论文部分内容阅读
A:我的电脑里保存着一堆公司的机密文件,万一被竞争对手窃取将对公司造成重大损失! B:我的工作必须在2台电脑上完成,一方面我要处理公司的机密文档,另一方面我离开不了互联网。 C:为了保密,公司电脑的USB口都封掉了,为此给我工作带来了不便,有没有更好的措施。这都是安全PC要解决的问题,它们都反映了在使用电脑的过程中一个普遍遇到的难题:电脑和互联网带来了传播信息的便利性,但也带来了不安全性,公司的机密文件容易泄漏。在这个专题中,我们将为读者介绍一种安全的台式机,它们通过硬件方式,能有效地给文件加密,提高电脑地安全性。
台式机市场每过一段时间就要诞生一些热点,除了64位、双核等这些摩尔定律的周期性发作外,今年最让人意外的热点要数“安全PC”了,这种装备了安全芯片的台式机宣称要成为未来的主流。
何为安全PC?
广而论之,安全PC是一个宽泛的概念,在设计中强调安全思想的台式机都可以使用这个称谓,但今年市场上火热的“安全PC”是个狭义概念,专指配备了TPM安全芯片的产品。采用TPM安全芯片的台式机实现多种硬件级的安全功能:如文件加密、身份验证等,当然,为了对得起“安全PC”这个称号,除TPM安全芯片这个主要特征外,安全PC还具备了其他多种普通PC不具备安全功能,如安全系统、各种安全应用软件、丰富的物理安全措施等。综合来看,目前的安全PC是指具备TPM安全芯片,并具备其他强大安全功能的台式机产品。由于概念比较新颖,伴随着今年许多安全PC的推出,同时带来了肯定和怀疑2种声音。
市场推动,还是推动市场?
怀疑的观点认为,目前的主流市场不需要这类产品。虽然不能否认它们在特殊领域会有需要,如军队、政府等对文件机密性敏感的机关和企业,但是这部分需要毕竟有限,不会产生很大的需求。目前市场上众多厂商都在推出安全PC,而市场的需求远没有那么大,是不是炒作的因素更多一些?就像两三年前曾大力提倡的“移动PC”(一种介于台式机和笔记本之间的产品)一样,最后会经不起考验而流产。
肯定的观点认为,安全PC并不是只针对少量特殊行业,目前TPM安全芯片的产业链已经成熟,安全PC将作为未来的标准配置进入市场,它是台式机的一种新标准,就像当年把“多媒体”的概念引入纯粹以运算为主的PC中一样,安全PC适用于大部分行业、大企业、中小型企业用户,甚至家庭用户也需要安全PC。虽然目前大部分厂商推出的安全PC针对军队和政府等特殊领域,但是并不表明在主流市场的需求提高后,它们不会推出针对主流市场的产品,安全PC是大势所趋。
目前,我们还没有听到安全PC用户的声音,仅从产品方面看,目前有5~6个国内厂商已推出安全PC产品,这些产品的共同特征是:面向商用、配置和价格较高(大部分产品价格超过了1万)。到目前为至,我们还没有发现面向家用的安全PC,也没有价格较低的安全PC,至少目前的安全PC的确针对某一块狭小的市场。有理由相信,它们是特殊的市场需求推动的结果。
哪些厂商在兴风作浪?
目前的安全PC热潮中,比较活跃的主要是国内厂商,它们主要有5家:联想、方正、浪潮、清华同方、长城;国外厂商在宣传方面相对来说比较低调,提供产品的主要有2家:IBM和惠普,IBM是较早采用安全芯片作为安全方案的厂商,其下不少产品都具备此功能,而惠普最近推出的高端商用机惠普 Compaq dc7600致力于全方面的安全设计,也将TPM安全芯片纳入其中。
这些厂商有相同之处:它们都是台式机领域内比较有实力的企业,在推动安全PC的过程中,一来可以依靠自己的技术实力,二来可以利用自己的品牌影响力把安全PC的概念推销出去。不过在承担市场风险方面,安全PC不存在太高的风险,从技术方面来说,TPM安全功能(安全芯片和软件)作为一个附件存在,用户可以在BIOS中关闭这个功能,此时的安全PC仍然是一款完整的普通PC,而且安全PC在成本提升上并不高,TPM安全芯片的成本在百元以下。
在TPM安全芯片供应商方面,全球具有生产能力的厂商并不多,国内主要有“兆日”和“联想”2家。市场上的安全PC所采用的TPM安全芯片是谁提供的呢?国外产品由于缺乏资料而了解不详,但国内厂商的情况很清晰:除联想一家采用自己研发的安全芯片(代号:恒智,国家密码管理局立项型号:SSX24)外,其余方正、浪潮、清华同方、长城4家都采用了兆日科技提供的TPM安全芯片(型号:SSX35),这些安全芯片都符合国际组织TCG的TPM v1.2标准,在功能具有一致性。
安全PC与普通PC的最大区别在于前者采用了安全芯片,这块安全芯片的采用,使安全PC在功能上具备了普通PC不具备的优势。
硬件级别的加密
安全PC有何神奇之处?图1是它在应用的一个例子,我们在A台式机(安全PC)中创建的文件在B台式机(普通PC)中竟然是一堆乱码,安全PC采用了硬件级别的加密,由安全芯片来“看管”你的文件。
目前安全PC上所采用的安全芯片都被称为TPM安全芯片,TPM的全称为Trusted Platform Module(信任平台模块),旨在将PC变成一个安全可信的计算平台;另一方面,TPM是一个国际性行业规范,它是由TCG组织制定的(TCG组织由Intel、AMD、MicroSoft、IBM、惠普、SUN等几十家巨头成员组成,目的在于建立可信任的安全计算标准)。目前已制定了TCG TPM v1.1和TCG TPM v1.2两个规范(后者兼容前者),符合TPM规范生产的安全芯片具有一致性和通用性,也就是我们这里所说的TPM安全芯片。目前国内品牌安全PC采用的2种TPM安全芯片——联想和兆日,它们都符合TCG TPM v1.2规范(以下简称TCG 1.2)。
图2:安全芯片是安全PC的灵魂,它在总线上的位置如图。
TPM安全芯片的位置在主板上(图2),由于规范化设计,各厂商的产品在外观和引脚方面都大同小异,联想的“恒智”和兆日的“SSX35”安全芯片外观一致:采用TSOP封装,都拥有28个引脚。安装方式有可插拔和不可插拔两种。对于可插拔的产品来说,厂商可以将TPM安全芯片作为配件来销售(图3),如联想开天M400S和清华同方超C4200,优点是销售灵活性好,而且一旦TPM芯片发生故障,不需要更换整个主板,只需要更换TPM芯片,从而节省用户的成本,缺点是容易窃取,可靠性稍低;采用不可插拔的产品有浪潮英政3600和方正君逸M500,优缺点刚好相反。不过有一款产品的安全芯片比较特殊,惠普 Compaq dc7600 CMT直接将TPM安全芯片整合到了网卡芯片中,你在主板上是看不到的。
图3:安全芯片由可插拔和不可插拔2种安装方式,图为主板上的可插拔安全芯片。
安全芯片的功能
TPM安全芯片到底是如何来实现安全的?我们先来看看它的硬件功能。
TPM安全芯片的实质是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为各种计算平台提供加密和安全认证服务。更具体地说,TPM安全芯片既是密钥生成器、又是密钥管理器件,还提供了统一的编程接口。密钥是打开加密文件的唯一钥匙,TPM安全芯片的一个重要作用即加强了对密钥的管理,芯片以硬件来生成、存储和管理密钥,TPM安全芯片可以将密钥存储在受TPM控制器保护的非易失性存储器中。TPM的硬件功能包括多方面特性,它们包括:
第一,TPM安全芯片的硬件随机数发生器能产生RSA密钥对,用于非对称的加密与解密,以安全地存储和传送机密信息。由于运算集中在TPM安全芯片中进行,因此相对于软件RSA运算来说,它能同时提高系统性能与加密性能。
第二,TPM安全芯片采用Hash算法来验证PC系统软硬件的可信性。TPM安全芯片可以存储PC系统的Hash算法特征码(Hash算法特征码是预先从PC配置和系统信息中计算出的唯一数字),Hash算法特征码代表了一个硬件平台的特征,并且具有唯一性和不可逆性,它可用于在系统启动时验证PC的配置,然后将测量结果存储在安全的非易失性存储器中,通过比较后续的测量结果与所存储的测量结果,PC的任何变化都将警告系统:软件或硬件已经被修改,表明可能有病毒或蠕虫入侵。
第三,TPM安全芯片还提供和管理初始化功能,以允许所有者启用或关闭芯片的功能、重新初始化芯片并接管所有权。
安全芯片的优势
1. 硬件级的密钥保护
安全芯片对数据文件的加密是一个非常复杂的过程,它具有软件加密方法无法达到的安全性。简单来说,它将密钥保存在芯片内部,加密后的文件比传统软件加密更加可靠。在对数据的解密的过程中,芯片存储的密钥是解密的唯一入口,没有密钥无法还原成明文,安全芯片将密钥保存在自己的寄存器中,独立于计算机的传统存储系统(如硬盘),这样传统的攻击方法难以窃取密钥。由于密钥存储在硬件芯片中,加密后的数据只能在本机解密查看,复制到其他机器上便成为一堆乱码。
2.惟一的身份标识
