不怕贼惦记!——商务PC安全之开机保护篇
整机工坊
上期,我们介绍了商务机机箱防盗措施,从外面做好了隐私的保密。而对于商务用户而言,资料本身的保密也显得非常重要,不少用户反映,自己用的商用电脑经常被他人登录,轻则导致系统混乱或中毒,重则被盗走重要机密文件。实际上,在众多商务办公领域,为了确保商务PC的安全性,开机保护是防止他人“捣乱”的第一道防线。因而,企业应该购买具备开机保护功能的商务PC,以避免别人强行登录系统。
一、开机加密:TPM安全芯片
为了满足商务用户需求,很多商务PC都内置了TPM安全芯片(图1),例如联想扬天M6000V、戴尔OpitPlex745、海尔博越MX100、方正君逸M500等,这类商务PC能够存储、管理BIOS开机密码,以往这些事务都由BIOS完成,但别人只要给BIOS放电,或者非法关机、停电等情况,都会导致BIOS密码被清除。然而TPM安全芯片是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,即便是掉电,信息也不会丢失,相比BIOS管理密码,TPM安全芯片的安全性大为提高。
TPM安全芯片除了能进行传统的开机加密外,还能对系统登录进行加密,如果商务PC具备了TPM安全芯片,就可以产生代表商务PC的唯一身份识别号。也就是说,每台商务PC的身份识别号都是唯一的,就相当于有一个唯一的硬件“身份证”,以此来验证用户身份,对于非法的登录身份都会将其拒之门外。实际上,TPM 安全芯片常被嵌入到商务PC的主板上(图2),当系统开机后,TPM安全芯片也随之启动,此时就已经筑起了一道信息安全大坝。
二、私人钥匙:生物识别技术
不管是TPM安全芯片,还是安全密钥,都有可能被他人“破解”,比如先破解BIOS管理密码,然后在BIOS里关闭TPM安全芯片功能,或者盗走你的安全密钥,就可以轻而易举登录你的电脑了,比如笔者的朋友在某个通讯公司就职,使用的商务电脑具备了TPM安全芯片,但半年来,系统依然被别人登录过几次,正所谓道高一尺,魔高一丈。
为了彻底避免以上事故,不少商务PC内置了生物指纹锁,它可以彻底杜绝系统密码被破解的可能,因为每个人的指纹形状是唯一的,并且不可再生,世界上任何两人都不存在着相同的手指指纹,指纹识别的工作方式跟密码差不多,是通过一个十分灵敏的传感器来鉴别指纹,以确认用户身份,用户只要先安装指纹识别程序,注册指纹之后,只须使用手指触摸指纹传感器就能够开机,不仅提升了商务PC的安全,也免去了输入密码的烦琐。
多数商务PC上的指纹传感器一般被设置在键盘上(图3),比如长城世恒SII-S030P、清华同方超扬A300、ThinkCentre A55的键盘上都内置了一个指纹锁。但指纹锁设计在键盘上也有很大弊端,如果键盘被别人更换了,有可能导致自己也无法登录,所以一些商务PC将指纹锁直接做在机箱上,不仅可避免他人随意更换键盘进行入侵,而且还方便随时使用;部分商务PC还为用户提供一个USB指纹锁,但使用时须将它插入电脑。这样的设计更加合理,避免了他人对指纹锁的破坏。
延伸阅读:面像识别开机技术
虽然指纹系统具有很高的安全性,但在注册和使用时,很容易受到一些其他因素的影响,例如手受伤了……为此,一些高端商务PC则采用了一种面像识别技术,包含面像检测、面像跟踪与面像比对等环节,能够充分满足用户安全方面的需求,通过自动定位待检人脸特征值,并且寻找多个脸部基准点扫描,误识别概率低于百分之一。具备面像识别技术的商务PC,一般会在显示器上内置一个视频识别器,如果要开机登入系统,必须是经过识别器检测过的面像,否则无法登录系统。早期的面像识别比较“弱智”,一张小照片即可搞定它,不过新一代的面像识别技术加入了虹膜或皮肤纹理信息处理能力,解决了一直困扰用户的“照片通关”问题。