扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:神农 来源:比特网 2008年11月19日
关键字:
引言
笔记本电脑在运输途中,比如在出租汽车、地铁、飞机上,经常会被遗失;在停放的汽车、办公桌、会议室甚至是家里,也常发生笔记本电脑被外贼或者家贼盗取;在笔记本电脑故障送修时,硬盘上的数据就完全裸露在维修人员面前……笔记本上存储的商业秘密或财务和客户数据,其价值往往超过笔记本本身的价格,重要机密的泄露有可能使公司的业务完全陷于停滞,甚至引发各种法律问题。如何保护笔记本电脑数据安全?
一、 笔记本电脑数据保护现状
笔记本丢失现象非常普遍。据Accenture等有关机构的报告,笔记本电脑由其所有人最后丢失的比例占10%~15%。2008年7月5日美国信息安全研究机构Ponemon Institute公布了对美国106个主要机场和800名商务人员的调查报告。报告显示,每周有1.2万部笔记本遗失在美国机场,每个机场每周平均丢失286部。据估算,美国每年有60万部笔记本电脑被遗忘在机场,其中只有30%物归原主。77%失主对丢失的笔记本不抱任何希望,16%表示在事发之后不会采取任何措施。53%称笔记本内含有机密信息,但65%的都没打算好好保护。
笔记本上往往存有个人隐私信息、公司商业机密等重要数据。2006年,全球知名咖啡连锁店星巴克公司有四台笔记本电脑下落不明,其中两台储存有约六万名现职及前任雇员的个人资料,包括姓名、地址及社会福利号码等,和过去三年的数据纪录,另外还有八十名加拿大员工及外判商的数据。同年4月,富达投资公司一台笔记本电脑失窃,导致其客户惠普公司的19.6万现有员工和以前员工的相关资料,包括员工姓名、地址、社会保险号、生日和其他一些与员工有关的资料泄漏。
遗忘是人大脑的一部分机能。每个人都会遗忘,这导致遗失物品的现象发生。笔记本丢失现象,只是人的大脑遗忘机能的一个反映。虽然从理论上讲可以通过加强安全防范意识来减少,却无法绝对避免笔记本丢失。要想通过非技术手段来杜绝笔记本丢失,从而避免笔记本数据泄露,是不可能完成的任务。许多单位制定了保密措施,靠各项规章制度来保障。但即使有这些制度,很多时候业务的需要也不可避免将笔记本带出公司。随着移动办公、家庭办公的推广和普及,笔记本电脑的大量使用,笔记本被带出公司的情况越来越多,笔记本被丢失的情况也必然会越来越多。
比笔记本电脑丢失更为严重的是,笔记本上的数据被无意或者有意泄露,被不法分子利用,成为重大灾难的源头。在我国,军队、政府、设计院所等机构比较重视数据数据保护,而其他很多本应有数据安全需求的行业并没有重视。笔记本电脑的普通用户,应用最多的是添加操作系统登陆密码。虽然这个方面简单易懂,但由于它是建立在软件层,很容易被破解,任何非专业人士,只需要在网上下载一个破解工具,就轻而易举地获得了硬盘里的资料。就连微软最新的Windows Vista操作系统,其系统登陆的密码,也仅需一张Vista安装光盘既可破解。
二、“专业”的笔记本数据保护方案及其弊端
市场上常见有宣传,说是能保证笔记本数据安全,经笔者统计,主要有智能卡插槽及防盗锁插槽(智能卡插槽以支持用户外接式的智能卡解决方案。而防盗锁插槽是在机壳设坚固的环扣)、BIOS锁、硬盘密码锁、指纹识别系统等,具体情况如下:
1、防盗锁
常见的笔记本防盗锁开锁方式分为密码控制型和钥匙控制型。此锁技术含量偏低,易被破解。无人之处只要一柄钢筋钳即可(德国进口的只要20cm长,非常便携),绝大多数的本本都有此装备(只要是配置安全锁口或安全插槽的)。
2、设置密码,例如BIOS密码、屏保密码、文件密码。 缺点:仅靠1~8位的英文或数字组合的密码,对于专业人员来说都是极易破解的。
3、指纹识别系统
