电脑总是出现认证失败-电脑系统认证书备份
1.联想电脑保修期是按出厂日期算起的吗?
2.电脑开机机,重装系统后还是这样怎么办?
3.硬件接到电脑上为什么要安装驱动
4.如何全方位打造一个安全可信电脑终端
联想电脑保修期是按出厂日期算起的吗?
联想电脑保修有发票是按照发票日期起算,没有发票是按出厂日期算起。
以一个2年保修的电脑为例:
一、有发票的电脑是根据发票日期起算保修时间的,就是从发票日期起算向后2年时间;
二、发票没有了的话,电脑的保修时间是按照此电脑的出厂日期起算保修时间的,出厂日期一定是在购买日期之前的,这样的话电脑的2年保修,对用户实来说际上是少于2年()的。(例如:电脑出厂时间是2015.1.1,用户购买时间是2015.6.1,发票不起作用的话,保修日期就按2015.1.1起算向后2年保,用户也就少了5个月的保修时间)。
(一)联想“三包”服务承诺?
如果您是消费者用户,联想将按国家有关部门颁布的《微型计算机商品修理更换退货责任规定》(以下称“三包”规定)中的内容和范围,向您提供“三包”服务。?
联想承担法定“三包”义务的限度、原则和范围具体按“微型计算机三包规定”执行。?(二)联想厂商标准服务承诺?
联想在向消费者用户做出上述“三包”服务承诺的基础上,还将提供如下联想厂商标准服务:?
1、三年有限保修?
自您购买本产品之日(以下称“购机日”,以正式购机发票日期为准)起,本产品整机免费保修一年,主要部件免费保修两年,主板部件免费保修三年。超过保修期后,联想将按照《联想有偿服务收费标准》提供有偿服务。?
联想笔记本电脑保修期限?
部件类别 部件名称?
免费保修期限?
主机?
主板部件?
主板、声卡、显卡及固化在主板上的不可与主板分割的部件?
自购机日起3年(含)?
主要部件?
CPU、内存、显示屏、硬盘、键盘、电源适配器?
自购机日起2年(含)?
笔记本整机?
包括网卡、MODEM卡、二合一卡、三合一卡、PCMCIA卡、触控板、其他小电路板(充电板、背光控制板、电源板、LED板、I/O板、开关板、硬盘接口板等)、独立的读卡器、喇叭、风扇、散热片、电池、光驱、软驱、鼠标、外壳、各类盖板、线材(包括屏线、电源线等)、LCD盖板、支架类等?
自购机日起1年(含)?
软件?
预装软件(含软件介质)?
自购机日起1年(含)客户送修?
随机软件(资料、光盘介质、软盘介质)?
自购机日起3个月内凭故障原件更换?
备注: 1、随产品销售以及独立销售的其他产品的保修政策,请参考该产品对应的保修凭证。?
2、笔记本背包不在保修范围之内。?
3、以上提及的部件不应被理解为是对您所购买产品配置的承诺和描述,产品配置应根据您购买的具体机型以及装箱单为准。?
2、92个城市市区一年以内硬件故障免费上门服务?
在产品购买后的第一年内,对于下列城市市区的用户,当您使用的本产品出现保修范围内的硬件故障时(具体故障类型参照“三包”规定),请您首先拨打联想阳光服务热线:400-810-8888(见第(三)部分第10条服务支持系统),联想认证服务机构将在接到您的报修请求后的2个工作小时内与您电话联系,确定上门维修事宜。?
城市名单:北京、上海、广州、沈阳、西安、成都、武汉、深圳、济南、郑州、南京、杭州、石家庄、太原、天津、青岛、呼和浩特、长沙、南宁、海口、南昌、合肥、厦门、福州、宁波、哈尔滨、长春、大连、乌鲁木齐、兰州、昆明、贵阳、重庆、无锡、苏州、温州、烟台市、淄博市、临沂市、东营市、潍坊市、泰安市、济宁市、菏泽市、德州市、威海市、莱芜市、枣庄市、日照市、胶州市、徐州市、常州市、南通市、扬州市、常熟市、盐城市、昆山市、张家港市、镇江市、江阴市、宜兴市、连云港市、淮安市、吴江市、泰州市、太仓市、金华市、义乌市、台州市、嘉兴市、绍兴市、余姚市、永康市、湖州市、瑞安市、乐清市、温岭市、慈溪市、衢州市、诸暨市、禅城区(包括南海)、莞城、珠海市、石岐区、汕头市、湛江市、江门市、顺德区、惠州市、茂名市、肇庆市(含高要市)、崇明县和92个城市市区。?
3、7天*8小时工作制?
联想认证服务机构的正常营业时间是:每周一至周日,每天8小时。?
4、热线咨询服务?
如果您在使用中有技术问题需要咨询时,欢迎您拨打联想阳光服务热线:400-810-8888,由我们的工程师为您提供专业解答;或登录联想阳光服务网站:www.lenovo.com 获得上述服务。?
5、不能享受“联想厂商标准服务承诺”的情况?
本承诺不适用于下列情况:?
无联想标识的产品;?
本产品整机或部件已经超出保修期;?
未按说明书要求/错误/不当使用、保管、保养或操作产品造成的故障或损坏(例如带电插拔数据线,带电插拔非USB外接设备等);?
非产品所规定的工作环境等造成的故障或损坏(例如温度过高、过低,过于潮湿或干燥,海拔过高,非正常的物理压力,电磁干扰,供电不稳,静电干扰,零地电压过大,输入不合适的电压等);?
由非联想授权机构、人员安装、修理、更改、添加或拆卸而造成的故障或损坏;?
因使用非出厂时提供的部件(参见《装箱单》)导致的故障或损坏;?
因使用盗版或其他非合法授权软件、非标准或未公开发行的软件造成的故障或损坏;?
因意外因素或人为原因(包括计算机病毒、操作失误、进液、划伤、搬运、磕碰、不正确插拔、异物掉入、鼠害、虫害等)导致的故障或损坏;?
因自然灾害等不可抗力(如地震、火灾、雷击等)原因造成的故障或损坏;?
正常合理的消耗或损坏(如:外壳,接插部件的自然消耗,磨损及老化);?
其他并非联想机器(包括部件)本身质量问题而导致的故障或损坏。?
6、注意事项?
联想将在本标准服务承诺范围内为您提供规定的保修服务,如果您有超出本标准保修服务承诺的其他服务需求,请选择联想认证服务机构的有偿服务或根据您的需要购买联想个性化的服务产品。欲了解详情请登录联想阳光服务网站:www.lenovo.com。?
购货发票、保修凭证和装箱单是您获得厂商标准服务的重要凭证,请您妥善保管。在联想或联想认证服务机构为您提供保修服务时,请您务必出示相关凭证;如果您不能出示与电脑主机相对应的购机发票、保修凭证及装箱单,该产品的免费保修期限将自其生产日期开始计算。如果您无法提供任何保修凭证,联想将根据该产品的主机号查询其生产日期,以能够查询到的生产日期为准提供保修服务。主机号从随机装箱单或者机身的条码处可查到。如果不能得到产品的有效保修信息,联想将不提供厂商标准服务。?
