2022年6月16日,联想GIC全球安全实验室举办了“创新科技守护美好生活”沙龙,联想GIC全球安全实验室总监耿晶鑫展开了对联想在产品安全方面的技术创新的探讨。
在未来的社会进步当中,智能生活、智能科技、智能家庭给生活带来的各种便利性,然而安全问题却也不容忽视,而联想GIC全球安全实验室就是为了产品的安全在不断努力。
据耿晶鑫介绍,在联想的安全实验室中,联想的安全部署有四大部分组成:
一、IT安全。负责整个公司IT运营和基础设施。
二、产品安全。在市场上发售的、联想售卖的所有产品的安全性。
三、供应链安全。联想上下游有非常庞大的全球供应链,它的安全性是非常重要的,有专门的组织去做。
四、物理安全。围绕联想集团的3S战略,结合“端、边、云、网、智”整体技术架构来看整个联想产品的安全。
联想对安全实验室产品的安全愿景是:为产品安全探索挑战,为用户安全保驾护航,这是联想的职责。
目前,联想全球化的产品安全专家团队大概分布在20多个国家,除了中国的专家团队,还有分布在各大州的安全专家。每年为新增超过1亿设备提供保护,这些设备的存量是数亿的,联想每天都为其提供实时安全的防护。联想通过全球化的产品运营,结合很多世界比较领先、尖端、成熟的技术为产品提供安全的保障。
通过全生命周期的研发流程,联想从概念之初一直到发布之后,整个全链条的产品安全都有着非常强大的技术支撑。比如说在早期设计阶段,联想整个的研发会进行风险评估、架构设计,也运用了卫星建模等比较成熟的安全技术来整体控制产品在早期的一些风险。
在中期,联想从安全的编码、安全的开发去控制安全代码的安全性。
在上线的前期,因为安全漏洞存在相对性,联想会通过不同的安全测试尽可能找到所有已知的安全漏洞。关于卖到市场上之后产品安全的保障,联想有一套包括pieces流程在内的完整上线后的应急响应来处理。
随着整个研发体系安全的加持,联想通过不同的平台来满足全球各个国家的法律法规要求和标准,在联想也不例外。拆开来看,从架构设计上,联想结合非常强大的安全技术测试,从产品的心脏——源代码上控制产品的安全,以符合安全标准。
从架构到测试、运营、研究,联想通过不断地攻防、测试、监控分析整个架构,整体把控安全的同时,还将技术转化成面向研发人员和职能部门人员持续安全技能的赋能和培训。这是联想安全文化建设所独有的,它是非常好的一种文化建设。
稍后在安全实验室里的互动演示,会带大家全景式体验如何破解一个设备。联想每天会收集全球范围内海量的威胁情报,了解到联想的威胁实时都在哪里出现,然后第一时间去修复它。
以上简要介绍了从技术层面,联想在整个产品安全上所做的努力,接下来简单介绍当然大家非常关注的设备、产品、数据安全和隐私保护。联想的实验室将很多先进技术运用到了产品安全当中,以确保产品从传输、存储一直到加密整个周期的数据安全和隐私保护。
数据安全隐私保护是联想ESG战略中的重要组成部分,早在去年之初,联想中国也成立了数据安全和隐私保护委员会,整个集团都在围绕这块开展一系列工作,目的就是为产品提供安全的保障,为用户提供高数据安全和隐私保护水平的产品服务以及解决方案。
联想在比较早期的实验就研究差分隐私技术和联邦学习技术等比较领先、创新的技术,并将其落实和运用到产品安全防护当中。
从研发体系到整个研发过程中做到数据安全和隐私保护,产品安全并没有完全解决。是达到90分以上,甚至说95分、96分以上,联想所不一样的地方就是联想有一支“蓝军”安全团队,所以联想的产品在这步达到了99分,相当的安全。联想也会运用零日攻击等全球化攻击对产品进行安全性的验证。然而99分这不是联想的目标,联想的目标是追求对安全的完美。
联想还有抽检机制,这也是联想所不一样的地方。它是安全的抽检而不是普通的抽检,这种抽检是全品类抽检,联想怎么做?什么热联想抽什么,什么用户多、销量高,联想就抽什么。
此外,少的联想也抽,就算市面上只有一台联想的设备,联想也绝不放过它的安全性,全局为用户提供安全的保障,以符合法律法规要求以及安全标准规范。
当联想抽检过程中发现安全问题怎么办?联想对这块是非常高标准的要求,除了一系列核心组织会对其进行联动的问题处置之外,联想会直通高层,每一个问题都会得到有效的处理和解决。从上到下、横向纵向对安全有一个全面保障。
在产品安全方面,确保产品从卖到用户手里之前,再到卖到用户手里之后的整个流程持续具有安全性,这是联想GIC全球安全实验室的主要工作。
此外,联想GIC全球安全实验室还有个比较尖端的团队。这个团队是做一些技术研究和创新的,至少站在未来3-5年往上的视角看现在。他们主要研究未来的威胁和攻击方式,研究未来的攻击者如何对待联想的设备。联想通过持续沉淀自身的安全技术来往前推现在的产品,不断优化其架构和设计,使其一直保持非常强的安全状态。
所以现在联想不只对漏洞进行研究,还会通过软件、硬件、固件、IoT等修复漏洞。联想的安全团队每年会发现并修复非常多安全的漏洞,刚才大家看到的智能存储、智能音响、智能电视,AR、VR眼镜,都是联想GIC全球安全实验室测过的,非常安全。
联想会运用关键技术去解决痛点问题,比如现在大家关注的生物识别问题。在座的和线上的小伙伴手机基本上是人脸去解锁的,有一部分是指纹解锁的,那它一定安全吗?不一定。
在侧信道的安全方面,联想率先突破了一些技术的瓶颈和障碍研究出关键成果。联想可以通过比较尖端的技术,以不同的思维和模式控制某些设备,主要目的不是为了攻而是为了防。联想会研究如何在产品研发之初就设计它的安全架构,对整个产品进行安全的设计,使它具备比较好的基础。
3-5年后智能化的产品会越来越智能化,而攻击的技术、手段和方式未来可能也都是智能化的,而不再是手动进行攻击。不同的产品和场景在面对不同的攻击方式时,联想应该怎么防?
