Статьи рынка безопасности

События

  • выставка 23/10/2019

    Hi-Tech Building 2019г. Москва

  • семинар 23/07/2019

    Parsecг. Москва

  • семинар 25/07/2019

    Parsecг. Москва

  • Главная страница
  • Статьи
  • Системы СКУД
  • Комплексное управление печатью или как обеспечить конфиденциальность печати документов и оптимизировать затраты с помощью бесконтактных карт доступа

Комплексное управление печатью или как обеспечить конфиденциальность печати документов и оптимизировать затраты с помощью бесконтактных карт доступа

  • 11.07.2016
  • 1472

Традиционная модель организации печати

Вопросу оптимизации процесса печати документов в большинстве компаний отводится чуть ли не последнее место в построении корпоративной инфраструктуры. Это связано с тем, что организация печати, в первую очередь, ассоциируется исключительно с конечными устройствами – сетевыми принтерами и МФУ – и, соответственно, их функциональными и нагрузочными характеристиками. Далее, как правило, на рабочих станциях персонала устанавливаются несколько драйверов печати, а на уровне регламента прописывается: кто (группы сотрудников), что (качество, цветность, дуплекс и др.) и на какие принтеры должен или может печатать свои документы.

К сожалению, на этом, в подавляющем большинстве случаев, организация печати считается завершенной, и в дальнейшем всё сводится просто к регулярному обслуживанию печатающих устройств (замена тонера, самих принтеров, драйверов на рабочих станциях и пр.). На самом деле, такой подход можно считать более-менее оправданным, когда в компании всего один офис с несколькими сотрудниками и одним-двумя принтерами, а внутренняя конфиденциальность распечатанных документов не особо важна. В противном случае, компания, которая «по старинке» приняла у себя приведенную упрощенную концепцию печати, неминуемо столкнется с рядом существенных проблем, потенциально приводящим к сбоям производства и неоправданным финансовым затратам, а иногда, и к критическим потерям.

Недостатки простой печати

Обозначим лишь самые очевидные недостатки простейшей модели организации корпоративной печати документов, которая включает только сами сетевые принтеры и драйверы под них на рабочих станциях сотрудников.

  • Низкая безопасность

    1. Человеческий фактор

    Отправленные на печать конфиденциальные документы не защищены от просмотра или даже кражи до тех пор, пока инициировавший печать сотрудник не заберет их из принтера. Если учесть, что этот сотрудник может отвлечься, задержка получения распечатки, а значит, вероятность несанкционированного доступа к приватным документам, может быть весьма значительной.

    2. Открытые протоколы

    Кроме того, при обычной сетевой печати все данные передаются в открытом виде на принтер в одном из понятых ему стандартных форматов (например, PS или PCL) и, соответственно, могут быть, в принципе, перехвачены и декодированы.

  • Непрактичность

    Вряд ли можно назвать практичной ситуацию, когда сотрудник, отправивший десяток страниц на один из офисных принтеров и, скажем, только через час получивший удобный момент забрать оттуда документ, обнаруживает в принтере целую кипу распечаток других сотрудников и вынужден искать там свои листы, перемешивая, возможно, чужие задания. А если сотрудник просто забыл, на какой принтер отправил документ, особенно, если у него есть выбор из десятка устройств в системе? Или во время печати происходит сбой принтера (например, зажевана бумага), и требуется оперативное вмешательство сервис-инженера? В этом случае, сотруднику придется заново открывать документ на своей рабочей станции и повторно посылать его на печать, возможно, уже на другой принтер.

  • Перерасход ресурсов

    В приведенных выше ситуациях в принтерах нередко остаются так и не забранные владельцами распечатки, которые спустя некоторое время просто выбрасываются. Также в такой неоправданный расход бумаги и тонера попадают распечатанные по ошибке страницы, ведь посланное на печать задание чаще всего уже невозможно отменить. Добавим сюда также потерянное рабочее время сотрудников, потраченное на поиск своих документов в принтере, если на него печатали сразу несколько человек в одно и то же время.

