IT決策者在重新評(píng)估現(xiàn)有生態(tài)的安全性和準(zhǔn)備更新產(chǎn)品時(shí)����,需要將PC制造商處理安全問(wèn)題的方式以及需購(gòu)買何種產(chǎn)品納入考量���。供應(yīng)商評(píng)估和產(chǎn)品評(píng)估同樣關(guān)鍵����,一家值得信賴�、經(jīng)驗(yàn)豐富且了解威脅形勢(shì)的安全PC供應(yīng)商將能夠運(yùn)用這些知識(shí),幫助IT決策者在形勢(shì)不斷變化的過(guò)程中保護(hù)組織的IT安全���。有了這樣的合作伙伴����,IT決策者就可以構(gòu)建一個(gè)安全的生態(tài)�����,通過(guò)智能化手段緩解不可避免的攻擊��,并提高長(zhǎng)期網(wǎng)絡(luò)彈性����。
安全問(wèn)題應(yīng)從源頭抓起
IT決策者和最終用戶通常會(huì)與銷售人員��、設(shè)備和產(chǎn)品支持人員進(jìn)行交流��,但這些交流只能反映出安全問(wèn)題的冰山一角��。如同食品安全一樣����,不能僅根據(jù)與餐廳服務(wù)人員的交流來(lái)判斷食品安全���,因?yàn)槭称钒踩加趶N房����。同樣���,確保設(shè)備安全的因素必須在產(chǎn)品生產(chǎn)之前就已落實(shí)到位,而這一點(diǎn)通常很難可見��。
戴爾科技的設(shè)備安全實(shí)踐
在商用設(shè)備保護(hù)方面��,戴爾科技注重的是安全結(jié)果���,即設(shè)備如何為組織的整體安全健康產(chǎn)生積極作用����,比如設(shè)備如何幫助預(yù)防攻擊、在受到攻擊時(shí)如何保證設(shè)備安全����、設(shè)備如何在整個(gè)生命周期保持安全等。
事實(shí)上�����,戴爾科技在開發(fā)安全商用PC方面擁有數(shù)十種符合行業(yè)標(biāo)準(zhǔn)并支持零信任安全策略的實(shí)踐�。今天,我們將重點(diǎn)介紹安全供應(yīng)鏈��、安全代碼和使用中的安全這三個(gè)核心領(lǐng)域的幾種實(shí)踐����。
1.確保戴爾科技商用設(shè)備供應(yīng)鏈的安全,即嚴(yán)格控制軟硬件供應(yīng)鏈���,也就是物理和數(shù)字供應(yīng)鏈����。這些控制措施有助于在產(chǎn)品制造、組裝��、交付以及部署過(guò)程中保持產(chǎn)品的完整性���,確?�?蛻舴趾敛徊畹氐玫剿麄兯?gòu)買的產(chǎn)品�����。此外���,戴爾科技還向所有供應(yīng)商傳達(dá)這些嚴(yán)格的要求,在流程的每一個(gè)環(huán)節(jié)以“假設(shè)違約”為前提�����,開展真正的零信任驗(yàn)證檢查�。
這些檢查使用多種先進(jìn)的技術(shù),如安全組件驗(yàn)證*(SCV)用于識(shí)別組件調(diào)換���、SafeBIOS 離機(jī)驗(yàn)證用于識(shí)別系統(tǒng)中權(quán)限最高的固件是否遭受任何篡改并發(fā)出警報(bào)等。戴爾科技將這些功能以及許多其他功能添加到戴爾可信工作區(qū)(Dell Trusted Workspace)產(chǎn)品組合中的戴爾可信設(shè)備����,同時(shí)在整個(gè)供應(yīng)鏈中運(yùn)用這些功能��,以確保供應(yīng)鏈中的所有環(huán)節(jié)都完好無(wú)損�,在偏差進(jìn)入供應(yīng)鏈下一個(gè)環(huán)節(jié)之前就發(fā)現(xiàn)它們(如要進(jìn)一步了解戴爾科技如何確保供應(yīng)鏈安全�����,請(qǐng)參見供應(yīng)鏈白皮書)�。