(三)特别提醒和说明?
本承诺的适用范围?
本承诺仅适用于在中华人民共和国境内(港、澳、台地区除外)销售的联想天逸/旭日(不包括旭日C100系列)笔记本电脑。?
本承诺仅适用于2006年5月1日(含)之后出厂并销售的联想天逸/旭日笔记本电脑,在此日期之前的产品,请参照联想同期发布的标准保修服务承诺。?
与联想笔记本电脑产品一起捆绑销售的其他产品或促销品,如属于法定“三包”范围的则按“三包规定”执行,如不属于法定“三包”范围,则按照该商品各自的标准保修服务承诺执行。?
优先适用?
如果国家法律法规就售后服务另有规定的,联想将按照国家法律法规向您提供售后服务。?
联想厂商服务标准低于国家法定“三包”标准的,按“三包规定”执行,联想厂商服务标准高于国家法定“三包”标准的,按联想厂商服务标准执行,联想厂商服务标准与国家法定“三包”标准重叠的部分,在国家法定“三包”范围和期限内,按国家法定“三包”标准执行,在国家法定“三包”范围和期限外,按联想厂商标准执行。?
如果联想或联想产品的销售商与您就产品或其任何软硬件设备的售后服务有其他约定的,应按相应约定执行。?
维修服务方式?
在法律许可的范围内,联想可以自行选择采取修理、更换或退货的方式为您提供本文件所承诺的保修服务。?
除本文件第(二)部分第2条中规定的硬件上门服务外,如您购买的产品在保修期内发生硬件故障,您可以将故障产品送到中华人民共和国境内(不包括港、澳、台地区)任何就近的联想认证服务机构进行维修。联想认证服务机构会在维修完成后通知您将产品取回。联想不承担取送产品的费用及风险。联想认证服务机构的****及地址可以登录联想企业网站www.lenovo.com查询或通过咨询报修服务热线获得。?
请您不要采用寄送的方式送修本产品整机或任何部件,联想将不负责承担因此导致的费用或损失。?
联想否认的承诺?
除非本服务承诺中明确表示,联想不做任何其它明示或暗示的承诺和保证,包括对产品的可销性和对某一特定用途的适用性的暗示保证。除非联想另外作出明确承诺,否则:?
本保修服务承诺仅适用于联想笔记本电脑出厂时配置的主机和部件(参见装箱单)。任何机构或人员(如销售商)给您安装的一切非联想部件,联想不承担保修责任。?
任何机构和人员(如销售商)在本服务承诺之外就您购买的产品及其附属软硬件设备向您做出的任何额外承诺,联想将不承担责任;您应向作出该承诺的机构或人员索要书面证明,以保证这些额外承诺能够兑现。?
保修凭证?
发货票是您要求联想履行法定“三包”义务以及联想厂商标准服务的重要依据,请务必妥善保管。?
当您需要联想或联想的认证服务机构履行法定“三包”义务时,您需要携带有效的“发货票”和“三包凭证”,或者您能够有效地证明您的机器仍在三包有效期内,否则不实施三包。?
如果您需要联想或联想的认证服务机构提供“三包”服务以外的联想厂商标准服务,您除了需要携带有效“发货票”外,您还需要提供电脑随机的保修证书和装箱单。如果不能得到电脑的有效保修信息,联想将不提供高于“三包”服务的商标准服务。?
数据备份?
请您在接受服务前务必及时将您认为有价值的信息程序进行备份或取回,联想及联想认证服务机构仅负责产品之维修与检测,本文件规定的服务范围内恕不提供任何数据恢复与备份。联想及其认证服务机构不对数据、程序或存储介质的损坏或丢失承担责任。?
替换整机或部件的所有权?
联想认证服务机构为您更换整机或故障部件后,原机器或故障部件将由联想或联想认证服务机构收回并享有所有权。?
维修后的保修期限?
经联想认证服务机构维修后的本产品整机及其部件,继续享有本服务承诺。维修部件如自修复之日起距免费保修期结束不足三个月的,联想承诺将该部件的免费保修服务期限延长至自修复之日起三个月止(只适用于免费保修期为一年及一年以上的部件)。超出免费保修期以外维修的服务方式为客户送修。届时,请您出具有效的维修记录。
电脑开机机,重装系统后还是这样怎么办?
电脑启动时发生机故障,可以分为开机自检是发生机和载入操作系统时发生机两种。针对电脑自检时机故障的具体检修方法如下。\x0d\(1)首先确定电脑发生故障前的情况,如果电脑是在搬移之后发生机,可能是电脑在移动过程中受到很大震动,致使电脑内部的部件松动而接触不良造成机。打开机箱把内存,显卡等设备重新紧固即可。\x0d\(2)如果电脑是在升级BIOS程序之后发生机无法启动,则可能是BIOS程序升级失败或升级的BIOS程序文件与电脑硬件不兼容,使用原来的BIOS程序文件恢复即可。\x0d\(3)如果电脑是在设置BIOS程序之后发生机无法启动,将设置过的BIOS设置修改回来或用BIOS程序中的“LOAD BIOS DEFAULTS(载入标准预设置)”选项,将BIOS程序恢复即可。\x0d\(4)如果电脑是在CPU超频或升级之后机无法启动,可能是由于CPU超频或升级引起的电脑机,将CPU频率恢复正常频率或恢复到升级前的状态即可。\x0d\(5)如果开机启动时,显示器屏幕提示“Keyboard Error(键盘错误)”或“Hard disk install failure(硬盘安装失败)”等说明相关设备没有接好或损坏,重新连接或更换故障设备即可。\x0d\(6)如果屏幕提示“Disk Boot Failure(无效的启动盘)”,则是系统文件丢失或损坏,或硬盘分区表损坏,修复系统文件或恢复硬盘分区表即可。\x0d\(7)如果不是上述问题,接着检查机箱内是否干净,因为灰尘腐蚀电脑电路及接口会造成设备间接触不良,引起机,所以清洁灰尘及设备接口,有关灰尘造成的故障即可排除。\x0d\(8)如果故障没有排除,最后用替换法排除硬件设备兼容性问题及质量问题。\x0d\\x0d\针对电脑载入操作系统时发生机故障的检修方法如下。\x0d\(1)首先根据显示的错误提示进行判断。如果启动时提示系统文件找不见,则可能是系统文件丢失或损坏。维修时可以从其他相同操系统的电脑中复制丢失的文件到故障电脑中(有的系统文件不通用)。\x0d\(2)如启动时出现蓝屏,提示系统文件找不到指定的文件,则为硬盘坏道导致电脑无法读取系统文件所致。用启动盘启动电脑,运行“Scandisk”磁盘扫描程序,检测并修复硬盘坏道即可。\x0d\(3)如果没有上述故障,首先用杀毒软件查杀病毒,然后用“安全模式”启动电脑。如果不能启动,则可能主要是系统文件损坏,重新安装操作系统。\x0d\(4)如果用“安全模式”可以启动电脑,接着再退出重新启动系统,看是否机。\x0d\(5)如果依旧机,接着用备份的Windows注册表恢复系统(如系统不能启动,则用启动盘),恢复后看是否正常。\x0d\(6)如果还机,接着进入“安全模式”,打开“开始/运行”对话框,输入sfc并按Enter键,启动“系统文件检查器”,开始检测系统,如查出错误,屏幕会提示具体损坏文件的名称和路径,接着插入系统光盘,选“还原文件”命令,被损失或丢失的文件将会被还原。\x0d\(7)最后如果系统依然机,则重新安装操作系统。\x0d\\x0d\将BIOS电池放电(恢复BIOS出厂默认值)建议插拔一下显卡、内存,清理一下卫生,并且擦亮显卡、内存的金手指