  • Отсутствие контроля

    Без централизованной системы управления печатью крайне трудно реализовать полноценный контроль над процессами печати в офисах компании. Если у сотрудника в системе установлено несколько принтеров и ему разрешена печать на них, то практически невозможно ограничить количество и качество страниц, посылаемых на любой из этих принтеров. А значит, нельзя предотвратить злоупотребления или просто ошибки при печати, когда, например, малозначащий для компании многостраничный документ отправляется в печать на цветной сетевой принтер с дорогими расходными материалами. Ну и, конечно, совершенно не поддерживаются какие-либо оповещения и, тем более, автоматические операции (например, перенаправление печати) при определенных условиях (к примеру, когда сотрудник из определённой группы, нарушая установленные для нее квоты, пытается распечатать более ста цветных страниц на конкретном принтере).

Разумеется, многие из перечисленных проблем можно отчасти закрыть строгим регламентом печатания в компании и определенными взысканиями за его нарушение. Но любой регламент основан исключительно на человеческом факторе и в контексте общего построения корпоративной инфраструктуры должен рассматриваться, как обязательная, но всё-таки дополнительная мера к технологическим средствам должного уровня. Иными словами, система печати, состоящая только из открытых для общего доступа сетевых принтеров в локальной сети, хотя и позиционируется как самая простая и, к сожалению, до сих пор самая распространенная, но, по сути, является бесконтрольной и слабо защищенной. Поэтому, рано или поздно в любой, особенно, крупной компании наступает момент, когда вопрос комплексного управления печатью не просто встаёт на повестке дня, но и требует оперативного практического решения с помощью представленных на рынке продуктов.

Безопасная, удобная, экономичная и контролируемая печать

Если рассматривать все изложенные недостатки в совокупности, то совершенно ясно, что простым принт-сервером (например, ролью служб печати в Microsoft) не закрыть и половины описанных проблем. Здесь следует сразу ориентироваться на продвинутые многофункциональные сервер-клиентские системы печати, которые совместимы с максимально возможным спектром представленных на рынке моделей принтеров и МФУ от различных брендов. Выбор таких продуктов не так и обширен, и их опционал весьма схож. Но есть один фактор, на который, на наш взгляд, следует опираться большинству требовательных заказчиков при поиске подходящей системы.

Это эффективная логика функционирования всего решения, прозрачная для рядовых сотрудников и интуитивно понятная для администраторов, в основу которой сразу в комплексе заложены высокая безопасность, удобство, экономия и гибкий контроль над процессами печати в компании. Опишем принципы работы и рекомендованный набор опций на примере одного продвинутого решения по безопасной печати.

Глазами сотрудников

Начнем с того, как это будет выглядеть со стороны рядового персонала компании. У всех сотрудников в рабочих системах установлен только один, общий для всех, универсальный драйвер сетевого принтера. Таким образом, исключается путаница или ошибки при выборе устройства для печати – все отправляют задания в одну общую очередь ожидания печати, не заботясь о месте и времени выхода своих распечаток.

Сотрудник на любом, разрешенном для него, устройстве печати прикладывает к считывателю (встроенному или расположенному рядом с принтером) свою обычную карту для прохода в офис (как вариант, вводит свой системный пароль или сокращенный ПИН-код, если в компании еще не внедрен СКУД) и забирает распечатки.

В случае, если принтер или МФУ оборудованы встроенным терминалом с дисплеем, то после идентификации по карте сотрудник получает список всех своих заданий, ранее отправленных на печать, и выбирает из них только необходимые для печати в данный момент, оставив остальные в своей очереди для последующего вывода, возможно, на другом более пригодном принтере.

В период между оправкой задания на печать с рабочей станции и фактической его печатью после идентификации сотрудника на принтере, владелец документа может войти на специальный портал управления печатью и удалить это задание из своей очереди или, например, делегировать выполнение его печати на другого сотрудника, который сможет сделать это на более подходящем принтере, даже находясь в другом офисе этой компании.

Возможность самостоятельной отмены заданий до печати очень полезно, когда в документах обнаруживается ошибка или необходимо внести какие-либо дополнения. А делегирование заданий удобно, например, когда сотрудникам в одном филиале доступны сами документы на своих рабочих системах, а персонал в другом офисе (даже в другом городе) должны получить только бумажную версию этих документов. На том же портале можно также посмотреть всю историю печати с детальной информацией – названия документов и распечатавших их принтеров, размер бумаги, количество страниц, цветность и др.

