常見(jiàn)安全保密風(fēng)險(xiǎn)

1.辦公自動(dòng)化設(shè)備的固件風(fēng)險(xiǎn)

（1）固件自身存在安全漏洞。借助漏洞，攻擊者能夠通過(guò)網(wǎng)絡(luò)對(duì)打印機(jī)發(fā)起遠(yuǎn)程攻擊，甚至可以通過(guò)構(gòu)造蠕蟲(chóng)對(duì)所在網(wǎng)絡(luò)中同樣存在該漏洞的其他設(shè)備進(jìn)行連續(xù)攻擊。

（2）固件被植入惡意代碼。為了方便維護(hù)，改進(jìn)功能，修復(fù)已知漏洞和代碼缺陷，廠商一般會(huì)為辦公自動(dòng)化設(shè)備提供固件升級(jí)接口，而固件升級(jí)是攻擊者植入惡意代碼的主要途徑。在固件升級(jí)時(shí)，如果固件文件完整性校驗(yàn)和簽名驗(yàn)證過(guò)程存在缺陷，攻擊者就可能繞過(guò)這些安全機(jī)制，誘使用戶將被植入了惡意代碼的固件安裝至設(shè)備中。

2.辦公自動(dòng)化設(shè)備的數(shù)據(jù)傳輸風(fēng)險(xiǎn)

（1）采用明文方式傳輸業(yè)務(wù)數(shù)據(jù)。以打印機(jī)為例，由于常用的數(shù)據(jù)傳輸協(xié)議多不具備加密機(jī)制，一旦被劫持，攻擊者將能夠很容易地通過(guò)協(xié)議分析工具還原出頁(yè)面信息，進(jìn)而竊取原始打印內(nèi)容。

（2）無(wú)線網(wǎng)絡(luò)連接被攻擊和利用。在允許用戶終端通過(guò)Wi-Fi或藍(lán)牙連接設(shè)備并提交作業(yè)數(shù)據(jù)的場(chǎng)景下，攻擊者不僅能夠偽造Wi-Fi熱點(diǎn)或藍(lán)牙接入點(diǎn)，誘使用戶接入非法網(wǎng)絡(luò)，從而竊取用戶的打印作業(yè)數(shù)據(jù)，還可能通過(guò)對(duì)辦公自動(dòng)化設(shè)備的無(wú)線網(wǎng)絡(luò)接入口令進(jìn)行破解，進(jìn)而控制設(shè)備并竊取作業(yè)數(shù)據(jù)。此類攻擊都能夠造成用戶敏感信息的泄露，而且用戶通常無(wú)法感知到攻擊的存在。

3.辦公自動(dòng)化設(shè)備的配件風(fēng)險(xiǎn)

（1）內(nèi)置存儲(chǔ)部件可能造成信息泄露。為了提高打印、復(fù)印和掃描的處理能力，多功能一體機(jī)通常會(huì)內(nèi)置存儲(chǔ)卡、硬盤等存儲(chǔ)部件。在存儲(chǔ)容量充足時(shí)，設(shè)備通常不會(huì)主動(dòng)清除已存儲(chǔ)的內(nèi)容，用戶也難以主動(dòng)清除這些數(shù)據(jù)。如果在設(shè)備中處理過(guò)敏感信息，攻擊者和設(shè)備維修維護(hù)人員就可能通過(guò)讀取內(nèi)置存儲(chǔ)部件獲取這些信息，進(jìn)而造成敏感信息泄露。

（2）硒鼓等感光器件可能造成信息泄露。硒鼓是打印機(jī)的核心部件之一，主要由感光鼓、帶電轍和碳粉盒組成，用于接收激光掃描模組發(fā)送的激光圖像數(shù)據(jù)，并通過(guò)靜電高壓的配合將圖像轉(zhuǎn)印到紙張上實(shí)現(xiàn)打印輸出。在完成一個(gè)頁(yè)面的打印時(shí)，硒鼓的感光表面會(huì)存在一定的靜電殘留，而且這些殘留電荷的分布狀態(tài)與打印圖像是一一對(duì)應(yīng)的，通過(guò)對(duì)靜電分布狀態(tài)進(jìn)行識(shí)別，就能夠?qū)Υ蛴?nèi)容進(jìn)行復(fù)現(xiàn)，從而導(dǎo)致信息泄露。

4.辦公自動(dòng)化設(shè)備的合規(guī)性風(fēng)險(xiǎn)

