國家保密局網(wǎng)站>>保密科技

淺析辦公自動化設(shè)備常見安全保密風(fēng)險與防范措施

2024年05月21日    來源:國家保密科技測評中心【字體: 打印

【摘 要】 辦公自動化設(shè)備作為日常工作必不可少的工具,在給工作帶來諸多便利的同時,也為信息安全防護(hù)帶來了挑戰(zhàn)。本文對辦公自動化設(shè)備的硬件、軟件、通信和配件等可能造成敏感信息泄露的常見安全風(fēng)險進(jìn)行了分析,并提出了相應(yīng)的防范措施,為提高工作人員在使用辦公自動化設(shè)備過程中的風(fēng)險防范意識、杜絕由辦公自動化設(shè)備引起的信息安全問題提供參考和借鑒。

【關(guān)鍵詞】 辦公自動化      信息防護(hù)      安全風(fēng)險

1 引言

辦公自動化是一種將現(xiàn)實辦公需求與計算機(jī)網(wǎng)絡(luò)和多種現(xiàn)代化辦公設(shè)備有機(jī)結(jié)合而形成的一種自動化、流程化、數(shù)字化的新型辦公業(yè)態(tài)。辦公自動化設(shè)備不僅能夠提高辦公效率,而且也是實現(xiàn)信息資源共享的重要橋梁。與傳統(tǒng)辦公方式相比,辦公自動化能夠在提高工作效率的基礎(chǔ)上,進(jìn)一步增強(qiáng)團(tuán)隊協(xié)同能力,優(yōu)化信息流轉(zhuǎn)過程,具有速度快、效果好、自動化程度高和信息獲取途徑多等特點。

基于以上優(yōu)勢,辦公自動化設(shè)備已經(jīng)在黨政機(jī)關(guān)和企事業(yè)單位得到了廣泛應(yīng)用。但是,辦公自動化設(shè)備在成為必不可少的生產(chǎn)力工具的同時,也同樣存在著諸多安全保密風(fēng)險,如果通過辦公自動化設(shè)備處理的敏感信息發(fā)生泄露,將對用戶隱私、企業(yè)利益,甚至國家安全造成不可估量的損失。為適應(yīng)新形勢下的辦公自動化設(shè)備安全風(fēng)險防護(hù)需求,提高工作人員在使用辦公自動化設(shè)備過程中的風(fēng)險防范意識,杜絕由辦公自動化設(shè)備引起的敏感信息泄漏隱患,本文對日常工作中涉及的打印機(jī)、碎紙機(jī)、復(fù)印機(jī)(掃描儀)、傳真機(jī)等常見的辦公自動化設(shè)備可能導(dǎo)致信息泄露的風(fēng)險點進(jìn)行了分析和總結(jié),并提出了相應(yīng)的防范措施。

2 常見安全保密風(fēng)險分析

2.1 辦公自動化設(shè)備的固件風(fēng)險

隨著用戶對辦公自動化需求的日益多樣化,辦公自動化設(shè)備的功能也在不斷豐富,具備網(wǎng)絡(luò)共享打印、自動雙面打印等功能的打印機(jī)已經(jīng)成為標(biāo)配,集成了打印、復(fù)印和掃描等功能于一體的多功能一體機(jī)也已廣泛應(yīng)用于我們的日常工作中。為了支撐這些功能,辦公自動化設(shè)備中運行的固件(或稱操作系統(tǒng))已經(jīng)由早期功能較為單一的嵌入式系統(tǒng)升級為具備人工(AI)交互能力的智能操作系統(tǒng)。然而,在智能操作系統(tǒng)為用戶帶來更加豐富的功能擴(kuò)展和更好的使用體驗的同時,也會隨著其功能、服務(wù)和代碼總量的不斷增加而引入更多不可預(yù)知的漏洞。這些漏洞可能被黑客利用,導(dǎo)致辦公自動化設(shè)備被非法接管,對流經(jīng)設(shè)備的工作信息產(chǎn)生威脅,攻擊者甚至有可能以被接管設(shè)備為跳板,對其所接入的工作網(wǎng)絡(luò)進(jìn)行進(jìn)一步滲透和攻擊,造成更為嚴(yán)重的后果。辦公自動化設(shè)備的固件風(fēng)險主要來源于以下2個層面。

