三是电磁屏蔽效能不达标造成信息泄露。办公自动化设备在正常工作时,必然会产生一定量的电磁辐射,这种电磁辐射可能携带处理的作业信息,如果其电磁屏蔽效能不能达到相关标准要求,则设备工作过程中向外界辐射的电磁能量相对较高,攻击者通过特定装置就可以捕获和分析这些电磁辐射信号,进而将真实的作业信息提取和呈现。
3 防范措施
针对办公自动化设备可能存在的上述安全保密风险,可以从以下5个方面采取相应的措施予以防范。
一是严格划分办公自动化设备的密级,不将涉密的办公自动化设备接入非涉密网、连接非涉密计算机;不在非涉密的办公自动化设备中打印、复印、扫描和处理涉密信息和其他敏感信息。
二是及时关注办公自动化设备的安全漏洞信息,在进行固件升级时,应从设备官方网站下载或联系设备官方售后支持人员获取系统固件升级包,并在安装前通过哈希值和数字签名等方式对固件文件进行校验,在校验通过并确认安全后再行安装。
三是在涉密办公自动化设备启用前,应对其硬件组件和内部机械结构进行全面检查,保证其不具备Wi-Fi、蓝牙等无线通信模块,确保其机械结构未进行非法改装。如果存在无线通信模块,应在拆除后再用于处理涉密文件;如果存在机械结构被改装的迹象,应立即停止使用,并妥善封存备查。此外,通过有线网络连接涉密办公自动化设备时,还应按照涉密信息系统安全防护的有关技术要求,采取必要的安全保密防护措施。
四是涉密办公自动化设备的维修维护要严格遵守相关保密规定,不购买和使用来历不明或非正规渠道采购的配件;更换设备配件后,应对可能留存敏感信息的旧配件(如内置硬盘、硒鼓等)进行妥善销毁处理。
五是在采购办公自动化设备用于处理涉密信息时,应仔细查验该设备是否具有国家相关检测机构出具的检测合格证书和检测报告,并查验其电磁泄漏发射防护等级是否满足相关涉密等级要求。
4 结语
信息安全防护是一项复杂的系统性工程,任何地方出现纰漏,都有可能危害企业利益,甚至国家安全。办公自动化设备作为处理涉密信息不可或缺的生产力工具,其安全问题不容忽视。本文对常用办公自动化设备自身存在的固件风险、数据传输风险、配件风险和合规性风险等常见安全问题的成因和泄密途径进行了分析,并提出了相应的安全防护措施。工作人员在利用办公自动化设备处理敏感信息时,可参考本文提出的相关措施予以防范。
(原载于《保密科学技术》杂志2023年4月刊)