教您笔记本安全防护要点

教您笔记本安全防护要点

在众多笔记本电脑保护设备中，一些设备的作用是防止笔记本电脑被偷的，而另一些则是为了如果发生最坏的情况，比如笔记本电脑落入不法分子手里，尽量保护失窃信息不会被别人看到的。 

　　如果你关心的只是保护昂贵的硬件，那么就应当认真关注可能合适的预防措施。除了著名的Kensington安全锁外，还可以使用报警系统和移动传感器。然而，只有使用加密软件对存放在笔记本电脑上的文件进行保护，笔记本电脑才算得到真正的保护。这意味着，最有效的安全包括硬件和软件两方面的保护。 

　　但别指望本文介绍的任何一个系统能够独立地确保全面的安全防护。你可以在许多系统中发现的免费、内置的机制是最起码的安全机制，譬如Bios口令或者操作系统登录用户名/口令，目的主要是为了阻止偶尔窥视的那些人。 

防护措施让窃贼无法得逞 

　　最简单的硬件防护手段就是用锁把笔记本电脑锁在某个坚固物体上，譬如墙上的钩子，或者不能移动的桌腿。这样至少可以减小你在网吧、不安全的办公室或者火车上被人偷走笔记本电脑的风险。 

　　如果你准备使用这样的锁，笔记本电脑的底座上就需要有一个加固的槽（Kensington安全锁槽），如今的大多数笔记本电脑上都内置了这种槽。与Kensington安全锁槽兼容的锁插入后，可以用一条相连的钢缆系住。窃贼得有一把断线钳，才有可能偷走笔记本电脑。这种安全方法的缺点是，你需要用什么东西把钢缆固定住; 当然，你还要随身带着锁。 

　　移动传感器则比较灵活。这种防盗设备（如Targus Defcon 1，50欧元）也使用钢缆锁在Kensington安全锁槽上; 你可以在离开笔记本电脑时，开启这种设备。如果窃贼接近笔记本电脑，或者企图切断钢缆，移动传感器就会发出很响的报警声。不过只有你在离笔记本电脑不太远，并且能马上赶回来的场合下，移动传感器才可以派上用场。另外如果它发出误报，你还需要通过遥控器关闭报警。 

　　较为复杂的笔记本电脑报警系统（如Caveo公司的防盗系统，100欧元）工作原理相似，不过更加智能化。这种系统有一块装有移动传感器的PC卡。如果打开了报警功能，要是窃贼把笔记本电脑移到你原先设定的范围外，警报系统就会发出很响的声音，而且PC卡阻止访问操作系统。你得输入安全代码，才可以重新获得对系统的访问权。
免费的基本安全 

　　存放在笔记本电脑上的数据可能比实际硬件还要来得宝贵，所以它们同样需要加以保护。你可以获得最低级别的一些内置保护机制，具体取决于你使用的是哪种操作系统。譬如说，Windows NT4、2000 和XP、Linux及Mac OS X都要求用户使用口令，这一关很难绕过。如果不知道这个口令，就无法进入系统。Windows 95、98和ME则没有这种基本的安全级别。 

　　但不管在什么情况下，窃贼只要把笔记本电脑上的硬盘拆下来，作为从盘安装到另一台PC机上，这样不需要口令，就可以读出其中的数据。那样的话，任何未经加密的数据都完全可以读取。 

　　另一项基本的防护技术就是，使用要求在Bios级进行验证的启动口令。只有输入正确的口令后，系统才会启动。笔记本电脑的Bios里面的这项功能通常可以通过像“Set Power-On Password”这类选项（具体名称取决于Bios的版本）来激活。 

　　许多Bios还允许你另外增设口令，防止有人进入Bios设置菜单。然而，这种免费功能只能提供最起码的保护机制。举例来说，有人只要使用相当简单的Windows实用程序，获得对登录后系统的物理访问权，就很容易读取口令。 

　　更让人担心的是，只要把主板上的CMOS电池取出一小会，有些笔记本电脑上的Bios口令就会失效，因而Bios会恢复到出厂时候的缺省值。这样就无法阻止窃贼把你笔记本电脑的硬盘安装到台式PC上后读取里面的数据。 数据加密 

　　对于已经铁了心的窃贼，大多数系统和Bios口令能够做到的只是暂时阻止他们。比较好的一种办法是采用加密工具，譬如Utimaco公司的Safeguard。这种程序能够对文件、文件夹甚至整个分区进行加密，只有输入口令后，才能够访问数据。即使窃贼把笔记本电脑硬盘拆下来装到另一台PC上，他所看到的也只是一堆毫无意义的垃圾。 

