【摘 要】 辦公自動(dòng)化設備作為日常工作必不可少的工具，在給工作帶來(lái)諸多便利的同時(shí)，也為信息安全防護帶來(lái)了挑戰。本文對辦公自動(dòng)化設備的硬件、軟件、通信和配件等可能造成敏感信息泄露的常見(jiàn)安全風(fēng)險進(jìn)行了分析，并提出了相應的防范措施，為提高工作人員在使用辦公自動(dòng)化設備過(guò)程中的風(fēng)險防范意識、杜絕由辦公自動(dòng)化設備引起的信息安全問(wèn)題提供參考和借鑒。

【關(guān)鍵詞】 辦公自動(dòng)化      信息防護      安全風(fēng)險

1 引言

辦公自動(dòng)化是一種將現實(shí)辦公需求與計算機網(wǎng)絡(luò )和多種現代化辦公設備有機結合而形成的一種自動(dòng)化、流程化、數字化的新型辦公業(yè)態(tài)。辦公自動(dòng)化設備不僅能夠提高辦公效率，而且也是實(shí)現信息資源共享的重要橋梁。與傳統辦公方式相比，辦公自動(dòng)化能夠在提高工作效率的基礎上，進(jìn)一步增強團隊協(xié)同能力，優(yōu)化信息流轉過(guò)程，具有速度快、效果好、自動(dòng)化程度高和信息獲取途徑多等特點(diǎn)。

基于以上優(yōu)勢，辦公自動(dòng)化設備已經(jīng)在黨政機關(guān)和企事業(yè)單位得到了廣泛應用。但是，辦公自動(dòng)化設備在成為必不可少的生產(chǎn)力工具的同時(shí)，也同樣存在著(zhù)諸多安全保密風(fēng)險，如果通過(guò)辦公自動(dòng)化設備處理的敏感信息發(fā)生泄露，將對用戶(hù)隱私、企業(yè)利益，甚至國家安全造成不可估量的損失。為適應新形勢下的辦公自動(dòng)化設備安全風(fēng)險防護需求，提高工作人員在使用辦公自動(dòng)化設備過(guò)程中的風(fēng)險防范意識，杜絕由辦公自動(dòng)化設備引起的敏感信息泄漏隱患，本文對日常工作中涉及的打印機、碎紙機、復印機（掃描儀）、傳真機等常見(jiàn)的辦公自動(dòng)化設備可能導致信息泄露的風(fēng)險點(diǎn)進(jìn)行了分析和總結，并提出了相應的防范措施。

2 常見(jiàn)安全保密風(fēng)險分析

2.1 辦公自動(dòng)化設備的固件風(fēng)險

隨著(zhù)用戶(hù)對辦公自動(dòng)化需求的日益多樣化，辦公自動(dòng)化設備的功能也在不斷豐富，具備網(wǎng)絡(luò )共享打印、自動(dòng)雙面打印等功能的打印機已經(jīng)成為標配，集成了打印、復印和掃描等功能于一體的多功能一體機也已廣泛應用于我們的日常工作中。為了支撐這些功能，辦公自動(dòng)化設備中運行的固件（或稱(chēng)操作系統）已經(jīng)由早期功能較為單一的嵌入式系統升級為具備人工（AI）交互能力的智能操作系統。然而，在智能操作系統為用戶(hù)帶來(lái)更加豐富的功能擴展和更好的使用體驗的同時(shí)，也會(huì )隨著(zhù)其功能、服務(wù)和代碼總量的不斷增加而引入更多不可預知的漏洞。這些漏洞可能被黑客利用，導致辦公自動(dòng)化設備被非法接管，對流經(jīng)設備的工作信息產(chǎn)生威脅，攻擊者甚至有可能以被接管設備為跳板，對其所接入的工作網(wǎng)絡(luò )進(jìn)行進(jìn)一步滲透和攻擊，造成更為嚴重的后果。辦公自動(dòng)化設備的固件風(fēng)險主要來(lái)源于以下2個(gè)層面。