硬件接到电脑上为什么要安装驱动
驱动程序:英文名为“Device Driver”,全称为“设备驱动程序”是一种可以使计算机和设备通信的特殊程序,可以 说相当于硬件的接口,操作系统只有通过这个接口,才能控制硬件设备的工作,假如某设备的驱动程序未能正确安装,便不能正常工作。 因此,驱动程序被誉为“ 硬件的灵魂”、“硬件的主宰”、和“硬件和系统之间的桥梁”等。
定义
驱动程序拼音Qūdòng chéngxù;刚装好的系统操作系统,很可能驱动程序安装的不完整。硬件越新,这种可能性越大。
为电脑安装驱动程序
比如操作系统刚装好的桌面“图标很大且颜色难看”就是因为没有安装好显卡驱动。
在软件测试中:在自底向上测试中,要编写称为测试驱动的模块调用正在测试的模块。测试驱动模块以和将来真正模块同样的方式挂接,向处于测试的模块发送测试用例数据,接受返回结果,验证结果是否正确。所以程序都要驱动程序不然像打印机,音响电脑都无法识别。每台电脑购买时都有驱动程序。
编辑本段作用
随着电子技术的飞速发展,电脑硬件的性能越来越强大。驱动程序是直接工作在各种硬件设备上的软件,其“驱动”这个名称也十分形象的指明了它的功能。正是通过驱动程序,各种硬件设备才能正常运行,达到既定的工作效果。
硬件如果缺少了驱动程序的“驱动”,那么本来性能非常强大的硬件就无法根据软件发出的指令进行工作,硬件就是空有一身本领都无从发挥,毫无用武之地。这时候,电脑就正如古人所说的“万事俱备,只欠东风”,这“东风”的角色就落在了驱动程序身上。如此看来,驱动程序在电脑使用上还真起着举足轻重的作用。
从理论上讲,所有的硬件设备都需要安装相应的驱动程序才能正常工作。但像CPU、内存、主板、软驱、键盘、显示器等设备却并不需要安装驱动程序也可以正常工作,而显卡、声卡、网卡等却一定要安装驱动程序,否则便无法正常工作。这是为什么呢?
这主要是由于这些硬件对于一台个人电脑来说是必需的,所以早期的设计人员将这些硬件列为BIOS能直接支持的硬件。换句话说,上述硬件安装后就可以被BIOS和操作系统直接支持,不再需要安装驱动程序。从这个角度来说,BIOS也是一种驱动程序。但是对于其他的硬件,例如:网卡,声卡,显卡等等 却必须要安装驱动程序,不然这些硬件就无法正常工作。
当然,也并非所有驱动程序都是对实际的硬件进行操作的,有的驱动程序只是辅助系统的运行,如android中的有些驱动程序提供辅助操作系统的功能,这些驱动不是linux系统的标准驱动,如ashmen,binder等。
编辑本段界定
驱动程序可以界定为官方正式版、微软WHQL认证版、第三方驱动、发烧友修改版、Beta测试版。
编辑本段正式版
官方正式版驱动是指按照芯片厂商的设计研发出来的,经过反复测试、修正,最终通过官方渠道发布出来的正式版驱动程序,又名公版驱动。通常官方正式版的发布方式包括官方网站发布及硬件产品附带光盘这两种方式。稳定性、兼容性好是官方正式版驱动最大的亮点,同时也是区别于发烧友修改版与测试版的显著特征。因此推荐普通用户使用官方正式版,而喜欢尝鲜、体现个性的玩家则推荐使用发烧友修改版及Beta测试版。
编辑本段认证版
WHQL是Windows Hardware Quality Labs的缩写,中文解释为:Windows硬件质量实验室,缩写分类:电子电工。是微软对各硬件厂商驱动的一个认证,是为了测试驱动程序与操作系统的相容性及稳定性而制定的。也就是说通过了WHQL认证的驱动程序与Windows系统基本上不存在兼容性的问题。
编辑本段第三方
第三方驱动一般是指硬件产品OEM厂商发布的基于官方驱动优化而成的驱动程序。第三方驱动拥有稳定性、兼容性好,基于官方正式版驱动优化并比官方正式版拥有更加完善的功能和更加强劲的整体性能的特性。因此,对于品牌机用户来说,笔者推荐用户的首选驱动是第三方驱动,第二选才是官方正式版驱动;对 于组装机用户来说,第三方驱动的选择可能相对复杂一点,因此官方正式版驱动仍是首选。
编辑本段修改版
发烧友令笔者首先就联想到了显卡,这是为什么呢?因为一直以来,发烧友通常都被用来形容游戏爱好者。笔者的这个想法也正好和发烧友修改版的诞生典故相符的,因为发烧友修改版的驱动最先就是出现在显卡驱动上的,由于众多发烧友对游戏的狂热,对于显卡性能的期望也就是比较高的,这时候厂商所发布的显卡驱动就往往都不能满足游戏爱好者的需求了,因此经修改过的以满足游戏爱好者更多的功能性要求的显卡驱动也就应运而生了。如今,发烧友修改版驱动又名改版 驱动,是指经修改过的驱动程序,而又不专指经修改过的驱动程序。
编辑本段测试版
测试版驱动是指处于测试阶段,还没有正式发布的驱动程序。这样的驱动往往具有稳定性不够、与系统的兼容性不够等bug。尝鲜和风险总是同时存在的,所以对于使用Beta测试版驱动的用户要做好出现故障的心理准备。
编辑本段介绍
驱动程序(Device Driver)全称为“设备驱动程序”,是一种可以使计算机和设备通信的特殊程序,可以说相当于硬件的接口,操作系统只能通过这个接口,才能控制硬件设备的工作,假如某设备的驱动程序未能正确安装,便不能正常工作。
惠普显卡驱动安装
正因为这个原因,驱动程序在系统中的所占的地位十分重要,一般当操作系统安装完毕后,首要的便是安装硬件设备的驱动程序。不过,大多数情况下,我们并不需要安装所有硬件设备的驱动程序,例如硬盘、显示器、光驱、键盘、鼠标等就不需要安装驱动程序,而显卡、声卡、扫描仪、摄像头、Modem等就需要安装驱动程序。另外,不同版本的操作系统对硬件设备的支持也是不同的,一般情况下版本越高所支持的硬件设备也越多,例如笔者使用了Windows XP,装好系统后一个驱动程序也不用安装。
设备驱动程序用来将硬件本身的功能告诉操作系统,完成硬件设备电子信号与操作系统及软件的高级编程语言之间的互相翻译。当操作系统需要使用某个硬件时,比如:让声卡播放音乐,它会先发送相应指令到声卡驱动程序,声卡驱动程序接收到后,马上将其翻译成声卡才能听懂的电子信号命令,从而让声卡播放音乐。
