聚焦PC安全技术
品牌PC
随着PC和互联网的迅速普及,个人计算机的信息安全问题越来越突出。互联网就像是一把双刃剑,它既能迅速地把我们需要的资料传送到计算机里,也同时在你疏于防范的时候把病毒、间谍软件等垃圾同时带进你的电脑。如何提高个人计算机的安全性呢?联想在启天系列电脑上很早就推出了保护系统3.0版,一直发展到现在的5.6版,功能不断增强,应用更加方便。
安全PC应具备的特征
安全PC应具备哪些特征呢?以联想开天M400S为例,作为真正意义上的安全PC,该产品具备十大安全应用功能(图1),可以从硬件、运行、信息三方面维护PC的计算与通信安全。
首先,以标配机箱密码锁、USB禁用开关(防止数据资料通过USB端口被窃取)保障PC的“硬件安全”。
其次,以六大功能保障PC的运行安全。“系统智能防护”采用主动防护机制,因而可有效杜绝未知病毒对操作系统及应用程序的攻击,使电脑运行和使用更加稳定、安全。“芯片级系统内核自动修复”将BIOS和操作系统备份到一个隐藏分区内,并由安全芯片保护,由此实现了操作系统出现问题时的“即时恢复”。值得一提的还有“芯片级系统安全登录”、“一键彻底杀毒”等很实用的功能,前者采用了与安全芯片绑定的登录程序(可生成160位登录口令、并由2048位密钥加密)代替Windows原有的登录程序,如此复杂的登录口令需要“超级计算机运算2000万年才能破译”,后者则将杀毒程序和病毒库集成于联想独立开发的LEOS系统中,用户无须启动Windows,便可完成杀毒作业。此外,“一键恢复”和“随机预装防病毒软件”也最大程度地解决了用户的后顾之忧。
最后,联想开天M400S还以“芯片级文件加密”和“文件管理”来确保PC的“信息安全”。
针对PC的使用环境,联想把用户分为流动用户和固定用户两类。流动用户环境通常是指类似于网吧、电子教室、公共机房等计算机使用人员流动性较强的环境。针对此类使用环境联想安全PC提供了硬盘保护系统、网络控制系统等应用软件以及远程禁用I/O接口、修改密码等功能。固定用户环境是指类似于办公室、教研室以及个人用户等计算机使用人员相对固定的环境,针对此类使用环境联想安全PC提供了个人数据专家、远程协助等应用软件。
小知识:联想“恒智”安全芯片
联想早期的数据保护手段被称作一键恢复技术,一键恢复技术的问题在于备份和恢复的速度比较慢,需要占用硬盘空间,最重要的是,它不能保护系统分区以外的数据。而联想启天的保护系统5.X版则解决了这些问题,该保护系统的核心是一块被联想公司命名为“恒智”的安全芯片(图2),该安全芯片具有三大技术特性。
1.通过完整性度量建立自身免疫系统。当预装“恒智”安全芯片的PC检测到系统因遭受破坏而变得不完整时,在软件配合下会自动进行系统恢复,这一特性可以保证PC系统始终处于健康、完整的状态。
2.唯一主机平台身份识别。预装“恒智”安全芯片的PC在芯片中存有唯一代表该PC终端的身份识别号,类似于人的指纹识别,这一特性将极大地增强电子商务、网上交易过程中各交易主体的可信度,杜绝不法用户假借名义进行非法交易。
3.硬件级的密钥保护。“恒智”安全芯片将加密使用的密钥保存在芯片内部,而不是像过去一样保存在硬盘或其他介质上,这一特性不但可以有效防止对密钥的软件破译和黑客攻击,而且使得加密后的数据只能在本机解密查看,从而防止用户的机密数据丢失被破译后造成损失。
安全保护系统的使用
联想启天保护系统的安装与使用也相当简便,打开计算机电源启动之后,待屏幕上显示出“LENOVO 联想”的LOGO时,按下F4键将进入安装导航。
联想启天保护系统的中心是被联想称作“慧盾技术”的硬盘保护系统,它的功能实现不依赖于任何其他软件及操作系统,具有多系统引导、单机保护、网络复制、自动分配IP等特点,在使用的时候用户可以根据需要选择重新分区安装、保留系统安装以及网络安装。
重新分区安装就是将一台电脑的硬盘重新分区,再安装系统和应用软件,并设置保护还原功能;保留系统安装就是保存现有的硬盘分区形式和数据进行安装(此方式仅支持FDISK软件所作的分区);网络安装也是一种最具特色的安装,在同一局域网中,所有配置相同的计算机只要做好某一台的软件系统,便可以一对多同时进行网络复制,接收端的计算机完全不需要做任何特别处理就可以接收,这个功能对于像网吧之类的场合特别重要,能大大降低工作量。
安全保护系统的不足
经过试用后,笔者也发现了联想安全保护系统的不足。从联想的保护系统来看,它的本质是一套基于特定网卡加密的保护系统,“恒智”芯片中内含保护程序。我们可以来看看它的启动实现原理。
图3显示的内容是联想启天电脑主板集成的8139网卡的MAP文件内容,联想启天保护系统“恒智”芯片中唯一序列号就是此网卡的MAC 00115B9C0A3A。图中标注的“10”即为BootRom启动文件设置,15为64KB文件,14为32KB文件,00为没有启动项,第4行的代码是是否显示安装界面及调入保护卡功能的代码。
我们只要将一个单独的没有任何特殊功能的8139网卡的MAP文件复制到联想启天电脑的网卡MAP中,联想启天保护系统将会失去作用。
另外经过验证,联想启天保护系统所使用的主板的DMI(桌面管理接口)中必须要有联想的标志,去掉DMI的联想标志,这个保护系统同样不起作用。希望在以后的升级版本中得到改进。
总结:联想的启天保护系统作为联想的公共机房应用方案,为电子教室、网吧等公共机房环境提供了硬盘保护功能、CMOS参数保护功能、网络复制功能、网络控制功能,解决了机房管理员如何快速方便地给所有计算机安装操作系统、驱动程序和应用软件的问题。这套保护系统是目前比较值得推荐的!