一是固件自身存在安全漏洞。近年來(lái)，因辦公自動(dòng)化設備固件漏洞引發(fā)的安全問(wèn)題屢見(jiàn)不鮮：2021年，惠普打印機被曝出一個(gè)存在8年之久的緩沖區溢出漏洞（CVE-2021-39238），受此影響的設備達150多個(gè)型號。借助該漏洞，攻擊者能夠通過(guò)網(wǎng)絡(luò )對打印機發(fā)起遠程攻擊，甚至可以通過(guò)構造蠕蟲(chóng)對所在網(wǎng)絡(luò )中同樣存在該漏洞的其他設備進(jìn)行連續攻擊；2022年，惠普打印機再次曝出信息泄露、拒絕服務(wù)和遠程代碼執行等多個(gè)高危漏洞（CVE-2022-3942、CVE-2022-24291、CVE-2022-24292和CVE-2022-24293等），受影響的設備同樣涉及上百個(gè)型號。這些漏洞的CVSS評分在8.4至9.4之間，均屬于易被利用的高危漏洞。

二是固件被植入惡意代碼。為了方便維護，改進(jìn)功能，修復已知漏洞和代碼缺陷，廠(chǎng)商一般會(huì )為辦公自動(dòng)化設備提供固件升級接口，而固件升級是攻擊者植入惡意代碼的主要途徑。在固件升級時(shí)，如果固件文件完整性校驗和簽名驗證過(guò)程存在缺陷，攻擊者就可能繞過(guò)這些安全機制，誘使用戶(hù)將被植入了惡意代碼的固件安裝至設備中。目前，已有安全研究人員在某品牌的打印機中發(fā)現了這樣的漏洞。含有惡意代碼的固件被安裝后，這些非法程序可能會(huì )對辦公自動(dòng)化設備處理的數據和文件進(jìn)行監視和記錄，并通過(guò)郵件等方式向攻擊者發(fā)送敏感內容，其攻擊過(guò)程如圖1所示。

圖1 固件攻擊竊密過(guò)程

2.2 辦公自動(dòng)化設備的數據傳輸風(fēng)險

辦公自動(dòng)化設備為滿(mǎn)足多樣化的用戶(hù)需求，一般會(huì )配備豐富的通信接口，這些接口可分為2類(lèi)：一類(lèi)是有線(xiàn)通信接口，如USB、RJ45、RS232和PCI Express等；另一類(lèi)是無(wú)線(xiàn)通信接口，如Wi-Fi、4G/5G、Bluetooth、NFC等。這些接口雖然使打印機的功能得以擴展，但也引入了一系列安全隱患，主要涉及以下2個(gè)方面。

一是采用明文方式傳輸業(yè)務(wù)數據。以打印機為例，目前網(wǎng)絡(luò )打印的常用協(xié)議有RAW、LRP和IPP等，這些協(xié)議都是位于TCP/IP協(xié)議之上的應用層協(xié)議，且都使用明文方式傳輸數據。當用戶(hù)提交打印作業(yè)時(shí)，操作系統中的打印機驅動(dòng)首先將需打印的內容轉換為用PCL或PS等打印機頁(yè)面描述語(yǔ)言表示的頁(yè)面信息，然后將打印數據通過(guò)網(wǎng)絡(luò )傳輸至打印機，其過(guò)程如圖2所示。

圖2 打印數據傳輸過(guò)程

若使用RAW協(xié)議傳輸打印數據，操作系統將PCL或PS格式的頁(yè)面信息直接輸出至打印機；若使用LRP或IPP協(xié)議，操作系統將首先與打印機建立“客戶(hù)端—服務(wù)器”應答連接鏈路，然后再向打印機發(fā)送PCL或PS格式的頁(yè)面信息。由于這些數據傳輸協(xié)議都不具備加密機制，一旦被劫持，攻擊者將能夠很容易地通過(guò)協(xié)議分析工具還原出頁(yè)面信息，進(jìn)而竊取原始打印內容。