所以简单的说,驱动程序提供了硬件到操作系统的一个接口以及协调二者之间的关系,而因为驱动程序有如此重要的作用,所以人们都称“驱动程序是硬件的灵魂”、“硬件的主宰”,同时驱动程序也被形象的称为“硬件和系统之间的桥梁”。
戴尔电脑驱动盘
驱动程序即添加到操作系统中的一小块代码,其中包含有关硬件设备的信息。有了此信息,计算机就可以与设备进行通信。驱动程序是硬件厂商根据操作系统编写的配置文件,可以说没有驱动程序,计算机中的硬件就无法工作。操作系统不同,硬件的驱动程序也不同,各个硬件厂商为了保证硬件的兼容性及增强硬件的功能会不断地升级驱动程序。如:Nvidia显卡芯片公司平均每个月会升级显卡驱动程序2-3次。驱动程序是硬件的一部分,当你安装新硬件时,驱动程序是一项不可或缺的重要元件。凡是安装一个原本不属于你电脑中的硬件设备时,系统就会要求你安装驱动程序,将新的硬件与电脑系统连接起来。驱动程序扮演沟通的角色,把硬件的功能告诉电脑系统,并且也将系统的指令传达给硬件,让它开始工作。
当你在安装新硬件时总会被要求放入“这种硬件的驱动程序”,很多人这时就开始头痛。不是找不到驱动程序的盘片,就是找不到文件的位置,或是根本不知道什么是驱动程序。比如安装打印机这类的硬件外设,并不是把连接线接上就算完成,如果你这时候开始使用,系统会告诉你,找不到驱动程序。怎么办呢?参照说明书也未必就能顺利安装。其实在安装方面还是有一定的惯例与通则可寻的,这些都可以帮你做到无障碍安装。
在Windows系统中,需要安装主板、光驱、显卡、声卡等一套完整的驱动程序。如果你需要外接别的硬件设备,则还要安装相应的驱动程序,如:外接游戏硬件要安装手柄、方向盘、摇杆、跳舞毯等的驱动程序,外接打印机要安装打印机驱动程序,上网或接入局域网要安装网卡、Moden甚至ISDN、ADSL的驱动程序。说了这么多的驱动程序,你是否有一点头痛了。下面就介绍Windows系统中各种的不同硬件设备的驱动程序,希望能让你拨云见日。
在Windows 9x下,驱动程序按照其提供的硬件支持可以分为:声卡驱动程序、显卡驱动程序、鼠标驱动程序、主板驱动程序、网络设备驱动程序、打印机驱动程序、扫描仪驱动程序等等。为什么没有CPU、内存驱动程序呢?因为CPU和内存无需驱动程序便可使用,不仅如此,绝大多数键盘、鼠标、硬盘、软驱、显示器和主板上的标准设备都可以用Windows自带的标准驱动程序来驱动,当然其它特定功能除外。如果你需要在Windows系统中的DOS模式下使用光驱,那么还需要在DOS模式下安装光驱驱动程序。多数显卡、声卡、网卡等内置扩展卡和打印机、扫描仪、外置Modem等外设都需要安装与设备型号相符的驱动程序,否则无法发挥其部分或全部功能。驱动程序一般可通过三种途径得到,一是购买的硬件附带有驱动程序;二是Windows系统自带有大量驱动程序;三是从Internet下载驱动程序。最后一种途径往往能够得到最新的驱动程序。
供Windows 9x使用的驱动程序包通常由一些。vxd(或.386)、。drv、.sys、。dll或.exe等文件组成,在安装过程中,大部分文件都会被拷贝到“Windows\ System”目录下。
编辑本段开发
驱动程序的开发工作是很具挑战性的,因为必须配合着硬件与软件上相当明确与高级的平台技术。由于大多数的驱动程序(device drivers)运行在内核模式(kernel mode),软件的错误经常造成系统严重的不稳定,例如蓝屏(blue screen),这跟过去的用户模式(user mode)下的程序设计(例如Delphi、VB、Java)有明显的差异性。
驱动开发的原理与步骤:1,明白你手头的硬件工作原理,包括处理器架构的知识,还有外设控制器的 datasheet 为必读之物;2,假如你们要开发的整个系统是裸机程序,那你要开发的驱动程序就是一套和硬件打交道的函数库;但是假如你们计划在产品中使用一个操作系统,那开发驱动之前就需要熟悉这个操作系统的相关内部操作原理,因为你写的是驱动程序需要很好的“镶嵌”到这个操作系统的环境中去。
编辑本段微软平台
为了大量减轻驱动程序开发人员的负担,微软不断的改进驱动程序的开发软件与架构,从早期复杂深晦的VxD,到Windows XP上的Windows Driver Model(以下简称WDM)开发架构,如今Windows Driver Foundation(以下简称WDF)已成为新一代的Windows平台驱动程序发展架构,这个架构大量简化了驱动程序的开发流程,更符合面向对象的精神,此架构包含了UserMode Driver Framework 与Kernel Mode DriverFramework两种开发模式。在开发Windows平台上的驱动程序之前,必须先安装DDK包,目前DDK最新版本为5600,同时支持WDM与WDF两种架构。
编辑本段Unix平台
Linux作为UNIX的一个变种,继承了UNIX的设备管理方法,将所有的设备是具体的文件,通过文件系统层对设备进行访问。这种设备管理方法可以很好地做到“设备无关性”,可以根据硬件外设的更新进行方便的扩展。
Linux中的设备大致可以分为三类:字符设备,块设备,网络设备。
字符设备没有缓冲区,以字节为单位顺序处理数据,不支持随机读写。常见的字符设备如普通打印机、系统的串口、终端显示器、嵌入式设备中的简单按键、手写板等。
块设备是指在输入输出时数据处理以块为单位的设备,一般都采用缓冲技术,支持数据的随机读写。典型的块设备有硬盘、光驱等。
字符设备和块设备面向的上一层是文件系统层。对用户来说,块设备和字符设备的访问接口都是一组基于文件的系统调用,如read, write等。
网络设备与块设备和字符设备不同,网络设备面向的上一层是网络协议层。设备文件是一个唯一的名字(如eth0),在文件系统中不存在对应的节点项。内核和网络驱动程序之间的通信使用的是一套和数据包传输相关的函数,而不是read, write等。
每一个设备都有一对主设备号、次设备号的参数作为唯一的标识。主设备号标识设备对应的驱动程序;次设备号用来区分具体驱动程序的实例。主设备号的获取可以通过动态分配或指定的方式。在嵌入式系统中外设较少,一般采用指定的方式。
编辑本段安装顺序
驱动程序安装的一般顺序:主板芯片组(Chipset)→显卡(VGA)→声卡(Audio)→网卡(LAN)→无线网卡(Wireless LAN)→红外线(IR)→触控板(Touchpad)→PCMCIA控制器(PCMCIA)→读卡器(Flash Media Reader)→调制解调器(Modem)→其它(如电视卡、CDMA上网适配器等等)。不按顺序安装很有可能导致某些软件安装失败。
