采购的"民族品牌"打印机，芯片里却藏着一个后门

采购的"民族品牌"打印机，芯片里却藏着一个后门

某省级单位的年度信息化采购项目经过公开招标，最后中标的是国内一个知名品牌——大家都挺满意。不但是国产的，还号称"自主知识产权"，价格也比进口同类产品便宜不少。

打印机、复印机、扫描仪一共采购了两百多台，配发到各个处室。用了几个月，质量确实不错，打印清晰，故障率低，售后服务也跟得上。

但谁也没想到，这批设备里藏着一个后门。

事情的发现过程非常偶然。一次例行的网络安全检查中，检查人员注意到有一批打印机在非工作时间向外发送了异常的网络数据包。这些数据包加密了，内容不可读，但目的IP指向了境外的一个地址。

这个异常太小了，小到常规的网络监控几乎不会注意到——因为数据量很小，一次只有几十个KB，而且发送时间随机，不像是恶意程序的刻板行为。

但安全检查人员的专业意识让他们没有放过这个"小异常"。经过连续数周的数据包抓取和深度分析，他们有了一个令人不寒而栗的发现：这批打印机正在定期向境外服务器发送数据，发送的内容包括打印任务日志、复印扫描文件的缩略图、还有打印设备连接的内部网络拓扑信息。

更深入的分析发现，问题的根源不在打印机的软件系统里，而是在打印机的硬件——一块看似普通的控制芯片中，被预先植入了"后门"功能。这块芯片是打印机核心部件之一，负责管理打印任务队列和数据传输。

问题是怎么发生的？经过安全部门和公安机关的联合调查，真相浮出了水面。

设备厂商的一名高级技术工程师在出国参加行业展会时，被境外情报机构的人员威胁利诱。对方以他海外留学的子女为要挟，逼迫他在负责生产质量管控的环节中，将一批植入了后门程序的芯片混入了正常生产流程。

这批"问题芯片"在出厂检测中难以被识别——因为后门程序只在特定条件下（比如接收到特定的网络指令时）才会被激活，平时不产生任何异常。

而国内的采购方，包括这家省级单位，对供应商的审查仅限于企业资质、产品认证和合同条款。对于芯片级的硬件安全，几乎没有检测能力。

常见问题解答

问：国产产品就安全了吗？
答："国产"不等于"安全"。国产化提供了技术自主可控的基础，但安全还需要对整个供应链进行系统性的管控——从芯片设计到元器件采购，从生产制造到运输安装，每一个环节都需要安全保障。

问：采购涉密设备时需要注意什么？
答：涉密设备和产品的采购需要经过安全审查。采购前要对供应商的安全资质进行评估，合同中要有明确的安全责任条款，设备到货后要进行安全检测。涉及核心安全的产品，还可能需要送交专门机构进行安全检测。

问：什么是供应链安全？
答：供应链安全是指在产品从设计、采购、生产、运输到交付使用的整个链条中，确保产品没有被植入恶意功能、未被篡改或替换。对于关键信息基础设施而言，供应链安全是国家安全的重要组成部分。

问：作为普通使用单位，怎么防范硬件供应链风险？
答：选择有安全资质的供应商，采购经过国家安全审查的产品，建立设备安全管理制度，对重要设备进行定期的安全检测和审计，发现异常及时报告。

这起事件在安全行业内部引起了不小的震动。一位资深安全专家在分析会上说："以前我们谈打印机安全，主要是怕硬盘数据泄露、网络端口被利用。现在这个案例告诉我们，在芯片这个层面上，你买回来的东西可能根本不是你看到的那样。"

供应链安全的挑战在于：使用单位很难验证设备底层硬件是否干净。你不能拆开每一台打印机检查每一块芯片。你能做的，是从采购制度、供应商管理、安全检测、持续监控等多个维度降低风险。

而对于那些将涉密信息托付给电子设备的单位来说，信任不能代替控制。你信任一个品牌，信任一个厂商，但你不能因此放弃对设备的持续管控。