安全芯片中存有代表该芯片的身份识别号,每块安全芯片的身份识别号是唯一的,这样安全PC就相当于有了“身份证”,可以以此来验证自己的身份,这一特性将增强在电子商务、网上交易过程中可信度,防止不法用户假借户主身份进行非法交易,普通PC在这方面比较薄弱。
3.完整性度量
安全芯片具备系统完整性测量的能力,即事先采用Hash算法对完整、安全状态下的硬件和软件环境进行一次特征运算,并保存这个值,下次当PC检测到系统因遭受破坏而计算所得的特征值不一致时,会给出警告。在软件方面可以利用这个特性开发出各种应用,如自动系统恢复,当操作系统核心文件被更改或删除时,进行自动修复,这样可以保证PC系统始终处于健康的、完整的状态。
图4:你的文件经安全芯片加密后将非常保险,图为安全芯片加解密工作的简要示意图(安全芯片参与了运算和密钥管理
安全芯片的应用
TPM安全芯片提供统一规范的编程接口,但最终功能的实现依赖软件完成,可以认为在安全功能的开发上,各个厂商可以根据不同的需要,能开发出不同的安全软件。我们试用的5款产品中,TPM安全芯片和安全软件来自多个厂商,从应用角度来看,各家的安全软件各有特色,比如兆日的软件倾向于通用性和独立性,安全功能之间是独立的、分离的,适合于提供给下游PC厂商采用,而联想的安全软件倾向整合性,把TPM安全功能和其他功能整合起来。不过这5款产品给我们的最大印象还是相似的:安全功能并没有我们想象中那样有很大差异,TPM安全软件的功能在5款产品上基本相同,只是操作上有些差别。为让读者快速了解,我们不去追究每款软件的操作细节,而把它们共同拥有的功能总结如下:
文件加密在安全PC上,文件加解密是一个非常简单的操作,大部分产品都将这个功能放入到右键菜单中,你只需将鼠标对准想要加密的文件,选择右键中的加密功能即可,加密速度很快,Word、Excl等常用文件在瞬间完成,100MB的文件大部分产品都能在20s内完成,加密后文件的扩展名被改为加密软件自己的格式。TPM安全芯片在其中有2个作用,一是参与加解密计算,二是存储根密钥,前者能提高系统性能,后者提高了文件加密的安全性。文件在加密过程会对整个数据流进行运算,因而加密过后的文件(密文)会变得面目全非,需要注意的是我们平时在加解密时输入的口令并不是密钥,它只是一个许可口令。
口令管理经常接触互连网的用户会有许多需要记住的用户名和口令,如邮箱登陆、BBS登陆、QQ登陆等,拥有多个邮箱和BBS帐户的用户也不在少数。为了记住这些用户名和口令,你或许会将它们抄写在你电脑里,但万一被网络黑客窃取怎么办?如果对方是你的竞争商家怎么办?口令管理软件的用途即在于此,它能帮你把这些口令保密起来,安全PC采用TPM安全芯片来保护这些数据,即使被他人窃取,也无法破译这些资料。此外口令管理软件的另一个优势是应用快捷,如你在打开已设定的邮箱登陆网页后,口令会自动填入进去,即使是坐身边的人也无法知道你刚才输入的是何口令。
安全虚拟分区如果你有一堆机密文件需要保密存储怎么办?最方便的方法是使用安全PC提供的虚拟分区功能。其原理是从已存在分区划出一块空间虚拟成一个分区(拥有独立盘符),比如你现在拥有C、D、E、F 共4个分区,使用虚拟分区功能能获得G、H、I等更多的分区,它们不修改硬盘分区表,不破坏硬盘的物理分区结构,而且在不需要的时候可以随意删除。而安全PC的虚拟分区加入了保护功能,由TPM的安全芯片对虚拟分区的镜像文件进行加密,因此即使这些文件被窃取,也无法破解。
TPM安全芯片能有效地保护数据安全,但对于操作系统的安全,TPM安全芯片目前可应用性不高。Windows无法启动是经常遇到的故障,面对这种情况往往把人急得团团转,安全PC都看到了这个问题的紧迫性,不约而同地选择了这样的方法:预先建立第二个操作系统——安全系统,在Windows倒下时,用它解决问题。
Windows的病谁来治?
什么是Windows自己不能解决的问题?如Windows无法自举启动时,甚至连安全模式都无法进入时,这是Windows就不能自己救自己了。
当你的Windows不能启动时,你首先想到的肯定是文件,重新安装Windows会覆盖系统区(一般是C区)的文件。可能公司的PC维护人员告诉你不会为文件担心,因为它们能转移文件,比如用DOS转移C区的文件到D盘,或者将硬盘拆下来挂到USB移动硬盘盒里去解决。现实中我们的大多数用户都不懂得这些技术和方法,中小企业也不一定有技术维护人员,用户需要的是一个自己也能操作的功能。
类似的问题还有:Windows遭新病毒攻击、重要文件需要备份、为解决不了的软件问题而重新装等,我们把这类问题都归纳为“操作系统级别”的操作,我们平时的应用都是在Windows下进行的,但Windows本身出现的故障就不能自己解决,这是就需要安全PC要有特殊设计,它们不约而同地采取了这样的方法:预装安装了一个处理Windows事故的操作系统——安全系统。
安全系统是我们给的叫法,其实每个厂商对安全系统的叫法都不一样,如联想的“拯救系统”,方正的“方正智能安全系统”、浪潮的“浪潮PC管理专家”,清华同方的“同方电脑急救中心”,其中联想“拯救系统”是自主研发的产品,其余3款都是与“软通科技”合作开发的产品。这些安全系统的相似性很强,如都基于Linux系统,程序文件都安装在隐藏分区中,都能优先于Windows引导,都提供了图像化的操作界面(图5),功能上都具备C区恢复和C区数据转移功能。
图5:这些操作界面都是Linux系统,它们被安全PC安装,当你的Windows出现故障时,就可以启动它们来拯救Windows,我们把它们统称“安全系统”。
作为医生的安全系统
安全系统担当了给Windows治病的任务,那么它在原理上是怎么实现的呢?实现安全系统,有2个问题需要解决:一是系统存放的空间,二是如何引导。
程序驻扎隐藏分区
试想,如果把安全系统和Windows一起放在C区里,它会安全吗?它会变得和Windows一样脆弱,最重要的是无法实现还原C区的功能;如果把它放在C区以外的其他分区中,被窜改和被攻击的可能性一样没有降低。为了让安全系统不被破坏,一般安装在硬盘的独立分区中,而且这个分区是隐藏的,在Windows下用户无法看到,因此无方对这个分区进行读写操作,普通的分区软件如 PowerQuest PartitionMagic等无法看到和改变这个隐藏分。隐藏分区由安全系统在安装时创建,如“方正智能安全系统”和“同方电脑急救中心”在安装安全系统时会将硬盘最后一个分区转化成它的隐藏分区,对于Windows应用层面来说,它们会让硬盘可用空间变小一些(约减少5~10GB)。
优先于Windows引导
在解决了安全系统的居所后,还有一个问题需要解决——引导,即在开机后要留出一个进入它的通道,我们试用的4款具有安全系统的安全PC中,存在2种引导方式(图6 ):其中第2种方式修改了硬盘的主引导记录(MBR),加入了指向安全系统的跳转指令,在开机时如果你按下相应的按键,程序跳转向安全系统,否则引导Windows;第1种方式是把这个跳转功能直接写在主板BIOS中,当主板BIOS自检完成后如果用户按下相应键,程序跳转向安全系统,否则执行主引导记录(MBR),然后引导Windows。“联想拯救系统”采用第1种方式,引导功能在主板BIOS内完成,安全系统不修改硬盘的主引导记录(MBR),理论上更加安全些;其他3家的安全系统都采用了第2种方式,修改了硬盘的主引导记录,优点是不需要修改主板BIOS,通用性较好,如果软件编写上不设限制,它们可以使用到其他PC上。在操作中,用户如何进入安全系统呢?一般在开机自检后,引导提示会在屏幕上停留数秒,如果你要进入安全系统,只需在键盘上按下相应的按键即可(如方正智能安全系统按“Ctrl”+“/”键),如果你不想进入,等待数秒后它就自动启动Windows。这样,安全系统拥有了安全的空间和用户进入通道,用户只要不更换硬盘,它会一直安全地存在着,直到你的Windows出问题时,它出来解决问题。
图6:用户如何进入这些“安全系统”呢?主要存在图中两种实现方式。
安全系统的功能
用户在使用这些安全PC前,安全系统往往已经在工厂里安装了,如果没有安装,大部分产品会给用户提供光盘,它们一般都在Windows环境下安装,安全系统的安装操作非常简单、智能化,安装程序会指导用户一步一步进行,和安装普通软件一样方面。
在安全系统中,软件开发者可以根据需要设计各种功能,每一种功能就像我们Windows下的一个软件,如果开发者感兴趣,甚至可以把游戏放进去。不过安全系统作为一个辅助Windows应急使用的系统,操作简单、功能实用是宗旨,因此在功能设计和操作界面上都很简洁,下面的几项是安全系统常备的功能,从中我们可以了解到安全系统的作用。