第一步,安装操作系统后,首先应该装上操作系统的Service Pack(SP)补丁。我们知道驱动程序直接面对的是操作系统与硬件,所以首先应该用SP补丁解决了操作系统的兼容性问题,这样才能尽量确保操
驱动安装过程
作系统和驱动程序的无缝结合。
第二步,安装主板驱动。主板驱动主要用来开启主板芯片组内置功能及特性,主板驱动里一般是主板识别和管理硬盘的IDE驱动程序或补丁,比如Intel芯片组的INF驱动和VIA的4in1补丁等。如果还包含有AGP补丁的话,一定要先安装完IDE驱动再安装AGP补丁,这一步很重要,也是很多造成系统不稳定的直接原因。
第三步,安装DirectX驱动。这里一般推荐安装最新版本,目前DirectX的最新版本是DirectX 9.0C。可能有些用户会认为:“我的显卡并不支持DirectX 9,没有必要安装DirectX 9.0C”,其实这是个错误的认识,把DirectX等同为了Direct3D。DirectX是微软嵌在操作系统上的应用程序接口(API),DirectX由显示部分、声音部分、输入部分和网络部分四大部分组成,显示部分又分为Direct Draw(负责2D加速)和Direct 3D(负责3D加速),所以说Direct3D只是它其中的一小部分而已。而新版本的DirectX改善的不仅仅是显示部分,其声音部分(DirectSound)——带来更好的声效;输入部分(Direct Input)——支持更多的游戏输入设备,并对这些设备的识别与驱动上更加细致,充分发挥设备的最佳状态和全部功能;网络部分(DirectPlay)——增强计算机的网络连接,提供更多的连接方式。只不过是DirectX在显示部分的改进比较大,也更引人关注,才忽略了其他部分的功劳,所以安装新版本的DirectX的意义并不仅是在显示部分了。当然,有兼容性问题时另当别论。
第四步,这时再安装显卡、声卡、网卡、调制解调器等插在主板上的板卡类驱动。
第五步,最后就可以装打印机、扫描仪、读写机这些外设驱动。
这样的安装顺序就能使系统文件合理搭配,协同工作,充分发挥系统的整体性能。
另外,显示器、键盘和鼠标等设备也是有专门的驱动程序,特别是一些品牌比较好的产品。虽然不用安装它们也可以被系统正确识别并使用,但是安装上这些驱动程序后,能增加一些额外的功能并提高稳定性和性能
编辑本段安装推荐
电脑用户在装完电脑系统之后,需要为各种硬件设备寻找匹配的驱动程序,推荐金山重装高手:
1.金山装机精灵拥有最全面、完整的驱动数据
2.智能检测未安装驱动的硬件设备,推荐安装经过验证的最稳定驱动程序
3.自动检测因故障导致不能正常使用的驱动的硬件设备,提供解决方案;
4.优先推荐通过“微软WHQL徽标认证版”驱动程序,及时更新相应组件。
编辑本段inf文件
Windows怎样知道安装的是什么设备,以及要拷贝哪些文件呢?答案在于——张inf文件。
以.inf为后置名的文件是从Windows 95时代开始引入的一种描述设备安装信息的文件,它用特定语法的文字来说明要安装的设备类型、生产厂商、型号、要拷贝的文件、拷贝到的目标路径,以及要添加到注册表中的信息。通过读取和解释这些文字,Windows便知道应该如何安装驱动程序。目前几乎所有硬件厂商提供的用于Windows 9x下的驱动程序都带有安装信息文件。事实上,inf文件不仅可用于安装驱动程序,还能用来安装与硬件并没有什么关系的软件,例如Windows 98支持“Windows更新”功能,更新时下载的系统部件就是利用inf文件来说明如何安装该部件的。
在安装驱动程序时,Windows一般要把.inf文件拷贝一份到“Windows\Inf”或“Windows\Inf\Other”目录下,以备将来使用。Inf目录下除了有inf文件外,还有两个特殊文件Drvdata.bin和Drvidx.bin,以及一些。pnf文件,它们都是Windows为了加快处理速度而自动生成的二进制文件。Drvdata.bin和Drvidx.bin记录了。inf文件描述的所有硬件设备,也许朋友们会有印象:当我们在安装某些设备时,经常会看到一个“创建驱动程序信息库”的窗口,此时Windows便正在生成这两个二进制文件。
Windows 9x专门提供有“添加新硬件向导”(以下简称硬件向导)来帮助使用者安装硬件驱动程序,使用者的工作就是在必要时告诉硬件向导在哪儿可以找到与硬件型号相匹配的.inf文件,剩下的绝大部分安装工作都将由硬件安装向导自己完成。
给硬件设备安装驱动程序对Windows 9x用户来说并不是一件陌生事,在安装或重装Windows时需要安装驱动程序,在购买了某些新硬件之后也需要安装驱动程序。如果驱动程序安装不正确,系统中某些硬件就可能无法正常使用。虽然Windows 9x支持即插即用,能够为用户减轻不少工作,但由于PC机的设备有非常多的品牌和型号,加上各种新产品不断问世,Windows不可能自动识别出所有设备,因此在安装很多设备时都需要人工干预。
如何全方位打造一个安全可信电脑终端
终端安全是企业信息技术安全体系建设的服务对象和密集风险发生部分。 我们面临着多方面的挑战,需要釆用不同类型,不同层次,不同级别的安全措 施,实现终端安全。
一、挑战和威胁
1. 员工安全意识薄弱,企业安全策略难以实施,网络病毒泛滥
病毒、蠕虫和间谍软件等网络安全威胁损害客户利益并造成大量金钱和生 产率的损失。与此同时,移动设备的普及进一步加剧了威胁。移动用户能够从 家里或公共热点连接互联网或办公室网络,常在无意中轻易地感染病毒并将其 带进企业环境,进而感染网络。
据2010 CSI/FBI安全报告称,虽然安全技术多年来一直在发展,且安全技 术的实施更是耗资数百万美元,但病毒、蠕虫和其他形式的恶意软件仍然是各 机构现在面临的主要问题。机构每年遭遇的大量安全事故造成系统中断、收入 损失、数据损坏或毁坏以及生产率降低等问题,给机构带来了巨大的经济影响。
为了解决这些问题,很多企业都制定了企业的终端安全策略,规定终端必 须安装杀毒软件,以及及时更新病毒库;终端必须及时安装系统安全补丁;终 端必须设置强口令等。但是由于员工安全意识薄弱,企业的安全策略难以实施, 形同虚设,网络安全问题依然严重。
2. 非授权用户接入网络,重要信息泄露
非授权接入包括以下两个部分:
(1) 来自外部的非法用户,利用企业管理的漏洞,使用PC接入交换机, 获得网络访问的权限;然后冒用合法用户的口令以合法身份登录网站后,查看 机密信息,修改信息内容及破坏应用系统的运行。