　　这种程序使用起来特别简单，譬如Safeguard或者Steganos公司的Safe 6，用户无须干预，它们就会对文件进行实时加密。这意味着，你不会忘了对宝贵数据进行加密。此外，你也用不着长时间地等数据加密过程完成。然而，即便使用实时加密产品，首次对硬盘进行全部加密也需要花好几个小时。 

　　所有的商业加密程序都使用了下面介绍的编码方法。所有这些方法、就连有点过时的数据加密标准（DES）都针对攻击提供了足够的防护机制。从理论上来说，破解这些加密方法的办法不是没有，但实际上意义不大，因为单单破解一把密钥，就需要成千上万台PC。 口令过期 

　　上面所述的这些软件如Safeguard只有在输入口令后，才提供对数据的访问。有些软件同时使用口令和特殊的USB令牌，其中之一就是Securstar公司的Drivecrypt。从外表上来看，这种设备类似广泛使用的USB存储棒，不过里面存放有你的个人软件加密密钥。 

　　只有插入正确的USB令牌，加密软件才会对数据进行解密。这意味着，要想破解口令是不可能的任务。如果拔掉USB令牌，系统就会自动锁住，加密目录里面的文件就无法读取。这种验证方法的主要缺点是，如果笔记本电脑和USB令牌同时失窃，数据就暴露无遗。 

　　尽管可以采用其他一些方法，但口令仍是应用非常广泛的一种方法，所以这里介绍确保口令安全的几个建议。我们建议口令至少要采用八位，其中包括诸如“$”、“%”、“!” 或者 “?”此类的字符。你可以使用数位较多的单字或者短语，然后把部分字符换成符号。譬如说，Personal Computer World可以换成Pe350n/- 9degm9ute>; =r-c。为了进一步加强安全，使用不同的口令用于不同登录是个好办法，譬如登录Windows、网络访问、电子邮件等使用不同口令。最后，你应当定期更换口令。 指纹验证 

　　较之使用相对不安全的口令进行登录，使用指纹阅读器是一种切合实际的替代办法。有些笔记本电脑厂商如富士通西门子和三星把指纹扫描器集成到了各自的笔记本电脑上，这样就没必要使用口令进行登录了。 

　　譬如，在富士通西门子的Celsius Mobile H笔记本电脑上，可以使用指纹来保护对Bios的访问。惠普和IBM为各自的笔记本电脑提供了指纹阅读器，作为一种额外的选件（PC卡或者外置USB模块）。还有一些第三方厂商的产品，譬如Sitecom PC-011 PC卡（250欧元）。然而，这些解决方案仅仅面向Windows系统，无法与Bios进行集成。 

　　指纹阅读器的缺点在于，它们很容易上当受骗。只记录指纹图案、却没有记录指纹深度或者指纹温度的指纹扫描器特别容易受骗。简单的指纹印模就可以误导这些设备。但是，如果你的手指温度较低，或者指尖上一个小地方给割破了，指纹扫描器就有可能很难识别你，从而把你这个合法用户同样“拒之门外”。 

　　除了指纹阅读器和USB软件狗外，还有各种各样的硬件产品可以阻止或允许对笔记本电脑的访问。宏和戴尔等制造商把智能卡阅读器做到了各自的部分型号的笔记本电脑里面。如果你插入智能卡，就可以登录进去，访问经过加密的数据。智能卡的最大优点就是，它同信用卡一样大小，便于携带。 

　　PC卡（如Ce-Infosys公司的Cryptcard）可以作为硬件密钥使用。这种卡能够对硬盘进行加密，从而在启动过程中保护系统。只有把卡插入后，才允许启动。你在正常工作时，硬盘上的数据加密过程就会实时进行。 

　　提到笔记本电脑的安全，IBM的Thinkpad特别值得一提。可以给Thinkpad配备加密芯片，而加密芯片是IBM的嵌入式安全子系统的一部分。该系统由主板上集成的一块芯片和Windows软件组成。 

　　该软件能够实现硬盘加密、带有口令管理器，而且支持安全的802.1x无线局域网。特别之处在于，软件和加密处理器紧密配合。因为进出芯片的数据流是安全的，所以别人不可能截获存放在芯片上的口令。如果启用了这些功能，Thinkpad在默认状态下就可以非常有效地防范数据失窃。