一是固件自身存在安全漏洞。近年來,因辦公自動化設(shè)備固件漏洞引發(fā)的安全問題屢見不鮮:2021年,惠普打印機(jī)被曝出一個存在8年之久的緩沖區(qū)溢出漏洞(CVE-2021-39238),受此影響的設(shè)備達(dá)150多個型號。借助該漏洞,攻擊者能夠通過網(wǎng)絡(luò)對打印機(jī)發(fā)起遠(yuǎn)程攻擊,甚至可以通過構(gòu)造蠕蟲對所在網(wǎng)絡(luò)中同樣存在該漏洞的其他設(shè)備進(jìn)行連續(xù)攻擊;2022年,惠普打印機(jī)再次曝出信息泄露、拒絕服務(wù)和遠(yuǎn)程代碼執(zhí)行等多個高危漏洞(CVE-2022-3942、CVE-2022-24291、CVE-2022-24292和CVE-2022-24293等),受影響的設(shè)備同樣涉及上百個型號。這些漏洞的CVSS評分在8.4至9.4之間,均屬于易被利用的高危漏洞。

二是固件被植入惡意代碼。為了方便維護(hù),改進(jìn)功能,修復(fù)已知漏洞和代碼缺陷,廠商一般會為辦公自動化設(shè)備提供固件升級接口,而固件升級是攻擊者植入惡意代碼的主要途徑。在固件升級時,如果固件文件完整性校驗和簽名驗證過程存在缺陷,攻擊者就可能繞過這些安全機(jī)制,誘使用戶將被植入了惡意代碼的固件安裝至設(shè)備中。目前,已有安全研究人員在某品牌的打印機(jī)中發(fā)現(xiàn)了這樣的漏洞。含有惡意代碼的固件被安裝后,這些非法程序可能會對辦公自動化設(shè)備處理的數(shù)據(jù)和文件進(jìn)行監(jiān)視和記錄,并通過郵件等方式向攻擊者發(fā)送敏感內(nèi)容,其攻擊過程如圖1所示。

圖1 固件攻擊竊密過程

2.2 辦公自動化設(shè)備的數(shù)據(jù)傳輸風(fēng)險

辦公自動化設(shè)備為滿足多樣化的用戶需求,一般會配備豐富的通信接口,這些接口可分為2類:一類是有線通信接口,如USB、RJ45、RS232和PCI Express等;另一類是無線通信接口,如Wi-Fi、4G/5G、Bluetooth、NFC等。這些接口雖然使打印機(jī)的功能得以擴(kuò)展,但也引入了一系列安全隱患,主要涉及以下2個方面。

一是采用明文方式傳輸業(yè)務(wù)數(shù)據(jù)。以打印機(jī)為例,目前網(wǎng)絡(luò)打印的常用協(xié)議有RAW、LRP和IPP等,這些協(xié)議都是位于TCP/IP協(xié)議之上的應(yīng)用層協(xié)議,且都使用明文方式傳輸數(shù)據(jù)。當(dāng)用戶提交打印作業(yè)時,操作系統(tǒng)中的打印機(jī)驅(qū)動首先將需打印的內(nèi)容轉(zhuǎn)換為用PCL或PS等打印機(jī)頁面描述語言表示的頁面信息,然后將打印數(shù)據(jù)通過網(wǎng)絡(luò)傳輸至打印機(jī),其過程如圖2所示。

圖2 打印數(shù)據(jù)傳輸過程

若使用RAW協(xié)議傳輸打印數(shù)據(jù),操作系統(tǒng)將PCL或PS格式的頁面信息直接輸出至打印機(jī);若使用LRP或IPP協(xié)議,操作系統(tǒng)將首先與打印機(jī)建立“客戶端—服務(wù)器”應(yīng)答連接鏈路,然后再向打印機(jī)發(fā)送PCL或PS格式的頁面信息。由于這些數(shù)據(jù)傳輸協(xié)議都不具備加密機(jī)制,一旦被劫持,攻擊者將能夠很容易地通過協(xié)議分析工具還原出頁面信息,進(jìn)而竊取原始打印內(nèi)容。

二是無線網(wǎng)絡(luò)連接被攻擊和利用。隨著移動辦公的普及,無線連接在辦公自動化設(shè)備中的應(yīng)用也變得更加廣泛,很多設(shè)備都支持無線網(wǎng)絡(luò)連接,有的還能夠提供Wi-Fi熱點或藍(lán)牙接入點,允許用戶終端通過Wi-Fi或藍(lán)牙連接設(shè)備并提交作業(yè)數(shù)據(jù)。在這種場景下,攻擊者不僅能夠偽造Wi-Fi熱點或藍(lán)牙接入點,誘使用戶接入非法網(wǎng)絡(luò),從而竊取用戶的打印作業(yè)數(shù)據(jù),還可能通過對辦公自動化設(shè)備的無線網(wǎng)絡(luò)接入口令進(jìn)行破解,進(jìn)而控制設(shè)備并竊取作業(yè)數(shù)據(jù)。此類攻擊都能夠造成用戶敏感信息的泄露,而且用戶通常無法感知到攻擊的存在。

