以身分驗證與加密機制來保護筆電資料安全

對於筆電重要資料的防護上，風險評估是相當重要的。像是那些資料需要做到基本防護，以及那些資料需要更高層級的防護，這樣一來，企業可以針對資料重要性與風險度，來決定筆電的防護措施。

目前筆電上已具有多元的使用者身分驗證方式與防護機制

要防止失竊筆電中的重要資料被竊取，最常見的方法是，讓拿到的人進不了作業系統，而且取出其中的硬碟連接到其他電腦上，也無法解密取得檔案。目前筆電上常見的解決辦法就是強化身分驗證與資料加密。

企業可以利用TPM、生物辨識、全硬碟加密、進入作業系統前的登入驗證等防護機制，配合管理政策來保障資料的安全性。一般來說，針對系統安全性的考量，像是進入Windows作業系統前，需要輸入使用者帳號的密碼才可以登入，這也是大家最熟知也是最基本的安全防護措施，所以一定要設密碼管制。

另外從驗證方式上來看，筆電廠商早已提供多種身分辨識技術，以突顯筆電資訊安全的重要，例如指紋辨識、人臉辨識、SmartCard智慧卡辨識等機制。這些辨識技術在近年已經算是相當普遍，它們解決了輸入密碼的麻煩，同時也避免遭人窺視或突然忘記密碼的可能性。此外，也有第3方廠商推出支援USB Token身分認證的技術。

開機前密碼驗證與周邊裝置鎖定，是目前多數企業會採取的強化方式

除了作業系統的使用者密碼驗證，也有在啟動作業系統前的認證機制Pre-boot authentication，以及周邊裝置控管機制Device Lock，這是目前企業常見的防護機制應用。

這種開機前驗證的方式，能夠在進入作業系統之前顯示登入視窗，同時也能搭配多數現行的身分驗證技術，像是指紋辨識、智慧卡辨識，甚至是自動加密硬碟，以增加安全防護的能力。

而從筆電廠商的角度來看，他們發現臺灣高科技製造業與晶圓廠商特別重視筆電I／O連接埠的管控，像是USB、光碟機，以及藍牙裝置等，目的是防範企業內部員工在有意與無意間，透過周邊裝置將機密洩露出去，然而對於能外出攜帶的筆電防竊並沒有特別的措施。

針對部分情況，也有一些特殊的解決辦法，例如管制筆電不可攜出，僅能在企業大樓、工廠內使用，或是設置外出專用機來因應，讓員工外出洽公可以使用。外出專用機具備常用的工具程式以供操作，並不含任何公司內部機密資料，所以沒有資料外洩的風險。

加密應用上，可利用全硬碟加密與TPM的搭配使用

要防止筆電遺失資料被竊，除了上述的安全機制外，最重要的是資料加密，將整臺硬碟完整加密，即使電腦遺失、遭竊，硬碟內的資料也不會遭人竊出。

BitLocker是Windows作業系統中的全硬碟加密功能，可加密儲存於磁碟中的所有資料。這個功能內建於Windows 7／Vista旗艦版、企業版中，是一項可以保護磁碟中重要資料的安全性防護功能。只要將檔案存放至使用BitLocker加密的磁碟機，BitLocker就會自動加密這些檔案，將檔案複製到其他磁碟機或電腦後就會解密。

BitLocker一般與TPM（受信任的平臺模組）配合使用，BitLocker會使用TPM來密封金鑰，而這些金鑰可用來解除加密的磁碟槽。若是在不支援TPM晶片的系統中，使用者必須建立一個儲存在USB隨身碟上的啟動金鑰來強制開啟。

透過TPM晶片，可以驗證存取資料平臺及硬碟的使用者身分。因此，開啟加密檔案時，除了需要一組密碼，也需要搭配機器專屬的TPM晶片才能開啟，如此一來，即使硬碟被人竊取，若沒有專屬TPM晶片認證，硬碟中的資料便無法讀取。

此外，除了認證、加密防護資料措施，有些廠商也特別針對資料銷毀提供功能，針對檔案以及硬碟提供有效的清除方式，避免已刪除的重要資料被救回，例如HP的商用筆電所提供的HP ProtectTools防護工具中，就有這樣的銷毀機制。