Если для идентификации на принтерах перед печатью предполагается использовать карты доступа на территорию компании, то предусмотрена конфигурация системы с самостоятельной регистрацией сотрудниками своих карт непосредственно на принтерах с терминалами по своим системным паролям или ПИН-кодам. Когда документооборот в компании предусматривает работу с корпоративными ресурсами на мобильных устройствах, то сотрудники могут отправлять документы на печать прямо со своих личных или служебных смартфонов и планшетов, а распечатки получать непосредственно уже в офисе на любом принтере в подходящее время.

Бизнес-выгоды

Таким образом, можно утверждать, что описанный сценарий организации печати среди персонала компании в совокупности обеспечивает:

  • Конфиденциальность – только инициировавшие печать сотрудники получат доступ к бумажным версиям своих документов
  • Практичность – сотрудники не выбирают, на какой принтер отправлять задание в своей системе, и забирают свои распечатки в удобное время на расположенном рядом или подходящем для формата документа принтере, не переживая о предстоящем поиске или потере свои страниц
  • Экономия – практически исключен напрасный расход бумаги и тонера из-за потери так и не попавших к своим владельцам страниц, а также ошибочной печати
  • Контроль – сотрудники могут самостоятельно отменить ошибочно посланные на печать задания, делегировать печать своих документов другим сотрудникам и контролировать всю свою историю печати
  • Мобильность – сотрудники могут отправлять свои документы на печать прямо со своих мобильных устройств, а готовые распечатки забирать уже в любом офисе компании на подходящем принтере после идентификации на нем, например, по своей карте доступа.
  • Эффективное администрирование

С точки зрения администрирования функционал системы обеспечивает, в первую очередь, гибкое управление политиками безопасности корпоративной печати – каким группам пользователей, на каких печатающих устройствах (опционально, также объединенным в группы), какого вида документы (формат, цветность, дуплекс), разрешено или запрещено печатать. Также предусмотрена ролевая модель управления системой со стороны администраторов, позволяющая через настройки полномочий выделить определенных операторов (или целых группы) для выполнения только разрешенных для них задач (управление пользователями, документами, отчетами, платежами, конфигурацией или всем сразу).

В целях экономии расходных материалов для отдельных сотрудников или на уровне групп могут быть включены квоты на печать – ограничения на общее количество страниц и отдельно на число цветных страниц. Более того, есть возможность задать ценовые профили для каждой модели принтеров – стоимость простой, дуплексной и цветной печати. На пользователей, в этом случае, назначается счёт, из которого будет вычитаться стоимость печати, а на уровне квот – количество бесплатных страниц. Для сотрудников такие счета разумно сделать условными, не привязанными к реальному денежному содержанию. А для гостевых аккаунтов, которые также поддерживаются в продукте, можно ввести и финансовую составляющую.

Очень полезной опцией решения являются детально настраиваемые правила, согласно которым можно назначить определенную реакцию системы на события отправки документов на печать, идентификации сотрудников на принтерах или непосредственной печати на них. В конфигурации представлены практически все параметры, характеризующие событие – имя пользователя или группы; название документа; адрес или название принтера; время события; количество и тип страниц и пр.

Условия, в т. ч. и составные, могут быть заданы как для целых значений параметров, так и для их частей, в т. ч. по маске. Выполняющиеся согласно заданным условиям операции, которые также могут состоять из нескольких последовательных действий, могут представлять собой различные ограничения, оповещения по Email, преобразования документов (например, в PDF или в ч/б цвет), перенаправление печати, переименование задания, добавление баннеров и др.

Приведем простой пример применения одного из возможных правил.

Если сотрудник из расчетного отдела попытается распечатать в рабочее время документ, в названии которого встречается слово «счёт», на расположенном в кадровом отделе принтере, то после идентификации на нём, печать будет запрещена, а на адрес службы безопасности будет выслано соответствующее уведомление.

В целом, функционал правил направлен на строгое соответствие политикам безопасности, оптимизацию расходов и соблюдение регламента со стороны персонала.

