全加密保护移动计算机安全

过去几年中，随着移动计算设备的普及及在大众眼前出现的机率增加，安全风险也与日俱增。例如，不久前曾经有报道说尽管情况有些改变，有些政府机关的雇员依然在持有移动计算机时发生问题。根据一次在律证司进行的调查显示FBI在过去四年中平均每月丢失四台笔记本电脑，而其中一些还带有敏感数据。
 
当然，这样的问题对于公众来说有写遥远。在商务世界中，工作人员经常将工作带回家或者带到路途中，有时他们的笔记本电脑中也会包括敏感的企业文件的副本，或则后他们在外会连接公司的内部网，从而就会在笔记本电脑上保存VPN连接，LAN登录可信任证书等敏感信息。看起来好象每过几个月就会在报纸上读到某些金融服务企业丢失带有客户个人信息的笔记本电脑。

便利性是移动计算流行的重要原因，但是将所有这些可移动的系统放入“蛮荒之地”就会给窃贼带来机会。笔记本电脑仅仅因为其硬件价值就可能被盗，但是在一个企业间谍四处活动的世界里，也可能因为其中所记录的情报而被盗。这就是为什么能够保护数据被盗的方法对于软件供应商和硬件供应商来说都很重要。即使窃贼直接拿到电脑也无法获得情报，方法之一就是全加密。
 
全加密如何保护移动电脑

有很多能够对操作系统和其中保存的数据提供整体加密的第三方产品，他们能够通过阻止无法登录操作系统的窃贼启动其他操作系统然后访问数据的企图。

它们的工作原理如下：进行驱动器加密或者有时进行全硬盘加密，这些产品使用AES这样强大的加密算法对安装操作系统的分区进行加密。驱动器加密是指导“数据长眠”保护技术。

明显的，如果操作系统上所有的数据都被加密，就必须有方法能使具有授权的人解开密码从而启动计算机。这需要在系统启动程序开始之前采用某种方法来提供密钥。可以采用需要用户输入密码的启动时间驱动器来实现，通过保存在USB驱动器或者其他可移动设备中的密钥，或者在计算机硬件中建立一个可信任平台模块（Trusted Platform Module，TPM）。TPM是主板上的一个芯片，能够将加密钥匙与指定计算机硬件关联在一起，这样如果有窃贼企图拆除计算机上的硬盘并将它放在其他的设备中来访问数据，即使他拥有钥匙也无法达到目的。

请注意全加密之所以对移动计算机具有特别的吸引力是因为它们更容易旁落他人之手，但是全加密对于经常暴露在没有授权的人面前的桌面电脑来说也有作用。

微软涉足驱动器加密业务

现在微软已经在新的Windows Vista操作系统中增加了驱动加密，名为BitLocker。它可用于支持TPM的计算机或者没有TPM系统但是具有USB端口的电脑。BitLocker对安装了Vista 的启动部分进行加密。使用BitLocker还需要一块名为系统卷的1.5 G的磁盘分区。这个系统卷并未被加密不能用来存储数据。所有的分区都必须以为NTFS格式。

BitLocker通过全驱动加密消除了购买第三方软件产品保护可移动的需求，但是也有点小问题：BitLocker功能只在Vista企业版和终极版中提供，不适合中小企业，他们感觉好象被微软隔绝到了另一个世界。不在家庭版Vista中提供BitLocker的目的是很明显，但是还是有很多人奇怪为什么在商业版中也没有。由于企业版不走零售渠道，终极版价格较高，并包括媒体中心等企业不需要的功能，所以商业版是很多中小企业客户最可能选用的版本。

当我与一群刚参加完微软BitLocker展示会的专家进行讨论时想到这个问题。很明显，尽管BitLocker提供有价值的保护，但最好是在控制严密的环境下（企业环境下），技术高超的管理人员更有可能保证将来所创建的恢复钥匙能被妥善保管，既安全又方便使用。在控制不太到位的环境下（小型业务环境下），用户在进行加密以后很可能自己解不开，反到惹出麻烦来。如果这么考虑的的话，可能又要问，那为什么要在终极版中收入BitLocker呢？
 
我猜答案可能是由于终极版的价格原因，注定它是其他版本的交集。如果你出的起钱，就能拥有全部。有人可能还要说既然终极版可能的用户是“强大的用户”或者拥有技术实力的企业，他们可能很少会错误的实施BitLocker并导致数据丢失。

中小企业的BitLocker?

尽管微软决定不在商务版中提供BitLocker，中小企业不要认为这就意味着全加密仅仅是大型企业的解决方案。企业版所提供的除了BitLocker以外还有其他的优势，如更好的支持。尽管商务版和企业版价格相差100美金，但是这个差价要少于很多第三方驱动器加密产品，而且在使用这个操作系统的三年中每年价格还会降低34美金。

当然，如果您选择第三方产品，您就无需升级到Vista才能进行全加密。对于较老版本的Windows和Linux，有很多可供选择的商业或开源驱动器加密产品。

写在最后：全加密能适用于任何带有敏感数据的可移动计算机，而与您的企业大小无关。无论是BitLocker还是第三方产品，都是能够让你的多层安全策略受益的解决方案。

（责任编辑:陈毅东）