2.3 辦公自動化設(shè)備的配件風(fēng)險

配件是辦公自動化設(shè)備的基本組成單位,也是易于消耗和損壞的部分。其中的存儲部件和硒鼓等感光元器件都可能殘留用戶的作業(yè)數(shù)據(jù),如果使用了非正規(guī)渠道的配件,或者在維修維護(hù)時沒有對這些配件進(jìn)行妥善處理,都可能造成敏感信息泄露,主要體現(xiàn)在以下2個方面。

一是內(nèi)置存儲部件可能造成信息泄露。為了提高打印、復(fù)印和掃描的處理能力,多功能一體機(jī)通常會內(nèi)置存儲卡、硬盤等存儲部件。當(dāng)收到來自不同用戶提交的打印作業(yè)時,設(shè)備會將作業(yè)數(shù)據(jù)保存到存儲部件中,再按照順序依次處理。在復(fù)印時,設(shè)備會首先將原始文件的內(nèi)容掃描并保存為圖像信息,再以“打印”的形式完成復(fù)印功能。隨著設(shè)備性能的提升,存儲部件的容量也在不斷擴(kuò)充,有些數(shù)碼復(fù)合機(jī)能夠支持1T或更大容量的硬盤,這將使設(shè)備具有存儲更多打印、復(fù)印和掃描內(nèi)容的能力。在存儲容量充足時,設(shè)備通常不會主動清除已存儲的內(nèi)容,用戶也難以主動清除這些數(shù)據(jù)。如果在設(shè)備中處理過敏感信息,攻擊者和設(shè)備維修維護(hù)人員就可能通過讀取內(nèi)置存儲部件獲取這些信息,進(jìn)而造成敏感信息泄露。

二是硒鼓等感光器件可能造成信息泄露。硒鼓是打印機(jī)的核心部件之一,主要由感光鼓、帶電轍和碳粉盒組成,用于接收激光掃描模組發(fā)送的激光圖像數(shù)據(jù),并通過靜電高壓的配合將圖像轉(zhuǎn)印到紙張上實現(xiàn)打印輸出。在完成一個頁面的打印時,硒鼓的感光表面會存在一定的靜電殘留,而且這些殘留電荷的分布狀態(tài)與打印圖像是一一對應(yīng)的,通過對靜電分布狀態(tài)進(jìn)行識別,就能夠?qū)Υ蛴?nèi)容進(jìn)行復(fù)現(xiàn),從而導(dǎo)致信息泄漏。此外,為了統(tǒng)計打印頁數(shù)和碳粉使用情況,打印機(jī)廠商通常會在硒鼓中內(nèi)置低壓電路和芯片模組,這就為攻擊者提供了在硒鼓上安裝存儲芯片或無線通訊模塊的條件。通過這些裝置,敏感信息可以悄無聲息地被非法存儲和發(fā)送。如果用戶使用了這種被特殊處理過的硒鼓,同樣可能造成敏感信息泄露。

2.4 辦公自動化設(shè)備的合規(guī)性風(fēng)險

辦公自動化設(shè)備在工作流程中通常會參與作業(yè)信息的輸入、輸出、中轉(zhuǎn)和銷毀等環(huán)節(jié),基本涵蓋了信息從產(chǎn)生到滅失的整個生命周期,其功能、硬件組成和電磁防護(hù)性能是否符合國家相關(guān)標(biāo)準(zhǔn),將直接影響整個辦公自動化系統(tǒng)和數(shù)據(jù)流轉(zhuǎn)過程的安全防護(hù)效能。辦公自動化設(shè)備面臨的風(fēng)險具體表現(xiàn)在以下3個方面。

一是自身功能不達(dá)標(biāo)造成的信息泄露。以碎紙機(jī)為例,如果碎紙機(jī)配備的粉碎刀具質(zhì)量不達(dá)標(biāo),那么經(jīng)過粉碎后的紙屑粒度必然較粗,一旦這些紙屑落到不法分子手中,就可能通過特定手段拼湊出原始文件,導(dǎo)致工作信息泄露。

