科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道笔记本电脑数据保护全攻略

笔记本电脑数据保护全攻略

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

综观所有的笔记本保护方案,从安全性、性价比等多种因素来考察,首选方案应该是磁盘全盘加密系统。这也是磁盘加密系统在发达国家得以普遍应用的原因。

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2008年11月25日

关键字: 数据保护

  • 评论
  • 分享微博
  • 分享邮件

引言

笔记本电脑在运输途中,比如在出租汽车、地铁、飞机上,经常会遗失;在停放的汽车、办公桌、会议室甚至是家里,也常发生笔记本电脑被外贼或者家贼盗取;在笔记本电脑故障送修时,硬盘上的数据就完全裸露在维修人员面前……笔记本上存储的商业秘密或财务和客户数据,其价值往往超过笔记本本身的价格,重要机密的泄露有可能使公司的业务完全陷于停滞,甚至引发各种法律问题。如何保护笔记本电脑数据安全?

一、 笔记本电脑数据保护现状

笔记本丢失现象非常普遍。据Accenture等有关机构的报告,笔记本电脑由其所有人最后丢失的比例占10%15%。2008年7月5日美国信息安全研究机构Ponemon Institute公布了对美国106个主要机场和800名商务人员的调查报告报告显示,每周有1.2万部笔记本遗失在美国机场,每个机场每周平均丢失286部。据估算,美国每年有60万部笔记本电脑被遗忘在机场,其中只有30%物归原主。77%失主对丢失的笔记本不抱任何希望,16%表示在事发之后不会采取任何措施。53%称笔记本内含有机密信息,但65%的都没打算好好保护。

笔记本上往往存有个人隐私信息、公司商业机密等重要数据。2006年,全球知名咖啡连锁店星巴克公司笔记本电脑下落不明,其中两储存有约六万名现职及前任雇员的个人资料,包括姓名、地址及社会福利号码等,和过去三年的数据纪录另外还有八十名加拿大员工及外判商的数据。同年4月,富达投资公司一台笔记本电脑失窃,导致其客户惠普公司的19.6万现有员工和以前员工的相关资料,包括员工姓名、地址、社会保险号、生日和其他一些与员工有关的资料泄漏。  

遗忘是人大脑的一部分机能。每个人都会遗忘,这导致遗失物品的现象发生。笔记本丢失现象,只是人的大脑遗忘能的一个反映。虽然从理论上讲可以通过加强安全防范意识来减少,却无法绝对避免笔记本丢失。要想通过非技术手段来杜绝笔记本丢失,从而避免笔记本数据泄露,是不可能完成的任务。许多单位制定了保密措施靠各项规章制度来保障即使有这些制度,很多时候业务的需要也不可避免将笔记本带出公司。随着移动办公、家庭办公的推广和普及,笔记本电脑的大量使用,笔记本被带出公司的情况越来越多,笔记本被丢失的情况也必然会越来越多。

比笔记本电脑丢失更为严重的是,笔记本上的数据被无意或者有意泄露,被不法分子利用,成为重大灾难的源头。在我国,军队、政府、设计院所等机构比较重视数据数据保护,而其他很多本应有数据安全需求的行业并没有重视。笔记本电脑的普通用户,应用最多是添加操作系统登陆密码虽然这个方面简单易懂,但由于它是建立在软件层,很容易被破解,任何非专业人士,只需要在网上下载一个破解工具,就轻而易举地获得了硬盘里的资料就连微软最新的Windows Vista操作系统,系统登陆的密码,仅需一张Vista安装光盘既可破解。

二、“专业”的笔记本数据保护方案及其弊端

市场上常见有宣传,说是能保证笔记本数据安全,经笔者统计,主要有智能卡插槽及防盗锁插槽(智能卡插槽以支持用户外接式的智能卡解决方案。而防盗锁插槽是在机壳设坚固的环扣)、BIOS锁、硬盘密码锁、指纹识别系统等,具体情况如下:

1、防盗锁

常见的笔记本防盗锁开锁方式分为密码控制型和钥匙控制型。此锁技术含量偏低,易被破解。无人之处只要一柄钢筋钳即可(德国进口的只要20cm长,非常便携),绝大多数的本本都有此装备(只要是配置安全锁口或安全插槽的)。