转移文件 几乎所有安全系统都有这个功能,举联想来说,它能将硬盘中的文件转移到USB闪盘和USB移动硬盘中,其他一些安全系统(如方正智能安全系统、同方电脑急救中心)能将C区的文件暂时转移到隐藏分区中,待重新安装Windows后再转移过来。
快速恢复 对于绝大部分用户来说,重新安装操作系统是一件极麻烦的事,除了大量的时间开销外(熟练用户也至少需要40min),驱动程序可能对于部分用户来说也不会安装,安全系统的还原功能可以解决这个问题,原理上它和Ghost软件是相似的,即在Windows没有故障时备份C区,在Windows发生故障后还原C区,使C区恢复到没有故障前的状态,备份整个C区的操作,往往就把它打包成一个文件(镜像文件),放到隐藏分区中保存起来。
查毒杀毒 查毒杀毒并不是所有安全系统的必备功能,但很多产品采用了,这往往是和杀毒软件厂商合作的结果。安全系统下的查毒杀毒功能具有它的优势:可以对任何文件进行操作,不会受到Windows下文件保护的影响,因而更加彻底。不过病毒库的升级可能会成为问题,这主要取决于PC厂商的支持力度。
安全盯上了硬盘
“我的数据太重要了,能给硬盘锁上吗?”听起来有点不可思议,但我们真的找来了一块这样的硬盘:当你在它身上设置了口令后,别人就无法访问你的硬盘了,即使你把它丢了,别人也无法破解里边的数据。
这款硬盘是易拓公司近期推出的,命名为Gstor安全硬盘,并已被用在部分长城安全PC上。它的独特之处在于采用硬件加密,与普通硬盘比,它多了一块用于安全的芯片(图7)。Gstor安全硬盘在开机的“引导路途”中设了一道关卡,当开机后,程序引导到硬盘时,硬盘固件中的程序会接管引导权,并且自举起一个自己的操作环境,如果你在这个环境中设置了启动口令,硬盘就有权阻止启动程序向硬盘内部跳转(阻止跳向MBR),口令由于被存储在硬盘的芯片中,具有很高的安全性。
图7:这块硬盘多了1块芯片,不要小看它,你没有口令,你就不能使用这块硬盘,偷得走硬盘也偷不走数据。
这种硬盘的最大优势是防偷窃,即偷走了硬盘偷不走数据。我们试用的这款易拓Gstor硬盘的规格为80GB、7200转/s,接口为IDE,在技术指标上并不是最新的,易拓公司表示将推出技术指标更高的安全硬盘。
5款安全PC全接触
我们这次邀请了5台安全PC产品参加了我们的测试和试用,这5款产品分别来自惠普、方正、浪潮、联想、同方,4款国内品牌产品和1款国外品牌产品。在邀请这些产品时,我们只提了一个要求:只要安装安全芯片的产品即可,但大部分厂商表示:我们只有唯一的型号可提供。目前对于大部分厂商来说,安全PC市场还在萌芽阶段,持保守态度是很自然的。
性能测试和这次专题的特点不符,我们从简,只保留了WorldBench 5一项。由于各款产品的配置差异较大,因此不具备可比性,但从测试得分来看,这些安全PC的综合性能都很正常,没有因为加强了安全功能而丧失了性能。
以下分别介绍我们在试用中,每款产品的特点和试用感受。
在方正的商用产品线中,君逸系列是定位在高端的通用型电脑。和大部分厂商在安全PC道路上的起跑方式相同,方正安全PC也是首先从高端产品动刀,君逸M500的安全性主要体现在以下3个方面:
第一,君逸M500配备兆日TPM安全方案,其中安全芯片采用非可拆卸的方式(焊死在主板上)。其部分TPM安全功能被整合在“智能护理专家”软件中(可实现文件加密和口令管理2种功能)。其中文件加密被设计成类似“保险箱”的形式,用户若要防止某个机密文件被偷窃,他只需将这个文件拖到“保险箱”窗口中即可(文件被安全芯片瞬时加密,并转移到“保险箱”指定的文件夹中),没有口令谁也无法访问。
第二,“智能护理专家”是一套整合众多安全功能的工具,除了整合以上的TPM安全芯片功能外,最核心、最重要的作用是配合“方正智能安全系统”使用。“方正智能安全系统” 君逸M500的安全系统,在Windows遭破坏不能启动的情况下,我们可以启动它来恢复系统,如果你的C盘内有重要数据,还可以在恢复前将数据转移到隐藏分区中,待恢复完系统后再转移过来,不过在“方正智能安全系统”中不能备份数据,备份数据的功能在Windws下的“智能护理专家”中去完成。我们测试中备份C区(拥有2.5GB文件)耗时9min,还原C区耗时5min,C盘文件多的话速度会慢些,不过这个速度可以接受。
第三,后置物理防护罩能防止在未授权的情况下插拔外设,如显示器、鼠标、键盘等设备。当台式机的外设安装好并锁上防护罩后,不用担心他人会拿走你的显示器,防护罩并不是什么新设计,但能达到保护硬件的良好作用。
此外,君逸M500机身容积较大,散热性能优秀,带来良好的运行稳定性,对于各种环境的适应能力较强。综合来看,这款产品在安全功能和可靠性2方面都能满足苛刻的商业用户的需求,适合资金宽裕的企业和行业用户。
惠普 Compaq dc7600已经在第10期杂志上和读者朋友见过面了,上次主要测试双核处理器的特性,而这次我们对它是否采用双核处理器没有兴趣。这次吸引我们的是它强大的安全功能,作为惠普面向中高档商用的主打机型,dc7600在安全性方面下足了功夫,在物理安全和系统安全两方面都非常出色。
能让PC只给一个特定的人用吗?当然能!你可以设开机口令、Windows登录口令等多种方式来限制他人使用你的PC,但是这种软件方式很不可靠,很容易被稍有经验的玩家攻破。dc7600采用了一种特殊的方法:使用SmartCard卡。SmartCard拥有自己独一无二的身份标志,安装此装置并设置完成后,只有持卡的用户才能使用这台PC,SmartCard卡就如同一把钥匙,只持这把钥匙的人才能打开台式机这把“锁”,可以比BIOS口令更简单、更有效地保护计算机安全。
物理安全方面,这款产品的防盗功能尤其齐全,具备Kensington锁、物理机箱锁、电磁机箱锁3道安全大门。其中Kensington锁用于机箱防盗(一种标准的长条型锁,一端锁在机箱上,另一端可锁在你认为牢固的物体上);物理机箱锁的作用是防止机箱被打开,原理和生活中的门锁相似;电磁机箱锁的作用同样是防止机箱被打开,但它以电磁方式实现,由电磁铁控制一个活动的锁芯来实现,和软件配合使用时,灵活性更加出色。这3个物理安全功能可以放心地让dc7600在公共场合使用。
系统安全方面,这款产品也具备系统备份和还原功能(通过 Altiris Local Recovery 软件实现),并且具备一键恢复功能。在我们试用中,dc7600的安全芯片颇为难找,后来惠普的技术人员告诉我们,它已经和Broadcom网卡芯片整合在一起了,隐藏性非常好,不容易受到破坏。
除此之外,dc7600的易用性也非常出色。硬件方面容易维护,我们在没有螺丝刀的情况下甚至能将它的主板卸下来,软件的设计也非常友好,很容易上手,这款产品给我们的综合印象非常好。
目前安全PC的配置都不低,浪潮英政3600也是一款Intel 945芯片组的产品,我们试用的这台采用了2.8GHz Intel Pentium D 820处理器,内存和硬盘容量分别为512MB和80GB,显卡配备了独立的nVIDIA FX6600。英政3600外形上显得非常专注,颇能吸引行业用户的眼光。
浪潮为英政3600配备了多种安全功能,它们包括TPM安全芯片、PC管理专家、双网隔离、BIOS无盘安全等,如果在单一安全措施不能达到安全目的时,采用多种安全手段联合防犯。
由于采用了兆日的TPM方案,安全软件方面拥有文件加密、口令管理、安全虚拟分区3个功能,用来保证基础数据安全,安全软件操作上和其他采用兆日方案的产品相同;英政3600的“浪潮PC管理专家”是浪潮的安全系统,能完成系统恢复、杀毒等操作系统级别的应用;双网隔离功能在四五年前就开始被浪潮的产品采用,使用这个功能在同一台PC安装2个系统(使局域网应用和广域网应用相互独立),可防止内部机密通过广域网泄漏出去,浪潮在这款产品商采用了第三代双网隔离技术——通过切换硬盘数据线的方式实现,不会造成对硬盘的伤害;BIOS无盘是浪潮专门针对信息外泄防护推出的一种安全技术,它除了可以降低硬件成本外,数据上的统一管理增强了安全性。
在我们试用中,这些安全功能具有相互独立的特点。在使用这款产品时,用户可以有选择的使用这些安全功能,如安全系统(浪潮PC管理系统)是以光盘的形式提供给用户的,用户可以根据自己的需要卸载或重新安装这个功能,其他功能类似。总之,英政3600在安全方面提供了功能众多的措施,用户可以根据自己的具体情况选择需要的安全功能,即使你一个也不需要,仍不妨碍英政3600是一款高性能PC。
与其他厂商采用第三方安全芯片不同,联想开天M400S采用了联想自主研发的“恒智”TPM安全芯片,可以发挥在硬件、安全芯片、安全软件3个方面整合化优势。
