办公打印机多为国外产信息安全隐患不容忽视
珠海赛纳打印科技有限公司助理总裁臧晓刚告诉记者,多年来,打印机的核心芯片技术被日本、美国、韩国的少数企业垄断。当前市场上的主流品牌有日本佳能、美国惠普、施乐、利盟以及韩国三星。这种情况很容易对我国信息安全造成威胁。
臧晓刚说,打印机在工作过程中,主要有三个环节极易造成信息泄露:一是存储器的泄密,打印机在工作过程中,首先要将信息输入内置硬盘或者存储器中,但是绝大多数厂家并未内置数据删除程序,导致在硬盘或者存储器弃用后,仍然能对数据进行读取,或者利用远程控制转发数据;二是网络的泄密,共拓打印机病毒或者直接盗取打印机信息,通过网络传送出去;三是耗材芯片的泄密,无论是喷墨打印机的墨盒还是激光打印机的硒鼓,都内置了一个“小芯片”,将信息写入芯片,通过回收用完的墨盒、硒鼓进行数据读取。
2011年,哥伦比亚大学两名研究人员就曾在美国著名品牌激光打印机中发现严重安全漏洞,黑客可以控制打印机,甚至可以通过定影装置长时间加热引燃激光打印机。
2012年,美国计算机紧急响应小组(US-CERT)发布报告称,三星的激光打印机存在一个后门管理员账户,该账户被硬编码在打印机固件(SoC芯片)中,无需验证就可通过打印机的网络管理协议被访问。可被黑客用于更改打印机配置,获取敏感信息或通过执行恶意代码发动攻击等。
国产打印机“叫好不叫卖”呈现“外冷内热”
使用国外打印机存在信息泄密的风险,但另一方面,具有自主核心技术的国产打印机在国内却面临“叫好不叫座”的尴尬局面。
据悉,珠海赛纳打印科技股份有限公司于2009年研发出我国第一台有自主核心技术的激光打印机,打破了美、日、韩对打印机产业近30年的技术垄断,也使中国成为全球第四个掌握激光打印机核心技术的国家。该公司研发的奔图打印机进入市场后,在20多个国家建立了销售和服务网络,已在以色列、南非、俄罗斯等国家占据了市场领先地位。然而,在国内市场却连年亏损,市场份额不到2%。据分析,具体原因有三点:
一是国内市场的强大用户惯性。新进入市场,品牌知名度不高,在旧产品没有明显缺陷的情况下,消费者对于购买新产品的主观意愿不强烈。特别是使用财政资金进行购买的客户,首先考虑安全,“这个产品不要出问题,在市场上已经久经考验,甚至是行业市场上排名第一,就算出了问题,也不用负责任。”北京奔图科技有限公司大客户总监沈宇说,“这对新创的产品是巨大的门槛。”
二是国外竞争对手的联合打压。打印机市场主要是销售代理模式,基于已经存在的利益关系,代理商不愿意代理新产品。沈宇说,代理商通常是“集成销售”,除了提供打印机外,还会提供电脑、路由器等综合解决方案等。“在一次和某代理商的沟通中,对方还请我理解,因为一旦将打印机从惠普更换成奔图,那其他产品的代理也会遇到阻力,惠普就会终止其所有产品的代理协议,以此要挟。在商言商,我们也理解。毕竟给机构客户供应产品的供应商,不是一次性交易,供应商的排他性很强,形成了一些供应商的垄断。品牌价值越大的,他们越不敢得罪。即使做奔图让利更多,他也不敢做。”
三是政府采购流程天然对新创产品不友好。沈宇告诉记者,政府采购公开招标采用综合评分法,包括技术分和商务分。技术分方面,国外打印机企业已经进入到我国招标标准制定环节。由于采购者是“门外汉”,制定招标书时会征求各大供应商意见,最后的技术参数基本上就是由已经有垄断地位的几大国外供应商制定,奔图提出的技术参数不被接受。在商务分方面,主要考核市场占有率,作为后进入品牌,奔图市场占有率只有2.8%,完全没有优势。综合两者,尽管是国内自主研发的产品,但在进入国内市场的过程中困难重重。
强化采购执行力度保障信息安全
斯诺登事件折射了当前国际社会信息安全“暗战”愈演愈烈的趋势。在办公信息化领域,美国及日本政府均通过政府采购的手段,对非本国货物设置严格的市场准入限制,来维护本国的信息安全和经济利益。
2006年3月,美国国务院经招标确定采购联想集团价值约1300万美元1 .6万多台计算机设备。美中经济安全调查委员会以“会对美国国家安全产生灾难性后果”为由提出强烈反对,并将意见提交国会。最后,美国政府调整了原来的采购计划,在联想与美国国土安全部签订的安全协定上又多加了限制条件,要求联想在参与美国的政府采购时,不得以任何形式索取、接受、维护、鉴别有关美国政府定购电脑产品的用户信息,同时还宣布将会修改政府采购流程。
IB M的台式计算机曾一直是日本防卫厅采购目录的“注册厂商”,也曾经是日本防卫厅重要的计算机设备提供者。但IB M的台式计算机部门被联想收购后 , 日本防卫厅 在2006年4月,以防止“中国制造”的台式计算机“渗透”而造成“泄密”为理由,拒绝接受联想生产的IB M品牌台式计算机,从此联想彻底无缘日本防卫厅电脑采购招标。
为保障我党政军系统的信息安全,珠海赛纳打印科技有限公司创始人、CEO汪东颖建议强化对国产信息类产品的采购执行力度。一方面要在不违背WTO的前提下进行政策设计,明确“本国货物”的认定标准及量化指标,建立信息安全标准化体系和政府信息类产品采购指南。
另一方面强制要求各部门在国产产品能够满足应用需求时,必须采购并优先采购目录内的产品;因技术原因确需采购非本国货物时,必须按照有关规定报相关部门审批,同时该产品也必须通过国家的信息安全检测认证,并以此为对价,要求国外厂商开放涉及信息安全的关键技术。(记者 扶庆 刘国政 李芮)