打印机复印机数据残留风险

在企业的信息安全检测中，有一个设备经常被忽视，就是打印机和复印机。几乎每家公司都有好几台打印机或者多功能一体机，它们分布在办公区、打印室、领导办公室旁边。大家天天在用，但很少有人想过这些设备里存了多少数据。我在这里可以很负责任地说，打印机和复印机是企业信息泄露的一个大盲区。

先讲一个真实的案例。几年前我去一家企业做检测，项目完成后和他们的行政人员聊天，无意中说到打印机的事。行政人员说办公室新换了复印机，旧的要处理掉。我说旧的复印机里应该还有数据吧。他说不可能，一个打印机还能存什么数据。我说那我们看看吧。结果接上电脑一扫描，旧复印机的硬盘里找到了几百份文档的扫描件，包括公司内部的合同扫描件、员工的身份证复印件、某项目的技术方案、还有高管的护照复印件。在场的人都傻了。这些文件在复印机的硬盘里躺了不知道多久，打印机淘汰了也没人想过要清除。

这就是打印机和复印机数据残留问题的真实写照。

现在的多功能打印机和复印机，已经不是单纯的打印设备了。它们本质上是一台集成了扫描、打印、复印、传真功能的联网计算机。它们有CPU、有内存、有操作系统、有硬盘或者固态硬盘。它们在工作的过程中，会产生大量的数据残留。

我先说说数据都残留在哪几个地方。

第一，内置硬盘。这是数据残留最多的地方。中高端的打印机和复印机都内置了硬盘，用来暂存待打印的文档、扫描的图片、传真的文件。每次打印任务，计算机把打印数据发送到打印机，打印机把数据写入硬盘，然后再从硬盘读取出来打印。打印任务完成后，这些数据并不会自动从硬盘上删除。很多打印机默认会把打印任务的数据保留在硬盘上，供用户重新打印或者查询历史任务。如果没有人手动清理，这些数据会一直存在。一台使用几年的打印机，硬盘里可能已经积累了数万份文档的备份。

第二，内存缓存。打印机在执行打印任务时会先把数据写入内存缓存，再转存到硬盘。在断电或者重启后，内存缓存里的数据会被清空，但在正常运行时，通过特定的方式可以读取内存中的数据。有一些数据可能还没有来得及写入硬盘就被读取了。

第三，传真数据。虽然现在用传真的人少了，但打印机上的传真功能仍然存在。传真数据是以图片形式存储在打印机硬盘里的，同样不容易自动删除。

第四，网络日志。打印机会记录所有的打印日志，包括什么时间、谁发起的打印任务、任务名称是什么、打了多少页。这些日志信息反映了员工的办公行为和工作节奏，具有情报价值。

第五，临时文件和缓存文件。操作系统的临时目录、打印队列缓存、系统日志文件，都有可能包含敏感信息的片段。

那为什么数据会在这些地方残留呢？原因有几个方面。

第一是设计使然。打印机的设计初衷是确保打印任务能够成功完成，而不是保护数据安全。很多厂商在设计时就默认把打印数据保留在硬盘上，以便用户遇到打印失败时可以重新尝试，或者需要重新打印某个文档时不用再从电脑发送。有些高端机型提供了数据自动删除的选项，但默认是不开启的，很多IT管理员也没有注意到这个设置。

第二是维护不当。很多企业买了打印机之后，就只管换墨加纸，从来没想过要对机器里的数据进行定期清理。打印机的管理面板很多人也不熟悉，不知道在哪配置硬盘覆盖写入、自动删除、加密存储这些安全功能。

第三是处置环节的疏忽。打印机报废或者淘汰时，很少有人想到要给打印机"做数据清除"。大家知道自己淘汰电脑之前要把硬盘拆了或者做数据销毁，但换打印机的时候脑子里根本没有这个概念。结果就是旧打印机在二手市场流通，里面的数据也一起流通了出去。

那怎么防范打印机复印机的数据残留风险呢？我分几个层面来说。

第一层面，采购选型阶段就把安全考虑进去。在采购打印机和复印机时，明确要求设备必须支持硬盘数据自动加密和任务完成后自动擦除的功能。现在主流品牌的中高端机型基本都支持硬盘加密和覆盖写入，但要注意的是这些功能通常需要在管理面板里手动开启，不做配置就是不加密。所以采购时要确认这些功能可用，并且在部署时完成配置。

第二层面，日常使用中的安全配置。打印机的安全配置是很多IT管理员的知识盲区。下面这几项是必须做的：开启硬盘数据自动加密，这样即使硬盘被物理拆走，没有密钥也读不出数据；开启任务完成后自动删除临时数据的功能，减少数据在硬盘上的停留时间；设置管理员密码，防止未经授权的人员登录打印机管理界面查看或者导出数据；开启打印日志功能，但设置日志自动清理周期，避免日志积压；关闭不需要的协议和服务，比如FTP、Telnet、HTTP等可能被利用的服务。

第三层面，设立定期的数据清理制度。对于高安全需求的企业，建议定期对打印机硬盘进行数据清除。清除的方式有两种。一种是软件清除，通过打印机管理界面执行安全擦除或者覆盖写入。有些机型支持DoD 5220.22-M标准的数据清除，会多次覆盖写入，确保数据无法恢复。另一种是物理销毁，把硬盘从打印机上拆下来，物理销毁或者加密粉碎。对于高安全级别的打印机，建议在打印机达到使用年限后直接物理销毁硬盘。

第四层面，打印机的报废和回收管理。打印机处置和电脑处置遵循同样的数据销毁流程。退役的打印机必须先做数据清除，才能进入回收或者二手处置流程。对于手动清除硬盘数据不放心的，可以直接把硬盘拆下来另做销毁，然后和打印机管理方确认数据已经彻底清除。所有的处置过程要有书面记录，包括设备编号、处置时间、处置方法、执行人、验证人。

第五层面，打印安全文化的建立。管理层要意识到打印机也是信息安全的一部分，给员工的培训中应该加入打印安全的内容。引导员工养成安全打印的习惯：敏感文档不要使用共享打印机打印，尽量使用有密码保护的打印功能；打印完成后立即取走打印件，不要留在打印机上过夜；纸质扫描件的电子版要妥善保管，不要存储在打印机的共享文件夹里。

还有一些容易被忽略的细节。有些打印机支持将扫描件直接发送到电子邮件或者网络文件夹，这些功能使用方便，但也带来了数据流转路径的不可控。要确保这些路径的传输是加密的，目标邮箱和服务器是受控的。另外，外置存储设备通过USB接口连接打印机来打印或者扫描文件，这个场景也要注意控制，有些打印机的USB接口默认是开启的，任何人插上U盘都可以打印或者扫描。

最后我想说一个在安全圈里流传很广的观点。如果一家企业的安保做得非常好，门禁严格、访客管理到位、会议室做了防窃听、网络安全防护很严密，唯独打印机复印机没有做任何安全加固，那这家企业的安全体系就好像一个武装到牙齿的堡垒，却在墙上留了一个对着打印机的小洞。攻击者可能不费吹灰之力，就从打印机里拿到了想要的资料。

北京企密安信息安全技术有限公司 咨询热线：010-63711822