邓雄荣，王湘女，刘卓贤，姚子汭

（东莞供电局，广东 东莞 523008）

0 引言

网络打印设备数量众多，台账及耗材管理混乱，安全风险隐患日益增多，攻击面不断扩大，经常出现被仿冒、被劫持、被攻击的风险隐患。因此，在企业日常网络安全运营过程中，强化网络打印设备的台账建模、入网监测定位、运行可视、耗材监控告警、安全合规检测等能力显得尤为重要迫切。本文通过一种网络打印设备台账模型关联入网端口全景管控技术方法研究，实现设备从入网-运行-变更-退运全生命周期动态管控，建立台账模型、防范接入风险，确保在运打印设备可视可管可控，有效地确保终端网络安全稳定运行。

1 项目背景

随着现代化办公网络环境的不断发展，国家、政府、社会各行各业的标准型、兼容性、事务型的文件需求逐渐成熟深化，网络打印设备也成为现代化办公的缩影，有着其高效、便捷、移动、共享的多重优势，市场规模不断增长。与此同时，在整个IT 信息行业及最终用户当中，运维和安全主要关注业务系统、物理环境、基础架构、数据保护等，并在这些方面投入了大量的人力物力，从安全运维、风险管理、业务合规层面开展了全方位的体系建设，但对影响企业办公效率和设备安全的网络打印设备往往投入不足，关注较低，导致设备台账及耗材管理混乱，接入端口被非法盗用，高危端口、弱口令、安全漏洞等问题逐渐暴露出来，给终端安全管理带来了很大的风险隐患，时刻都有可能攻击突破现有终端网络安全防护体系，将直接威胁单位终端安全、数据安全和业务安全。再加上在倡导“节能减排”的今天，打印耗材成为企业需要重点节约的对象，经常出现耗材不及时更换情况，且墨盒、硒鼓、纸张等耗材消耗数量没有相应的技术统计分析手段，造成耗材浪费而导致成本增加严重影响企业办公效率和投资计划[1]。

本文提出了一种网络打印设备台账模型关联入网端口全景管控技术方法，通对网络打印设备的全生命周期进行动态管控，实现对网络打印设备的台账建模、入网监测、运行可视、耗材监控、安全合规检测，提升企业整体的终端网络安全管理水平。

2 技术研究

通过网络打印设备台账模型关联入网端口全景管控平台，主动识别全网网络打印设备品牌机型号，关联现有的静态画像数据生成台账模型管理，对运行状态进行实时监测，并采集网络设备接入信息，形成设备模型及端口可视全景图，通过SNMP 采集网络打印设备的运行数据，设置场景对设备变化、网络环境变化、耗材使用进行监控告警，通过主动探测扫描，检测设备的高危端口、高危服务、风险漏洞等安全合规属性，实现设备全生命周期进行动态管控，实现对网络打印设备的入网精细化管理，减低了入网的安全风险，确保终端网络安全可控[2]。

2.1 整体功能架构及技术原理

系统主要由五大功能模块构成，整体功能架构如图1 所示。

图1 整体功能架构

2.1.1 网络打印设备台账建模

通过网络打印设备常见开放端口如TELNET、FTP、SSH、HTTP、HTTPS 等进行指纹收集与banner 信息提取，建立服务关联模型，通过服务及端口开放或关闭的多种可能组合，采用特定匹配算法，建立网络打印资产类型库。通对网络内部网络打印网段资源进行探测，采用扫描、试探、访问等主动方式，实现未知打印设备资产发现、已知打印设备资产外部可见性检测等功能，获取网络内部打印设备资产信息、打印设备状态信息、打印设备暴露状态信息等。通过结合设备的投放的组织架构，使用人，资产编码，序列号，投运年限等资产画像数据，形成完整的入网台账模型[3]。