即使Apple筆電也有相對應的加密措施，例如要保密的資料夾或檔案，可以新增空白磁碟映像檔，再將資料放入虛擬資料夾即可。同時，新款產品將可以對整顆的硬碟加密。

全硬碟加密可用軟體或硬體實作

至於將電腦進行全硬碟加密的作法，目前仍是以軟體加密的方式居多，但現在也有硬碟廠商推出自動加密硬碟。這種硬碟是將晶片整合在硬碟上，與TPM晶片做在主機板上並不相同。

以目前來說，這種硬體式的加密硬碟，支援BIOS密碼功能可以自動驗證使用者，提供完整安全防護，而且它的加密過程是在硬碟中完成，而不需要占用電腦處理器和記憶體資源，但多數人的印象都是加密會影響到整體筆電效能，或是價格較貴，並未為企業普遍採用。

目前提供全硬碟加密的企業級專屬軟體像是CheckPoint Pointsec、McAfee Safe Boot、Symantec Endpoint Full Disk Encryption（併購自PGP）。除了軟體廠商，硬碟廠商也重視資料防護的問題，開始推出自動加密硬碟，像是Seagate  Momentus系列、Toshiba MKxx61GSYG 系列等。

其實還有許多其他類型的加密軟體可以運用，但要考量的是，使用者會不會因為個人習慣的問題，而導致機密資料沒有被徹底防護好。全硬碟加密的好處在於可將整臺硬碟加密，做到較完整的防護，包括開機磁區、系統磁區、暫存區都能做到有效防護。如果未採用全硬碟加密，企業員工未養成加密的使用習慣，就有可能將資料暴露於未加密的環境，像是該加密的文件沒加密，或者是產生加密後無法解密等問題。

防竊軟體也可保障資料安全的方式

近年，我們常看到的筆電防盜技術也有一些進展，像是處理器廠商Intel，以及BIOS廠商Phoenix均提出相關的保護。其中Intel的Anti-Theft防盜技術，以及Phoenix FailSafe功能，可以追蹤、控制並尋回遺失或遭竊的筆記型電腦。不過這些技術在實際應用上並不普及，而且有建置上的問題；例如Intel AT需搭配特定的服務商，而去年4月間，Phoenix也已經把FailSafe及Freeze兩項安全軟體賣給Absolute軟體公司。

HP商務筆電內建的資料安全防護工具軟體

對於筆電安全防護方面，部分筆電原廠提供相關工具讓使用者易於做好管控，以HP商用筆電所提供的安全管理軟體ProtectTools Security Manager來說，它提供多種認證支援機制，其安全功能設定也可以增強資料防護能力。

在HP ProtectTools安全管理設定中，會針對資料防護功能與驗證辨識技術加以檢核，讓使用者了解目前筆電的安全防護能力。其中SpareKey比較特別，可以避免BIOS和系統登錄密碼忘記的問題。

（圖左）Pre-boot authentication是進入作業系統前的登入驗證的方式，讓電腦在作業系統執行前就有一道關卡，同時可配合指紋辨識的驗證。

（圖右）HP ProtectTools提供單一介面的控管方式，可以設定使用密碼、憑證、磁碟加密、檔案清除、周邊管控等功能。

安侯建業導入全硬碟加密，並嚴格管控USB裝置

安侯建業會計師事務所採用行動辦公室的策略，所配給員工的電腦全部都是筆記型電腦，而他們對於相關的資訊安全問題也相當重視。

資訊長陳秋正表示，安侯建業會計師事務所採用Safeboot（現已併購至McAfee）所提供的加密技術，以開機前認證的方式啟動SafeBoot，對全硬碟進行加密。不過，全硬碟加密仍有風險，他們也察覺到如果加密過的硬碟出現壞軌，將難以救援，因此也將經常備份列入日常IT工作的重點。此外，他們的外接儲存裝置都是由公司配發的，同時也需要經過認證與加密的動作才能使用。

安侯建業對於USB連接埠的控管相當嚴格，一般的USB裝置插入他們的筆電是無法讀取的，只有他們認證的USB裝置，經註冊後才可使用。此外，因為市面上的USB隨身碟多半可以調整保密磁區大小，他們便向記憶體廠商Kingston客製專屬的隨身碟，讓使用者無法調整磁區，避免使用上有資料暴露的風險。

相關報導請參考「該重新檢視筆電失竊風險！」