“恒智”安全芯片的优势是采用了32位CPU,因此在处理速度上比普通产品更快,这款芯片的外观和兆日SSX35基本相同,都采用了TSOP封装,28个引脚。开天M400S在软件功能上和兆日提供的方案也非常相似(拥有数据加密、口令管理、安全虚拟分区3个工具),用户可以把加密密钥备份出来,因此即使在TPM安全芯片遭到损坏时也能到其他机器上恢复数据。
在系统安全方面,开天M400S采取了积极的措施,防止操作系统和应用软件受到攻击,“系统内核智能修复”和“系统智能防护”2个工具担当此任务,其中前者是独立于Windows的自举程序(属联想拯救系统),后者是Windows下的防护软件。
“系统内核智能修复”联想最新研发的技术,是开天M400S不同于其他安全PC的一个亮点,这项技术的目的是:保证PC在任何情况下能启动。它的原理是把Windows的核心文件备份在硬盘的隐藏分区中,在开机时由一个自举系统(联想拯救系统)检测当前硬盘上的Windows核心文件,当发现有错误时会自动调用备份进行修正,保证Windows核心文件完整,始终能正常启动。在我们试用中检测过程在10s内完成,对开机速度的影响不大,而且这个功能可由机箱上的一个物理开关关闭,你可以选择不使用该功能。而Windows下的“系统智能防护”允许你指定你要保护的其他系统文件和应用程序,但它们被攻击时(如病毒企图修改或删除),“系统智能防护”会出示警告,提醒你采取措施,它同样能有效防范未知病毒对操作系统的攻击,其作用为杀毒软件不可替代。
联想拯救系统是联想的安全系统,这个系统已和我们有多次接触了,在试用了其他几款安全PC后,我们仍然认为它最出色,除了快速备份、快速还原C区(还原5GB文件的C区仅需5min)的功能外,它还能将文件转移到USB移动设备中(用于在Windows不能启动时转移文件),它对于普通用户来说非常方便和实用。
开天M400S在配置上比较平易近人,价格方面不高,很容易被普通商业用户接受。
清华同方的安全PC也采用了兆日的TPM安全方案,早在五六月份就发布了采用Intel 945芯片组的安全PC超翔S4800,我们这次试用的这款超翔C4200在配置上要稍低一些,定位上更趋向主流市场,价格上相对容易被人接受。
超翔C4200配备了3.0GHz的Intel Pentium 4 630处理器(64位),采用Intel 915系列芯片组,内存和硬盘容量分别为512MB和160GB,配备ATI Radeon X300显卡,从目前的市场情况来看,这个配置一方面能给商业用户提供出色的性能,另一方面在价格上不会让用户负担过高。
在超翔C4200身上,兆日TPM安全方案分3个部分:TPM安全芯片、驱动及控制程序、安全软件(与其他采用兆日TPM安全方案的产品相似),这3个部分分别提供硬件、程序接口和应用程序。超翔C4200的TPM安全芯片采用可插拔式安装,应用程序分为以下3个工具:TPM文件加解密软件、TPM密码箱管理软件、TPM个人虚拟安全磁盘,分别对应文件加密、口令管理、安全虚拟分区3个功能,这3个程序的操作界面简洁易懂,容易上手。
台式PC的TPM安全方案有3种做法:一种是采用自己研发的安全芯片和安全软件,像联想开天M400S,有利于和自己开发的其他软件整合;一种是采用第三方的安全芯片和安全软件;还有一种是采用第三方的安全芯片,但自己参与软件设计。超翔C4200属于第二种情况。我们在试用中能体会到安全功能的独立性很强,TPM芯片及其安全软件和其他应用软件不会产生冲突,当不需要TPM这个功能时,你可以直接卸载安全芯片和软件,仍可将超翔C4200作为一台普通PC使用,软件和未加密数据都不受影响。可以说在这款产品身上,TPM安全方案是一个独立的模块。
功能简单、通用性好是超翔C4200的特点,加上它主流的硬件配置,这款产品的应用领域将非常广泛。
安全背后的思考
安全PC真的很安全吗?在接触了这些产品后,我不禁要回到主题上来。
安全:是保密,不是可靠
在测试和试用中,始终有一个问题缠绕在我脑子里:万一安全芯片损坏了,被加密的文件也要跟着陪葬吗?我们就此问题咨询了联想公司的技术人员,得知可以通过备份密钥来解决,即将加密密钥保存到外部存储设备上(如USB闪盘),万一这台机器的安全芯片损坏了,可以到其他机器上去解密。既然如此,我要追问,直接将文件存储在USB闪盘上岂不更“安全”?
安全PC能否带来安全,我觉得应该分两个方面看。
一方面,安全PC的“安全”倾向于数据“保密”、“不被窃取”、“机密不懈露”的含义,而不是“可靠”、“健壮”。事实上,采用安全芯片的安全PC,存储数据的破坏风险反而要高,数据存储的风险由每个环节累加,安全PC增加了TPM安全芯片的同时,也多了一道风险,所谓多一个功能多一个鬼,TPM安全系统的损坏(包括硬件和软件)、偷窃(可插拔的TPM芯片),都能威胁到已加密的数据,除非你不使用这个功能。
如果单单从存储的“健壮性”角度来看,安全PC并不必普通PC更安全。
另一方面,如果把安全PC的“安全”理解为“保密”,那安全PC与普通PC相比,的确具备不可比拟的安全优势,当你将文件加密后,你不用担心他人从网络上窃取你的文件,窃取者在他自己机器上看到的将是一堆乱码,若想破译你的密文,也是基本不可能的。TPM的设计者早已考虑到这一点,以联想开天M400S为例,它的数据加密采用2048位密钥,以目前的计算机水平,用穷举法破解需要运算成千上万年。文件一旦被安全芯片加密、你可以放心地将它存储在硬盘上,修改、复制等过程都是透明的,这种即安全又方便的优势是外部存储设备(如USB闪盘)达不到的。
从在数据的“保密性”来看,安全PC能做到普通PC不能达到了安全级别,它能有效地保护用户地机密数据,也因为这一点,目前大量安全PC面向军队、政府机关等用户。
安全:只有相对,没有完美
“安全系统”安全吗?还是拿“联想拯救系统”来说吧。联想开天M400S装备的拯救系统在易用性、实用性方面非常出色,在各种安全系统中数一数二。但这个出色的系统也有让我惶恐不安的时候,我在使用中遇到了这样的情况:由于测试的要求,我将C区容量由出厂前的15GB调整到20GB,调整前备份C区,后来在还原C区时,“联想拯救系统”拒绝还原,错误显示为“分区情况同备份时不同,不能执行系统恢复操作”,吓得我一身冷汗。我尝试多次后才将C区调整到了原来的大小:14998MB,安全系统才接受还原。这是一个危险信号,假如你没有记住你修改前的分区容量,你的C盘数据就泡汤了。
就“备份”和“还原”两个功能来说,试用的4款安全系统都没有达到传统软件Ghost的水平,“安全系统”的兼容性、健壮性还需要加强。
另外再说说基于硬盘的文件备份功能,许多厂商往往会夸大甚至吹嘘这个功能,严肃地说这是对用户的不负责。硬盘的安全性有目共睹,大量数据恢复公司在为这块特殊市场服务。举个我自己的例子吧,今天我已经毁掉了2块硬盘的全部数据了。第一块硬盘是办公桌的台式机,在我一次偶然开机中“嘎嘎”直叫,遂壮烈牺牲,数据全毁,最可恨的是先前一点预兆都没有;第二次事故发生在半个月前,我的一块3.5英寸160GB移动硬盘也出了问题,数据亡在我一直信任的PowerQuest PartitionMagic软件下,在一次合并2个分区为1个分区时中途死机,虽然不损伤硬件,但超过100GB数据全毁,其中包含近期拍摄的大量数码照片。近几天又传来同事的笔记本电脑硬盘出故障的信息,在一次偶然开机中,居然C盘数据全部丢失,他告诉我再也不敢使用那块硬盘了,他已把它放到移动硬盘盒了,打算只让它干一些临时活。“把重要数据备份在硬盘上等于自杀!”我的另一位同事对我说。你能信任基于硬盘的文件备份功能吗?
电子存储设备没有绝对安全的,磁存储介质(如软盘、硬盘)我们已经领教了,光存储介质也有寿命,一般的CD-R和DVD-RW刻录光盘的使用寿命是3~5年,非易失性记忆体(闪盘)是良好的存储体,但也逃脱不了强电磁场的破坏。目前的条件下,实现安全存储只有依靠多种存储体保存,或同种存储体多份保存,这方面RAID功能(磁盘阵列)是比较好的解决办法(使用其中的镜像模式),但目前在这些“安全PC”上没有看到这个功能——尽管Intel已把它整合到部分芯片组中。
对我自己而言,如果数据非常重要,我不会信任任何单一的存储介质,安全还是传统的方法,数码照片除了在硬盘里存放,我必须还将它刻成光盘,当硬盘里删除这些照片时,我必须要再刻一份,始终保证我手里有两份或两份以上数据。
没有完美的安全,如果你的数据确实非常非常重要,丢失和泄漏都会造成重大损失,那么最好还是不要过分信赖不可靠的电子系统,或互联网,安全PC也是如此。
台式机市场每过一段时间就要诞生一些热点,除了64位、双核等这些摩尔定律的周期性发作外,今年最让人意外的热点要数“安全PC”了,这种装备了安全芯片的台式机宣称要成为未来的主流。
何为安全PC?