二是無(wú)線(xiàn)網(wǎng)絡(luò )連接被攻擊和利用。隨著(zhù)移動(dòng)辦公的普及，無(wú)線(xiàn)連接在辦公自動(dòng)化設備中的應用也變得更加廣泛，很多設備都支持無(wú)線(xiàn)網(wǎng)絡(luò )連接，有的還能夠提供Wi-Fi熱點(diǎn)或藍牙接入點(diǎn)，允許用戶(hù)終端通過(guò)Wi-Fi或藍牙連接設備并提交作業(yè)數據。在這種場(chǎng)景下，攻擊者不僅能夠偽造Wi-Fi熱點(diǎn)或藍牙接入點(diǎn)，誘使用戶(hù)接入非法網(wǎng)絡(luò )，從而竊取用戶(hù)的打印作業(yè)數據，還可能通過(guò)對辦公自動(dòng)化設備的無(wú)線(xiàn)網(wǎng)絡(luò )接入口令進(jìn)行破解，進(jìn)而控制設備并竊取作業(yè)數據。此類(lèi)攻擊都能夠造成用戶(hù)敏感信息的泄露，而且用戶(hù)通常無(wú)法感知到攻擊的存在。

2.3 辦公自動(dòng)化設備的配件風(fēng)險

配件是辦公自動(dòng)化設備的基本組成單位，也是易于消耗和損壞的部分。其中的存儲部件和硒鼓等感光元器件都可能殘留用戶(hù)的作業(yè)數據，如果使用了非正規渠道的配件，或者在維修維護時(shí)沒(méi)有對這些配件進(jìn)行妥善處理，都可能造成敏感信息泄露，主要體現在以下2個(gè)方面。

一是內置存儲部件可能造成信息泄露。為了提高打印、復印和掃描的處理能力，多功能一體機通常會(huì )內置存儲卡、硬盤(pán)等存儲部件。當收到來(lái)自不同用戶(hù)提交的打印作業(yè)時(shí)，設備會(huì )將作業(yè)數據保存到存儲部件中，再按照順序依次處理。在復印時(shí)，設備會(huì )首先將原始文件的內容掃描并保存為圖像信息，再以“打印”的形式完成復印功能。隨著(zhù)設備性能的提升，存儲部件的容量也在不斷擴充，有些數碼復合機能夠支持1T或更大容量的硬盤(pán)，這將使設備具有存儲更多打印、復印和掃描內容的能力。在存儲容量充足時(shí)，設備通常不會(huì )主動(dòng)清除已存儲的內容，用戶(hù)也難以主動(dòng)清除這些數據。如果在設備中處理過(guò)敏感信息，攻擊者和設備維修維護人員就可能通過(guò)讀取內置存儲部件獲取這些信息，進(jìn)而造成敏感信息泄露。

二是硒鼓等感光器件可能造成信息泄露。硒鼓是打印機的核心部件之一，主要由感光鼓、帶電轍和碳粉盒組成，用于接收激光掃描模組發(fā)送的激光圖像數據，并通過(guò)靜電高壓的配合將圖像轉印到紙張上實(shí)現打印輸出。在完成一個(gè)頁(yè)面的打印時(shí)，硒鼓的感光表面會(huì )存在一定的靜電殘留，而且這些殘留電荷的分布狀態(tài)與打印圖像是一一對應的，通過(guò)對靜電分布狀態(tài)進(jìn)行識別，就能夠對打印內容進(jìn)行復現，從而導致信息泄漏。此外，為了統計打印頁(yè)數和碳粉使用情況，打印機廠(chǎng)商通常會(huì )在硒鼓中內置低壓電路和芯片模組，這就為攻擊者提供了在硒鼓上安裝存儲芯片或無(wú)線(xiàn)通訊模塊的條件。通過(guò)這些裝置，敏感信息可以悄無(wú)聲息地被非法存儲和發(fā)送。如果用戶(hù)使用了這種被特殊處理過(guò)的硒鼓，同樣可能造成敏感信息泄露。

2.4 辦公自動(dòng)化設備的合規性風(fēng)險

辦公自動(dòng)化設備在工作流程中通常會(huì )參與作業(yè)信息的輸入、輸出、中轉和銷(xiāo)毀等環(huán)節，基本涵蓋了信息從產(chǎn)生到滅失的整個(gè)生命周期，其功能、硬件組成和電磁防護性能是否符合國家相關(guān)標準，將直接影響整個(gè)辦公自動(dòng)化系統和數據流轉過(guò)程的安全防護效能。辦公自動(dòng)化設備面臨的風(fēng)險具體表現在以下3個(gè)方面。

一是自身功能不達標造成的信息泄露。以碎紙機為例，如果碎紙機配備的粉碎刀具質(zhì)量不達標，那么經(jīng)過(guò)粉碎后的紙屑粒度必然較粗，一旦這些紙屑落到不法分子手中，就可能通過(guò)特定手段拼湊出原始文件，導致工作信息泄露。