（1）自身功能不達(dá)標(biāo)造成的信息泄露。以碎紙機(jī)為例，如果碎紙機(jī)配備的粉碎刀具質(zhì)量不達(dá)標(biāo)，那么經(jīng)過(guò)粉碎后的紙屑粒度必然較粗，一旦這些紙屑落到不法分子手中，就可能通過(guò)特定手段拼湊出原始文件，導(dǎo)致信息泄露。

（2）硬件組件加裝竊密裝置造成信息泄露。辦公自動(dòng)化設(shè)備的結(jié)構(gòu)復(fù)雜，設(shè)計(jì)精密，很容易在其內(nèi)部加裝竊密裝置。如在碎紙機(jī)刀具組件上方安裝高清激光掃描裝置，在紙質(zhì)文件被粉碎前就可能被掃描記錄，并通過(guò)無(wú)線網(wǎng)絡(luò)等途徑向外界傳輸，敏感信息就這樣在不知不覺(jué)中被泄露了。

（3）電磁屏蔽效能不達(dá)標(biāo)造成信息泄露。辦公自動(dòng)化設(shè)備在正常工作時(shí)，必然會(huì)產(chǎn)生一定量的電磁輻射，這種電磁輻射可能攜帶處理的作業(yè)信息，如果其電磁屏蔽效能不能達(dá)到相關(guān)標(biāo)準(zhǔn)要求，則設(shè)備工作過(guò)程中向外界輻射的電磁能量相對(duì)較高，攻擊者通過(guò)特定裝置就可以捕獲和分析這些電磁輻射信號(hào)，進(jìn)而將真實(shí)的作業(yè)信息提取和呈現(xiàn)。

防范措施

（1）嚴(yán)格劃分辦公自動(dòng)化設(shè)備的密級(jí)，不將涉密的辦公自動(dòng)化設(shè)備接入非涉密網(wǎng)、連接非涉密計(jì)算機(jī)；不在非涉密的辦公自動(dòng)化設(shè)備中打印、復(fù)印、掃描和處理涉密信息和其他敏感信息。

（2）及時(shí)關(guān)注辦公自動(dòng)化設(shè)備的安全漏洞信息，在進(jìn)行固件升級(jí)時(shí)，應(yīng)從設(shè)備官方網(wǎng)站下載或聯(lián)系設(shè)備官方售后支持人員獲取系統(tǒng)固件升級(jí)包，并在安裝前通過(guò)哈希值和數(shù)字簽名等方式對(duì)固件文件進(jìn)行校驗(yàn)，在校驗(yàn)通過(guò)并確認(rèn)安全后再行安裝。

（3）在涉密辦公自動(dòng)化設(shè)備啟用前，應(yīng)對(duì)其硬件組件和內(nèi)部機(jī)械結(jié)構(gòu)進(jìn)行全面檢查，保證其不具備Wi-Fi、藍(lán)牙等無(wú)線通信模塊，確保其機(jī)械結(jié)構(gòu)未進(jìn)行非法改裝。如果存在無(wú)線通信模塊，應(yīng)在拆除后再用于處理涉密文件；如果存在機(jī)械結(jié)構(gòu)被改裝的跡象，應(yīng)立即停止使用，并妥善封存?zhèn)洳?。此外，通過(guò)有線網(wǎng)絡(luò)連接涉密辦公自動(dòng)化設(shè)備時(shí)，還應(yīng)按照涉密信息系統(tǒng)安全防護(hù)的有關(guān)技術(shù)要求，采取必要的安全保密防護(hù)措施。

（4）涉密辦公自動(dòng)化設(shè)備的維修維護(hù)要嚴(yán)格遵守相關(guān)保密規(guī)定，不購(gòu)買和使用來(lái)歷不明或非正規(guī)渠道采購(gòu)的配件；更換設(shè)備配件后，應(yīng)對(duì)可能留存敏感信息的舊配件（如內(nèi)置硬盤、硒鼓等）進(jìn)行妥善銷毀處理。

（5）在采購(gòu)辦公自動(dòng)化設(shè)備用于處理涉密信息時(shí)，應(yīng)仔細(xì)查驗(yàn)該設(shè)備是否具有國(guó)家相關(guān)檢測(cè)機(jī)構(gòu)出具的檢測(cè)合格證書(shū)和檢測(cè)報(bào)告，并查驗(yàn)其電磁泄漏發(fā)射防護(hù)等級(jí)是否滿足相關(guān)涉密等級(jí)要求。

（摘自《保密科學(xué)技術(shù)》2023年4月刊）