IT決策者在重新評估現(xiàn)有生態(tài)的安全性和準(zhǔn)備更新產(chǎn)品時,需要將PC制造商處理安全問題的方式以及需購買何種產(chǎn)品納入考量����。供應(yīng)商評估和產(chǎn)品評估同樣關(guān)鍵,一家值得信賴����、經(jīng)驗豐富且了解威脅形勢的安全PC供應(yīng)商將能夠運用這些知識,幫助IT決策者在形勢不斷變化的過程中保護組織的IT安全�。有了這樣的合作伙伴,IT決策者就可以構(gòu)建一個安全的生態(tài)�,通過智能化手段緩解不可避免的攻擊�,并提高長期網(wǎng)絡(luò)彈性����。
安全問題應(yīng)從源頭抓起
IT決策者和最終用戶通常會與銷售人員、設(shè)備和產(chǎn)品支持人員進行交流����,但這些交流只能反映出安全問題的冰山一角。如同食品安全一樣�����,不能僅根據(jù)與餐廳服務(wù)人員的交流來判斷食品安全�����,因為食品安全始于廚房����。同樣,確保設(shè)備安全的因素必須在產(chǎn)品生產(chǎn)之前就已落實到位�����,而這一點通常很難可見����。
戴爾科技的設(shè)備安全實踐
在商用設(shè)備保護方面���,戴爾科技注重的是安全結(jié)果,即設(shè)備如何為組織的整體安全健康產(chǎn)生積極作用��,比如設(shè)備如何幫助預(yù)防攻擊���、在受到攻擊時如何保證設(shè)備安全、設(shè)備如何在整個生命周期保持安全等���。
事實上��,戴爾科技在開發(fā)安全商用PC方面擁有數(shù)十種符合行業(yè)標(biāo)準(zhǔn)并支持零信任安全策略的實踐����。今天����,我們將重點介紹安全供應(yīng)鏈、安全代碼和使用中的安全這三個核心領(lǐng)域的幾種實踐�。
1.確保戴爾科技商用設(shè)備供應(yīng)鏈的安全,即嚴(yán)格控制軟硬件供應(yīng)鏈���,也就是物理和數(shù)字供應(yīng)鏈�。這些控制措施有助于在產(chǎn)品制造、組裝����、交付以及部署過程中保持產(chǎn)品的完整性,確?�?蛻舴趾敛徊畹氐玫剿麄兯徺I的產(chǎn)品�����。此外�����,戴爾科技還向所有供應(yīng)商傳達這些嚴(yán)格的要求�,在流程的每一個環(huán)節(jié)以“假設(shè)違約”為前提,開展真正的零信任驗證檢查����。
這些檢查使用多種先進的技術(shù),如安全組件驗證*(SCV)用于識別組件調(diào)換��、SafeBIOS 離機驗證用于識別系統(tǒng)中權(quán)限最高的固件是否遭受任何篡改并發(fā)出警報等。戴爾科技將這些功能以及許多其他功能添加到戴爾可信工作區(qū)(Dell Trusted Workspace)產(chǎn)品組合中的戴爾可信設(shè)備����,同時在整個供應(yīng)鏈中運用這些功能,以確保供應(yīng)鏈中的所有環(huán)節(jié)都完好無損�,在偏差進入供應(yīng)鏈下一個環(huán)節(jié)之前就發(fā)現(xiàn)它們(如要進一步了解戴爾科技如何確保供應(yīng)鏈安全,請參見供應(yīng)鏈白皮書)�。
2.設(shè)計并開發(fā)安全戴爾科技商用設(shè)備。戴爾科技在這個環(huán)節(jié)融合實踐與功能��,開發(fā)出有效且創(chuàng)新的硬件和固件�����。
現(xiàn)在����,安全功能已部署至戴爾科技商用產(chǎn)品中��,但這只解決了一小部分問題�����。如果產(chǎn)品的設(shè)計�、開發(fā)和測試不受規(guī)定的戴爾安全開發(fā)生命周期(SDL)的約束,那么產(chǎn)品就會變得不安全�����。任何一家技術(shù)提供商最核心的責(zé)任就是確保所銷售的產(chǎn)品不會在無意中產(chǎn)生給用戶帶來風(fēng)險的漏洞。為了幫助防范攻擊并為安全軟件堆棧提供彈性����,戴爾科技在軟件開發(fā)過程中執(zhí)行嚴(yán)格的威脅建模,針對非常復(fù)雜的對手假設(shè)識別風(fēng)險�,甚至將此方法應(yīng)用于關(guān)鍵的硬件。
在整個開發(fā)過程中����,戴爾科技與一些最優(yōu)秀的滲透測試顧問和第三方研究人員合作,聯(lián)合測試并驗證這些威脅模型假設(shè)��,讓他們嘗試破解戴爾系統(tǒng)���。戴爾科技還提出了一項公開的漏洞懸賞計劃來對戴爾科技商用PC的安全性進行壓力測試���,最后將這些報告的結(jié)果反饋給工程部門,以便他們開發(fā)緩解方法��,如此往復(fù)���。這一舉措的目的是為了給客戶的環(huán)境提供加固和可信的設(shè)備�����,使客戶環(huán)境有效運行�����。
3.力求確保戴爾科技商用設(shè)備在使用中的安全�����。安全需要各方的共同努力才能實現(xiàn)���。如今�,要想實現(xiàn)真正的安全�,不僅需要硬件和固件層面的保護����,還需要軟件保護。因此戴爾科技不遺余力地打造一個由業(yè)界頂尖����、經(jīng)過全面審核的合作伙伴組成的生態(tài),來提供針對高級威脅的保護。
當(dāng)然�����,黑客的軟件入侵方法也在不斷更新���。因此�,戴爾科技設(shè)計安全開發(fā)生命周期(SDL)實踐的目標(biāo)便是擴展產(chǎn)品下線后的保護�����,比如快速�����、輕松識別并修復(fù)漏洞的能力�����。戴爾科技還在主動報告即將發(fā)布的安全更新和明確的安全支持政策��,使客戶更容易了解其購買的產(chǎn)品如何實現(xiàn)整個生命周期的安全性����。為幫助客戶快速查找有關(guān)漏洞的信息和產(chǎn)品版本的適用性���,戴爾科技已將所有安全公告和通知進行了集中整合。
戴爾科技提供綜合全面的安全保護
戴爾科技致力于建立一個可靠安全的互聯(lián)世界�����,通過堅持不懈的努力��,將客戶及相關(guān)的所有數(shù)據(jù)�����、網(wǎng)絡(luò)��、組織與安全時刻放在首位����,并將安全性精心融入至戴爾科技的所有的解決方案。
