浅析办公自动化设备常见安全保密风险与防范措施
浅析办公自动化设备常见安全保密风险与防范措施
2024年05月21日 来源:国家保密科技测评中心
【摘 要】 办公自动化设备作为日常工作必不可少的工具,在给工作带来诸多便利的同时,也为信息安全防护带来了挑战。本文对办公自动化设备的硬件、软件、通信和配件等可能造成敏感信息泄露的常见安全风险进行了分析,并提出了相应的防范措施,为提高工作人员在使用办公自动化设备过程中的风险防范意识、杜绝由办公自动化设备引起的信息安全问题提供参考和借鉴。
【关键词】 办公自动化 信息防护 安全风险
1 引言
办公自动化是一种将现实办公需求与计算机网络和多种现代化办公设备有机结合而形成的一种自动化、流程化、数字化的新型办公业态。办公自动化设备不仅能够提高办公效率,而且也是实现信息资源共享的重要桥梁。与传统办公方式相比,办公自动化能够在提高工作效率的基础上,进一步增强团队协同能力,优化信息流转过程,具有速度快、效果好、自动化程度高和信息获取途径多等特点。
基于以上优势,办公自动化设备已经在党政机关和企事业单位得到了广泛应用。但是,办公自动化设备在成为必不可少的生产力工具的同时,也同样存在着诸多安全保密风险,如果通过办公自动化设备处理的敏感信息发生泄露,将对用户隐私、企业利益,甚至国家安全造成不可估量的损失。为适应新形势下的办公自动化设备安全风险防护需求,提高工作人员在使用办公自动化设备过程中的风险防范意识,杜绝由办公自动化设备引起的敏感信息泄漏隐患,本文对日常工作中涉及的打印机、碎纸机、复印机(扫描仪)、传真机等常见的办公自动化设备可能导致信息泄露的风险点进行了分析和总结,并提出了相应的防范措施。
2 常见安全保密风险分析
2.1 办公自动化设备的固件风险
随着用户对办公自动化需求的日益多样化,办公自动化设备的功能也在不断丰富,具备网络共享打印、自动双面打印等功能的打印机已经成为标配,集成了打印、复印和扫描等功能于一体的多功能一体机也已广泛应用于我们的日常工作中。为了支撑这些功能,办公自动化设备中运行的固件(或称操作系统)已经由早期功能较为单一的嵌入式系统升级为具备人工(AI)交互能力的智能操作系统。然而,在智能操作系统为用户带来更加丰富的功能扩展和更好的使用体验的同时,也会随着其功能、服务和代码总量的不断增加而引入更多不可预知的漏洞。这些漏洞可能被黑客利用,导致办公自动化设备被非法接管,对流经设备的工作信息产生威胁,攻击者甚至有可能以被接管设备为跳板,对其所接入的工作网络进行进一步渗透和攻击,造成更为严重的后果。办公自动化设备的固件风险主要来源于以下2个层面。
一是固件自身存在安全漏洞。近年来,因办公自动化设备固件漏洞引发的安全问题屡见不鲜:2021年,惠普打印机被曝出一个存在8年之久的缓冲区溢出漏洞(CVE-2021-39238),受此影响的设备达150多个型号。借助该漏洞,攻击者能够通过网络对打印机发起远程攻击,甚至可以通过构造蠕虫对所在网络中同样存在该漏洞的其他设备进行连续攻击;2022年,惠普打印机再次曝出信息泄露、拒绝服务和远程代码执行等多个高危漏洞(CVE-2022-3942、CVE-2022-24291、CVE-2022-24292和CVE-2022-24293等),受影响的设备同样涉及上百个型号。这些漏洞的CVSS评分在8.4至9.4之间,均属于易被利用的高危漏洞。
