微软OFFICE档案图片剪裁功能隐藏风险与应处方法.PDFVIP

微軟 OFFICE檔案圖片裁剪功能隱藏風險與應處方法 一、現況說明 目前各政府機關人員幾乎都有將內部文件檔案攜出單位之需求， 而機關也都會有人工或資訊系統審查機制來檢查這些被申請攜出的 檔案內容，惟有心人士可能會經由使用Office應用程式內建所提供 截圖功能，將機敏資料隱藏於截圖內 ，就可輕鬆規避現有檢查機制缺 漏 ，成功將單位內部資料藉此途徑流出 ！ 二、功能說明 微軟公司從 Office 2003起即支援圖片裁剪(crop)功能，方便使 用者修剪並有效地移除不必要的圖片部分，讓圖片呈現使用者想要的 樣貌，並使文件編排更美觀。惟該功能僅將原圖片被使用者剪裁的部 分忽略不顯示於文件中，而該圖形檔實際大小檔案實際上還存在於文 件檔中，讓使用者可再次調整剪裁大小 。 三、隱藏風險 如下圖 1某一 Word檔內容所示，該圖片為搭配該篇文章內容的 圖示，看似正常也 非常切題，若該文件為某機敏機關人員申請攜出單 位之文件，也往往可以輕鬆地通過文件審核人員檢查並成功帶離單位 內部 。 1 圖 1使用片剪裁功能之 WORD檔 然經選取該圖片並使用如下圖 2所示 【圖片工具/格式/剪裁】後 ， 即可發現該圖型為一個使用剪裁功能並僅呈現其中部分區域， 其真正 企圖為隱藏其餘大部分之機敏資料！若單位內部文件檔案審查人員 沒有使用前述步驟逐一檢查或沒有使用程式自動檢查及過濾每個文 件檔內的圖形 ，有心人士即可使用此 Office應用程式提供之內建功 能，將機敏資料隱藏並輕鬆攜離單位！ 2 圖 2 套用 圖片工具【 /格式/剪裁 】功能可看見原始大小圖片 待檔案攜出機關後，如下圖 3所示，使用者只要在該圖片上使用 剪裁功能，並調整剪裁區域到顯示原圖片大小，即可完整另存該圖片 檔 。 3 圖 3調整剪裁區域後恢復原圖大小 四、應處作為 由於圖片剪裁為微軟 Office 系列應用程式所提供內建功能，故 無法禁止使用者使用該功能；此外，由人工逐一檢視每個Office檔 案內的每張圖片，往往曠日廢時又容易因檔案太多或過而造成疏漏！ 故使用程式 執行自動檢查為較有效率及避免人工疏漏之作法。具體應 處作為建議及優缺點分析如後： (一). 使用轉檔程式將 Office 文件檔一律轉換成PDF檔 4 1. 優點：一旦轉換成 PDF檔後，僅會保留原始檔剪裁過的圖 形部分，餘未顯示餘頁面上的圖形區域將無法還原。 2. 缺點：需購入轉PDF檔案商用軟體，如 Neevia ；另經轉 成PDF檔後，將無法使用原Office檔案所提供之功能， 如 PowerPoint動畫。 (二). 撰寫檢查剪裁偵測程式 如下圖 4所示，若欲使用程式偵測 Office檔案中是否包含剪 裁圖片，以Word檔案為例，只要使用 ActiveDocument.InlineShapes 先列舉檔案中的圖片檔於迴圈內， 再取出並判斷 ActiveDocument.InlineShapes[X].PictureFormat 類別的 CropTop 、CropBottom 、CropLeft及 CropRight的值是 否都為 0.0 ，若有任一值不為0.0 ，則該圖就為一剪裁圖片。 圖 4 PictureFomat 類別 4 大屬性代表意義 偵測 Word檔案是否包含剪裁圖片並儲存所蒐尋到剪裁圖片 之原始圖片檔之 C#程式碼片段如下圖 5所示 ；此程式碼片段適 用於呼叫 COM 元件操作 Office 文件檔案及 VSTO (Visual Studio 5 Tools for Office)開發專案等方式 。 圖 5 偵測 Word檔案中是否包含剪裁圖片並另存原始圖於新檔中 使用程式方法