二是硬件組件加裝竊密裝置造成信息泄露。辦公自動化設(shè)備的結(jié)構(gòu)復(fù)雜,設(shè)計精密,很容易在其內(nèi)部加裝竊密裝置。如在碎紙機(jī)刀具組件上方安裝高清激光掃描裝置,在紙質(zhì)文件被粉碎前就可能被掃描記錄,并通過無線網(wǎng)絡(luò)等途徑向外界傳輸,這一過程對于工作人員是無感的,敏感信息就這樣在不知不覺中被泄露了。

三是電磁屏蔽效能不達(dá)標(biāo)造成信息泄露。辦公自動化設(shè)備在正常工作時,必然會產(chǎn)生一定量的電磁輻射,這種電磁輻射可能攜帶處理的作業(yè)信息,如果其電磁屏蔽效能不能達(dá)到相關(guān)標(biāo)準(zhǔn)要求,則設(shè)備工作過程中向外界輻射的電磁能量相對較高,攻擊者通過特定裝置就可以捕獲和分析這些電磁輻射信號,進(jìn)而將真實的作業(yè)信息提取和呈現(xiàn)。

3 防范措施

針對辦公自動化設(shè)備可能存在的上述安全保密風(fēng)險,可以從以下5個方面采取相應(yīng)的措施予以防范。

一是嚴(yán)格劃分辦公自動化設(shè)備的密級,不將涉密的辦公自動化設(shè)備接入非涉密網(wǎng)、連接非涉密計算機(jī);不在非涉密的辦公自動化設(shè)備中打印、復(fù)印、掃描和處理涉密信息和其他敏感信息。

二是及時關(guān)注辦公自動化設(shè)備的安全漏洞信息,在進(jìn)行固件升級時,應(yīng)從設(shè)備官方網(wǎng)站下載或聯(lián)系設(shè)備官方售后支持人員獲取系統(tǒng)固件升級包,并在安裝前通過哈希值和數(shù)字簽名等方式對固件文件進(jìn)行校驗,在校驗通過并確認(rèn)安全后再行安裝。

三是在涉密辦公自動化設(shè)備啟用前,應(yīng)對其硬件組件和內(nèi)部機(jī)械結(jié)構(gòu)進(jìn)行全面檢查,保證其不具備Wi-Fi、藍(lán)牙等無線通信模塊,確保其機(jī)械結(jié)構(gòu)未進(jìn)行非法改裝。如果存在無線通信模塊,應(yīng)在拆除后再用于處理涉密文件;如果存在機(jī)械結(jié)構(gòu)被改裝的跡象,應(yīng)立即停止使用,并妥善封存?zhèn)洳。此外,通過有線網(wǎng)絡(luò)連接涉密辦公自動化設(shè)備時,還應(yīng)按照涉密信息系統(tǒng)安全防護(hù)的有關(guān)技術(shù)要求,采取必要的安全保密防護(hù)措施。

四是涉密辦公自動化設(shè)備的維修維護(hù)要嚴(yán)格遵守相關(guān)保密規(guī)定,不購買和使用來歷不明或非正規(guī)渠道采購的配件;更換設(shè)備配件后,應(yīng)對可能留存敏感信息的舊配件(如內(nèi)置硬盤、硒鼓等)進(jìn)行妥善銷毀處理。

五是在采購辦公自動化設(shè)備用于處理涉密信息時,應(yīng)仔細(xì)查驗該設(shè)備是否具有國家相關(guān)檢測機(jī)構(gòu)出具的檢測合格證書和檢測報告,并查驗其電磁泄漏發(fā)射防護(hù)等級是否滿足相關(guān)涉密等級要求。

4 結(jié)語

信息安全防護(hù)是一項復(fù)雜的系統(tǒng)性工程,任何地方出現(xiàn)紕漏,都有可能危害企業(yè)利益,甚至國家安全。辦公自動化設(shè)備作為處理涉密信息不可或缺的生產(chǎn)力工具,其安全問題不容忽視。本文對常用辦公自動化設(shè)備自身存在的固件風(fēng)險、數(shù)據(jù)傳輸風(fēng)險、配件風(fēng)險和合規(guī)性風(fēng)險等常見安全問題的成因和泄密途徑進(jìn)行了分析,并提出了相應(yīng)的安全防護(hù)措施。工作人員在利用辦公自動化設(shè)備處理敏感信息時,可參考本文提出的相關(guān)措施予以防范。

(原載于《保密科學(xué)技術(shù)》雜志2023年4月刊)