多种安全PC方案
以TPM安全芯片为基础,PC厂商发展出多种安全PC方案,这些方案结合了客户端安全管理软件,实现了对文件的加密、用户认证、用户权限管理等功能,而加密信息就保存在TPM芯片内,如果结合指纹加密技术,数据安全就可以得到充分的保证!因为即便是硬盘失窃,窃取者也无法读取经过加密的敏感信息;若失窃的对象是笔记本整机,盗取者同样无法通过指纹验证来解密相关的数据。倘若用户要对一大批文件进行保护,一一加密解密显然过于繁琐,应用TPM芯片的安全PC同样提供了一个理想的解决方案:借助客户端软件,用户可以在已有的分区中划出一部分空间虚拟成独立的分区,这个分区也拥有独立盘符,但它并不需要对硬盘的物理分区结构作任何改动,也不必修改硬盘分区表,并且在不需要的时候可以随意删除,使用起来非常方便。用户可以将需保护的文件都存放在这个虚拟分区内,虚拟分区对应的镜像文件则由TPM安全芯片进行加密,即便入侵者获得整个镜像文件,也不可能将其中的信息破解。
图5 联想开天M400S(左)、方正君逸M500(中)、同方超翔G(右)都是安全电脑中的典型代表
多数安全PC产品都实现了TPM与Windows 文件加密系统(EFS)的无缝连接,底层的加密密钥处于TPM
芯片所提供的硬件加密保护之下,确保坚固可靠;上层的应用软件则与Windows
操作系统相集成,用户通过鼠标右键菜单就能实现文件/文件夹的加密或者解密,使用起来相当方便。而如果TPM保护的文件要与外部应用进行数据或者命令交互时,除了会对操作者的身份进行验证外,还会对整个通讯链路进行传输加密,以避免传输的信息在内存中被窃取。
基于TPM的安全PC在国内市场较为常见,如联想的开天安全电脑、方正君逸M500、同方超翔G以及浪潮英政3600安全电脑都是其中的典型代表;这类安全电脑主打商用和政府采购市场,以使用安全为卖点—事实上,对于普通家用电脑而言,TPM安全技术也有着积极的意义,借助这项技术,用户可以将一些家庭财务、银行帐号之类的敏感信息存放在TPM加密文件夹或者加密分区内,既方便管理也无须担忧信息会外泄,相信随着时间的推移,TPM安全芯片也会进入家用PC系统。
TPM是一项标准化的方案,除此之外,还有一些品牌厂商开发出专有的安全技术,基于硬盘管理的安全隔离技术就是典型的代表。这类安全PC使用了安全隔离卡,通过隔离卡可以实现多用户引导和多网络的隔离,这种多用户引导与多系统是完全不同的概念,它是指可以在PC中建立三个可引导的区域,使用时只激活一个主分区,其他的引导区则被保护起来不能访问,每个用户也只能访问属于自己的硬盘空间,彼此信息完全隔绝。在此基础上配合多网隔离卡,就能够构建绝对隔绝的操作环境,例如外网、内网和专用网络的隔离,这样就能够保证敏感信息的使用安全。其次,这类安全PC还可支持底层的硬件加密,所有的数据都由嵌入式处理器采用64/128位算法进行硬件级的加密,其安全等级甚至高于TPM保护机制,而且加密解密速度极快,不会影响到正常的使用。另外,用户可以为硬盘设立不同的权限设置,并通过登陆口令进行身份认证,使得用户身份与权限能够一一对应,这样就可以避免来自企业内部的信息窃取。与TPM安全芯片类似,这类专有的硬件加密技术也可支持硬盘镜像划分,在客户端软件和嵌入微处理器的帮助下,用户可以将硬盘划分为工作区和镜像区,镜像区可实时保存工作区的所有内容,即便计算机系统遭病毒破坏、误格式化导致数据丢失或者系统无法启动,那么用户只要重启电脑就能够将数据立即恢复,比现在的Ghost镜像、一键恢复机制更具实用价值,而且有效减轻了系统维护工作。因此对于注重安全性的企业用户来说,选择上述安全PC产品可以在很大程度保护自身的使用安全。(下一页)
网友评论