原理:利用用户预先存储的指纹样本来替代记忆繁琐、容易丢失的密码,检入速度更快。缺点:属于最新研发的技术,因而价格昂贵,应用于民用产品尚属初期,稳定性还需改善,例如用户指纹遇到破损的情况将增加检入的难度。
第2种和第3种保密措施的原理见图1:
图1. 密钥验证的原理 图2. 最简单的破解方法
这些保密措施一般只是验证用户提供的验证识别是否正确,没有将验证识别与用户数据通过加密等方法捆绑起来,但很容易被破解,其安全性非常有限。只需简单地修改系统运行流程即可实现破解,其原理图见图2。即使能够做到无法破解(从理论上看,根本无法做到),也有其致命弱点,即只能保证在没有合法授权(如没有合法的指纹输入等)的情况下,其他用户无法启动计算机,但无法防止存储在磁盘上的数据不被泄密——其他用户只需将该笔记本上的硬盘挂到其它计算机上,即可轻易拷贝其中的数据。这两种方法只是限制了其他用户使用该计算机,却无法防止存储在该笔记本上数据的泄密。
4、第三方软件加密,例如Smart Card(智能卡)、U锁、i-Key
原理:通过一张带有存储功能的识别卡或电子密匙来对信息进行加密。 缺点:卡片一旦丢失,用户无法自行处理,只好拿着笔记本电脑去找维修部门处理,花费不小、耗时较长。
5、内置安全芯片,例如IBM的嵌入式安全子系统(ESS)2.0
原理:芯片级安全技术是目前最安全的系统保护措施之一。这种内置于主板之上的新型安全芯片将本本的安全、加密和密码管理等验证信息储存在内,实际上是将这些信息与笔记本绑定。缺点:一旦忘记自己设置的密码,即使IBM也无回天之力,硬盘中的数据肯定是无法恢复了。从费用上看,这是一种贵族消费,会大大地增加笔记本的成本,使得多数有保密需求的笔记本用户不愿采用,从而无法推广普及。
6、设想这样的动能:在电脑开机或者是被拆解的时候,如果不在规定时间内输入特定的指令,笔记本电脑就将采取极端措施。对笔记本电脑中的数据进行不可逆转的销毁,这不失为一种最终极的手段。只是这种笔记本数据自毁技术还没有被开发出来。
三、磁盘全盘加密系统已经成为主流
IBM专业服务器采用磁盘加密技术、专业硬盘厂家生产加密硬盘、存储设备厂商把数据存储和磁盘加密相结合……一种成熟的技术已经在国外广泛地使用,这就是“磁盘加密系统”。 经笔者对全球市场调查,目前在美国、日本、欧洲等发达国家广泛采用硬盘加密软件,来保护移动设备的数据安全。
国外的大公司非常重视笔记本数据安全,在所有带出公司的重要笔记本都已采用这种以磁盘加密技术,对整个硬盘(HDD)进行加密处理的产品,防止笔记本在丢失的情况下数据被窃取。在中国,有一些外资企业使用了磁盘加密软件,但这些软件均来自国外加密软件厂商的。中国国内只有北京亿赛通科技发展有限公司有这样的磁盘加密软件。
全球市场上常见的磁盘加密软件如下表:
产品名称 | 厂商国别 | HDD加密 | 备注 |
ProtectDrive | 美国 | ● | 全球第七大安全公司safenet |
SafeBoot | 荷兰 | ● | 被MaceFee并购 |
PointSec | 瑞典 | ● | 被美国的CheckPoint并购 |
SecureDoc | 加拿大 | ● | |
CompuSec | 新加坡 | ● | |
DiskSec | 中国 | ● | 北京亿赛通——中国专业数据泄露防护(DLP)产品提供商 |
使用磁盘加密软件之后,用户就不必判断哪些数据经过加密、哪些没有加密,因为整个硬盘都经过了加密,这可以保护硬盘上的所有内容。
用户可能担心全盘加密软件会笔记本电脑性能降低,其实这种担心是没有必要的。经调查发现,目前该类软件最大降低效率小于原有效率的10%。从用户角度来看,性能基本不受影响。安装磁盘加密软件后,给用户操作上带来明显不同的,只是在系统启动时以及笔记本电脑处于休眠时。
