常見安全保密風險

1.辦公自動化設備的固件風險

（1）固件自身存在安全漏洞。借助漏洞，攻擊者能夠通過網絡對打印機發起遠程攻擊，甚至可以通過構造蠕蟲對所在網絡中同樣存在該漏洞的其他設備進行連續攻擊。

（2）固件被植入惡意代碼。為了方便維護，改進功能，修復已知漏洞和代碼缺陷，廠商一般會為辦公自動化設備提供固件升級接口，而固件升級是攻擊者植入惡意代碼的主要途徑。在固件升級時，如果固件文件完整性校驗和簽名驗證過程存在缺陷，攻擊者就可能繞過這些安全機制，誘使用戶將被植入了惡意代碼的固件安裝至設備中。

2.辦公自動化設備的數據傳輸風險

（1）采用明文方式傳輸業務數據。以打印機為例，由于常用的數據傳輸協議多不具備加密機制，一旦被劫持，攻擊者將能夠很容易地通過協議分析工具還原出頁面信息，進而竊取原始打印內容。

（2）無線網絡連接被攻擊和利用。在允許用戶終端通過Wi-Fi或藍牙連接設備并提交作業數據的場景下，攻擊者不僅能夠偽造Wi-Fi熱點或藍牙接入點，誘使用戶接入非法網絡，從而竊取用戶的打印作業數據，還可能通過對辦公自動化設備的無線網絡接入口令進行破解，進而控制設備并竊取作業數據。此類攻擊都能夠造成用戶敏感信息的泄露，而且用戶通常無法感知到攻擊的存在。

3.辦公自動化設備的配件風險

（1）內置存儲部件可能造成信息泄露。為了提高打印、復印和掃描的處理能力，多功能一體機通常會內置存儲卡、硬盤等存儲部件。在存儲容量充足時，設備通常不會主動清除已存儲的內容，用戶也難以主動清除這些數據。如果在設備中處理過敏感信息，攻擊者和設備維修維護人員就可能通過讀取內置存儲部件獲取這些信息，進而造成敏感信息泄露。

（2）硒鼓等感光器件可能造成信息泄露。硒鼓是打印機的核心部件之一，主要由感光鼓、帶電轍和碳粉盒組成，用于接收激光掃描模組發送的激光圖像數據，并通過靜電高壓的配合將圖像轉印到紙張上實現打印輸出。在完成一個頁面的打印時，硒鼓的感光表面會存在一定的靜電殘留，而且這些殘留電荷的分布狀態與打印圖像是一一對應的，通過對靜電分布狀態進行識別，就能夠對打印內容進行復現，從而導致信息泄露。

4.辦公自動化設備的合規性風險

（1）自身功能不達標造成的信息泄露。以碎紙機為例，如果碎紙機配備的粉碎刀具質量不達標，那么經過粉碎后的紙屑粒度必然較粗，一旦這些紙屑落到不法分子手中，就可能通過特定手段拼湊出原始文件，導致信息泄露。

（2）硬件組件加裝竊密裝置造成信息泄露。辦公自動化設備的結構復雜，設計精密，很容易在其內部加裝竊密裝置。如在碎紙機刀具組件上方安裝高清激光掃描裝置，在紙質文件被粉碎前就可能被掃描記錄，并通過無線網絡等途徑向外界傳輸，敏感信息就這樣在不知不覺中被泄露了。

（3）電磁屏蔽效能不達標造成信息泄露。辦公自動化設備在正常工作時，必然會產生一定量的電磁輻射，這種電磁輻射可能攜帶處理的作業信息，如果其電磁屏蔽效能不能達到相關標準要求，則設備工作過程中向外界輻射的電磁能量相對較高，攻擊者通過特定裝置就可以捕獲和分析這些電磁輻射信號，進而將真實的作業信息提取和呈現。

防范措施

（1）嚴格劃分辦公自動化設備的密級，不將涉密的辦公自動化設備接入非涉密網、連接非涉密計算機；不在非涉密的辦公自動化設備中打印、復印、掃描和處理涉密信息和其他敏感信息。

（2）及時關注辦公自動化設備的安全漏洞信息，在進行固件升級時，應從設備官方網站下載或聯系設備官方售后支持人員獲取系統固件升級包，并在安裝前通過哈希值和數字簽名等方式對固件文件進行校驗，在校驗通過并確認安全后再行安裝。

（3）在涉密辦公自動化設備啟用前，應對其硬件組件和內部機械結構進行全面檢查，保證其不具備Wi-Fi、藍牙等無線通信模塊，確保其機械結構未進行非法改裝。如果存在無線通信模塊，應在拆除后再用于處理涉密文件；如果存在機械結構被改裝的跡象，應立即停止使用，并妥善封存備查。此外，通過有線網絡連接涉密辦公自動化設備時，還應按照涉密信息系統安全防護的有關技術要求，采取必要的安全保密防護措施。

（4）涉密辦公自動化設備的維修維護要嚴格遵守相關保密規定，不購買和使用來歷不明或非正規渠道采購的配件；更換設備配件后，應對可能留存敏感信息的舊配件（如內置硬盤、硒鼓等）進行妥善銷毀處理。

（5）在采購辦公自動化設備用于處理涉密信息時，應仔細查驗該設備是否具有國家相關檢測機構出具的檢測合格證書和檢測報告，并查驗其電磁泄漏發射防護等級是否滿足相關涉密等級要求。

（摘自《保密科學技術》2023年4月刊）