Как внедряется система безопасной печати на ближайшее к пользователю устройство (follow-me printing)
Занимательная статистика
По данным разных опросов и отчётов, за один рабочий день меньше 10 листов печатает около 20% сотрудников. 11–50 листов — 61% сотрудников, 51–100 листов — 12% сотрудников, больше 100 листов — 7% сотрудников. 70% опрошенных использует одну сторону листа, ≈50% участников опроса не беспокоит число печатаемых страниц (по данным ВЦИОМ). 40% распечаток могли бы быть напечатаны в дуплексе и ч/б (данные Nuance Communications).
Как работает система безопасной печати
Безопасная печать позволяет идентифицировать каждого пользователя и отдавать его распечатки только ему. При этом вам не важно, откуда пришло задание — вы можете отправить документ на печать из Петербурга, затем приехать на встречу в свой офис в Москве, ввести код на принтере (или авторизоваться по карте или биометрически) и получить его именно там, куда приехали. В идеале (если таймаут достаточен и политики безопасности позволяют так делать) получается примерно так:
Где и почему используется
Учитывая цену внедрения идентификаторов на принтерах, как правило, главная причина — безопасность, порой излишняя, превращающаяся в паранойю. Цена кусается: от 400 евро за комплект аутентификации на 1 устройство до 1000 евро в зависимости от типа считывателя. Плюс нужны контроллеры для старых принтеров и МФУ (новые в большинстве имеют поддержку прямо в операционке).
Вторая причина внедрения, как это ни странно, — экономия. В пятилетней перспективе так получается дешевле. Дело в том, что вместо того чтобы ставить отдельные принтеры в каждый кабинет, можно обойтись этажными МФУ и выводить весь поток на них, но зная, что каждый документ забирает лично сотрудник. К примеру, у нас на некоторых этажах реализовано именно так, и привязка идёт либо к пину задания, либо к RFID-метке пропуска в здание.
Если пользователь решил не приходить и не вводить пин, оно не будет выведено на печать.
Если пользователь запаниковал и отправил 30 одинаковых документов на печать, будет выведен один (ну или 30, если специально так настроить).
Как правило, безопасная печать исключает нецелевую печать. Учитывая тотальную идентификацию, у каждой «левой» распечатки есть ФИО.
Итоговый эффект — пропажа документов, которые пользователи отправляют на печать и забывают забрать (обычно таких до 20% в потоке), отсутствие повторной печати документов, резкое снижение печати личных документов, удешевление за счёт применения правил и условий перенаправления заданий на более производительные устройства, контроль цветной печати и принудительная конвертация в ч/б или на двустороннюю печать для определённых групп пользователей (типов документов, времени и т. д.), отчётность.
Большой Брат следит за тобой
Опыт внедрения
В одной крупной нефтяной компании разрабатывалась система безопасной печати для удалённых офисов. Основной офис — в арендованном бизнес-центре. Здание большое, несколько этажей, система строилась централизованно сразу на все офисы. Интеграция такая, что где бы ни отправил — можно получить в другом городе в течение суток.
МФУ и принтеры размещались в принтерных комнатах, защищённых СКУД, но для большей безопасности ещё и использовались контроллеры доступа к МФУ с аутентификацией по бесконтактной карте.
Поскольку последним звеном утечки распечаток оставался мусорный бак, вместо них там поставили шредеры, способные перемолоть скрепки, жвачку и даже не очень крупные части человеческого организма. Но не зубы. С зубами надо было придумывать что-то другое.
Была настроена мобильная политика печати — когда сотрудник печатал с планшета или телефона, по Wi-Fi-роутеру находился этаж, и уже там задача отдавалась в очередь на ближайший принтер.
«Свои» устройства, включая мобильные, отличали по сертификатам на Wi-Fi (802.1x).
Парк апгрейдился от трёх разных наборов оборудования, закупленных слоями с разницей в несколько лет, причём от разных вендоров. Самый свежий слой поддерживал технологии аутентификации на уровне ОС устройств печати и МФУ, остальные потребовали специальных контроллеров.