回顾下联想产品安全的全景,联想从端到端保护产品的安全,从硬件、软件、固件、移动应用到业务、云端,因为现在都是端到端的,都是网联的一端是终端一端是云端,云端整个的安全是联想非常重视的一块,也是高安全水平保障的组成部分。
今天联想围绕智能家居的场景,很多智能设备联想有非常强大的技术对其进行保障。所以,联想不仅通过这几个模块,从架构审核到源码控制,从开源到攻防级的渗透,从数据安全的审核等层层审核,层层筛选,层层的验证,最终确保产品卖到市场上,卖到用户手里时实际上是具备安全基因的产品。
所以联想为每一款产品提供保障,为每一位用户提供安全负责,这就是安全实验室在这块要做的努力和方向。今年公司集团的安全战略也非常明确、持续的在安全设计上面,要加力,叫Scrape by design。联想要在产品设计之初,就让产品具备安全级,在产品上市后通过不断的验证,不断的蓝军去确保它的安全。
刚才讲的是技术层面,联想怎么去控制产品安全,比较庞大的体系,今天时间有限,所以最后一块我想介绍一下联想的安全文化。
联想安全文化从里到外、从上到下,从左到右的安全。一定程度上卖到用户手里的产品,实验室过关之后可能部分的产品老板要亲自体验,试一试是不是真的安全,才能真的到各位用户手里。层层审核、层层关口,负责人最后还有一个关口,去确保联想的产品真的是安全、可靠的。通过联想不断去研发的新安全技术,不断应用在产品上新安全防护的方法,对联想的产品进行安全防护。
联想GIC全球安全实验室在整个联想安全战略里扮演者什么样的角色,是什么样的定位。耿晶鑫回答称,安全现在是联想整个业务发展当中的重要组成部分,也是中国的战略。大家也能看到元庆总在相关讲话中提到,联想要为用户提供符合相关国家标准或高于相关国家要求标准的产品。所以从一定层面上讲,安全战略是联想整个公司业务发展当中的重要组成部分。
实验室的定位,是负责联想在卖到用户手里之前产品、安全、质量的控制工作,如何去控制它的安全,需要一个庞大的安全技术体系去支撑。
联想的使命就是让产品卖到大家手里是安全的,这就是实验室本质的地位。除了确保它的安全之外,联想还投入了非常大的资源,公司给予了非常大的支持去对安全技术进行前沿的研究和突破,驱动联想的产品是一个持续高水平安全的状态。
对于联想GIC全球安全实验室的创新研究有何成果,耿晶鑫称,智能门锁、智能摄像头,整个智能设备包括联想平时用的智能电源上,其实它都具有非常多安全隐患的可能性。
那联想怎么去解决?联想得去研究和创新一些技术去解决安全问题,比如说门锁上,他们里面最核心的肯定是核心部件。一是联想如何去研究核心部件抗电磁防护的材料。另外整个电磁防护对核心部件的冲击导致的重启,重启意味着很多东西重置,那联想如何有一套安全的机制防止这种情况发生。
当这种电磁波的攻击发生后,它能马上去激活它的防护机制,让攻击没法发生。另外整个固件安全的算法是不是轻易的被破解、被人篡改,这都是有很多考虑的,在整个安全防护技术里加入了很多基因,整体确保联想产品的安全性,比如说这个门锁。
当然包括联想的手机平板、指纹、人脸识别,我现在进到你们的手机里,或者你能不能进到联想的手机里,实际上是能的。但是联想通过比较领先的技术,加入进去一些算法,包括AI技术的应用,来确保这种攻击无法在联想的设备上攻击成功,这就是这块的投入和技术应用来确保产品的安全性。
