文章摘要:怎样兼顾笔记本电脑在脱离服务器后的正常工作且不泄密 对已提出的风险以及应对措施,只是为了降低网络和服务器负载,降低对网络和服务器稳定性的依赖。但是无论采用哪种措施,授信节点在操作系统启动时都必须要求同服务器的通讯是正常的。然而笔记本电脑出差期间,其Windows启动时通常很难做到与公司内网中的服务器能够通讯。透明加密系统是如何解决这一问题的呢? 现在公认最可行的办法是:笔记本出差之前,对该机器进行
怎样兼顾笔记本电脑在脱离服务器后的正常工作且不泄密
对已提出的风险以及应对措施,只是为了降低网络和服务器负载,降低对网络和服务器稳定性的依赖。但是无论采用哪种措施,授信节点在操作系统启动时都必须要求同服务器的通讯是正常的。然而笔记本电脑出差期间,其Windows启动时通常很难做到与公司内网中的服务器能够通讯。透明加密系统是如何解决这一问题的呢?
现在公认最可行的办法是:笔记本出差之前,对该机器进行一次授权,授权该机器在一定的有效期内,能够脱离服务器而正常启动加解密服务。这种授权本身是有风险的。用户应该理解这种风险,并采取相应的管理措施加以配合。特别需要注意的是,这种授权一定要设置有效期,否则问题就回到了前文所述的“授信节点脱离用户实际管控”的重大风险。而这种风险一旦发生,是无法挽回的,所以必须要加密规避。
在做这种授权时,不同厂商的系统提供了不同的要素,从而安全级别也就不同。例如,有些品牌的系统可以在授权时设置了身份认证环节。也就是说,得到授权的授信节点,在离线期间要想启动加解密服务,必须事先(通常就是在Windows启动时)对PC的使用者进行身份认证。认证的方式有多种,包括简单的口令方式和更加安全的Ukey方式。其中一些厂商提供的功能给用户提供了更多可选的管理措施。例如,如果身份认证失败,应该怎么办?是正常启动Windows只不过不提供加解密服务吗?还是立刻强行关闭Windows?或者更加严格的选择:立刻清除该PC中的授权,即便PC使用者想起了正确的口令或者找到了匹配的Ukey也无济于事了。
在这种功能中,有一个问题需要用户特别注意。既然授权一定要设置有效期,那么确因工作原因逾期未归又该怎么办?早期的系统,授权通常要求授信节点和服务器能够正常通讯,即笔记本电脑一定要在局域网内才能够做授权。这种方法给授权延期造成了很多不便。用户所能够采用的方式只有是VPN连接或者拨号连接,授信节点和服务器的TCP协议通畅之后再做延期。现在已经出现了可以用文件方式进行授权的透明加密系统了。系统管理员在服务器上生成一个针对某笔记本的授权文件(可执行文件),并该文件通过电子邮件发送给在外的笔记本电脑,而出差的员工只要在笔记本电脑上运行该文件即完成了授权延期。
