打印機信息安全風險淺談-新華網
新華網 > > 正文
2023 10/08 15:17:21
來源:新華網

打印機信息安全風險淺談

字體:

  伴隨著技術的迭代、產業鏈的健全,以及商業化的普及,近年來激光打印機在體積、性能、功能和造價上都有了巨大進步,已經成為了商務辦公和居家打印的常用設備。

  打印機行業門檻高

  全球激光打印機(含復印機)行業已經有50多年的發展歷史。行業市場規模并不大,但行業門檻較高。直至中國企業突破封鎖進入這一行業,至今全球完整掌握自主研發和制造技術的激光打印機廠商也就十家左右。打印機行業的門檻主要體現在以下幾個方面:

  專利壁壘高。全球共有打印機相關專利達數十萬份,絕大部分系美國和日本企業申請,目前仍有效的專利依然超過二十萬份。其中有很多的專利所保護的技術點并非真正的技術創新,只是一些特定場景下的技術控制方式,同樣能夠獲得專利授權。各企業從各個不同角度對同一項技術、同一個功能或零部件都申請大量專利,形成密不透風的專利墻,讓后來者突破的困難大。如,針對文件總頁數為單數的自動雙面打印,有一家企業申請了“把最后一頁當單面打印處理”,另有一家企業申請了“預先在文件尾部插入空白頁,最后一頁也做雙面打印處理”。甚至還有“打印機感知到搓紙失敗后就進行重試”“定影器溫度超過上限后停止加熱,低于下限后繼續加熱”之類的專利獲得了授權。

  技術門檻高。打印機的研發是一個復雜的系統工程,其技術涉及范圍包括精密機械、精細化工、精密光學、靜電成像、集成電路、電子工程、軟件工程、通信工程、色彩科學、自動控制、高分子材料等十余個領域。出于技術封鎖的需要,國外企業并不愿意培養中國籍的核心技術人才和中國的核心供應商。不同打印機所使用的零部件大多需要專門定制設計,每一款產品都需要開上百甚至近千套模具。每一款產品的研發過程都需要適配電腦或手機的數十個操作系統,數百個應用軟件。每一款打印機的測試都需要覆蓋上百種紙張,模擬上千個使用場景,使用上萬個測試用例。要突破的技術領域多,要投入的人力多費用大,整個研發周期較長。

  供應鏈封閉。各個廠家的打印機零部件沒有統一標準,不同機型的零件除了機械尺寸、材質等差異外,還有眾多與靜電成像有關的物理和化學特性參數的差異。針對核心零部件,打印機廠商通常自行研發生產,或者與簽有排它協議的國外供應商合作研發生產,并申請大量的專利進行保護。即便有在其它行業積累了相關經驗的零部件廠商,有意愿也有能力研發出打印機的某些核心零部件,老牌打印機整機廠商也不輕易給予其進入這個行業的機會。這就造成了新進入的打印機整機廠商,一開始就面臨嚴重的“供應鏈難題”。

 打印機的安全風險大

  打印機是被辦公電腦充分信任的輸入輸出設備,它不僅會直接處理機密的打印和復印資料,也可以通過安裝在電腦、平板或手機中的程序搜集用戶的敏感信息。打印機都裝有閃存,一些高端產品(如復印機)通常還裝有大容量硬盤,因此成為了事實上可主動搜集用戶信息的網絡存儲服務器。由于打印機功能和使用場景的特殊性,其泄密渠道比電腦或手機更多,更容易被竊密者利用。加上其操作系統定制化和封閉性(無法裝殺毒或管控軟件),且泄密方式隱蔽、使用者對其風險認識不足及防控意識不強等原因,因而針對打印機的信息安全防控手段少、防控效果差。往打印機植入惡意代碼或將已存于打印機的病毒激活的手段眾多且難以防控。某些不可信的打印機連接在我們的辦公系統中,就好比休眠于我們肌體中的癌細胞,隨時可能被激活,帶來網絡癱瘓、文件刪除、系統崩潰等風險。通過利用打印機進行竊密或對系統進行攻擊的渠道大致有以下幾種:

  利用因特網。很多打印機有通過網線或WiFi等無線通信模塊連接互聯網的功能,以實現共享打印、遠程打印。有些打印機安裝完成后會通過互聯網頻繁地與境外服務器互傳信息。這條路是通的,就可以把用戶敏感資料發送出去,也可以接收遙控指令或惡意代碼。有些打印機本身沒有聯網功能,但能夠通過與它USB相連的電腦,加入到我們的辦公網絡中實現共享打印。如果辦公網絡中有設備連接到了互聯網,沒有網絡功能的打印機就有機會借助這個跳板與外部設備進行通信。

