水平得到极大提升。

[1]陈斯迅.网络打印机信息安全研究[J].中国管理信息化，2018，21（10）：169-171.

[2]姚远.网络打印机安全隐患与防护措施分析[J].农家参谋，2018（10）：261+295.

[3]陈昊.网络打印机安全分析与防护[J].计算机产品与流通，2018（05）：124.

[4]李莉，陈诗洋，杨子羿，付凯.网络打印机安全研究与防护建议[J].电子产品世界，2019，26（03）：58-61.