广而论之,安全PC是一个宽泛的概念,在设计中强调安全思想的台式机都可以使用这个称谓,但今年市场上火热的“安全PC”是个狭义概念,专指配备了TPM安全芯片的产品。采用TPM安全芯片的台式机实现多种硬件级的安全功能:如文件加密、身份验证等,当然,为了对得起“安全PC”这个称号,除TPM安全芯片这个主要特征外,安全PC还具备了其他多种普通PC不具备安全功能,如安全系统、各种安全应用软件、丰富的物理安全措施等。综合来看,目前的安全PC是指具备TPM安全芯片,并具备其他强大安全功能的台式机产品。由于概念比较新颖,伴随着今年许多安全PC的推出,同时带来了肯定和怀疑2种声音。
市场推动,还是推动市场?
怀疑的观点认为,目前的主流市场不需要这类产品。虽然不能否认它们在特殊领域会有需要,如军队、政府等对文件机密性敏感的机关和企业,但是这部分需要毕竟有限,不会产生很大的需求。目前市场上众多厂商都在推出安全PC,而市场的需求远没有那么大,是不是炒作的因素更多一些?就像两三年前曾大力提倡的“移动PC”(一种介于台式机和笔记本之间的产品)一样,最后会经不起考验而流产。
肯定的观点认为,安全PC并不是只针对少量特殊行业,目前TPM安全芯片的产业链已经成熟,安全PC将作为未来的标准配置进入市场,它是台式机的一种新标准,就像当年把“多媒体”的概念引入纯粹以运算为主的PC中一样,安全PC适用于大部分行业、大企业、中小型企业用户,甚至家庭用户也需要安全PC。虽然目前大部分厂商推出的安全PC针对军队和政府等特殊领域,但是并不表明在主流市场的需求提高后,它们不会推出针对主流市场的产品,安全PC是大势所趋。
目前,我们还没有听到安全PC用户的声音,仅从产品方面看,目前有5~6个国内厂商已推出安全PC产品,这些产品的共同特征是:面向商用、配置和价格较高(大部分产品价格超过了1万)。到目前为至,我们还没有发现面向家用的安全PC,也没有价格较低的安全PC,至少目前的安全PC的确针对某一块狭小的市场。有理由相信,它们是特殊的市场需求推动的结果。
哪些厂商在兴风作浪?
目前的安全PC热潮中,比较活跃的主要是国内厂商,它们主要有5家:联想、方正、浪潮、清华同方、长城;国外厂商在宣传方面相对来说比较低调,提供产品的主要有2家:IBM和惠普,IBM是较早采用安全芯片作为安全方案的厂商,其下不少产品都具备此功能,而惠普最近推出的高端商用机惠普 Compaq dc7600致力于全方面的安全设计,也将TPM安全芯片纳入其中。
这些厂商有相同之处:它们都是台式机领域内比较有实力的企业,在推动安全PC的过程中,一来可以依靠自己的技术实力,二来可以利用自己的品牌影响力把安全PC的概念推销出去。不过在承担市场风险方面,安全PC不存在太高的风险,从技术方面来说,TPM安全功能(安全芯片和软件)作为一个附件存在,用户可以在BIOS中关闭这个功能,此时的安全PC仍然是一款完整的普通PC,而且安全PC在成本提升上并不高,TPM安全芯片的成本在百元以下。
在TPM安全芯片供应商方面,全球具有生产能力的厂商并不多,国内主要有“兆日”和“联想”2家。市场上的安全PC所采用的TPM安全芯片是谁提供的呢?国外产品由于缺乏资料而了解不详,但国内厂商的情况很清晰:除联想一家采用自己研发的安全芯片(代号:恒智,国家密码管理局立项型号:SSX24)外,其余方正、浪潮、清华同方、长城4家都采用了兆日科技提供的TPM安全芯片(型号:SSX35),这些安全芯片都符合国际组织TCG的TPM v1.2标准,在功能具有一致性。
安全PC与普通PC的最大区别在于前者采用了安全芯片,这块安全芯片的采用,使安全PC在功能上具备了普通PC不具备的优势。
硬件级别的加密
安全PC有何神奇之处?图1是它在应用的一个例子,我们在A台式机(安全PC)中创建的文件在B台式机(普通PC)中竟然是一堆乱码,安全PC采用了硬件级别的加密,由安全芯片来“看管”你的文件。
目前安全PC上所采用的安全芯片都被称为TPM安全芯片,TPM的全称为Trusted Platform Module(信任平台模块),旨在将PC变成一个安全可信的计算平台;另一方面,TPM是一个国际性行业规范,它是由TCG组织制定的(TCG组织由Intel、AMD、MicroSoft、IBM、惠普、SUN等几十家巨头成员组成,目的在于建立可信任的安全计算标准)。目前已制定了TCG TPM v1.1和TCG TPM v1.2两个规范(后者兼容前者),符合TPM规范生产的安全芯片具有一致性和通用性,也就是我们这里所说的TPM安全芯片。目前国内品牌安全PC采用的2种TPM安全芯片——联想和兆日,它们都符合TCG TPM v1.2规范(以下简称TCG 1.2)。
图2:安全芯片是安全PC的灵魂,它在总线上的位置如图。
TPM安全芯片的位置在主板上(图2),由于规范化设计,各厂商的产品在外观和引脚方面都大同小异,联想的“恒智”和兆日的“SSX35”安全芯片外观一致:采用TSOP封装,都拥有28个引脚。安装方式有可插拔和不可插拔两种。对于可插拔的产品来说,厂商可以将TPM安全芯片作为配件来销售(图3),如联想开天M400S和清华同方超C4200,优点是销售灵活性好,而且一旦TPM芯片发生故障,不需要更换整个主板,只需要更换TPM芯片,从而节省用户的成本,缺点是容易窃取,可靠性稍低;采用不可插拔的产品有浪潮英政3600和方正君逸M500,优缺点刚好相反。不过有一款产品的安全芯片比较特殊,惠普 Compaq dc7600 CMT直接将TPM安全芯片整合到了网卡芯片中,你在主板上是看不到的。
图3:安全芯片由可插拔和不可插拔2种安装方式,图为主板上的可插拔安全芯片。
安全芯片的功能
TPM安全芯片到底是如何来实现安全的?我们先来看看它的硬件功能。
TPM安全芯片的实质是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为各种计算平台提供加密和安全认证服务。更具体地说,TPM安全芯片既是密钥生成器、又是密钥管理器件,还提供了统一的编程接口。密钥是打开加密文件的唯一钥匙,TPM安全芯片的一个重要作用即加强了对密钥的管理,芯片以硬件来生成、存储和管理密钥,TPM安全芯片可以将密钥存储在受TPM控制器保护的非易失性存储器中。TPM的硬件功能包括多方面特性,它们包括:
第一,TPM安全芯片的硬件随机数发生器能产生RSA密钥对,用于非对称的加密与解密,以安全地存储和传送机密信息。由于运算集中在TPM安全芯片中进行,因此相对于软件RSA运算来说,它能同时提高系统性能与加密性能。
第二,TPM安全芯片采用Hash算法来验证PC系统软硬件的可信性。TPM安全芯片可以存储PC系统的Hash算法特征码(Hash算法特征码是预先从PC配置和系统信息中计算出的唯一数字),Hash算法特征码代表了一个硬件平台的特征,并且具有唯一性和不可逆性,它可用于在系统启动时验证PC的配置,然后将测量结果存储在安全的非易失性存储器中,通过比较后续的测量结果与所存储的测量结果,PC的任何变化都将警告系统:软件或硬件已经被修改,表明可能有病毒或蠕虫入侵。
第三,TPM安全芯片还提供和管理初始化功能,以允许所有者启用或关闭芯片的功能、重新初始化芯片并接管所有权。
安全芯片的优势
1. 硬件级的密钥保护
安全芯片对数据文件的加密是一个非常复杂的过程,它具有软件加密方法无法达到的安全性。简单来说,它将密钥保存在芯片内部,加密后的文件比传统软件加密更加可靠。在对数据的解密的过程中,芯片存储的密钥是解密的唯一入口,没有密钥无法还原成明文,安全芯片将密钥保存在自己的寄存器中,独立于计算机的传统存储系统(如硬盘),这样传统的攻击方法难以窃取密钥。由于密钥存储在硬件芯片中,加密后的数据只能在本机解密查看,复制到其他机器上便成为一堆乱码。
2.惟一的身份标识
安全芯片中存有代表该芯片的身份识别号,每块安全芯片的身份识别号是唯一的,这样安全PC就相当于有了“身份证”,可以以此来验证自己的身份,这一特性将增强在电子商务、网上交易过程中可信度,防止不法用户假借户主身份进行非法交易,普通PC在这方面比较薄弱。
3.完整性度量
安全芯片具备系统完整性测量的能力,即事先采用Hash算法对完整、安全状态下的硬件和软件环境进行一次特征运算,并保存这个值,下次当PC检测到系统因遭受破坏而计算所得的特征值不一致时,会给出警告。在软件方面可以利用这个特性开发出各种应用,如自动系统恢复,当操作系统核心文件被更改或删除时,进行自动修复,这样可以保证PC系统始终处于健康的、完整的状态。