Идею безопасной печати принесла ИБ, но больше всех радовались, кажется, финансисты — они смогли привязать все расходы на печать к конкретным подразделениям. Потом они ещё настроили подробные отчёты об отпечатанных и копированных заданиях и поставили лимиты для различных групп пользователей: запретили цветную печать части подразделений, ограничили для ряда пользователей печать документов больше 20 страниц и только по рабочим часам. Для одного из отделов настроили принудительную конвертацию в ч/б и принудительную двустороннюю печать.
Сисадмины тоже начали улыбаться, когда поняли, что теперь выход из строя принтера означал просто поход пользователя до другого без особых эксцессов. И истерик со срочной заменой уже не стало.
Ограничения (на примере FollowMe)
Для решений, например, вендора Nuance нужен сервер со следующими параметрами: Windows 2003 Server SP2 (32/64 бит), Windows 2008 Server с пакетом обновления 1 (32/64 бит) или Windows Server 2008 R2 сервер (32/64 бит). Аналог Intel Xeon 64 по производительности, минимум 1 ГБ свободной оперативной памяти (рекомендуется минимум 4 Гб), 5 ГБ на HDD для буферизации печати работы и обработки данных (рекомендуется 10 ГБ). Если пользователи работают с OpenOffice и MS Office — нужны будут ещё инсталляции на сервере (в случае с MS это означает ещё одну лицензию).
На печать можно отправлять файл как обычным способом или через электронную почту, так и давать URL через корпоративный портал на страницу, которую нужно напечатать (этим часто пользуются для мобильной печати).
ITPS внедрила системы АСУПИМ и АСУМО в «Лукойле»
Группа компаний ITPS, один из ведущих комплексных партнеров по цифровой трансформации крупных предприятий на базе современных технологий, и «Лукойл» завершили проект, по результатам которого были разработаны и внедрены в эксплуатацию автоматизированная система управления процессами интегрированного моделирования (АСУПИМ) и автоматизированная система управления моделью ограничений (АСУМО) на базе отечественной цифровой платформы Avist Oil&Gas.
В ходе реализации проекта были решены задачи по созданию единой интегрированной системы сбора, передачи, контроля качества, хранения данных и оперативного анализа всего спектра информации по модели ограничений. Специалисты компании-заказчика получили средства анализа потенциалов производственной системы. Неограниченное количество пользователей (корпоративных, подрядчиков, партнеров) получили безопасный ролевой доступ ко всему объему информации. Результаты данных представлены в виде графиков, отчетов и предиктивных рекомендаций цифровой системы, что сокращает трудоемкость анализа и снижает влияние «человеческого фактора».
Назначение платформы Avist Oil&Gas – это оптимизация операционной деятельности добывающих компаний за счет автоматизации процессов выработки решений, оптимизации производства и взаимодействия с проектными организациями и подрядчиками на основе технологий интегрированного моделирования. Сбор и обработка данных ведется из действующих информационных систем и баз данных заказчика. Система обеспечивает управление расчетами в системах интегрированного и гидродинамического моделирования, оперативную и доступную выгрузку результатов, автоматизированную поддержку принятия решений при осуществлении оперативного управления производством, формировании стратегии управления разработкой месторождений. Значительно сокращается время на сбор и анализ производственных данных, что позволяет повысить оперативность управления.
Цифровые системы такого уровня позволяют решать важнейшие задачи управления интеллектуальным месторождением: снижение потерь и увеличение объемов добычи, оптимальное использование технических и человеческих ресурсов, снижение операционных издержек, повышение точности прогнозирования на длительные периоды и принятие эффективных управленческих решений в сжатые сроки.
Система ориентирована на широкий круг пользователей, в том числе технических специалистов, малознакомых со специфическими инструментами моделирования и анализа. Она проста в эксплуатации, рассчитана на ежедневное использование при различном уровне технического оснащения рабочих мест. Это делает ее доступной для широкого применения.