(2) 来自内部的合法用户,随意访问网络中的关键资源,获取关键信息用 于非法的目的。
目前,企业使用的局域网是以以太网为基础的网络架构,只要插入网络, 就能够自由地访问整个网络。因非法接入和非授权访问导致企业业务系统的破 坏以及关键信息资产的泄露,已经成为了企业需要解决的重要风险。
3. 网络资源的不合理使用,工作效率下降,存在违反法律法规的风险
根据IDC最新数据报导,企事业员工平均每天有超过50%的上班时间用来 在线聊天,浏览娱乐、、网站,或处理个人事务;员工从互联网下载 各种信息,而在那些用于下载信息的时间中,62%用于软件下载,11%用于下 载音乐,只有25%用于下载与写报告和文件相关的资料。
在国内,法律规定了很多网站是非法的,如有内容的、与相关 的、与迷信和犯罪相关的等。使用宽带接入互联网后,企事业内部网络某种程 度上成了一种“公共”上网场所,很多与法律相违背的行为都有可能发生在内 部网络中。这些事情难以追查,给企业带来了法律法规方面的风险。
二、防护措施
目前,终端数据管理存在的问题主要表现在:数据管理工作难以形成制度 化,数据丢失现象时常发生;数据分散在不同的机器、不同的应用上,管理分 散,安全得不到保障;难以实现数据库数据的高效在线备份;存储媒体管理困 难,历史数据保留困难。
为此,我们从以下几个方面采取措施实现终端安全。
1. 数据备份
随着计算机数据系统建设的深入,数据变得越来越举足轻重,如何有效地 管理数据系统日益成为保障系统正常运行的关键环节。然而,数据系统上的数 据格式不一,物理位置分布广泛,应用分散,数据量大,造成了数据难以有效 的管理,这给日后的工作带来诸多隐患。因此,建立一套制度化的数据备份系 统有着非常重要的意义。
数据备份是指通过在数据系统中选定一台机器作为数据备份的管理服务 器,在其他机器上安装客户端软件,从而将整个数据系统的数据自动备份到与 备份服务器相连的储存设备上,并在备份服务器上为各个备份客户端建立相应 的备份数据的索引表,利用索引表自动驱动存储介质来实现数据的自动恢复。 若有意外事件发生,若系统崩溃、非法操作等,可利用数据备份系统进行恢复。 从可靠性角度考虑,备份数量最好大于等于2。
1) 数据备份的主要内容
(1) 跨平台数据备份管理:要支持各种操作系统和数据库系统;
(2) 备份的安全性与可靠性:双重备份保护系统,确保备份数据万无一失;
(3) 自动化排程/智能化报警:通过Mail/Broadcasting/Log产生报警;
(4) 数据灾难防治与恢复:提供指定目录/单个文件数据恢复。
2) 数据备份方案
每个计算环境的规模、体系结构、客户机平台和它支持的应用软件都各不 相同,其存储管理需求也会有所区别,所以要选择最适合自身环境的解决方案。 目前虽然没有统一的标准,但至少要具有以下功能:集成的客户机代理支持、 广泛的存储设备支持、高级介质管理、高级日程安排、数据完整性保证机制、 数据库保护。比如,华为公司的VIS数据容灾解决方案、HDP数据连续性保护 方案,HDS的TrueCopy方案,IBM的SVC方案等。
2. 全面可靠的防病毒体系
计算机病毒的防治要从防毒、查毒、解毒三方面来进行,系统对于计算机病 毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
由于企业数据系统环境非常复杂,它拥有不同的系统和应用。因此,对于 整个企业数据系统病毒的防治,要兼顾到各个环节,否则有某些环节存在问题, 则很可能造成整体防治的失败。因而,对于反病毒软件来说,需要在技术上做 得面面俱到,才能实现全面防毒。
由于数据系统病毒与单机病毒在本质上是相同的,都是人为编制的计算机 程序,因此反病毒的原理是一样的,但是由于数据系统具有的特殊复杂性,使 得对数据系统反病毒的要求不仅是防毒、查毒、杀毒,而且还要求做到与系统 的无缝链接。因为,这项技术是影响软件运行效率、全面查杀病毒的关键所在。 但是要做到无缝链接,必须充分掌握系统的底层协议和接口规范。
随着当代病毒技术的发展,病毒已经能够紧密地嵌入操作系统的深层,甚 至是内核之中。这种深层次的嵌入,为彻底杀除病毒造成了极大的困难,如果 不能确保在病毒被杀除的同时不破坏操作系统本身,那么,使用这种反病毒软 件也许会出现事与愿违的严重后果。无缝链接技术可以保证反病毒模块从底层 内核与各种操作系统、数据系统、硬件、应用环境密切协调,确保在病毒入侵 时,反病毒操作不会伤及操作系统内核,同时又能确保对来犯病毒的防杀。
VxD是微软专门为Windows制定的设备驱动程序接口规范。简而言之, VxD程序有点类似于DOS中的设备驱动程序,它是专门用于管理系统所加载 的各种设备。VxD不仅适用于硬件设备,而且由于它具有比其他类型应用程序 更高的优先级,更靠近系统底层资源,因此,在Windows操作系统下,反病毒 技术就需要利用VxD机制才有可能全面、彻底地控制系统资源,并在病毒入侵 时及时报警。而且,VxD技术与TSR技术有很大的不同,占用极少的内存,对 系统性能影响极小。
由于病毒具备隐蔽性,因此它会在不知不觉中潜入你的机器。如果不能抵 御这种隐蔽性,那么反病毒软件就谈不上防毒功能了。实时反病毒软件作为一 个任务,对进出计算机系统的数据进行监控,能够保证系统不受病毒侵害。同 时,用户的其他应用程序可作为其他任务在系统中并行运行,与实时反病毒任 务毫不冲突。因此,在Windows环境下,如果不能实现实时反病毒,那么也将 会为病毒入侵埋下隐患。针对这一特性,需要采取实时反病毒技术,保证在计 算机系统的整个工作过程中,能够随时防止病毒从外界入侵系统,从而全面提 高计算机系统的整体防护水平。
当前,大多数光盘上存放的文件和数据系统上传输的文件都是以压缩形式 存放的,而且情况很复杂。现行通用的压缩格式较多,有的压缩工具还将压缩 文件打包成一个扩展名为“.exe”的“自解压”可执行文件,这种自解压文件 可脱离压缩工具直接运行。对于这些压缩文件存在的复杂情况,如果反病毒软 件不能准确判断,或判断片面,那就不可避免地会留有查杀病毒的“角”,为 病毒防治造成隐患。可通过全面掌握通用压缩算法和软件生产厂商自定义的压 缩算法,深入分析压缩文件的数据内容,而非采用简单地检查扩展文件名的方 法,实现对所有压缩文件的查毒杀毒功能。
对于数据系统病毒的防治来说,反病毒软件要能够做到全方位的防护,才 能对病毒做到密而不漏的查杀。对于数据系统病毒,除了对软盘、光盘等病毒 感染最普遍的媒介具备保护功能外,对于更为隐性的企业数据系统传播途径, 更应该把好关口。