四、 全球最专业、最安全的笔记本数据保护产品-DiskSEC
DiskSec?通过拦截操作系统或应用软件等对硬盘数据的读写请求,实现对磁盘数据的实时加密和解密操作,当系统向硬盘写入数据时,DiskSec?首先获得控制权,对要写的数据进行加密操作,然后将数据写入硬盘的指定位置。反之,当程序读取硬盘数据时,DiskSec?同样能够获得优先控制权,到磁盘的指定位置读取数据并进行解密操作,然后将解密后的数据提交给相应的程序。这样,在操作系统或应用软件看来,磁盘上存储的数据和未加密时的数据完全一样,能够以正常的方式直接使用磁盘数据,如同磁盘上的数据未加密一样。同样,用户也感觉不到DiskSec?的存在,不改变任何习惯而直接使用计算机。
在计算机上安装DiskSec?后,计算机的启动过程会被改变,图3给出了在安装DiskSec?的情况下,计算机的实际启动过程。
由于磁盘数据被加密,要想使用磁盘数据,必须对其进行解密操作,为方便用户操作和不改变用户的计算机使用习惯,DiskSec?采用的是动态加密和解密的方法,在操作系统和磁盘之间安装了一个数据加密和解密程序,该程序不需要用户的干预,自动对存储到磁盘的数据作加密运算,对从磁盘读取的数据做解密操作,用户在正常使用计算机的时候,根本感觉不到DiskSec?的存在。图3给出了DiskSec?采用的动态加密和解密的原理。
图3 DiskSec?采用的动态加密和解密的方法
DiskSec?采用的是国际流行的加密算法,且有多种加密算法供用户选择。根据现代密码学的原理我们可知,在没有密钥的情况下,即使破解者在知道加密算法等各种前提下,要想解密加密后的数据,也是非常困难的。当用户设置的密钥长度达到16个字符以上时,在现有计算机运算速度的条件下,从理论上分析,要想解密加密后的数据,所需的时间也是以百万年为计数单位的。
在用户输入密钥,正常启动计算机的情况下,存储在磁盘上的数据对用户是透明的(即在用户看来,存储在磁盘上的数据是明文)。因此,DiskSec?无法防止在计算机正常使用的情况下,其他用户从网络等传输媒介拷贝用户的资料。DiskSec?只适用于在计算机关机、休眠以及丢失的情况下。从DiskSec?的原理可知,磁盘上存储的所有数据均是加密的,在计算机关机或休眠的状态下,要想解密磁盘上的数据,必须输入密钥。安装DiskSec?之后,即使笔记本丢失、被盗或者送到维修处,也能够确保计算机中的数据不被泄密。
经DiskSec?加密磁盘的数据安全完全依赖于用户设置的密码,在密码丢失的情况下,磁盘上的数据将无法回复,即使是生产该软件的亿赛通公司也没有任何办法。因此,用户在使用DiskSec?时,一定要记住自己设置的加密密码。
由于经DiskSec?加密后的磁盘数据完全依赖于用户设置的密码,为了防止破解,DiskSec?不在磁盘上存储用户的密码,它存储的只是用户密码的单向散列值(根据现有密码学理论可知,通过散列值是无法逆推出用户密码的),以便比较用户密码的正确性,方便用户的使用。事实上,DiskSec?完全可以不在磁盘上存储任何与密码相关的信息,只要用户输入密钥就继续执行。在这种执行流程下,用户只有输入的正确的密码,DiskSec?才能正确解密磁盘的数据。否则,DiskSec?“解密”后的数据只会更乱,当然操作系统也会无法启动,用户只有通过重新启动计算机再输入正确的密码来使用计算机系统。
四、 结束语
综观所有的笔记本保护方案,从安全性、性价比等多种因素来考察,首选方案应该是磁盘全盘加密系统。这也是磁盘加密系统在发达国家得以普遍应用的原因。中国市场上北京亿赛通已经推出关于笔记本保护的磁盘加密系统,我们期待会有更多类似产品面世。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。