ITPS внедрила системы АСУПИМ и АСУМО в «Лукойле»
Группа компаний ITPS, один из ведущих комплексных партнеров по цифровой трансформации крупных предприятий на базе современных технологий, и «Лукойл» завершили проект, по результатам которого были разработаны и внедрены в эксплуатацию автоматизированная система управления процессами интегрированного моделирования (АСУПИМ) и автоматизированная система управления моделью ограничений (АСУМО) на базе отечественной цифровой платформы Avist Oil&Gas.
В ходе реализации проекта были решены задачи по созданию единой интегрированной системы сбора, передачи, контроля качества, хранения данных и оперативного анализа всего спектра информации по модели ограничений. Специалисты компании-заказчика получили средства анализа потенциалов производственной системы. Неограниченное количество пользователей (корпоративных, подрядчиков, партнеров) получили безопасный ролевой доступ ко всему объему информации. Результаты данных представлены в виде графиков, отчетов и предиктивных рекомендаций цифровой системы, что сокращает трудоемкость анализа и снижает влияние «человеческого фактора».
Назначение платформы Avist Oil&Gas – это оптимизация операционной деятельности добывающих компаний за счет автоматизации процессов выработки решений, оптимизации производства и взаимодействия с проектными организациями и подрядчиками на основе технологий интегрированного моделирования. Сбор и обработка данных ведется из действующих информационных систем и баз данных заказчика. Система обеспечивает управление расчетами в системах интегрированного и гидродинамического моделирования, оперативную и доступную выгрузку результатов, автоматизированную поддержку принятия решений при осуществлении оперативного управления производством, формировании стратегии управления разработкой месторождений. Значительно сокращается время на сбор и анализ производственных данных, что позволяет повысить оперативность управления.
Цифровые системы такого уровня позволяют решать важнейшие задачи управления интеллектуальным месторождением: снижение потерь и увеличение объемов добычи, оптимальное использование технических и человеческих ресурсов, снижение операционных издержек, повышение точности прогнозирования на длительные периоды и принятие эффективных управленческих решений в сжатые сроки.
Система ориентирована на широкий круг пользователей, в том числе технических специалистов, малознакомых со специфическими инструментами моделирования и анализа. Она проста в эксплуатации, рассчитана на ежедневное использование при различном уровне технического оснащения рабочих мест. Это делает ее доступной для широкого применения.
Ускорить смартфон
Все нижеописанные операции с лёгкостью могут превратить ваш смартфон в кирпич! 100 раз подумайте и изучите нюансы, прежде чем что-то делать. И всё забекапить, да.
По умолчанию андроид хрен даст что заблокировать и удалить кроме какого-нить вконтактика. Поэтому я рутанул телефон. Пришлось часов 5 потратить на изучение нюансов и опыта других людей для минимизации косяков. Во время рутования ладошки немного вспотели, но всё обошлось.
Для начала я досконально посмотрел на оперативу, что до рута было мне недоступно: оказалось, что в ней сидит куча хлама, который я использую раз в год и закрываю сразу после использования. Даже если закрыть принудительно процесс в оперативе, то он всё равно скоро сам запустится. Причём это не какой-нить индийский говнософт. Ща уже забылось, но помню яндекс-карты жрали около 50 МБ оперативы. Для масштаба: после загрузки смарта доступны около 500 МБ. И я могу их понять: каждая прога хочет сидеть в оперативе, чтобы быстро запускаться и всякие свои служебные дела делать. Если прога позаботится о пользователе и будет выгружать себя из оперативы, то высок риск что пользователь сменит её на другую, которая быстро запускается, так как сидит в оперативе. А то, что именно из-за неё тормозит смарт пользователь не узнает, ведь таких прог в оперативе множество. Поэтому разработчики вынуждены жертвовать быстродействием смартфона.