2、设置密码,例如BIOS密码、屏保密码、文件密码 缺点:仅靠1~8位的英文或数字组合的密码,对于专业人员来说都是极易破解的。

3、指纹识别系统

原理:利用用户预先存储的指纹样本来替代记忆繁琐、容易丢失的密码,检入速度更快。缺点:属于最新研发的技术,因而价格昂贵,应用于民用产品尚属初期,稳定性还需改善,例如用户指纹遇到破损的情况将增加检入的难度。

第2种和第3种保密措施的原理见图1:

笔记本电脑数据保护全攻略

       图1. 密钥验证的原理                  图2. 最简单的破解方法

这些保密措施一般只是验证用户提供的验证识别是否正确,没有将验证识别与用户数据通过加密等方法捆绑起来,但很容易被破解,其安全性非常有限。只需简单地修改系统运行流程即可实现破解,其原理图见图2。即使能够做到无法破解(从理论上看,根本无法做到),也有其致命弱点,即只能保证在没有合法授权(如没有合法的指纹输入等)的情况下,其他用户无法启动计算机,但无法防止存储在磁盘上的数据不被泄密——其他用户只需将该笔记本上的硬盘挂到其它计算机上,即可轻易拷贝其中的数据。这两种方法只是限制了其他用户使用该计算机,却无法防止存储在该笔记本上数据的泄密。

4、第三方软件加密,例如Smart Card(智能卡)、U锁、i-Key

原理:通过一张带有存储功能的识别卡或电子密匙来对信息进行加密。 缺点:卡片一旦丢失,用户无法自行处理,只好拿着笔记本电脑去找维修部门处理,花费不小、耗时较长。

5、内置安全芯片,例如IBM的嵌入式安全子系统(ESS)2.0

原理:芯片级安全技术是目前最安全的系统保护措施之一。这种内置于主板之上的新型安全芯片将本本的安全、加密和密码管理等验证信息储存在内,实际上是将这些信息与笔记本绑定。缺点:一旦忘记自己设置的密码,即使IBM也无回天之力,硬盘中的数据肯定是无法恢复了。从费用上看,这是一种贵族消费,会大大地增加笔记本的成本,使得多数有保密需求的笔记本用户不愿采用,从而无法推广普及。

6设想这样的动能:在电脑开机或者是被拆解的时候,如果不在规定时间内输入特定的指令,笔记本电脑就将采取极端措施。对笔记本电脑中的数据进行不可逆转的销毁这不失为一种最终极的手段。只是这种笔记本数据自毁技术还没有被开发出来。

三、磁盘全盘加密系统已经成为主流

IBM专业服务器采用磁盘加密技术、专业硬盘厂家生产加密硬盘、存储设备厂商把数据存储和磁盘加密相结合……一种成熟的技术已经在国外广泛地使用,这就是“磁盘加密系统”。 经笔者对全球市场调查,目前在美国、日本、欧洲等发达国家广泛采用硬盘加密软件,来保护移动设备的数据安全。

国外的大公司非常重视笔记本数据安全,在所有带出公司的重要笔记本都已采用这种以磁盘加密技术,对整个硬盘(HDD)进行加密处理的产品,防止笔记本在丢失的情况下数据被窃取。在中国,有一些外资企业使用了磁盘加密软件,但这些软件均来自国外加密软件厂商的。中国国内只有北京亿赛通科技发展有限公司有这样的磁盘加密软件。

全球市场上常见的磁盘加密软件如下表:

产品名称

厂商国别

HDD加密

备注

ProtectDrive

美国

全球第七大安全公司safenet

SafeBoot

荷兰

被MaceFee并购

PointSec

瑞典

被美国的CheckPoint并购

SecureDoc

加拿大

CompuSec

新加坡

DiskSec

中国

北京亿赛通——中国专业数据泄露防护(DLP)产品提供商

使用磁盘加密软件之后,用户就不必判断哪些数据经过加密、哪些没有加密,因为整个硬盘都经过了加密,这可以保护硬盘上的所有内容。

用户可能担心全盘加密软件会笔记本电脑性能降低,其实这种担心是没有必要的。经调查发现,目前该类软件最大降低效率小于原有效率的10%。从用户角度来看,性能基本不受影响。安装磁盘加密软件后,给用户操作上带来明显不同的,只是在系统启动时以及笔记本电脑处于休眠时。