Поддержка любых сетевых принтеров

Многофункциональный сервер печати совместим практически со всеми моделями офисных сетевых печатающих устройств, поддерживающих возможность инсталляции стороннего клиентского ПО, через которое сервер будет взаимодействовать с принтером. Передача содержимого задания от сервера печати на целевой принтер выполняется по защищённому сетевому протоколу (SSL) и только после успешной аутентификации на принтере инициировавшего печать сотрудника (плюс, опционально, выбора самого задания на терминале принтера).

Существенным расширением продвинутой системы комплексного управления печатью является поддержка простых сетевых принтеров, в которых не предусмотрен интерфейс подключения считывателей карт. В этом случае, в решении может быть использован т. н. IP-мост, в который записывается специальная прошивка. К этому портативному устройству, установленному рядом с простым принтером и подключенному к локальной сети, подсоединяется USB-считыватель бесконтактных карт. А на самом сервере печати мост и принтер логически связываются друг с другом для обеспечения безопасной печати.

В крупных компаниях с большим количеством печатающих устройств от разных производителей могут использоваться несколько общих очередей печати, что даст сотрудникам возможность настраивать все опции драйвера печати в своих рабочих системах, доступные для той или иной модельной линейки принтеров.

Управление заданиями печати

Разумеется, управление заданиями печати со стороны администраторов системы на порядок мощнее, чем ранее описанные возможности контроля своих заданий самими сотрудниками. Помимо удаления и делегирования заданий в общей очереди, в которой отображаются все ожидающие печати документы, оператор с соответствующими правами может посмотреть сразу в WEB-портале содержимое документа или прямо распечатать его на определенном принтере. Все уже распечатанные задания могут автоматически помещаться в архив и храниться там в течение заданного времени, с теми же возможностями их обслуживания. Что же касается глобального контроля, то в WEB-портале управления реализованы несколько типов отчетов с гибкой фильтрацией, полнофункциональный аудит всех событий, мониторинг печатающих устройств (через SNMP) и детальная визуализация логирования.

Стандартный функционал

Осталось перечислить функционал, который должен быть де-факто в подобного рода решениях. Прежде всего, система поддерживает интеграцию с корпоративной службой каталогов в качестве репозитория пользователей и источника их данных (имена, Email, номера карт и др.) через чтение доменных атрибутов. Внутренние группы пользователи также поддерживаются – это могут быть, например, гостевые или временные аккаунты, либо администраторы.

Решение легко масштабируется через встроенный механизм кластеризации, в т. ч. географически распределенной, обеспечивая высокую доступность и отказоустойчивость сервиса. Для крупных компаний, имеющих много офисов, предусмотрена специальная программная версия продукта для мощных IBM-серверов п/у Linux с очень высокими надежностью и производительностью. Оперативного восстановления сбоев в системе реализовано через встроенный функционал автоматического резервирования всей конфигурации, в т. ч. на сетевые носители.

Немаловажным дополнением является технически-грамотная локализация не только пользовательского WEB-портала системы, но даже административного WEB-интерфейса, что, к сожалению, до сих пор является редкостью для ПО иностранного происхождения. Помимо грамотного технического перевода, в решении предусмотрена возможностью брендирования портала под корпоративные стандарты.

Выводы

Главный вывод, который можно сделать из изложенной в этом материале модели комплексного управления корпоративной печатью, заключается в том, что даже для небольших компаний дополнительные инвестиции на внедрение подобного решения с большой вероятностью будут оправданы в обозримой перспективе.

Это обусловлено, во-первых, значительным снижением рисков от возможного несанкционированного доступа к бумажным версиям конфиденциальных документов; во-вторых, существенной экономией на расходных материалах; и в-третьих, уменьшением нагрузки на внутренние службы поддержки пользователей. А высокая практичность системы безусловно усилит автоматизацию бизнес-процессов в компании и общую слаженность корпоративной инфраструктуры.

Михаил АШАРИН, технический консультант TerraLink
Опубликовано в журнале «Технологии Защиты», #3, 2016

Поделиться:

Все права защищены
© ООО АДВ Секьюрити,
2003—2019
Яндекс.Метрика
Метрика cайта: новости: 7126 | компании: 519 | бренды: 408 | статьи: 834

О проекте / Контакты / Политика конфиденциальности и защиты информации

Techportal.ru в соц. сетях