2.1.2 实时感知与采集

通过SSH 或SNMP 协议，定时对当前网络中的所有交换设备和网关设备进行主动采集，获取ARP 表和MAC 地址表，并对打印设备资产所属的全网表项进行整合分析，明确当前打印设备资产所关联的IP 地址在线和下线情况，明确打印设备资产所关联的IP 地址对应的MAC 地址及MAC 地址所属厂商情况，明确打印设备资产所关联的MAC 地址所属交换机端口情况，建立全网可视的打印设备资产分布表。通过SNMP 协议，定时对可选范围内的所有打印设备进行主动采集，获取当前及历史运行数据，包括“设备名称”“设备运行时间”“设备序列号”“设备历史打印纸张数”“设备重启后的打印设备纸张数”“设备成像技术”等20 种以上的运行数据，并在采集完成后对运行数据进行实时分析入库，达成运行数据可视、运行状态可监控、告警信息可推送、耗材信息可预测的网状运行视图。

2.1.3 运行可视化

通过定时化的主动采集和探测策略，记录每一次信息关联融合的打印设备运行状态、打印设备定位信息、开放服务信息等详细数据，采用实时分析算法，关联全网设备更替，追踪数据变化，记录历史生命周期，掌握打印设备资产移动、更新、下线等全量状态。

“机械工程材料基础B”是由上海理工大学机械工程学院开设的一门学科基础课程,授课对象是非材料类的学生,主要包括能源与动力学院和机械工程学院。这些学院的学生在今后学习专业课和进行科研工作的时候,不需要应用高深的材料学方面的知识,但却要掌握应用需要选择材料的方法和改进材料性能的手段,以及运用理论知识解释工程实际中的现象等。根据机械设计制造及其自动化专业工程认证的要求,按照“评价—反馈—改进”的质量监控和持续改进机制,以“机械工程材料基础B”的课程目标及其对毕业要求的支撑为依据,随机抽取该专业学生的考试结果进行分析和达成度计算,探讨改进教学质量的途径,培养符合工程认证要求的毕业生。

通过定时化的主动采集策略，详细记录每一个打印设备耗材的名称、类型、颜色、打印量、余量等详细数据，做到耗材余量有告警、耗材更替有记录、耗材使用有章法的全方位耗材管理能力。

对全网打印设备资产台账进行核对、校准、验证，根据更新策略对打印设备资产进行变更检查、知识库自动更新。

2.1.4 风险合规检测

采用轻量化的端口检测和扫描机制，通过主动的打印设备资产自动探测，理清网内打印设备资产的开放端口、服务类型、所属应用，并进行自动化归类和梳理，快速掌握全网打印设备资产暴露面。

通过内置的高危服务列表和可自定义的服务信息添加模块，快速有效的整理导出高危服务详情及关联打印设备资产详情，快速进行应急响应和处置。

系统集成并行式的漏洞检测框架，在基于现有打印设备资产服务和资产类型的基础上进行快速并行式的漏洞扫描，并可通过建立定期调度的策略扫描模式，不断及时的发现打印设备资产风险，实时进行告警处置，闭环修复整改流程。

将打印设备漏洞信息与资产信息进行整合显示，实现漏洞态势可视化展示、漏洞数据管理、漏洞扫描任务管理、漏洞态势分析、漏洞闭环处置等功能，进行全网打印设备风险漏洞统一关联管理。

利用已识别出的打印设备品牌、型号，已探测的打印设备开放端口、对应服务，已采集的打印设备MAC地址、接入位置，已获取的打印设备描述、序列号、运行时间、纸张消耗等运行信息，已导入的物理位置、管理员等各类信息，来实现打印设备资产关联和定位，包括打印运行情况分析、打印设备IP 地址定位、打印设备设备定位、打印设备上下线时间等，全方位展示打印设备资产特征知识库，掌握全生命周期资产信息脉络。

2.2 部署架构说明

系统旁路部署在内网核心交换机上，确保能访问到所有的网络打印设备网段及网络接入设备网管网段，通过主动探测采集感知，展现设备入网全生命周期全景信息[4]。

2.3 技术管控流程

入网后根据已识别出的打印设备品牌、型号，已探测的打印设备开放端口、对应服务，结合设备台账画像数据，形成台账模型，再采集的打印设备MAC 地址、接入位置，获取打印设备描述、序列号、运行时间、纸张消耗等运行信息，最终形成一套全生命周期基准数据，对各项指标数据进行实时监控告警，特殊资产重点监控管理，出现问题启动响应处置流程，实现设备入网可视可知，运行变更可视，安全风险可视。最终实现对网络打印设备的入网精细化管理，减低了入网的安全风险，确保终端网络安全可控[5]。管控流程如图2 所示。