当前,公司之间以及人与人之间电子通信方式的应用更为广泛。但是,随 着这种数据交换的增多,越来越多的病毒隐藏在邮件附件和数据库文件中进行
传播扩散。因此,反病毒软件应该对这一病毒传播通道具备有效控制的功能。
伴随数据系统的发展,在下载文件时,被感染病毒的机率正在呈指数级增 长。对这一传播更为广泛的病毒源,需要在下载文件中的病毒感染机器之前,
自动将之检测出来并给予清除,对压缩文件同样有效。
简言之,要综合采用数字免疫系统、监控病毒源技术、主动内核技术、“分 布式处理”技术、安全网管技术等措施,提高系统的抗病毒能力。
3. 安全措施之防火墙及数据加密
所谓防火墙就是一个把互联网与内部网隔开的屏障。防火墙有两类,即标 准防火墙和双家M关。随着防火墙技术的进步,在双家N关的基础上又演化出 两种防火墙配置,一种是隐蔽主机网关,另一种是隐蔽智能网关(隐蔽子网)。 隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路 由器进行隐蔽,另一方面在互联N和内部N之间安装堡垒主机。堡垒主机装在 内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯 一系统。U前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将 H关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服 务进行几乎透明的访问,同时阻止了外部未授权访问者对专用数据系统的非法 访问。一般来说,这种防火墙是最不容易被破坏的。
与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数 据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。 随着信息技术的发展,数据系统安全与信息保密日益引起人们的关注。目前各 国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件 两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不 N,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥 管理技术四种。
4. 智能卡实施
与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是 密钥的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋予它 一个口令或密码字。该密码与内部数据系统服务器上注册的密码一致。当口令 与身份特征共同使用时,智能卡的保密性能还是相当有效的。数据系统安全和 数据保护的这些防范措施都有-定的限度,并不是越安全就越可靠。因而,在 看一个内部网是杏安全时不仅要考察其手段,而更重要的是对该数据系统所采 取的各种措施,其中不光是物理防范,还有人员的素质等其他“软”因素,进 行综合评估,从而得出是否安全的结论。
另外,其他具体安全措施还包括数字认证、严谨有效的管理制度和高度警 惕的安全意识以及多级网管等措施。另外考虑到数据系统的业务连续,也需要 我们设计和部署必要的BCP计划。?
三、解决方案
解决终端安全问题的有效方法是结合端点安全状况信息和新型的网络准入 控制技术。
(1) 部署和实施网络准入控制,通过准入控制设备,能够有效地防范来自 非法终端对网络业务资源的访问,有效防范信息泄密。
(2) 通过准入控制设备,实现最小授权的访问控制,使得不同身份和角色 的员工,只能访问特定授权的业务系统,保护如财务系统企业的关键业务资源。
(3) 端点安全状态与网络准入控制技术相结合,阻止不安全的终端以及不 满足企业安全策略的终端接入网络,通过技术的手段强制实施企业的安全策略, 来减少网络安全事件,增强对企业安全制度的遵从。
加强事后审计,记录和控制终端对网络的访问,控制M络应用程序的使用, 敦促员工专注工作,减少企业在互联网访问的法律法规方面的风险,并且提供 责任回溯的手段。
1. 集中式组网方案
终端安全管理(Terminal Security Management, TSM)系统支持集中式组
网,把所有的控制服务器集中在一起,为网络中的终端提供接入控制和安全管 理功能。集中式组网方案如图9-3所示。
2. 分布式组网方案 如果遇到下面的情况,可能需要采用分布式组网方案,如图9-4所示。?
(1)终端相对集中在几个区域,而且区域之间的带宽比较小,由于代理与 服务器之间存在一定的流量,如果采用集中式部署,将会占用区域之间的带宽, 影响业务的提供。
(2)终端的规模相当大,可以考虑使用分布式组网,避免大量终端访问TSM 服务器,占用大量的网络带宽。
分布式部署的时候,TSM安全代理选择就近的控制服务器,获得身份认证 和准入控制等各项业务。
3. 分级式组网方案
如果网络规模超大,可以选择采用分级式组网方案,如图9-5所示。
在这种部署方案中,每个TSM结点都是一个独立的管理单元,承担独立的 用户管理、准入控制以及安全策略管理业务。管理中心负责制定总体的安全策 略,下发给各个TSM管理结点,并且对TSM管理结点实施情况进行监控。
TSM系统对于关键的用户认证数据库提供镜像备份机制,当主数据库发生 故障时,镜像数据库提供了备份的认证源,能够保证基本业务的提供,防止因 为单一数据源失效导致接入控制的网络故障。
当TSM系统发生严重故障,或者TSM系统所在的网络发生严重故障时, 用户可以根据业务的情况进行选择:业务优先/安全优先。
如果选择业务优先,准入控制设备(802.1X交换机除外)上设计的逃生通 道能够检测到TSM系统的严重故障,启用逃生通道,防止重要业务中断。
TSM终端安全管理系统提供服务器状态监控工具,通过该工具可以监控服 务器的运行状态,如数据库链接不上、SACG链接故障以及CPU/内存异常等。当 检查到服务器的状态异常时,可以通过邮件、短信等方式通知管理员及时处理。
四、终端虚拟化技术
1.传统的终端数据安全保护技术
1) DLP
(1) 工作方式:DLP (Data Loss Prevention,数据丢失防护)技术侧重于信 息泄密途径的防护,是能够通过深度内容分析对动态数据、静态数据和使用中 的数据进行鉴定、检测和保护的产品。可以在PC终端、网络、邮件服务器等 系统上针对信息内容层面的检测和防护,能够发现你的敏感数据存储的位置, 之后进行一定的处理方式,但也是有些漏洞的。