2.設(shè)計(jì)并開發(fā)安全戴爾科技商用設(shè)備。戴爾科技在這個(gè)環(huán)節(jié)融合實(shí)踐與功能��,開發(fā)出有效且創(chuàng)新的硬件和固件��。
現(xiàn)在�����,安全功能已部署至戴爾科技商用產(chǎn)品中�����,但這只解決了一小部分問(wèn)題�。如果產(chǎn)品的設(shè)計(jì)、開發(fā)和測(cè)試不受規(guī)定的戴爾安全開發(fā)生命周期(SDL)的約束��,那么產(chǎn)品就會(huì)變得不安全。任何一家技術(shù)提供商最核心的責(zé)任就是確保所銷售的產(chǎn)品不會(huì)在無(wú)意中產(chǎn)生給用戶帶來(lái)風(fēng)險(xiǎn)的漏洞�。為了幫助防范攻擊并為安全軟件堆棧提供彈性,戴爾科技在軟件開發(fā)過(guò)程中執(zhí)行嚴(yán)格的威脅建模���,針對(duì)非常復(fù)雜的對(duì)手假設(shè)識(shí)別風(fēng)險(xiǎn)����,甚至將此方法應(yīng)用于關(guān)鍵的硬件��。
在整個(gè)開發(fā)過(guò)程中�,戴爾科技與一些最優(yōu)秀的滲透測(cè)試顧問(wèn)和第三方研究人員合作,聯(lián)合測(cè)試并驗(yàn)證這些威脅模型假設(shè)�����,讓他們嘗試破解戴爾系統(tǒng)��。戴爾科技還提出了一項(xiàng)公開的漏洞懸賞計(jì)劃來(lái)對(duì)戴爾科技商用PC的安全性進(jìn)行壓力測(cè)試�����,最后將這些報(bào)告的結(jié)果反饋給工程部門���,以便他們開發(fā)緩解方法�����,如此往復(fù)�����。這一舉措的目的是為了給客戶的環(huán)境提供加固和可信的設(shè)備���,使客戶環(huán)境有效運(yùn)行。
3.力求確保戴爾科技商用設(shè)備在使用中的安全���。安全需要各方的共同努力才能實(shí)現(xiàn)�。如今�����,要想實(shí)現(xiàn)真正的安全���,不僅需要硬件和固件層面的保護(hù)�,還需要軟件保護(hù)�。因此戴爾科技不遺余力地打造一個(gè)由業(yè)界頂尖、經(jīng)過(guò)全面審核的合作伙伴組成的生態(tài),來(lái)提供針對(duì)高級(jí)威脅的保護(hù)���。
當(dāng)然�����,黑客的軟件入侵方法也在不斷更新���。因此,戴爾科技設(shè)計(jì)安全開發(fā)生命周期(SDL)實(shí)踐的目標(biāo)便是擴(kuò)展產(chǎn)品下線后的保護(hù)���,比如快速����、輕松識(shí)別并修復(fù)漏洞的能力��。戴爾科技還在主動(dòng)報(bào)告即將發(fā)布的安全更新和明確的安全支持政策�,使客戶更容易了解其購(gòu)買的產(chǎn)品如何實(shí)現(xiàn)整個(gè)生命周期的安全性。為幫助客戶快速查找有關(guān)漏洞的信息和產(chǎn)品版本的適用性�����,戴爾科技已將所有安全公告和通知進(jìn)行了集中整合����。
戴爾科技提供綜合全面的安全保護(hù)
戴爾科技致力于建立一個(gè)可靠安全的互聯(lián)世界����,通過(guò)堅(jiān)持不懈的努力�,將客戶及相關(guān)的所有數(shù)據(jù)��、網(wǎng)絡(luò)���、組織與安全時(shí)刻放在首位��,并將安全性精心融入至戴爾科技的所有的解決方案����。