图4:你的文件经安全芯片加密后将非常保险,图为安全芯片加解密工作的简要示意图(安全芯片参与了运算和密钥管理
安全芯片的应用
TPM安全芯片提供统一规范的编程接口,但最终功能的实现依赖软件完成,可以认为在安全功能的开发上,各个厂商可以根据不同的需要,能开发出不同的安全软件。我们试用的5款产品中,TPM安全芯片和安全软件来自多个厂商,从应用角度来看,各家的安全软件各有特色,比如兆日的软件倾向于通用性和独立性,安全功能之间是独立的、分离的,适合于提供给下游PC厂商采用,而联想的安全软件倾向整合性,把TPM安全功能和其他功能整合起来。不过这5款产品给我们的最大印象还是相似的:安全功能并没有我们想象中那样有很大差异,TPM安全软件的功能在5款产品上基本相同,只是操作上有些差别。为让读者快速了解,我们不去追究每款软件的操作细节,而把它们共同拥有的功能总结如下:
文件加密在安全PC上,文件加解密是一个非常简单的操作,大部分产品都将这个功能放入到右键菜单中,你只需将鼠标对准想要加密的文件,选择右键中的加密功能即可,加密速度很快,Word、Excl等常用文件在瞬间完成,100MB的文件大部分产品都能在20s内完成,加密后文件的扩展名被改为加密软件自己的格式。TPM安全芯片在其中有2个作用,一是参与加解密计算,二是存储根密钥,前者能提高系统性能,后者提高了文件加密的安全性。文件在加密过程会对整个数据流进行运算,因而加密过后的文件(密文)会变得面目全非,需要注意的是我们平时在加解密时输入的口令并不是密钥,它只是一个许可口令。
口令管理经常接触互连网的用户会有许多需要记住的用户名和口令,如邮箱登陆、BBS登陆、QQ登陆等,拥有多个邮箱和BBS帐户的用户也不在少数。为了记住这些用户名和口令,你或许会将它们抄写在你电脑里,但万一被网络黑客窃取怎么办?如果对方是你的竞争商家怎么办?口令管理软件的用途即在于此,它能帮你把这些口令保密起来,安全PC采用TPM安全芯片来保护这些数据,即使被他人窃取,也无法破译这些资料。此外口令管理软件的另一个优势是应用快捷,如你在打开已设定的邮箱登陆网页后,口令会自动填入进去,即使是坐身边的人也无法知道你刚才输入的是何口令。
安全虚拟分区如果你有一堆机密文件需要保密存储怎么办?最方便的方法是使用安全PC提供的虚拟分区功能。其原理是从已存在分区划出一块空间虚拟成一个分区(拥有独立盘符),比如你现在拥有C、D、E、F 共4个分区,使用虚拟分区功能能获得G、H、I等更多的分区,它们不修改硬盘分区表,不破坏硬盘的物理分区结构,而且在不需要的时候可以随意删除。而安全PC的虚拟分区加入了保护功能,由TPM的安全芯片对虚拟分区的镜像文件进行加密,因此即使这些文件被窃取,也无法破解。
TPM安全芯片能有效地保护数据安全,但对于操作系统的安全,TPM安全芯片目前可应用性不高。Windows无法启动是经常遇到的故障,面对这种情况往往把人急得团团转,安全PC都看到了这个问题的紧迫性,不约而同地选择了这样的方法:预先建立第二个操作系统——安全系统,在Windows倒下时,用它解决问题。
Windows的病谁来治?
什么是Windows自己不能解决的问题?如Windows无法自举启动时,甚至连安全模式都无法进入时,这是Windows就不能自己救自己了。
当你的Windows不能启动时,你首先想到的肯定是文件,重新安装Windows会覆盖系统区(一般是C区)的文件。可能公司的PC维护人员告诉你不会为文件担心,因为它们能转移文件,比如用DOS转移C区的文件到D盘,或者将硬盘拆下来挂到USB移动硬盘盒里去解决。现实中我们的大多数用户都不懂得这些技术和方法,中小企业也不一定有技术维护人员,用户需要的是一个自己也能操作的功能。
类似的问题还有:Windows遭新病毒攻击、重要文件需要备份、为解决不了的软件问题而重新装等,我们把这类问题都归纳为“操作系统级别”的操作,我们平时的应用都是在Windows下进行的,但Windows本身出现的故障就不能自己解决,这是就需要安全PC要有特殊设计,它们不约而同地采取了这样的方法:预装安装了一个处理Windows事故的操作系统——安全系统。
安全系统是我们给的叫法,其实每个厂商对安全系统的叫法都不一样,如联想的“拯救系统”,方正的“方正智能安全系统”、浪潮的“浪潮PC管理专家”,清华同方的“同方电脑急救中心”,其中联想“拯救系统”是自主研发的产品,其余3款都是与“软通科技”合作开发的产品。这些安全系统的相似性很强,如都基于Linux系统,程序文件都安装在隐藏分区中,都能优先于Windows引导,都提供了图像化的操作界面(图5),功能上都具备C区恢复和C区数据转移功能。
图5:这些操作界面都是Linux系统,它们被安全PC安装,当你的Windows出现故障时,就可以启动它们来拯救Windows,我们把它们统称“安全系统”。
作为医生的安全系统
安全系统担当了给Windows治病的任务,那么它在原理上是怎么实现的呢?实现安全系统,有2个问题需要解决:一是系统存放的空间,二是如何引导。
程序驻扎隐藏分区
试想,如果把安全系统和Windows一起放在C区里,它会安全吗?它会变得和Windows一样脆弱,最重要的是无法实现还原C区的功能;如果把它放在C区以外的其他分区中,被窜改和被攻击的可能性一样没有降低。为了让安全系统不被破坏,一般安装在硬盘的独立分区中,而且这个分区是隐藏的,在Windows下用户无法看到,因此无方对这个分区进行读写操作,普通的分区软件如 PowerQuest PartitionMagic等无法看到和改变这个隐藏分。隐藏分区由安全系统在安装时创建,如“方正智能安全系统”和“同方电脑急救中心”在安装安全系统时会将硬盘最后一个分区转化成它的隐藏分区,对于Windows应用层面来说,它们会让硬盘可用空间变小一些(约减少5~10GB)。
优先于Windows引导
在解决了安全系统的居所后,还有一个问题需要解决——引导,即在开机后要留出一个进入它的通道,我们试用的4款具有安全系统的安全PC中,存在2种引导方式(图6 ):其中第2种方式修改了硬盘的主引导记录(MBR),加入了指向安全系统的跳转指令,在开机时如果你按下相应的按键,程序跳转向安全系统,否则引导Windows;第1种方式是把这个跳转功能直接写在主板BIOS中,当主板BIOS自检完成后如果用户按下相应键,程序跳转向安全系统,否则执行主引导记录(MBR),然后引导Windows。“联想拯救系统”采用第1种方式,引导功能在主板BIOS内完成,安全系统不修改硬盘的主引导记录(MBR),理论上更加安全些;其他3家的安全系统都采用了第2种方式,修改了硬盘的主引导记录,优点是不需要修改主板BIOS,通用性较好,如果软件编写上不设限制,它们可以使用到其他PC上。在操作中,用户如何进入安全系统呢?一般在开机自检后,引导提示会在屏幕上停留数秒,如果你要进入安全系统,只需在键盘上按下相应的按键即可(如方正智能安全系统按“Ctrl”+“/”键),如果你不想进入,等待数秒后它就自动启动Windows。这样,安全系统拥有了安全的空间和用户进入通道,用户只要不更换硬盘,它会一直安全地存在着,直到你的Windows出问题时,它出来解决问题。
图6:用户如何进入这些“安全系统”呢?主要存在图中两种实现方式。
安全系统的功能
用户在使用这些安全PC前,安全系统往往已经在工厂里安装了,如果没有安装,大部分产品会给用户提供光盘,它们一般都在Windows环境下安装,安全系统的安装操作非常简单、智能化,安装程序会指导用户一步一步进行,和安装普通软件一样方面。
在安全系统中,软件开发者可以根据需要设计各种功能,每一种功能就像我们Windows下的一个软件,如果开发者感兴趣,甚至可以把游戏放进去。不过安全系统作为一个辅助Windows应急使用的系统,操作简单、功能实用是宗旨,因此在功能设计和操作界面上都很简洁,下面的几项是安全系统常备的功能,从中我们可以了解到安全系统的作用。
转移文件 几乎所有安全系统都有这个功能,举联想来说,它能将硬盘中的文件转移到USB闪盘和USB移动硬盘中,其他一些安全系统(如方正智能安全系统、同方电脑急救中心)能将C区的文件暂时转移到隐藏分区中,待重新安装Windows后再转移过来。