二是固件被植入恶意代码。为了方便维护,改进功能,修复已知漏洞和代码缺陷,厂商一般会为办公自动化设备提供固件升级接口,而固件升级是攻击者植入恶意代码的主要途径。在固件升级时,如果固件文件完整性校验和签名验证过程存在缺陷,攻击者就可能绕过这些安全机制,诱使用户将被植入了恶意代码的固件安装至设备中。目前,已有安全研究人员在某品牌的打印机中发现了这样的漏洞。含有恶意代码的固件被安装后,这些非法程序可能会对办公自动化设备处理的数据和文件进行监视和记录,并通过邮件等方式向攻击者发送敏感内容,其攻击过程如图1所示。
图1 固件攻击窃密过程
2.2 办公自动化设备的数据传输风险
办公自动化设备为满足多样化的用户需求,一般会配备丰富的通信接口,这些接口可分为2类:一类是有线通信接口,如USB、RJ45、RS232和PCI Express等;另一类是无线通信接口,如Wi-Fi、4G/5G、Bluetooth、NFC等。这些接口虽然使打印机的功能得以扩展,但也引入了一系列安全隐患,主要涉及以下2个方面。
一是采用明文方式传输业务数据。以打印机为例,目前网络打印的常用协议有RAW、LRP和IPP等,这些协议都是位于TCP/IP协议之上的应用层协议,且都使用明文方式传输数据。当用户提交打印作业时,操作系统中的打印机驱动首先将需打印的内容转换为用PCL或PS等打印机页面描述语言表示的页面信息,然后将打印数据通过网络传输至打印机,其过程如图2所示。
图2 打印数据传输过程
若使用RAW协议传输打印数据,操作系统将PCL或PS格式的页面信息直接输出至打印机;若使用LRP或IPP协议,操作系统将首先与打印机建立“客户端—服务器”应答连接链路,然后再向打印机发送PCL或PS格式的页面信息。由于这些数据传输协议都不具备加密机制,一旦被劫持,攻击者将能够很容易地通过协议分析工具还原出页面信息,进而窃取原始打印内容。
二是无线网络连接被攻击和利用。随着移动办公的普及,无线连接在办公自动化设备中的应用也变得更加广泛,很多设备都支持无线网络连接,有的还能够提供Wi-Fi热点或蓝牙接入点,允许用户终端通过Wi-Fi或蓝牙连接设备并提交作业数据。在这种场景下,攻击者不仅能够伪造Wi-Fi热点或蓝牙接入点,诱使用户接入非法网络,从而窃取用户的打印作业数据,还可能通过对办公自动化设备的无线网络接入口令进行破解,进而控制设备并窃取作业数据。此类攻击都能够造成用户敏感信息的泄露,而且用户通常无法感知到攻击的存在。
2.3 办公自动化设备的配件风险
配件是办公自动化设备的基本组成单位,也是易于消耗和损坏的部分。其中的存储部件和硒鼓等感光元器件都可能残留用户的作业数据,如果使用了非正规渠道的配件,或者在维修维护时没有对这些配件进行妥善处理,都可能造成敏感信息泄露,主要体现在以下2个方面。
一是内置存储部件可能造成信息泄露。为了提高打印、复印和扫描的处理能力,多功能一体机通常会内置存储卡、硬盘等存储部件。当收到来自不同用户提交的打印作业时,设备会将作业数据保存到存储部件中,再按照顺序依次处理。在复印时,设备会首先将原始文件的内容扫描并保存为图像信息,再以“打印”的形式完成复印功能。随着设备性能的提升,存储部件的容量也在不断扩充,有些数码复合机能够支持1T或更大容量的硬盘,这将使设备具有存储更多打印、复印和扫描内容的能力。在存储容量充足时,设备通常不会主动清除已存储的内容,用户也难以主动清除这些数据。如果在设备中处理过敏感信息,攻击者和设备维修维护人员就可能通过读取内置存储部件获取这些信息,进而造成敏感信息泄露。
