笔者参加了某国外打印机巨头的新品发布会，会上一篇拍摄精良的有关打印安全的宣传片赚足了眼球，影片讲述了一个这样的故事：黑客通过手机为一个金融机构的打印机植入了木马，通过一个内置木马的打印作业入侵了该公司网络，成功窃取了信息安全官的个人信息，并在信息安全官住院期间，通过打印机的USB端口修改了医院打印输出的处方和个人信息，使信息安全官失去与所有人的联系，并最终利用这个机会成功入侵整个系统，窃取大量保密信息，给这个机构造成了巨大的损失。

也许有人会觉得这个宣传片有太多的艺术加工，脱离现实，笔者却认为是一个非常好的案例，也充分说明了打印机安全风险已经成为国外的打印巨头刻不容缓要解决的问题。

下面我们借这个宣传片分析一下打印机安全风险有哪些？

一、无线打印的安全隐患；

黑客通过WIFI，用手机给打印机植入了木马，入侵打印机。

二、端口被非法利用；

黑客利用了USB口，修改了医院打印机固件，导致输出内容被篡改。

三、打印机被携带木马或者病毒的打印作业入侵

黑客利用了网络中的电脑对打印机进行了修改，危及整个网络。

四、对打印机的非法操作不可查。

打印机只是一个硬件产品，硬件本身和驱动程序并不具备对连接情况和打印作业信息进行记录的功能，因此黑客前期的非法操作并未被发现，甚至被反复利用。

此外，在不久前的新闻中，我们还看到黑客利用通信端口9100上的Line Printer Daemon（LPD）的互联网打印协议（Internet Printing Protocol，IPP）和RAW协议将打印任务发送至暴露在互联网上的打印机，而执行该操作甚至不需要经过任何验证。这些都是切切实实存在的打印机安全漏洞。

虽然，早在十几年前的海湾战争中打印机就被非法利用，成功摧毁了伊拉克的防控系统，成为信息战的典型案例。但是在很多用户印象中，这种例子离我们太遥远，打印机还只是一个不起眼的外部设备，被更多关注的仍是PC和服务器的安全风险。

而在当今这个信息化高度发达的今天，打印机安全风险的客观存在，就是整个信息系统的一个定时炸弹，绝对不容小觑。

那么如何规避上所述风险呢？对打印安全较高的用户如何保护自身的打印安全呢？ 

一、禁用具有无线打印功能的设备；

WIFI或NFC打印虽然方便，但是WiFi打印缺少网络传输的安全机制，同时易被截获和监听，存在较大的安全风险，因此安全要求高的用户需要选择不具备WiFi或NFC功能的打印机设备。

二、端口非法利用的防范；

1、不选择多USB口设备

具有多USB端口的设备，打印机读取U盘文件的同时，易被木马或病毒感染。这种移动介质使用所带来风险即使是有专门防火墙的PC或服务都难以防范，更不用说是打印机了。

2、闲置端口管理

现在一般的打印机都支持USB和网络两种连接方式，但是使用时很少有同时使用两个端口的，这样，限制的端口同样可以接收外来的数据信息，这就成为了一个安全隐患。因此需要有这种安全功能进行防范。

三、打印机入侵防护

1、管理员权限的身份认证

所有对打印机固件的修改设置必须通过管理员权限，管理员的登陆和操作有严格的身份认证机制。

2、白名单机制

重要部位或者会输出保密信息的打印机只接收合法的用户的打印作业，防止有安全隐患的打印作业对打印机的影响。

3、IP限定机制

打印机只接收来自限定IP地址的设置和修改，拒绝其他非法的请求，避免黑客冒用网络中的普通电脑对打印机进行控制，用于非法用途。

4、通讯端口可配置

通过自行配置通信端口，防止来自通用通信端口9100和通用协议的攻击。

四、对打印机的非法操作的审计机制。

通过专门的管理工具，记录所有打印任务、作业情况甚至是各种连接访问记录，才能在事前防范的同时，通过事后审计彻底发现非法操作源头，解决隐患。

综上，笔者认为，打印机安全隐患的客观存在，必然需要一个安全机制来防范和弥补，并不会简单止于设备的国内或国外品牌更迭，更需要的是切实具有安全功能的设备的选择。