雖然有說法稱我們已經(jīng)進(jìn)入無紙化辦公時(shí)代，但通過打印文件進(jìn)行信息泄露的狀況仍然相當(dāng)常見，且所帶來的危害甚至與數(shù)字安全問題相比亦不遑多讓。雖然大多數(shù)人已經(jīng)意識(shí)到紙張很難被徹底取代，但對(duì)于未經(jīng)授權(quán)的文件查看或者悄悄帶出副本等行為，我們顯然還缺乏足夠的重視與保護(hù)舉措。

近期與敏感文件泄露相關(guān)的典型案例，當(dāng)數(shù)國安局“合同工”Reality Winner——就在今年6月，她被發(fā)現(xiàn)對(duì)多份極密文件“處理不當(dāng)”。針對(duì)她的具體指控包括“收集、傳播或者遺失防務(wù)信息”。
在此次泄露事件被美國政府及時(shí)發(fā)現(xiàn)后，內(nèi)部調(diào)查人員意識(shí)到相關(guān)文件已經(jīng)被損壞（存在折痕），因此可能被打印、移動(dòng)、而后被放回安全位置。根據(jù)《紐約時(shí)報(bào)》的報(bào)道，Winner小姐這位前美國空軍軍人幾乎立即承認(rèn)了自己的罪行，并表示她的舉動(dòng)是為了反對(duì)新一屆政府在墨西哥邊界位置建立隔離墻的決定。
雖然大多數(shù)安全事件并不會(huì)涉及到如此層級(jí)的國際陰謀與目標(biāo)意圖，但此類安全事故及失誤確實(shí)可能出現(xiàn)在任何企業(yè)當(dāng)中。

正如存在諸多方法審計(jì)、管理并保護(hù)電子文件一樣，印刷文件同樣擁有完善的管理辦法。那么，我們?cè)撊绾伪Ｗo(hù)自己的印刷數(shù)據(jù)，確保其不會(huì)落入錯(cuò)誤人的手中；此外，還有哪些其它潛在威脅需要加以關(guān)注？

一家位于法蘭克福的公司要求一名員工定期出差以訪問各分包商。除了在辦公室當(dāng)中使用的打印機(jī)之外，這位員工的筆記本電腦也經(jīng)過配置以使用各分包商辦公地點(diǎn)中的打印設(shè)備。有一天，在拜會(huì)某家分包商時(shí)，身處法蘭克福總部的另一位同事收到了他發(fā)來的消息——“跑到打印機(jī)那，拿起文件，別看內(nèi)容，馬上碎掉。”

而具體情況是，該名員工決定打印一套包含大量個(gè)人客戶數(shù)據(jù)的數(shù)據(jù)庫，但卻因?yàn)檫@則消息選擇了錯(cuò)誤的打印設(shè)備。其在通過遠(yuǎn)程打印機(jī)進(jìn)行文件打印時(shí)，企業(yè)中的任何人都將能夠訪問文件內(nèi)容，這意味著即使不存在任何惡意內(nèi)部人士，安全威脅也將同樣出現(xiàn)。

想象一下，如果普通員工意外看到了一些重要的合同內(nèi)容或者管理費(fèi)用，這無疑有可能給企業(yè)帶來嚴(yán)重的后果。

當(dāng)涉及到內(nèi)部或者外部攻擊者時(shí)，人們能夠輕松從打印機(jī)處拿走文件并隨身攜帶。此外，如果您在打印機(jī)上沒有找到打印出的文件，則很可能誤以為發(fā)生了硬件故障而非安全事件——但事實(shí)恰恰相反，也許有人正利用您的數(shù)據(jù)實(shí)施惡意攻擊。

在人力資源方面，工作臺(tái)、辦公桌乃至打印機(jī)上堆疊大量簡歷的狀況。其中通常包含有經(jīng)理的注釋與評(píng)論，而管理不當(dāng)?shù)暮啔v亦有可能泄露資歷、領(lǐng)導(dǎo)與薪酬等信息，進(jìn)而造成猜測甚至是人際沖突。在大型企業(yè)當(dāng)中，財(cái)務(wù)文件、合同以及客戶數(shù)據(jù)則更有可能面臨風(fēng)險(xiǎn)。