二是硒鼓等感光器件可能造成信息泄露。硒鼓是打印机的核心部件之一,主要由感光鼓、带电辙和碳粉盒组成,用于接收激光扫描模组发送的激光图像数据,并通过静电高压的配合将图像转印到纸张上实现打印输出。在完成一个页面的打印时,硒鼓的感光表面会存在一定的静电残留,而且这些残留电荷的分布状态与打印图像是一一对应的,通过对静电分布状态进行识别,就能够对打印内容进行复现,从而导致信息泄漏。此外,为了统计打印页数和碳粉使用情况,打印机厂商通常会在硒鼓中内置低压电路和芯片模组,这就为攻击者提供了在硒鼓上安装存储芯片或无线通讯模块的条件。通过这些装置,敏感信息可以悄无声息地被非法存储和发送。如果用户使用了这种被特殊处理过的硒鼓,同样可能造成敏感信息泄露。
2.4 办公自动化设备的合规性风险
办公自动化设备在工作流程中通常会参与作业信息的输入、输出、中转和销毁等环节,基本涵盖了信息从产生到灭失的整个生命周期,其功能、硬件组成和电磁防护性能是否符合国家相关标准,将直接影响整个办公自动化系统和数据流转过程的安全防护效能。办公自动化设备面临的风险具体表现在以下3个方面。
一是自身功能不达标造成的信息泄露。以碎纸机为例,如果碎纸机配备的粉碎刀具质量不达标,那么经过粉碎后的纸屑粒度必然较粗,一旦这些纸屑落到不法分子手中,就可能通过特定手段拼凑出原始文件,导致工作信息泄露。
二是硬件组件加装窃密装置造成信息泄露。办公自动化设备的结构复杂,设计精密,很容易在其内部加装窃密装置。如在碎纸机刀具组件上方安装高清激光扫描装置,在纸质文件被粉碎前就可能被扫描记录,并通过无线网络等途径向外界传输,这一过程对于工作人员是无感的,敏感信息就这样在不知不觉中被泄露了。
三是电磁屏蔽效能不达标造成信息泄露。办公自动化设备在正常工作时,必然会产生一定量的电磁辐射,这种电磁辐射可能携带处理的作业信息,如果其电磁屏蔽效能不能达到相关标准要求,则设备工作过程中向外界辐射的电磁能量相对较高,攻击者通过特定装置就可以捕获和分析这些电磁辐射信号,进而将真实的作业信息提取和呈现。
3 防范措施
针对办公自动化设备可能存在的上述安全保密风险,可以从以下5个方面采取相应的措施予以防范。
一是严格划分办公自动化设备的密级,不将涉密的办公自动化设备接入非涉密网、连接非涉密计算机;不在非涉密的办公自动化设备中打印、复印、扫描和处理涉密信息和其他敏感信息。
二是及时关注办公自动化设备的安全漏洞信息,在进行固件升级时,应从设备官方网站下载或联系设备官方售后支持人员获取系统固件升级包,并在安装前通过哈希值和数字签名等方式对固件文件进行校验,在校验通过并确认安全后再行安装。
三是在涉密办公自动化设备启用前,应对其硬件组件和内部机械结构进行全面检查,保证其不具备Wi-Fi、蓝牙等无线通信模块,确保其机械结构未进行非法改装。如果存在无线通信模块,应在拆除后再用于处理涉密文件;如果存在机械结构被改装的迹象,应立即停止使用,并妥善封存备查。此外,通过有线网络连接涉密办公自动化设备时,还应按照涉密信息系统安全防护的有关技术要求,采取必要的安全保密防护措施。
四是涉密办公自动化设备的维修维护要严格遵守相关保密规定,不购买和使用来历不明或非正规渠道采购的配件;更换设备配件后,应对可能留存敏感信息的旧配件(如内置硬盘、硒鼓等)进行妥善销毁处理。
五是在采购办公自动化设备用于处理涉密信息时,应仔细查验该设备是否具有国家相关检测机构出具的检测合格证书和检测报告,并查验其电磁泄漏发射防护等级是否满足相关涉密等级要求。
4 结语
信息安全防护是一项复杂的系统性工程,任何地方出现纰漏,都有可能危害企业利益,甚至国家安全。办公自动化设备作为处理涉密信息不可或缺的生产力工具,其安全问题不容忽视。本文对常用办公自动化设备自身存在的固件风险、数据传输风险、配件风险和合规性风险等常见安全问题的成因和泄密途径进行了分析,并提出了相应的安全防护措施。工作人员在利用办公自动化设备处理敏感信息时,可参考本文提出的相关措施予以防范。
(原载于《保密科学技术》杂志2023年4月刊)