四、 全球最专业、最安全的笔记本数据保护产品-DiskSEC

DiskSec™通过拦截操作系统或应用软件等对硬盘数据的读写请求,实现对磁盘数据的实时加密和解密操作,当系统向硬盘写入数据时,DiskSec™首先获得控制权,对要写的数据进行加密操作,然后将数据写入硬盘的指定位置。反之,当程序读取硬盘数据时,DiskSec™同样能够获得优先控制权,到磁盘的指定位置读取数据并进行解密操作,然后将解密后的数据提交给相应的程序。这样,在操作系统或应用软件看来,磁盘上存储的数据和未加密时的数据完全一样,能够以正常的方式直接使用磁盘数据,如同磁盘上的数据未加密一样。同样,用户也感觉不到DiskSec™的存在,不改变任何习惯而直接使用计算机。

在计算机上安装DiskSec™后,计算机的启动过程会被改变,图3给出了在安装DiskSec™的情况下,计算机的实际启动过程。

由于磁盘数据被加密,要想使用磁盘数据,必须对其进行解密操作,为方便用户操作和不改变用户的计算机使用习惯,DiskSec™采用的是动态加密和解密的方法,在操作系统和磁盘之间安装了一个数据加密和解密程序,该程序不需要用户的干预,自动对存储到磁盘的数据作加密运算,对从磁盘读取的数据做解密操作,用户在正常使用计算机的时候,根本感觉不到DiskSec™的存在。图3给出了DiskSec™采用的动态加密和解密的原理。

笔记本电脑数据保护全攻略

图3  DiskSec™采用的动态加密和解密的方法

DiskSec™采用的是国际流行的加密算法,且有多种加密算法供用户选择。根据现代密码学的原理我们可知,在没有密钥的情况下,即使破解者在知道加密算法等各种前提下,要想解密加密后的数据,也是非常困难的。当用户设置的密钥长度达到16个字符以上时,在现有计算机运算速度的条件下,从理论上分析,要想解密加密后的数据,所需的时间也是以百万年为计数单位的。

在用户输入密钥,正常启动计算机的情况下,存储在磁盘上的数据对用户是透明的(即在用户看来,存储在磁盘上的数据是明文)。因此,DiskSec™无法防止在计算机正常使用的情况下,其他用户从网络等传输媒介拷贝用户的资料。DiskSec™只适用于在计算机关机、休眠以及丢失的情况下从DiskSec™的原理可知,磁盘上存储的所有数据均是加密的,在计算机关机或休眠的状态下,要想解密磁盘上的数据,必须输入密钥。安装DiskSec™之后,即使笔记本丢失、被盗或者送到维修处,也能够确保计算机中的数据不被泄密。

经DiskSec™加密磁盘的数据安全完全依赖于用户设置的密码,在密码丢失的情况下,磁盘上的数据将无法回复,即使是生产该软件的亿赛通公司也没有任何办法。因此,用户在使用DiskSec™时,一定要记住自己设置的加密密码。

由于经DiskSec™加密后的磁盘数据完全依赖于用户设置的密码,为了防止破解,DiskSec™不在磁盘上存储用户的密码,它存储的只是用户密码的单向散列值(根据现有密码学理论可知,通过散列值是无法逆推出用户密码的),以便比较用户密码的正确性,方便用户的使用。事实上,DiskSec™完全可以不在磁盘上存储任何与密码相关的信息,只要用户输入密钥就继续执行。在这种执行流程下,用户只有输入的正确的密码,DiskSec™才能正确解密磁盘的数据。否则,DiskSec™“解密”后的数据只会更乱,当然操作系统也会无法启动,用户只有通过重新启动计算机再输入正确的密码来使用计算机系统。

五、 结束语

综观所有的笔记本保护方案,从安全性、性价比等多种因素来考察,首选方案应该是磁盘全盘加密系统。这也是磁盘加密系统在发达国家得以普遍应用的原因。中国市场上北京亿赛通已经推出关于笔记本保护的磁盘加密系统,我们期待会有更多类似产品面世。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章