打印機作為常用的信息設備之一，在給我們工作和生活帶來諸多便利的同時，由打印所產生的信息泄露等信息安全問題也日趨嚴峻。本文通過對打印機硬件、軟件、通信和耗材等可能涉及信息泄露的風險點進行深入講解，總結了打印機的安全隱患，并提出了相應的防范措施。

　　“打印機安全風險分析”

　　打印機通常由硬件電路、光學成像結構，固件、驅動程序、審計管理系統和機械結構等部件組成。在打印機工作過程中，任何一個環節都可能存在信息泄露的風險。

　　1. 打印數據傳輸泄密風險

　　用戶啟動打印作業后，打印數據通過傳輸介質從用戶端下發到打印機，過程如下圖所示。在這一過程中存在以下3個泄密風險點。

　　第一點，通信接口泄密?，F代打印機為滿足多樣化的用戶需求，一般會配備豐富的通信接口，這些接口可分為兩類，一類是有線通信接口，如USB、RJ45、RS232和PCI Express等;另一類是無線通信接口，如Wi-Fi、GPRS、藍牙、紅外線等。這些接口雖然使打印機的功能得以擴展，但也增加了非授權用戶竊取打印數據的途徑。

　　第二點，網絡接入泄密。當前，打印機正在向著綜合信息管理與輸出終端方向發展，大都集成了豐富的網絡功能。這些功能在提高工作效率，提升團隊協作能力的同時，也成為信息泄露的一個主要渠道。當打印機被接入外部網絡(如Internet)時，打印機將不可避免地與公共網絡產生數據交換;此外，一些開放端口甚至能夠被黑客利用，導致打印機被非法接管。

　　第三點，數據傳輸泄密。計算機在將打印作業下發到打印機的過程中，需要通過數據傳輸介質與打印機進行數據交互。這一過程中，如果打印數據在傳輸前未進行加密，在傳輸過程中一旦被入侵者非法劫持，入侵者能夠很容易地通過協議分析工具得到真實的打印數據。

　　2. 硒鼓泄密風險

　　硒鼓是打印機的核心部件之一，用于接收激光掃描模組發射的激光圖像數據，通過靜電高壓的配合將圖像轉移到紙張上實現打印輸出。它主要由感光鼓、帶電轍和碳粉盒組成。硒鼓主要有以下泄密風險點。

　　第一點，感光鼓表面靜電殘留泄密。打印機每打印完一份文件，其感光鼓表面會存在一定的靜電殘留，這些殘留電荷的分布狀態與打印圖像是一一對應的。因此，通過對靜電分布狀態進行識別，能夠對打印內容進行復現，從而導致信息泄露。

　　第二點，在硒鼓內植入芯片。為了統計打印頁數和碳粉使用情況，打印機廠商通常會在硒鼓中內置低壓電路和芯片模組，這就為竊密者提供了在硒鼓上安裝存儲芯片或無線通信模塊的條件。通過這些裝置，重要信息可能就被悄無聲息地非法存儲和發送了。

　　第三點，有機感光導體(Organic Photo-Conductor，OPC)潛像殘留泄密。在打印作業完成后，硒鼓的OPC部件可能仍然保留著已打印圖像的潛像，這些潛像信息如果得不到及時清理，可以被二次打印。

　　3. 打印機存儲器泄密風險

　　為了適應日益繁重的打印任務，提升打印機性能，打印機廠商會在打印機中配備存儲器，如內存、存儲卡和硬盤等。這些存儲器主要有以下風險點。

　　第一點，內存數據泄密。通常，打印機在接收到計算機的打印任務后，首先會將待打印數據暫時存儲在內存中。當打印作業完成后，若打印機內存中的打印數據未被及時清理，很容易被非法讀取和復現。

　　第二點，存儲器泄密。由于內存價格高昂，一些廉價打印機配備的內存相對較小。為克服內存不足的問題，廠商會在打印機中安裝存儲卡或硬盤等存儲器。打印機工作時，首先將待打印數據存入存儲器，打印時再讀入內存。由于存儲器斷電后數據不清零，且方便拆卸和攜帶，打印機中若配備此類部件，很容易導致打印數據被非法竊取。

　　4. 打印機軟硬件泄密風險

　　打印機整體上可劃分為軟件和硬件兩個部分。硬件包括機械部件、電路和耗材等，軟件包括SOC固件、驅動程序和審計管理系統等。打印機軟件和硬件主要有以下風險點。

　　第一點，軟硬件安全性不可控。當前，國內打印機市場仍然被國外品牌(如惠普、三星等)主導，國產打印機品牌雖然有所發展，但核心部件仍然依靠進口，缺乏自主知識產權。由于打印機結構復雜，設計精密，很容易在其內部安裝非法部件或植入惡意代碼，且此類隱患難以被察覺。因此，國外打印機軟件和硬件的安全性和可靠性不可控。

　　第二點，固件泄密。為了方便打印機維護，改善打印機功能，廠商一般會為打印機提供固件升級功能，而固件升級是黑客植入惡意代碼的主要途徑。當含有惡意代碼的固件被安裝到打印機后，這些非法程序將對打印內容進行監視和記錄，并通過郵件等方式發送打印內容，甚至篡改和破壞打印數據。其泄密過程下圖所示。

