|
TPM安全芯片能有效地保护数据安全,但对于操作系统的安全,TPM安全芯片目前可应用性不高。Windows无法启动是经常遇到的故障,面对这种情况往往把人急得团团转,安全PC都看到了这个问题的紧迫性,不约而同地选择了这样的方法:预先建立第二个操作系统——安全系统,在Windows倒下时,用它解决问题。
Windows的病谁来治?
什么是Windows自己不能解决的问题?如Windows无法自举启动时,甚至连安全模式都无法进入时,这是Windows就不能自己救自己了。
当你的Windows不能启动时,你首先想到的肯定是文件,重新安装Windows会覆盖系统区(一般是C区)的文件。可能公司的PC维护人员告诉你不会为文件担心,因为它们能转移文件,比如用DOS转移C区的文件到D盘,或者将硬盘拆下来挂到USB移动硬盘盒里去解决。现实中我们的大多数用户都不懂得这些技术和方法,中小企业也不一定有技术维护人员,用户需要的是一个自己也能操作的功能。
类似的问题还有:Windows遭新病毒攻击、重要文件需要备份、为解决不了的软件问题而重新装等,我们把这类问题都归纳为“操作系统级别”的操作,我们平时的应用都是在Windows下进行的,但Windows本身出现的故障就不能自己解决,这是就需要安全PC要有特殊设计,它们不约而同地采取了这样的方法:预装安装了一个处理Windows事故的操作系统——安全系统。
安全系统是我们给的叫法,其实每个厂商对安全系统的叫法都不一样,如联想的“拯救系统”,方正的“方正智能安全系统”、浪潮的“浪潮PC管理专家”,清华同方的“同方电脑急救中心”,其中联想“拯救系统”是自主研发的产品,其余3款都是与“软通科技”合作开发的产品。这些安全系统的相似性很强,如都基于Linux系统,程序文件都安装在隐藏分区中,都能优先于Windows引导,都提供了图像化的操作界面(图5),功能上都具备C区恢复和C区数据转移功能。
图5:这些操作界面都是Linux系统,它们被安全PC安装,当你的Windows出现故障时,就可以启动它们来拯救Windows,我们把它们统称“安全系统”。
作为医生的安全系统
安全系统担当了给Windows治病的任务,那么它在原理上是怎么实现的呢?实现安全系统,有2个问题需要解决:一是系统存放的空间,二是如何引导。
程序驻扎隐藏分区
试想,如果把安全系统和Windows一起放在C区里,它会安全吗?它会变得和Windows一样脆弱,最重要的是无法实现还原C区的功能;如果把它放在C区以外的其他分区中,被窜改和被攻击的可能性一样没有降低。为了让安全系统不被破坏,一般安装在硬盘的独立分区中,而且这个分区是隐藏的,在Windows下用户无法看到,因此无方对这个分区进行读写操作,普通的分区软件如 PowerQuest PartitionMagic等无法看到和改变这个隐藏分。隐藏分区由安全系统在安装时创建,如“方正智能安全系统”和“同方电脑急救中心”在安装安全系统时会将硬盘最后一个分区转化成它的隐藏分区,对于Windows应用层面来说,它们会让硬盘可用空间变小一些(约减少5~10GB)。
优先于Windows引导
在解决了安全系统的居所后,还有一个问题需要解决——引导,即在开机后要留出一个进入它的通道,我们试用的4款具有安全系统的安全PC中,存在2种引导方式(图6 ):其中第2种方式修改了硬盘的主引导记录(MBR),加入了指向安全系统的跳转指令,在开机时如果你按下相应的按键,程序跳转向安全系统,否则引导Windows;第1种方式是把这个跳转功能直接写在主板BIOS中,当主板BIOS自检完成后如果用户按下相应键,程序跳转向安全系统,否则执行主引导记录(MBR),然后引导Windows。“联想拯救系统”采用第1种方式,引导功能在主板BIOS内完成,安全系统不修改硬盘的主引导记录(MBR),理论上更加安全些;其他3家的安全系统都采用了第2种方式,修改了硬盘的主引导记录,优点是不需要修改主板BIOS,通用性较好,如果软件编写上不设限制,它们可以使用到其他PC上。在操作中,用户如何进入安全系统呢?一般在开机自检后,引导提示会在屏幕上停留数秒,如果你要进入安全系统,只需在键盘上按下相应的按键即可(如方正智能安全系统按“Ctrl”+“/”键),如果你不想进入,等待数秒后它就自动启动Windows。这样,安全系统拥有了安全的空间和用户进入通道,用户只要不更换硬盘,它会一直安全地存在着,直到你的Windows出问题时,它出来解决问题。
图6:用户如何进入这些“安全系统”呢?主要存在图中两种实现方式。
|