(2) 使用场景与限制:虽然DLP方案从灵活性、安全性、管理性上都满足 了数据安全的需求,但同样成功部署DLP方案需要有一个前提,就是其数据内 容匹配算法的误报率要足够低。然而,由于数据内容的表达方式千差万别,在 定义数据内容匹配规则的时候漏审率和误判率非常难平衡,无论是哪个厂商的 DLP产品,在实际测试过程中的误报率普遍都偏高,DLP方案的防护效果体验 并不好。
2) DRM
(1) 工作方式:DRM (Digital Right Management,数字权限管理)是加密
及元数据的结合,用于说明获准访问数据的用户,以及他们可以或不可以对数 据运行进行某些操作。DRM可决定数据的访问及使用方式,相当于随数据一 起移动的贴身保镖。权限包括读取、更改、剪切/粘贴、提交电子邮件、复制、 移动、保存到便携式保存设备及打印等操作。虽然DRM的功能非常强大,但 难以大规模实施。
(2) 使用场景与限制:DRM极其依赖手动运行,因此难以大规模实施。用 户必须了解哪些权限适用于哪种内容的用户,这样的复杂程度常使得员工忽略 DRM,并导致未能改善安全性的失败项冃。如同加密一样,企业在应用权限时 必须依赖人为的判断,因为DRM丄具不具备了解内容的功能。成功的DRM 部署通常只限于用户训练有素的小型工作组。由于存在此种复杂性,大型企业 通常并不适合部署DRM。但如同加密一样,可以使用DLP来专注于DRM, 并减少某些阻碍广泛部署的手动进程。
3) 全盘加密
(1) 工作方式:所谓全盘加密技术,一般是采用磁盘级动态加解密技术, 通过拦截操作系统或应用软件对磁盘数据的读/写请求,实现对全盘数据的实时 加解密,从而保护磁盘中所有文件的存储和使用安全,避免因便携终端或移动 设备丢失、存储设备报废和维修所带来的数据泄密风险。
(2) 使用场景与限制:与防水墙技术类似,全盘加密技术还是无法对不同 的涉密系统数据进行区别对待,不管是涉密文件还是普通文件,都进行加密存 储,无法支持正常的内外部文件交流。另外,全盘加密方案虽然能够从数据源 头上保障数据内容的安全性,但无法保障其自身的安全性和可靠性,一旦软件 系统损坏,所有的数据都将无法正常访问,对业务数据的可用性而言反而是一 种潜在的威胁。
上述传统安全技术是目前银行业都会部署的基础安全系统,这些安全系统 能够在某一个点上起到防护作用,然而尽管如此,数据泄密事件依然是屡禁不 止,可见银行业网络整体安全目前最人的威胁来源于终端安全上。而且部署这 么多的系统方案以后,用户体验不佳,不容易推广,因此并未达到预期的效果。 要彻底改变企业内网安全现状,必须部署更为有效的涉密系统数据防泄密方案。
2.数据保护的创新——终端虚拟化技术
为了能够在确保数据安全的前提下,提升用户的易用性和部署快速性,冃 前已经有部分企业开始使用终端虚拟化的技术来实现数据安全的保护。其中, 桌面/应用虚拟化技术以及基于安全沙盒技术的虚拟安全桌面就是两种比较常 见的方式。
1)桌面/应用虚拟化
桌面/应用虚拟化技术是基于服务器的计算模型,它将所有桌面虚拟机在数 据中心进行托管并统一管理。通过采购大量服务器,将CPU、存储器等硬件资 源进行集中建设,构建一个终端服务层,从而将桌面、应用以图像的方式发布 给终端用户。作为云计算的一种方式,由于所有的计算都放在服务器上,对终 端设备的要求将大大降低,不需要传统的台式计算机、笔记本式计算机,用户 可以通过客户端或者远程访问等方式获得与传统PC —致的用户体验,如图9-6 所示。
不过,虽然基于计算集中化模式的桌面虚拟化技术能够大大简化终端的管 理维护工作,能够很好地解决终端数据安全问题,但是也带来了服务端的部署 成本过大和管理成本提高等新问题。
(1) 所有的客户端程序进程都运行在终端服务器上,需要配置高性能的终 端服务器集群来均衡服务器的负载压力。
(2) 由于网络延迟、服务器性能、并发拥塞等客观因素影响,在桌面虚拟 化方案中,终端用户的使用体验大大低于物理计算机本地应用程序的使用体验。
(3) 计算集中化容易带来终端服务器的单点故障问题,需要通过终端服务 器的冗余备份来强化系统的稳定性。
(4) 桌面虚拟化方案中部署的大量终端服务器以及集中化的数据存储之间 的备份、恢复、迁移、维护、隔离等问题。
(5) 由于数据集中化,管理员的权限管理也需要列入考虑,毕竟让网络管 理员能够接触到银行业务部门的业务数据也是违背数据安全需求的。
(6) 桌面集中化方案提高了对网络的稳定性要求,无法满足离线办公的需求。
因此,此种方案在大规模部署使用时会遇到成本高、体验差的问题,如图
9-7所示。
2)防泄密安全桌面
为了解决桌面/应用虚拟化存在的问题,一种新的终端虚拟化技术——基r 沙盒的安全桌面被应用到了防泄密领域,如图9-8所示。
在不改变当前IT架构的情况下,充分利用本地PC的软、硬件资源,在本 地直接通过安全沙盒技术虚拟化了一个安全桌面,这个桌面可以理解为原有默 认桌面的一个备份和镜像,在安全桌面环境下运行的应用、数据、网络权限等 完全与默认桌面隔离,并且安全沙盒可以针对不同桌面之间进行细粒度的安全 控制,比如安全桌面下只能访问敏感业务系统,安全桌面内数据无法外发、复 制、打印、截屏,安全桌面内保存的文件加密存储等等。
这样一来,通过安全桌面+安全控制网关的联通配合,就可以确保用户只有 在防泄密安全桌面内进行了认证后才能访问核心敏感系统,实现了在终端的多 业务风险隔离,确保了终端的安全性。安全桌面虚拟化方案为用户提供了多个 虚拟的安全桌面,通过不同虚拟安全桌面相互隔离文件资源、网络资源、系统 资源等,可以让用户通过不同的桌面访问不同的业务资源。
比如为用户访问涉密业务系统提供了一个具有数据防泄露防护的防泄密安 全桌面,尽可能减少对用户使用习惯的影响,解决了物理隔离方案的易用性问 题,如图9-9所示。
基于沙盒的安全桌面方案的价值在于,在实现终端敏感业务数据防泄密的 前提下,不改变用户使用习惯,增强了易用性,还保护了用户的现有投资。目 前,防泄密安全桌面已经在金融、政府、企业等单位开始了广泛的应用,主要部署在CRM、ERP、设计图样等系统前端,以防止内部销售、供应链、财务等 人员的主动泄密行为。
但是安全桌面技术也有一定的局限性,比如它不适用于Java、C语言的代 码开发环境,存在一定兼容性的问题。
总而言之,两种终端虚拟化技术各有优劣,分别适用于不同的业务场景,具体可以参照图9-10。
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