图2 管控流程

3 技术关键点、创新点

3.1 全生命周期台账模型展现

综合关联已识别出的打印设备品牌、型号，已探测的打印设备开放端口、对应服务，已采集的打印设备MAC 地址、接入位置，已获取的打印设备描述、序列号、运行时间、纸张消耗等运行信息，已导入的物理位置、管理员等各类画像数据信息，来实现打印设备资产关联和定位，包括打印运行情况分析、打印设备IP 地址定位、打印设备定位、打印设备上下线时间等，全方位展示打印设备资产特征知识库，掌握全局资产信息脉络。结合对当前网络中的所有交换设备和网关设备进行主动采集，获取ARP 表和MAC 地址表，并对打印设备资产所属的全网表项进行整合分析，明确当前打印设备资产所关联的IP 地址在线和下线情况，明确打印设备资产所关联的IP 地址对应的MAC 地址及MAC 地址所属厂商情况，明确打印设备资产所关联的MAC 地址所属交换机端口接入配置合规情况，展现全生命周期标准台账模型全景。

3.2 设备关联入网端口全景展现

通过采集网络实时关联信息，形成台账模型与网络端口关联关系图，展现设备台账与网络接入对应全景图，监控此类接入端口变更情况，实时掌控端口的接入合规情况及风险隐患。

3.3 实现运营可视化

监测记录信息关联融合的打印设备运行状态、打印设备定位信息、开放服务信息、风险合规信息等详细数据，采用实时分析算法，关联全网设备更替，追踪数据变化，记录历史生命周期，掌握打印设备资产入网、移动、更新、下线等全量状态。

4 成果推广及应用前景

目前，通过网络打印设备台账模型关联入网端口全景管控技术，实现了对企业网络打印设备的台账建模、入网监测、运行可视、耗材监控、安全合规检测的全生命周期过程的动态管控。确保了入网中的打印设备可视可管可控，有效地确保终端网络安全稳定运行。

项目成果已成功应用于全公司范围，通过采集打印设备数据，建立各部门网络打印设备台账模型，实现了自动识别网络打印设备品牌及型号，自动采集网络打印设备上下线情况、序列号等运行状态，自动采集墨盒、硒鼓、纸张等耗材运行数据，对使用情况进行及时报警监测，定期提醒管理员更换相关耗材，节省企业成本提高工作效益。

（1）经济性。倡导“节能减排”，实时监控网络打印设备耗材使用情况，精确到碳粉余量的具体百分值，彩色打印设备能监控到每一种颜色碳粉余量的具体百分值，对生产所需耗材进行数据统计，统计各部门损耗，降低企业成本，在经济上具有大规模推广意义。

（2）实用性。无须登录逐台打印设备进行数据统计，只需一个系统，通过自动化建立台账模型，对打印设备运行情况、存活情况、分布情况、网络接入位置、上线下线情况实时监测，快速识别网络打印设备的品牌及型号，实时掌握打印变化状态、耗材存量和消耗情况、纸张消耗情况等。避免了人工统计数据，提高了日常网络安全运维效率。

（3）安全性。系统集成了风险检测模块，与台账模型关联，快速对网络打印设备进行安全风险检测，第一时间检测出可能存在的风险，增强了网络安全合规管理，杜绝非法接入入侵，提升了特殊终端入网安全防护能力。

5 结语

本文所描述的网络打印设备台账模型关联入网端口全景管控系统，旁路部署接入网络环境中，重点针对目前缺乏技术管理控制手段的网络打印设备，通过有针对性的建立台账模型全景，实时掌控入网设备的耗材运行数据及安全运行态势，并对耗材使用情况及攻击者盗用端口渗透破坏进行事前预警，杜绝了风险传播隐患。今后，本系统将扩大覆盖范围，涵盖企业其他泛终端设备的入网安全管控，实现更多的泛终端网络全生命周期动态管控场景。