办公设备信息安全标准的资产和用户

办公设备信息安全标准的资产和用户一、制定标准的目的在目前的信息技术(IT)环境中，对计算机、工作站和服务器的安全投入不管是时间和精力都相当多。而当今用户使用较多的打印机、复印机、多功能设备等（HCD）同样连接到局域网上(LAN)，同时这类设备还包含许多通信、处理和存储部件，因此也会遇到与计算机、工作站和服务器同样多的安全问题。然而到现在，对HCD的制造商或用户，在安全安装、配置和使用这些设备和系统方面，并没有这样的指导标准。制定本项国家标准的目标就是：a)在HCD的安全体系结构、设计和开箱(out-of-box)配置方面，为制造商提供指南；b)在HCD的安全安装、配置和使用方面，为最终用户及其支撑组织提供指南。二、重要术语在本项标准中涉及两个重要定义：硬拷贝设备[hardcopydevice(HCD)]：“一种产生或利用电子文档或图像的物理体现的系统。这类系统有打印机、扫描仪、传真机、数字复印机、多功能外设(MFP)、多功能设备(MFD)、一体机(all-in-one)以及其他类似产品。”资产（asset）：“所指设备的拥有者、用户或管理者投放了价值的实体。”三、保护资产办公设备信息安全的标准在确定信息安全之前最重要的就是确定HCD的资产以及相应操作环境的相对重要性。HCD资产包括以下内容：1)用户文档数据HCD最低限度要处理用户文档数据。用户文档数据由HCD处理的用户文档中的所有信息组成，包括：正在扫描或复印原件的硬拷贝媒体，拟打印的电子文件，由扫描或传真得到的图像数据，打印的硬拷贝输出，以及在硬盘或其他存储设备中有意存储或常驻的相关数据。2)用户功能数据HCD也可备有用户功能数据，这取决于所指设备的功能和设计。用户功能数据由所处理作业的有关信息组成。这种信息包括作业指令和作业状态。这些数据包括复印的份数，复印的大小等。3)HCD保护的数据HCD保护的数据是经除管理员和数据业主之外的用户，所作更改对HCD的运行安全有负面影响的信息，但对其泄露尚可接受。这种数据可存储在闪存内、硬盘驱动器(HDD)中或其他器件内。HCD保护的数据包括：a)HCD设备作业和使用日志，扫描和传真地址簿，以及设备配置；b)网络管理数据，例如IP地址；c)HCD的数字资源和其他常驻数据，这些数据不必是用户文档数据或HCD软件（例如字型或存储的表格）的组成部分。4)HCD的秘密数据HCD的秘密数据是经除管理员和数据业主之外的用户，所作泄露或更改对HCD的运行安全有负面影响的信息。这种数据可存储在闪存内、HDD中或其他器件内。HCD的秘密数据包括：a)用户和管理员的口令；b)设备管理数据，例如安全事件审计日志数据。5)HCD物理资源HCD的物理资源包括HCD的部件以及纸张、印墨、着色剂等耗材。6)HCD可用性使用HCD的能力，可视为一种资产。在某些操作环境中，重要的是保障已得到授权的用户适时地访问HCD。而在其他环境中，重要的是防止未经授权的用户使用HCD。7)软件控制HCD功能的软件，是采用固件和小应用程序这两种典型形式的资产。a)固件固件是提供HCD的基本功能，不频繁更新，由制造商开发，嵌入该设备之内的任何持久性指令和数据。b)小应用程序小应用程序是旨在从其他应用系统之内加以执行的HCD应用软件，为客户或行业的特定目的提供附加的能力。有时由客户或第三方研制，可以在提出要求时安装。8)外部环境外部环境虽不是HCD本身的组成部分，但由与HCD互连或互操作的其他信息技术设备组成，同样能受到某些种类的利用HCD的威胁。不过，利用外部信息技术设备造成对HCD的威胁问题，超出了本标准的范围。大多数操作环境中，并没有对HCD的全局性规则，来界定哪些安全措施是所需的甚至是提供担保的。在特指情况下，为了帮助认定适当的安全措施，指导读者在相关的办法中，查处最适宜于自己角色的办法。四、本标准的用户办公设备信息安全标准最重要的是用户如何使用。本标准对相关用户的作用包括：1)对信息技术专业人员每个组织都宜进行风险评估以认定有关资产，对这些资产的威胁，受到攻击的概率，以及攻击一旦得手时对商务的影响。接下来，该组织宜将减缓与不减缓每一威胁对商务影响的成本加以比较，对是否减缓、转移、接受或避免那种风险做出决策。在某些操作环境中，有关信息技术设备的安全，已经制定出特定的采办准则、检查单、标准或推荐意见，辅助决策要实施何种安全措施，以此降低对风险进行详细评估的需要。安全标准提供了某些例子，当HCD的资产非常类似于信息技术设备的资产时，可适用于此类HCD。2)对最终用户当得到信息技术专业人员支持时，最终用户宜确定其使用环境，然后就HCD的使用，依照减缓的方法和相应的最佳。当未得到信息技术人士支持时，最终用户宜选择适当的安全环境并依照该环境下的指南。3)对HCD制造商对于不同的操作环境，为了适用于多种多样可能的目标市场。HCD制造商应给出相应的产品。总结办公设备及HCD典型的应用主要是电子商务、电子政务两方面。为了保障数据的安全性，制定一个完善的办公设备标准对整个信息系统来说非常重要。