快速恢复 对于绝大部分用户来说,重新安装操作系统是一件极麻烦的事,除了大量的时间开销外(熟练用户也至少需要40min),驱动程序可能对于部分用户来说也不会安装,安全系统的还原功能可以解决这个问题,原理上它和Ghost软件是相似的,即在Windows没有故障时备份C区,在Windows发生故障后还原C区,使C区恢复到没有故障前的状态,备份整个C区的操作,往往就把它打包成一个文件(镜像文件),放到隐藏分区中保存起来。
查毒杀毒 查毒杀毒并不是所有安全系统的必备功能,但很多产品采用了,这往往是和杀毒软件厂商合作的结果。安全系统下的查毒杀毒功能具有它的优势:可以对任何文件进行操作,不会受到Windows下文件保护的影响,因而更加彻底。不过病毒库的升级可能会成为问题,这主要取决于PC厂商的支持力度。
安全盯上了硬盘
“我的数据太重要了,能给硬盘锁上吗?”听起来有点不可思议,但我们真的找来了一块这样的硬盘:当你在它身上设置了口令后,别人就无法访问你的硬盘了,即使你把它丢了,别人也无法破解里边的数据。
这款硬盘是易拓公司近期推出的,命名为Gstor安全硬盘,并已被用在部分长城安全PC上。它的独特之处在于采用硬件加密,与普通硬盘比,它多了一块用于安全的芯片(图7)。Gstor安全硬盘在开机的“引导路途”中设了一道关卡,当开机后,程序引导到硬盘时,硬盘固件中的程序会接管引导权,并且自举起一个自己的操作环境,如果你在这个环境中设置了启动口令,硬盘就有权阻止启动程序向硬盘内部跳转(阻止跳向MBR),口令由于被存储在硬盘的芯片中,具有很高的安全性。
图7:这块硬盘多了1块芯片,不要小看它,你没有口令,你就不能使用这块硬盘,偷得走硬盘也偷不走数据。
这种硬盘的最大优势是防偷窃,即偷走了硬盘偷不走数据。我们试用的这款易拓Gstor硬盘的规格为80GB、7200转/s,接口为IDE,在技术指标上并不是最新的,易拓公司表示将推出技术指标更高的安全硬盘。
5款安全PC全接触
我们这次邀请了5台安全PC产品参加了我们的测试和试用,这5款产品分别来自惠普、方正、浪潮、联想、同方,4款国内品牌产品和1款国外品牌产品。在邀请这些产品时,我们只提了一个要求:只要安装安全芯片的产品即可,但大部分厂商表示:我们只有唯一的型号可提供。目前对于大部分厂商来说,安全PC市场还在萌芽阶段,持保守态度是很自然的。
性能测试和这次专题的特点不符,我们从简,只保留了WorldBench 5一项。由于各款产品的配置差异较大,因此不具备可比性,但从测试得分来看,这些安全PC的综合性能都很正常,没有因为加强了安全功能而丧失了性能。
以下分别介绍我们在试用中,每款产品的特点和试用感受。
在方正的商用产品线中,君逸系列是定位在高端的通用型电脑。和大部分厂商在安全PC道路上的起跑方式相同,方正安全PC也是首先从高端产品动刀,君逸M500的安全性主要体现在以下3个方面:
第一,君逸M500配备兆日TPM安全方案,其中安全芯片采用非可拆卸的方式(焊死在主板上)。其部分TPM安全功能被整合在“智能护理专家”软件中(可实现文件加密和口令管理2种功能)。其中文件加密被设计成类似“保险箱”的形式,用户若要防止某个机密文件被偷窃,他只需将这个文件拖到“保险箱”窗口中即可(文件被安全芯片瞬时加密,并转移到“保险箱”指定的文件夹中),没有口令谁也无法访问。
第二,“智能护理专家”是一套整合众多安全功能的工具,除了整合以上的TPM安全芯片功能外,最核心、最重要的作用是配合“方正智能安全系统”使用。“方正智能安全系统” 君逸M500的安全系统,在Windows遭破坏不能启动的情况下,我们可以启动它来恢复系统,如果你的C盘内有重要数据,还可以在恢复前将数据转移到隐藏分区中,待恢复完系统后再转移过来,不过在“方正智能安全系统”中不能备份数据,备份数据的功能在Windws下的“智能护理专家”中去完成。我们测试中备份C区(拥有2.5GB文件)耗时9min,还原C区耗时5min,C盘文件多的话速度会慢些,不过这个速度可以接受。
第三,后置物理防护罩能防止在未授权的情况下插拔外设,如显示器、鼠标、键盘等设备。当台式机的外设安装好并锁上防护罩后,不用担心他人会拿走你的显示器,防护罩并不是什么新设计,但能达到保护硬件的良好作用。
此外,君逸M500机身容积较大,散热性能优秀,带来良好的运行稳定性,对于各种环境的适应能力较强。综合来看,这款产品在安全功能和可靠性2方面都能满足苛刻的商业用户的需求,适合资金宽裕的企业和行业用户。
惠普 Compaq dc7600已经在第10期杂志上和读者朋友见过面了,上次主要测试双核处理器的特性,而这次我们对它是否采用双核处理器没有兴趣。这次吸引我们的是它强大的安全功能,作为惠普面向中高档商用的主打机型,dc7600在安全性方面下足了功夫,在物理安全和系统安全两方面都非常出色。
能让PC只给一个特定的人用吗?当然能!你可以设开机口令、Windows登录口令等多种方式来限制他人使用你的PC,但是这种软件方式很不可靠,很容易被稍有经验的玩家攻破。dc7600采用了一种特殊的方法:使用SmartCard卡。SmartCard拥有自己独一无二的身份标志,安装此装置并设置完成后,只有持卡的用户才能使用这台PC,SmartCard卡就如同一把钥匙,只持这把钥匙的人才能打开台式机这把“锁”,可以比BIOS口令更简单、更有效地保护计算机安全。
物理安全方面,这款产品的防盗功能尤其齐全,具备Kensington锁、物理机箱锁、电磁机箱锁3道安全大门。其中Kensington锁用于机箱防盗(一种标准的长条型锁,一端锁在机箱上,另一端可锁在你认为牢固的物体上);物理机箱锁的作用是防止机箱被打开,原理和生活中的门锁相似;电磁机箱锁的作用同样是防止机箱被打开,但它以电磁方式实现,由电磁铁控制一个活动的锁芯来实现,和软件配合使用时,灵活性更加出色。这3个物理安全功能可以放心地让dc7600在公共场合使用。
系统安全方面,这款产品也具备系统备份和还原功能(通过 Altiris Local Recovery 软件实现),并且具备一键恢复功能。在我们试用中,dc7600的安全芯片颇为难找,后来惠普的技术人员告诉我们,它已经和Broadcom网卡芯片整合在一起了,隐藏性非常好,不容易受到破坏。
除此之外,dc7600的易用性也非常出色。硬件方面容易维护,我们在没有螺丝刀的情况下甚至能将它的主板卸下来,软件的设计也非常友好,很容易上手,这款产品给我们的综合印象非常好。
目前安全PC的配置都不低,浪潮英政3600也是一款Intel 945芯片组的产品,我们试用的这台采用了2.8GHz Intel Pentium D 820处理器,内存和硬盘容量分别为512MB和80GB,显卡配备了独立的nVIDIA FX6600。英政3600外形上显得非常专注,颇能吸引行业用户的眼光。
浪潮为英政3600配备了多种安全功能,它们包括TPM安全芯片、PC管理专家、双网隔离、BIOS无盘安全等,如果在单一安全措施不能达到安全目的时,采用多种安全手段联合防犯。
由于采用了兆日的TPM方案,安全软件方面拥有文件加密、口令管理、安全虚拟分区3个功能,用来保证基础数据安全,安全软件操作上和其他采用兆日方案的产品相同;英政3600的“浪潮PC管理专家”是浪潮的安全系统,能完成系统恢复、杀毒等操作系统级别的应用;双网隔离功能在四五年前就开始被浪潮的产品采用,使用这个功能在同一台PC安装2个系统(使局域网应用和广域网应用相互独立),可防止内部机密通过广域网泄漏出去,浪潮在这款产品商采用了第三代双网隔离技术——通过切换硬盘数据线的方式实现,不会造成对硬盘的伤害;BIOS无盘是浪潮专门针对信息外泄防护推出的一种安全技术,它除了可以降低硬件成本外,数据上的统一管理增强了安全性。
在我们试用中,这些安全功能具有相互独立的特点。在使用这款产品时,用户可以有选择的使用这些安全功能,如安全系统(浪潮PC管理系统)是以光盘的形式提供给用户的,用户可以根据自己的需要卸载或重新安装这个功能,其他功能类似。总之,英政3600在安全方面提供了功能众多的措施,用户可以根据自己的具体情况选择需要的安全功能,即使你一个也不需要,仍不妨碍英政3600是一款高性能PC。
与其他厂商采用第三方安全芯片不同,联想开天M400S采用了联想自主研发的“恒智”TPM安全芯片,可以发挥在硬件、安全芯片、安全软件3个方面整合化优势。