  利用內網。無論帶不帶網絡功能,打印機都可以成為接入辦公網絡的一個設備。打印機除了獲得用戶打印過的文件,也有機會獲取各用戶電腦里未打印過的機密文件,并將它們保存在打印機存儲器中。如果一臺不可信的打印機的漏洞或預設的后門被內網用戶(比如間諜)知悉和利用,其存儲的信息就可以被竊取。通常情況下,電腦對打印機是信任的,打印機就容易被內部惡意用戶當作連接不同電腦的跳板,突破網管限制,竊取別的電腦中的信息或實施針對性攻擊。

  利用耗材與配件。大多數打印機的耗材都帶有芯片,芯片的作用通常包括身份識別、打印計數、耗材剩余壽命和打印機需要獲取的該耗材的打印控制參數等。除耗材外的某些打印機配件,也可能帶有類似芯片,或者在隱秘位置惡意加裝無線芯片。如果打印機設計者想惡意竊密,可能選用含大容量存儲空間的芯片,并在必要時讓打印機將用戶敏感信息轉存到該芯片中。惡意設計者,也可以借助新耗材或配件上的芯片,將惡意病毒、激活指令等給到打印機,從而實施對辦公系統的攻擊。

  利用上門維護機會。長期磨損會影響零件精度,高分子材料一定時間后也容易出現性能惡化。打印量較大的高端打印機(特別是復印機和生產型打印機),需要像汽車保養一樣的定期維護。打印機結構復雜且不同打印機結構差異性很大,零配件也基本沒有通用性,因此零部件的維修拆換難度很大,維護維修工作需要熟悉該機型的外部專業人員上門,這就會給用戶帶來很大的信息安全風險。打印機通常會留有調試接口,甚至可能惡意預留隱蔽的通信接口。萬用表和示波器等檢測工具,可以被改裝而增加與打印機通信的功能,實現從打印機接收信息并存儲下來,以及給打印機發送惡意病毒或激活惡意功能的目的。更有甚者,維修人員還可能通過打印機面板上某些按鍵的組合按壓動作,開啟打印機內預留的某些隱藏功能。

  借助打印紙。用戶在需要時可以在打印文件中添加水印,這種水印是易見的。還有不易見的水印技術——隱寫技術,包括黃色小點、字體局部調整、文字位置或大小的微小變化,以及圖像半色調算法和參數的調整等技術。假如我們的敏感信息被打印機用這類隱寫技術,加到了我們的打印資料中,就會有泄密的風險。另外,當我們復印機密文件時,文件中的敏感關鍵字可以被打印機識別,從而實施竊密或者觸發某些隱藏的惡意功能。

  加裝竊密裝置。安全防護強度不足的打印機,其漏洞可能被黑客遠程利用,從而實施竊密或攻擊。防控強度不足的打印機被拆開后,竊密者可以通過修改其軟固件來實施竊密和攻擊,甚至可以在打印機內部加裝通信模塊,通過無線發射或電力線傳輸等方式將用戶信息轉發出去,或將外部的惡意程序或惡意功能激活指令發給打印機。

  作為打印機用戶,特別是保密要求較高的單位用戶,信息的泄露可能會帶來巨大的風險或損失。為了讓我們日常的信息安全管理工作更有成效,就不能忽視對打印機選購和使用的管理。前面分析中提到的竊密或攻擊手段,都是基于打印機的軟硬件實施的,且多數是基于打印機廠家的主觀惡意。打印機的可信程度,以及是否有安全增強和安全防護功能,應該作為用戶選擇產品的重要考慮因素。隨著國內廠商的市場參與度越來越高,用戶的信息安全風險意識不斷提升,以及國家針對打印設備的信息安全要求逐步加嚴,這類信息安全的定時炸彈將逐漸遠離辦公室。(尹愛國 全國信息安全標準化技術委員會委員、合肥市政協委員、納思達股份有限公司首席技術官)

【糾錯】 【責任編輯:唐濱妮】
      亚洲日韩av在线,日韩精品一区二区三区99,精品无码国产AV一区二区,国产精品久久一国产精品,亚洲精品国产品国语 最近2018年中文字幕 AV中文无码乱人伦在线 91精品色婷婷一区二区 国产三级片在线超爽观看 欧美激情视频在线观看一区 久久中精品中文字幕 A片不卡无码国产在线 欧美人与黑人牲交全过程视 欧美激情视频一区二区三区免费 日韩 国产 欧美 精品 在线