　　第三點，電磁輻射泄密。打印機在工作過程中將不可避免地產生電磁輻射，這種電磁輻射可能攜帶打印機處理的打印信息。入侵者可通過對捕獲的電磁輻射進行分析，將真實打印信息提取和呈現，從而導致信息泄露。

　　5. 打印管控泄密風險

　　通常情況下，當用戶通過內部網絡將打印文件從計算機下發到打印機后，打印機會立即執行打印操作，如果用戶和打印機之間存在一定距離而無法及時取走已打印文件時，打印文件存在被竊取的可能。此外，涉密場所的打印作業管理通常依賴于保密管理制度的強制實施和人工監管，這雖然在一定程度上維護了涉密信息的安全，但仍然存在著諸多不便和風險隱患。分散的打印輸出方式不利于安全保密管理，打印設備使用權限難以有效控制，打印審批效率低下。這些問題很容易導致非授權用戶非法竊取重要信息。

　　“打印機安全風險防范措施”

　　1. 關于通信接口泄密

　　通信接口是打印機與外界進行數據交互的主要渠道，防止通信接口泄密應從以下兩方面著手：一是打印機廠商應避免配置多余外部通信接口，只保留以太網接口和USB接口等必要通信接口，并嚴格控制每種接口的數量;二是管理員應能夠對通信接口的開啟和關閉進行管控，并且在默認情況下通信接口應處于關閉狀態。

　　2. 關于網絡接入泄密

　　防止打印機產生網絡接入泄密，重點是保證重要信息系統網絡中的打印機與外網物理隔離，可以從以下兩方面著手：一是打印機應被限定在固定場所內使用，并且只能通過內部網絡進行打印作業;二是打印機一旦與外網連接，應給予聲音、燈光等形式的警告提示，或以內網郵件形式通知管理員，并能夠立即切斷與外網的連接。

　　3. 關于數據傳輸泄密

　　防止數據傳輸泄密需要從以下3個方面著手：一是用戶向打印機下發的打印數據需經過加密處理后再進行傳輸，從源頭上保證打印數據的安全;二是廠商應為打印機部署私有協議，保證打印數據通過區別于通用協議的本地私有協議進行傳輸;三是傳輸介質宜選用經過嚴密防護的數據電纜或光纖，防止打印數據被物理劫持。

　　4. 關于硒鼓泄密風險

　　硒鼓是打印機的核心部件之一，也是打印機泄密的主要途徑之一。防止硒鼓泄密，一是保證硒鼓中不配備任何形式的電路板和芯片，防止打印數據被非法竊取;二是硒鼓應具備靜電清除能力，當完成打印作業后，硒鼓應立即釋放殘余電荷，防止靜電殘留;三是每打印完一份文件，打印機應自動擦除OPC潛像，確保已打印資料不被二次打印。

　　5. 關于內存數據泄密

　　打印機內存負責緩存打印數據，當打印作業完成后，打印機應立即對內存進行清除;同時，打印機還應具備手動內存清除按鍵，方便用戶手動清理內存，保證打印信息的安全在打印機中的生存周期可控。

　　6. 關于存儲器泄密

　　存儲器能夠輕易地記錄打印信息，且不易丟失，是打印數據泄露的重要途徑之一。因此，廠商不應為打印機配備硬盤、存儲卡或存儲芯片等形式的存儲器，杜絕打印數據、用戶信息和主機信息被非法存儲。

　　7. 關于軟硬件安全性不可控

　　打印機主要核心部件，如硒鼓、中控等應具備自主知識產權，并為國內正規廠商自主研發、生產和制造，保證打印機硬件和耗材的安全可控。此外，打印機管理系統和驅動程序應由打印機廠商自主開發，保證打印機軟件的安全可控。

　　8. 關于固件泄密

　　固件是打印機的核心軟件，保證打印機固件安全，可以從以下兩方面著手：一是要求打印機具備對非法固件的主動識別能力，如可在固件中加入可信憑據，只有通過了驗證的固件才被允許安裝;二是當打印機檢測到非法固件時，應拒絕安裝，并立即刪除非法固件，同時向管理員發出警告。

　　9. 關于電磁輻射泄密

　　打印機工作時產生的電磁輻射可能攜帶打印信息，電磁輻射強度不達標，將使輻射電磁信息被非法獲取和復現。因此，打印機出廠時應通過嚴格的質量檢驗，保證其電磁屏蔽性能達到相關標準要求。

　　10. 關于打印管控風險

　　在重要信息系統網絡中，信息的輸出應采取集中管控模式，信息輸出點配置規則應遵循相應的原則。同時信息輸出應具備嚴格的審計程序，可從以下幾方面加以應對：一是重要信息系統網絡中的打印作業應采取集中打印和集中管理模式，保證信息輸出可控;二是采用可信打印技術。即在打印任務下發至打印機后，用戶必須在打印機端輸入密碼、指紋等可信憑據后，文檔方能被打印，且打印機在完成打印作業后應給予聲音、燈光等形式的反饋信息，以提醒授權用戶及時取走打印文件;三是打印機應具備完善的打印審計系統，且管理方便，界面友好，同時審計系統應具備明確的管理員權限劃分，且不同管理員之間應相互獨立，相互制約，分工明確;四是審計系統應具備全面、豐富的安全策略控制項，能夠對用戶的打印權限進行細粒度的審批和授權，并能夠清晰、準確地記錄用戶和管理員的打印和操作日志，便于事后溯源。