二是硬件組件加裝竊密裝置造成信息泄露。辦公自動(dòng)化設備的結構復雜，設計精密，很容易在其內部加裝竊密裝置。如在碎紙機刀具組件上方安裝高清激光掃描裝置，在紙質(zhì)文件被粉碎前就可能被掃描記錄，并通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò )等途徑向外界傳輸，這一過(guò)程對于工作人員是無(wú)感的，敏感信息就這樣在不知不覺(jué)中被泄露了。

三是電磁屏蔽效能不達標造成信息泄露。辦公自動(dòng)化設備在正常工作時(shí)，必然會(huì )產(chǎn)生一定量的電磁輻射，這種電磁輻射可能攜帶處理的作業(yè)信息，如果其電磁屏蔽效能不能達到相關(guān)標準要求，則設備工作過(guò)程中向外界輻射的電磁能量相對較高，攻擊者通過(guò)特定裝置就可以捕獲和分析這些電磁輻射信號，進(jìn)而將真實(shí)的作業(yè)信息提取和呈現。

3 防范措施

針對辦公自動(dòng)化設備可能存在的上述安全保密風(fēng)險，可以從以下5個(gè)方面采取相應的措施予以防范。

一是嚴格劃分辦公自動(dòng)化設備的密級，不將涉密的辦公自動(dòng)化設備接入非涉密網(wǎng)、連接非涉密計算機；不在非涉密的辦公自動(dòng)化設備中打印、復印、掃描和處理涉密信息和其他敏感信息。

二是及時(shí)關(guān)注辦公自動(dòng)化設備的安全漏洞信息，在進(jìn)行固件升級時(shí)，應從設備官方網(wǎng)站下載或聯(lián)系設備官方售后支持人員獲取系統固件升級包，并在安裝前通過(guò)哈希值和數字簽名等方式對固件文件進(jìn)行校驗，在校驗通過(guò)并確認安全后再行安裝。

三是在涉密辦公自動(dòng)化設備啟用前，應對其硬件組件和內部機械結構進(jìn)行全面檢查，保證其不具備Wi-Fi、藍牙等無(wú)線(xiàn)通信模塊，確保其機械結構未進(jìn)行非法改裝。如果存在無(wú)線(xiàn)通信模塊，應在拆除后再用于處理涉密文件；如果存在機械結構被改裝的跡象，應立即停止使用，并妥善封存備查。此外，通過(guò)有線(xiàn)網(wǎng)絡(luò )連接涉密辦公自動(dòng)化設備時(shí)，還應按照涉密信息系統安全防護的有關(guān)技術(shù)要求，采取必要的安全保密防護措施。

四是涉密辦公自動(dòng)化設備的維修維護要嚴格遵守相關(guān)保密規定，不購買(mǎi)和使用來(lái)歷不明或非正規渠道采購的配件；更換設備配件后，應對可能留存敏感信息的舊配件（如內置硬盤(pán)、硒鼓等）進(jìn)行妥善銷(xiāo)毀處理。

五是在采購辦公自動(dòng)化設備用于處理涉密信息時(shí)，應仔細查驗該設備是否具有國家相關(guān)檢測機構出具的檢測合格證書(shū)和檢測報告，并查驗其電磁泄漏發(fā)射防護等級是否滿(mǎn)足相關(guān)涉密等級要求。

4 結語(yǔ)

信息安全防護是一項復雜的系統性工程，任何地方出現紕漏，都有可能危害企業(yè)利益，甚至國家安全。辦公自動(dòng)化設備作為處理涉密信息不可或缺的生產(chǎn)力工具，其安全問(wèn)題不容忽視。本文對常用辦公自動(dòng)化設備自身存在的固件風(fēng)險、數據傳輸風(fēng)險、配件風(fēng)險和合規性風(fēng)險等常見(jiàn)安全問(wèn)題的成因和泄密途徑進(jìn)行了分析，并提出了相應的安全防護措施。工作人員在利用辦公自動(dòng)化設備處理敏感信息時(shí)，可參考本文提出的相關(guān)措施予以防范。

（原載于《保密科學(xué)技術(shù)》雜志2023年4月刊）