2012年行將結(jié)束，總結(jié)已經(jīng)過(guò)去的三百多天，可以說(shuō)是一個(gè)門接著又一個(gè)門，最出乎意料的是剛剛被爆出的打印機(jī)“安全門”，恐怕要讓不少重要部門的管理員坐立不安了。

據(jù)美國(guó)計(jì)算機(jī)緊急響應(yīng)小組發(fā)布報(bào)告稱，由三星制造的三星打印機(jī)和部分戴爾品牌的打印機(jī)固件中包含一個(gè)硬編碼的后門賬戶，可被黑客用于更改打印機(jī)配置，獲取敏感信息，甚至通過(guò)執(zhí)行惡意代碼發(fā)動(dòng)一步攻擊。

該硬編碼帳戶無(wú)需驗(yàn)證，遠(yuǎn)程攻擊者可以用特權(quán)管理員的身份訪問(wèn)存在問(wèn)題的設(shè)備，或是竊取打印機(jī)中的文檔，或者將打印機(jī)作為跳板，用來(lái)攻擊與它連接的電腦。

其實(shí)去年，哥倫比亞大學(xué)兩名研究人員就曾在惠普LaserJet打印機(jī)中發(fā)現(xiàn)嚴(yán)重安全漏洞，允許黑客完全控制打印機(jī)，可以通過(guò)遠(yuǎn)程命令，使打印機(jī)的熔凝器持續(xù)加熱，最終使得打印紙受熱燃燒，變成褐色，并且冒煙。

通過(guò)互聯(lián)網(wǎng)來(lái)操控用戶的設(shè)備是件非常可怕的事情，而情報(bào)和重要信息的搜集在網(wǎng)絡(luò)戰(zhàn)中已經(jīng)非常普遍，比如伊拉克戰(zhàn)爭(zhēng)中，美方就是通過(guò)互聯(lián)網(wǎng)來(lái)調(diào)取伊拉克的戰(zhàn)爭(zhēng)地圖、資料等。 #p# 

簡(jiǎn)單地說(shuō)，打印安全需要確保的主要是敏感或機(jī)密信息在打印的環(huán)節(jié)不被泄露。這其中涉及四個(gè)層面的安全：確保打印資料從電腦傳輸?shù)酱蛴C(jī)網(wǎng)絡(luò)的過(guò)程中不被他人惡意截取;確保打印好的文件不會(huì)被人有意無(wú)意取閱或拿走;對(duì)企業(yè)人員的打印作業(yè)進(jìn)行有效的監(jiān)控和管理;確保殘留在打印機(jī)內(nèi)存上的文件不被復(fù)制。

對(duì)于每一個(gè)辦公室白領(lǐng)們來(lái)說(shuō)，第二個(gè)層面的情形可能會(huì)經(jīng)常遇到，但是很少人會(huì)將它和安全聯(lián)系起來(lái)，最容易忽視的是最后一個(gè)層面，只要不斷電，即便電腦關(guān)了，打印機(jī)仍然可執(zhí)行打印命令。

此外，更容易泄密的是復(fù)印機(jī)。2002年以后生產(chǎn)的復(fù)印機(jī)都會(huì)內(nèi)置硬盤，目的是方便用戶隨時(shí)調(diào)用經(jīng)常復(fù)印的文件，而不需要原文件。硬盤容量根據(jù)不同的定位和生產(chǎn)日期，有大小區(qū)別，記憶功能相當(dāng)強(qiáng)大，能儲(chǔ)存任何經(jīng)它復(fù)印、掃描、發(fā)送過(guò)的文字、圖像，而通過(guò)特殊的軟件，只需要幾分鐘就可以將其中所有的資料傳輸?shù)诫娔X。

一家專門負(fù)責(zé)數(shù)據(jù)安全的公司就曾經(jīng)做過(guò)這樣的實(shí)驗(yàn)，結(jié)果在一臺(tái)復(fù)印機(jī)中很輕易地弄到了300 多頁(yè)個(gè)人醫(yī)療數(shù)據(jù)，還有公司財(cái)務(wù)報(bào)表，另一臺(tái)復(fù)印機(jī)中則有近400張身份證。這些資料小到個(gè)人隱私，大到企業(yè)核心機(jī)密，如果被人為泄露出去，對(duì)于當(dāng)事人無(wú)疑是重大隱患，而對(duì)企業(yè)來(lái)說(shuō)，將會(huì)帶來(lái)無(wú)法估計(jì)的損失。

現(xiàn)在在美國(guó)，絕大部分政府機(jī)構(gòu)和大型企業(yè)都有專門的文印室，平時(shí)需要打印和復(fù)印的東西一般都交給他們處理，這樣就不會(huì)導(dǎo)致信息的泄密。

新的《中華人民共和國(guó)保守國(guó)家秘密法》對(duì)政府部門信息安全做出了更嚴(yán)格的規(guī)定，要求機(jī)關(guān)、單位加強(qiáng)對(duì)涉密信息 系統(tǒng)的管理，不得“在未采取防護(hù)措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換。”

新規(guī)對(duì)政府機(jī)關(guān)單位辦公用IT產(chǎn)品的安全性提出了更加嚴(yán)格的要求。保密單位由于自己的特殊性對(duì)數(shù)據(jù)的保護(hù)也更為嚴(yán)苛一些，反而是一些中小型企業(yè)和個(gè)人，并沒(méi)有保護(hù)數(shù)據(jù)安全的意識(shí)，根本沒(méi)想到復(fù)印機(jī)硬盤數(shù)據(jù)也需要?jiǎng)h除和銷毀。一旦報(bào)廢，那些儲(chǔ)存有大量文件信息的打印機(jī)、復(fù)印機(jī)直接進(jìn)入了二手市場(chǎng)，這就可能會(huì)造成嚴(yán)重的信息泄密。

目前三星已獲悉其打印機(jī)存在這一缺陷，雖然發(fā)言人承諾將在今年年底前發(fā)布補(bǔ)丁封堵該漏洞，但可信度并不高，因?yàn)閷?duì)于安全問(wèn)題，之前廠商的態(tài)度總是很消極。

美國(guó)計(jì)算機(jī)緊急響應(yīng)小組建議使用有潛在風(fēng)險(xiǎn)設(shè)備的用戶，在連接設(shè)備時(shí)只可接受信任的主機(jī)和網(wǎng)絡(luò)，防止黑客利用封鎖網(wǎng)絡(luò)位置，通過(guò)硬編碼帳戶漏洞對(duì)設(shè)備進(jìn)行攻擊。