На моём смарте около 280 процессов. Думаю, около 100 я на тот момент уже заблокировал. Если посмотреть на названия остальных работающих процессов, то можно увидеть, что присутствует куча ненужного (или редкоиспользуемого) многим хлама. Процессы для bluetooth, VPN, сетевых служб, заставок экрана, фона рабочего стола, шрифтов, принтеров, системных настроек. Заблокировав много чего из перечисленного у меня перестал работать инет и звонки. Пришлось что-то возвращать обратно и блокировать внимательнее. Назначение процессов можно было понять из названий, значков и при помощи гугла.
1. Некоторые приложения при запуске ругаются на отсутствие некоторых гугловских сервисов, но работать ни им, ни мне это не мешает.
3. Не работают приложения Google sheets и Google docs (требуется вагон процессов). Для меня это не большая, но заметная проблема. Поэтому когда приспичит (раз в два месяца), я их использую из браузера.
4. Я заблокировал даже те приложения, которые использую раз в неделю. Соответственно, пару раз в неделю я лезу в Titanium Backup и разблокирую их. На это уходит около 5-10 секунд, но выигрыш от свободной оперативы гораздо больше.
Боремся с дистанционным контролем: как отключить Intel ME
Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.
Автор: Positive Technologies рейтинг
Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.
На прошедшем 17 и 18 мая в Москве форуме Positive Hack Days VI исследователи Positive Technologies Максим Горячий и Марк Ермолов представили несколько техник отключения Intel ME, сопроводив доклад видеодемонстрацией процесса.
Что это, и зачем нужно отключать
Подсистема Intel Management Engine (ME) представляет собой дополнительный «скрытый» процессор, который присутствует во всех устройствах на базе чипсетов Intel (не только в PC и ноутбуках, но и в серверах). Среда исполнения ME никогда не «спит» и работает даже при выключенном компьютере (при наличии дежурного напряжения), а также имеет доступ к оперативной памяти, сетевому интерфейсу, USB контроллеру и встроенному графическому адаптеру.
Несмотря на столь обширные возможности, существуют вопросы к уровню защищенности ME — ранее исследователи уже находили серьезные уязвимости и векторы атак. Кроме того, подсистема содержит потенциально опасные функции — удаленное управление, NFC, скрытый сервисный раздел (hidden service partition). Интерфейсы подсистемы ME недокументированы, а реализация закрыта.
Все эти причины приводят к тому, что многие рассматривают технологию ME в качестве «аппаратной закладки». Ситуацию усугубляет тот факт, что с одной стороны у пользователя устройства нет возможностей по отключению этой функциональности, а с другой производитель оборудования может допустить ошибки в конфигурации МЕ.
Хорошая новость заключается в том, что способы отключения ME все же существуют.
Техники отключения Intel ME
Исследователи компании Positive Technologies Максим Горячий и Марк Ермолов в ходе состоявшегося в Москве форума Positive Hack Days VI представили доклад, посвященный отключению Intel ME. Специалисты описали несколько техник отключения данной подсистемы:
Большинство методов отключения используют встроенные механизмы ME, разработанные для вендоров устройств на платформе Intel. Все они подробно описаны в презентации, которая опубликована на GitHub. По ссылке представлено демонстрационное видео отключения ME (оно же ниже):
И тем не менее, возникает резонный вопрос: «Действительно ли ME перестает работать в полном объеме при использовании ее встроенных механизмов отключения?» В качестве доказательства факта отключения МЕ исследователи приводят следующий аргумент: ME работает в двух режимах использования памяти: только SRAM (встроенный в ME) и SRAM + UMA. UMA — это часть памяти хоста, которая используется как подкачиваемая память (swap). После инициализации DRAM-контроллера хостом ME всегда переключается в режим SRAM + UMA.
Таким образом, если ME действительно выключена, то при отключении на аппаратном уровне доступа МЕ к UMA-памяти в произвольный момент (посредствам канала VСm), в МЕ не будет происходить аппаратных сбоев, связанных с отсутствием данных и кода, которые были вытеснены в UMA память (такие аппаратные сбои приводят к аварийному отключению питания с основных аппаратных компонентов платформы). С другой стороны применение этих методов позволяет осуществить DoS-атаки на технологию AMT в случае ее применения для удаленного управления.