實(shí)例一：

研究員曾以匿名審計(jì)員的身份造訪了一家公司，發(fā)現(xiàn)一份文件被留在走廊中的打印機(jī)內(nèi)，通過幾分鐘的分析，研究員發(fā)現(xiàn)該公司打算購置一處房產(chǎn)，并且能夠看到雙方協(xié)商的價(jià)格、所有相關(guān)人員的聯(lián)系信息、商業(yè)潛力分析以及內(nèi)部SWOT屬性分析結(jié)果等等。只要有手機(jī)，兩秒鐘就能把這些信息拍攝下來并神不知鬼不覺地悄悄帶走。

實(shí)例二：

在某家醫(yī)療衛(wèi)生公司的走廊等待會(huì)議開始期間，研究人員發(fā)現(xiàn)了一份包含個(gè)人病歷資料與病史的文件。當(dāng)包含敏感數(shù)據(jù)的文件被遺留在走廊或者其它公共場所時(shí)，引發(fā)的主要是物理安全問題。

預(yù)防的本質(zhì)在于管理敏感文件的打印行為。潛在的解決方案之一在于關(guān)注數(shù)據(jù)丟失預(yù)防（簡稱DLP）產(chǎn)品。這類應(yīng)用程序能夠定義哪些數(shù)據(jù)只能夠由誰在哪些特定打印設(shè)備上打印。此類技術(shù)解決方案的一大優(yōu)點(diǎn)在于，在未經(jīng)授權(quán)的打印操作當(dāng)中，DLP系統(tǒng)會(huì)記錄事件、向用戶報(bào)告風(fēng)險(xiǎn)，同時(shí)阻止打印活動(dòng)。潛在的違規(guī)行為將觸發(fā)警報(bào)，消息被發(fā)送至安全管理員手中。其它選項(xiàng)還包括打印管理解決方案，包括僅允許用戶在打印機(jī)的界面當(dāng)中正確輸入用戶身份憑證（例如使用非接觸式智能卡）后方可進(jìn)行文件打印。

為了降低與此類文件曝光相關(guān)的風(fēng)險(xiǎn)，建議大家避免將打印機(jī)部署在客戶或者公眾能夠接觸到的位置。另外，設(shè)置明確的辦公桌管理政策同樣非常重要。

當(dāng)然，單憑政策本身還不夠，您最好能夠組織定期培訓(xùn)與內(nèi)部審計(jì)以進(jìn)一步支持此類工作。如果企業(yè)已經(jīng)擁有數(shù)據(jù)分類計(jì)劃，則可用“敏感”、“內(nèi)部”或者“最高機(jī)密”等水印對(duì)重要文件作出標(biāo)記。如此一來，員工們能夠更清楚自己該對(duì)哪些數(shù)據(jù)加以保護(hù)。

關(guān)注那些需要經(jīng)常進(jìn)行“硬拷貝”的部門，評(píng)估其可能對(duì)企業(yè)造成的潛在風(fēng)險(xiǎn)與具體程度。營銷與公關(guān)團(tuán)隊(duì)是頻繁打印方面的主力軍，且能夠輕松獲得敏感企業(yè)信息。雖然他們不太可能獲得核心知識(shí)產(chǎn)權(quán)信息，但同樣的情況還適用于人力資源這一經(jīng)常進(jìn)行“硬拷貝”部門，但考慮到其對(duì)于企業(yè)聲譽(yù)的重要影響，必須對(duì)其打印“行為”加以進(jìn)一步審查。

理想的起步舉措在于建立打印審計(jì)制度。這通常能夠幫助我們發(fā)現(xiàn)各類安全問題——例如不必要的敏感數(shù)據(jù)打印或者物理安全問題。

在確定風(fēng)險(xiǎn)之后，繼續(xù)實(shí)施安全措施以解決問題——包括制定政策、培訓(xùn)用戶、實(shí)施打印管理機(jī)制或者數(shù)據(jù)丟失預(yù)防解決方案等。

與其它潛在數(shù)據(jù)泄露渠道一樣，打印文件應(yīng)定期進(jìn)行審計(jì)。企業(yè)應(yīng)根據(jù)審計(jì)結(jié)果調(diào)整具體安全舉措。

最后，員工（用戶）才是數(shù)據(jù)安全當(dāng)中最為重要的部分。企業(yè)應(yīng)當(dāng)鼓勵(lì)建立“安全意識(shí)、動(dòng)機(jī)與忠誠度”，沒有這些作為依托，安全事件的發(fā)生將只是時(shí)間問題。