雖然有說法稱我們已經進入無紙化辦公時代，但通過打印文件進行信息泄露的狀況仍然相當常見，且所帶來的危害甚至與數字安全問題相比亦不遑多讓。雖然大多數人已經意識到紙張很難被徹底取代，但對于未經授權的文件查看或者悄悄帶出副本等行為，我們顯然還缺乏足夠的重視與保護舉措。

近期與敏感文件泄露相關的典型案例，當數國安局“合同工”Reality Winner——就在今年6月，她被發現對多份極密文件“處理不當”。針對她的具體指控包括“收集、傳播或者遺失防務信息”。
在此次泄露事件被美國政府及時發現后，內部調查人員意識到相關文件已經被損壞（存在折痕），因此可能被打印、移動、而后被放回安全位置。根據《紐約時報》的報道，Winner小姐這位前美國空軍軍人幾乎立即承認了自己的罪行，并表示她的舉動是為了反對新一屆政府在墨西哥邊界位置建立隔離墻的決定。
雖然大多數安全事件并不會涉及到如此層級的國際陰謀與目標意圖，但此類安全事故及失誤確實可能出現在任何企業當中。

正如存在諸多方法審計、管理并保護電子文件一樣，印刷文件同樣擁有完善的管理辦法。那么，我們該如何保護自己的印刷數據，確保其不會落入錯誤人的手中；此外，還有哪些其它潛在威脅需要加以關注？

一家位于法蘭克福的公司要求一名員工定期出差以訪問各分包商。除了在辦公室當中使用的打印機之外，這位員工的筆記本電腦也經過配置以使用各分包商辦公地點中的打印設備。有一天，在拜會某家分包商時，身處法蘭克福總部的另一位同事收到了他發來的消息——“跑到打印機那，拿起文件，別看內容，馬上碎掉。”

而具體情況是，該名員工決定打印一套包含大量個人客戶數據的數據庫，但卻因為這則消息選擇了錯誤的打印設備。其在通過遠程打印機進行文件打印時，企業中的任何人都將能夠訪問文件內容，這意味著即使不存在任何惡意內部人士，安全威脅也將同樣出現。

想象一下，如果普通員工意外看到了一些重要的合同內容或者管理費用，這無疑有可能給企業帶來嚴重的后果。

當涉及到內部或者外部攻擊者時，人們能夠輕松從打印機處拿走文件并隨身攜帶。此外，如果您在打印機上沒有找到打印出的文件，則很可能誤以為發生了硬件故障而非安全事件——但事實恰恰相反，也許有人正利用您的數據實施惡意攻擊。

在人力資源方面，工作臺、辦公桌乃至打印機上堆疊大量簡歷的狀況。其中通常包含有經理的注釋與評論，而管理不當的簡歷亦有可能泄露資歷、領導與薪酬等信息，進而造成猜測甚至是人際沖突。在大型企業當中，財務文件、合同以及客戶數據則更有可能面臨風險。

實例一：

研究員曾以匿名審計員的身份造訪了一家公司，發現一份文件被留在走廊中的打印機內，通過幾分鐘的分析，研究員發現該公司打算購置一處房產，并且能夠看到雙方協商的價格、所有相關人員的聯系信息、商業潛力分析以及內部SWOT屬性分析結果等等。只要有手機，兩秒鐘就能把這些信息拍攝下來并神不知鬼不覺地悄悄帶走。

實例二：

在某家醫療衛生公司的走廊等待會議開始期間，研究人員發現了一份包含個人病歷資料與病史的文件。當包含敏感數據的文件被遺留在走廊或者其它公共場所時，引發的主要是物理安全問題。

預防的本質在于管理敏感文件的打印行為。潛在的解決方案之一在于關注數據丟失預防（簡稱DLP）產品。這類應用程序能夠定義哪些數據只能夠由誰在哪些特定打印設備上打印。此類技術解決方案的一大優點在于，在未經授權的打印操作當中，DLP系統會記錄事件、向用戶報告風險，同時阻止打印活動。潛在的違規行為將觸發警報，消息被發送至安全管理員手中。其它選項還包括打印管理解決方案，包括僅允許用戶在打印機的界面當中正確輸入用戶身份憑證（例如使用非接觸式智能卡）后方可進行文件打印。

為了降低與此類文件曝光相關的風險，建議大家避免將打印機部署在客戶或者公眾能夠接觸到的位置。另外，設置明確的辦公桌管理政策同樣非常重要。

當然，單憑政策本身還不夠，您最好能夠組織定期培訓與內部審計以進一步支持此類工作。如果企業已經擁有數據分類計劃，則可用“敏感”、“內部”或者“最高機密”等水印對重要文件作出標記。如此一來，員工們能夠更清楚自己該對哪些數據加以保護。

關注那些需要經常進行“硬拷貝”的部門，評估其可能對企業造成的潛在風險與具體程度。營銷與公關團隊是頻繁打印方面的主力軍，且能夠輕松獲得敏感企業信息。雖然他們不太可能獲得核心知識產權信息，但同樣的情況還適用于人力資源這一經常進行“硬拷貝”部門，但考慮到其對于企業聲譽的重要影響，必須對其打印“行為”加以進一步審查。

理想的起步舉措在于建立打印審計制度。這通常能夠幫助我們發現各類安全問題——例如不必要的敏感數據打印或者物理安全問題。

在確定風險之后，繼續實施安全措施以解決問題——包括制定政策、培訓用戶、實施打印管理機制或者數據丟失預防解決方案等。

與其它潛在數據泄露渠道一樣，打印文件應定期進行審計。企業應根據審計結果調整具體安全舉措。

最后，員工（用戶）才是數據安全當中最為重要的部分。企業應當鼓勵建立“安全意識、動機與忠誠度”，沒有這些作為依托，安全事件的發生將只是時間問題。