“恒智”安全芯片的优势是采用了32位CPU,因此在处理速度上比普通产品更快,这款芯片的外观和兆日SSX35基本相同,都采用了TSOP封装,28个引脚。开天M400S在软件功能上和兆日提供的方案也非常相似(拥有数据加密、口令管理、安全虚拟分区3个工具),用户可以把加密密钥备份出来,因此即使在TPM安全芯片遭到损坏时也能到其他机器上恢复数据。
在系统安全方面,开天M400S采取了积极的措施,防止操作系统和应用软件受到攻击,“系统内核智能修复”和“系统智能防护”2个工具担当此任务,其中前者是独立于Windows的自举程序(属联想拯救系统),后者是Windows下的防护软件。
“系统内核智能修复”联想最新研发的技术,是开天M400S不同于其他安全PC的一个亮点,这项技术的目的是:保证PC在任何情况下能启动。它的原理是把Windows的核心文件备份在硬盘的隐藏分区中,在开机时由一个自举系统(联想拯救系统)检测当前硬盘上的Windows核心文件,当发现有错误时会自动调用备份进行修正,保证Windows核心文件完整,始终能正常启动。在我们试用中检测过程在10s内完成,对开机速度的影响不大,而且这个功能可由机箱上的一个物理开关关闭,你可以选择不使用该功能。而Windows下的“系统智能防护”允许你指定你要保护的其他系统文件和应用程序,但它们被攻击时(如病毒企图修改或删除),“系统智能防护”会出示警告,提醒你采取措施,它同样能有效防范未知病毒对操作系统的攻击,其作用为杀毒软件不可替代。
联想拯救系统是联想的安全系统,这个系统已和我们有多次接触了,在试用了其他几款安全PC后,我们仍然认为它最出色,除了快速备份、快速还原C区(还原5GB文件的C区仅需5min)的功能外,它还能将文件转移到USB移动设备中(用于在Windows不能启动时转移文件),它对于普通用户来说非常方便和实用。
开天M400S在配置上比较平易近人,价格方面不高,很容易被普通商业用户接受。
清华同方的安全PC也采用了兆日的TPM安全方案,早在五六月份就发布了采用Intel 945芯片组的安全PC超翔S4800,我们这次试用的这款超翔C4200在配置上要稍低一些,定位上更趋向主流市场,价格上相对容易被人接受。
超翔C4200配备了3.0GHz的Intel Pentium 4 630处理器(64位),采用Intel 915系列芯片组,内存和硬盘容量分别为512MB和160GB,配备ATI Radeon X300显卡,从目前的市场情况来看,这个配置一方面能给商业用户提供出色的性能,另一方面在价格上不会让用户负担过高。
在超翔C4200身上,兆日TPM安全方案分3个部分:TPM安全芯片、驱动及控制程序、安全软件(与其他采用兆日TPM安全方案的产品相似),这3个部分分别提供硬件、程序接口和应用程序。超翔C4200的TPM安全芯片采用可插拔式安装,应用程序分为以下3个工具:TPM文件加解密软件、TPM密码箱管理软件、TPM个人虚拟安全磁盘,分别对应文件加密、口令管理、安全虚拟分区3个功能,这3个程序的操作界面简洁易懂,容易上手。
台式PC的TPM安全方案有3种做法:一种是采用自己研发的安全芯片和安全软件,像联想开天M400S,有利于和自己开发的其他软件整合;一种是采用第三方的安全芯片和安全软件;还有一种是采用第三方的安全芯片,但自己参与软件设计。超翔C4200属于第二种情况。我们在试用中能体会到安全功能的独立性很强,TPM芯片及其安全软件和其他应用软件不会产生冲突,当不需要TPM这个功能时,你可以直接卸载安全芯片和软件,仍可将超翔C4200作为一台普通PC使用,软件和未加密数据都不受影响。可以说在这款产品身上,TPM安全方案是一个独立的模块。
功能简单、通用性好是超翔C4200的特点,加上它主流的硬件配置,这款产品的应用领域将非常广泛。
安全背后的思考
安全PC真的很安全吗?在接触了这些产品后,我不禁要回到主题上来。
安全:是保密,不是可靠
在测试和试用中,始终有一个问题缠绕在我脑子里:万一安全芯片损坏了,被加密的文件也要跟着陪葬吗?我们就此问题咨询了联想公司的技术人员,得知可以通过备份密钥来解决,即将加密密钥保存到外部存储设备上(如USB闪盘),万一这台机器的安全芯片损坏了,可以到其他机器上去解密。既然如此,我要追问,直接将文件存储在USB闪盘上岂不更“安全”?
安全PC能否带来安全,我觉得应该分两个方面看。
一方面,安全PC的“安全”倾向于数据“保密”、“不被窃取”、“机密不懈露”的含义,而不是“可靠”、“健壮”。事实上,采用安全芯片的安全PC,存储数据的破坏风险反而要高,数据存储的风险由每个环节累加,安全PC增加了TPM安全芯片的同时,也多了一道风险,所谓多一个功能多一个鬼,TPM安全系统的损坏(包括硬件和软件)、偷窃(可插拔的TPM芯片),都能威胁到已加密的数据,除非你不使用这个功能。
如果单单从存储的“健壮性”角度来看,安全PC并不必普通PC更安全。
另一方面,如果把安全PC的“安全”理解为“保密”,那安全PC与普通PC相比,的确具备不可比拟的安全优势,当你将文件加密后,你不用担心他人从网络上窃取你的文件,窃取者在他自己机器上看到的将是一堆乱码,若想破译你的密文,也是基本不可能的。TPM的设计者早已考虑到这一点,以联想开天M400S为例,它的数据加密采用2048位密钥,以目前的计算机水平,用穷举法破解需要运算成千上万年。文件一旦被安全芯片加密、你可以放心地将它存储在硬盘上,修改、复制等过程都是透明的,这种即安全又方便的优势是外部存储设备(如USB闪盘)达不到的。
从在数据的“保密性”来看,安全PC能做到普通PC不能达到了安全级别,它能有效地保护用户地机密数据,也因为这一点,目前大量安全PC面向军队、政府机关等用户。
安全:只有相对,没有完美
“安全系统”安全吗?还是拿“联想拯救系统”来说吧。联想开天M400S装备的拯救系统在易用性、实用性方面非常出色,在各种安全系统中数一数二。但这个出色的系统也有让我惶恐不安的时候,我在使用中遇到了这样的情况:由于测试的要求,我将C区容量由出厂前的15GB调整到20GB,调整前备份C区,后来在还原C区时,“联想拯救系统”拒绝还原,错误显示为“分区情况同备份时不同,不能执行系统恢复操作”,吓得我一身冷汗。我尝试多次后才将C区调整到了原来的大小:14998MB,安全系统才接受还原。这是一个危险信号,假如你没有记住你修改前的分区容量,你的C盘数据就泡汤了。
就“备份”和“还原”两个功能来说,试用的4款安全系统都没有达到传统软件Ghost的水平,“安全系统”的兼容性、健壮性还需要加强。
另外再说说基于硬盘的文件备份功能,许多厂商往往会夸大甚至吹嘘这个功能,严肃地说这是对用户的不负责。硬盘的安全性有目共睹,大量数据恢复公司在为这块特殊市场服务。举个我自己的例子吧,今天我已经毁掉了2块硬盘的全部数据了。第一块硬盘是办公桌的台式机,在我一次偶然开机中“嘎嘎”直叫,遂壮烈牺牲,数据全毁,最可恨的是先前一点预兆都没有;第二次事故发生在半个月前,我的一块3.5英寸160GB移动硬盘也出了问题,数据亡在我一直信任的PowerQuest PartitionMagic软件下,在一次合并2个分区为1个分区时中途死机,虽然不损伤硬件,但超过100GB数据全毁,其中包含近期拍摄的大量数码照片。近几天又传来同事的笔记本电脑硬盘出故障的信息,在一次偶然开机中,居然C盘数据全部丢失,他告诉我再也不敢使用那块硬盘了,他已把它放到移动硬盘盒了,打算只让它干一些临时活。“把重要数据备份在硬盘上等于自杀!”我的另一位同事对我说。你能信任基于硬盘的文件备份功能吗?
电子存储设备没有绝对安全的,磁存储介质(如软盘、硬盘)我们已经领教了,光存储介质也有寿命,一般的CD-R和DVD-RW刻录光盘的使用寿命是3~5年,非易失性记忆体(闪盘)是良好的存储体,但也逃脱不了强电磁场的破坏。目前的条件下,实现安全存储只有依靠多种存储体保存,或同种存储体多份保存,这方面RAID功能(磁盘阵列)是比较好的解决办法(使用其中的镜像模式),但目前在这些“安全PC”上没有看到这个功能——尽管Intel已把它整合到部分芯片组中。
对我自己而言,如果数据非常重要,我不会信任任何单一的存储介质,安全还是传统的方法,数码照片除了在硬盘里存放,我必须还将它刻成光盘,当硬盘里删除这些照片时,我必须要再刻一份,始终保证我手里有两份或两份以上数据。
没有完美的安全,如果你的数据确实非常非常重要,丢失和泄漏都会造成重大损失,那么最好还是不要过分信赖不可靠的电子系统,或互联网,安全PC也是如此。