包含敏感數(shù)據(jù)的筆記本電腦被盜怎么辦？最簡(jiǎn)便的方法就是對(duì)筆記本硬盤進(jìn)行加密，這就應(yīng)用到了我們今天談的話題——存儲(chǔ)加密技術(shù)。存儲(chǔ)加密技術(shù)是一種簡(jiǎn)單的加密機(jī)制，用于加密存儲(chǔ)在硬盤和其它一些媒介如備份磁盤上的數(shù)據(jù)。除非小偷知道用戶密碼，否則他是不能訪問(wèn)用戶數(shù)據(jù)的。

然而，熟悉電腦的小偷會(huì)利用一種方法去重新設(shè)置本地管理員的密碼，從而訪問(wèn)數(shù)據(jù)，或者只需移去硬盤并把它裝在另一臺(tái)電腦從而避開Windows操作系統(tǒng)的限制。所以，除非這些硬盤上的數(shù)據(jù)加密了，否則這兩種方法可以很快就讓小偷訪問(wèn)用戶的數(shù)據(jù)。

在以上情況出現(xiàn)時(shí)，存儲(chǔ)級(jí)加密可以保護(hù)數(shù)據(jù)，但有其他一些加密技術(shù)達(dá)到的效果可以更好。例如，Windows加密文件系統(tǒng)（EFS）可以對(duì)數(shù)據(jù)卷進(jìn)行加密，但它不能加密包含啟動(dòng) Windows所需特定硬盤文件的系統(tǒng)卷。這意味著，只有在電腦本身的物理安全得到保障的前提下，EFS加密的數(shù)據(jù)才會(huì)繼續(xù)受到保護(hù)。

如果計(jì)算機(jī)被盜，加密的硬盤又被移除并安裝到另一臺(tái)計(jì)算機(jī)上，此時(shí)EFS加密將會(huì)防止數(shù)據(jù)的泄密。然而，由于系統(tǒng)卷是不受保護(hù)，這樣就無(wú)法阻止小偷采用一種可行的方法重新設(shè)置管理員密碼，進(jìn)而啟動(dòng)Windows，用新密碼登陸，并獲取數(shù)據(jù)。

Windows Vista和Windows Server 2008提供BitLocker功能，從而解決了這個(gè)問(wèn)題。它使用的可信平臺(tái)模塊去加密系統(tǒng)卷。因?yàn)檫@是一個(gè)BIOS級(jí)的加密機(jī)制，所以它能防止密碼重置攻擊（假設(shè)系統(tǒng)卷已被加密）。

如果您正在考慮使用存儲(chǔ)級(jí)加密，此時(shí)仔細(xì)制定密鑰管理計(jì)劃，并擁有一個(gè)密鑰恢復(fù)機(jī)制就顯得很重要了。密鑰的丟失是一個(gè)相當(dāng)普遍的問(wèn)題。當(dāng)鑰匙丟失時(shí)，加密的數(shù)據(jù)無(wú)法讀取。除非有備份的密鑰可用，否則其結(jié)果將是數(shù)據(jù)永久性的丟失。

第三方的存儲(chǔ)級(jí)加密產(chǎn)品大多與EFS的工作機(jī)制類似，但其管理起來(lái)更加容易。除了采用不同的加密算法外，EFS和其他產(chǎn)品一個(gè)很重要的區(qū)別是密鑰存儲(chǔ)的方式。

Windows把EFS密鑰存儲(chǔ)在系統(tǒng)盤上，這將產(chǎn)生一些棘手的問(wèn)題。第一，當(dāng)系統(tǒng)盤無(wú)法正常工作時(shí)，密鑰便丟失，這將導(dǎo)致數(shù)據(jù)永久性的丟失，除非有備份的密鑰可用（作為域的一部分的Windows工作站通常會(huì)指派域管理員作為恢復(fù)密鑰的代理）。第二，如果一臺(tái)筆記本電腦被盜，熟練的黑客可以從系統(tǒng)盤上提取到密鑰，并利用它們來(lái)解開加密的數(shù)據(jù)。許多第三方的加密產(chǎn)品通過(guò)把密鑰存儲(chǔ)在U盤或網(wǎng)絡(luò)服務(wù)器上來(lái)應(yīng)對(duì)這種盜取密鑰的方法。

admin

收藏 海報(bào)分享