安全一直是联想的头等大事。 在台式机和笔记本电脑市场上的多年工作中,我们实现了许多不同的选择和服务来保护这些PC。 我们也是市场上唯一能够在生产过程和设备供应系统中实施保护的公司。 今天,我们只想谈谈安全性。 并详细告诉您我们全新的Lenovo ThinkShield品牌,该品牌完全专注于该领域。 最近,它结合了公司在保护计算机及其上存储的数据方面的所有发展。
为什么我们甚至决定尽可能彻底地投入这一切? 因为随着技术的发展,威胁的数量仅在增加。 根据发布违规水平指数(https://breachlevelindex.com/)的金雅拓研究公司的数据,2017年有26亿个帐户被盗,网络钓鱼计划已在被调查的数千家公司中成功实施了75%。 在所有数据安全漏洞中,超过四分之一与密码盗窃或密码不安全问题有关,而事实证明,只有不到10%的人能够将常规电子消息与潜在威胁区分开。 但是,有87%的高级管理人员承认意外数据泄漏。 如果我们采用全球数据,那么平均而言,安全漏洞将使公司损失362万美元。 为了消除在勒索软件的帮助下进行攻击的后果,专家在这一年中花费了大约23天的时间。
俄罗斯完全符合这些令人沮丧的全球趋势。 2018年,网络攻击的平均损失达1.3亿卢布,攻击总数增加了80%。 一年当中,超过8亿个承诺!
在这种背景下,作为全球领先的PC制造商之一,我们面临着非常重要而艰巨的任务:开发可帮助用户和公司解决大多数安全问题的产品。 这就是ThinkShield的实现方式-广泛的选件和服务包,可确保所有组件的安全,并保护ThinkPad,ThinkCentre和ThinkStation的笔记本电脑和台式机的生产和供应链。 它的组件在设备的开发和生产阶段以及整个使用周期中保护计算机使用公司及其客户的数据,并影响安全性的所有可能方面。
我们以品牌名称为基础,完全从公司产品系列中着眼于品牌的安全性:思考。 他们添加了“屏蔽”一词-Shield,它表示针对现代网络威胁的全面保护。 该品牌于2018年秋季首次推出,但在此之前,由70多名专家组成的团队致力于开发一系列服务及其系统化工作了几年。
ThinkShield复合体-顾名思义-仅在计算机的Thinkline上使用,这是非常重要的一点。 在大多数情况下,此设备的购买者是各种各样的公司:大型的国际和中型公司。 他们的主要要求是设备可以在3-5年内24/7正常工作。 这是产品本身和硬件的级别。 如果我们谈论安全性,那么我们客户的关键需求是在物理(例如,MilSTD认证)和软件级别以及组件供应系统级别以及设备维修期间提供保护。
为什么有这样的要求,值得关注Lenovo和ThinkShield建筑群的组件? 很简单:为此,我们再次转向统计。 根据国家漏洞数据库的数据,2018年在Lenovo设备上,所有全球领先的PC制造商中发现的漏洞数量最少。 NVD还以十分制给出了防护等级的平均评分:在此排名第二的是仅落后于该参数最高的公司的0.4分。
有趣的事实:最初的想法是使用完全不同的方式调用ThinkShield:缩写DIOD。 这代表数据,身份,在线,设备。 但是由于内部讨论,该选项由于过于技术性而被放弃。 但是另一方面,该缩写构成了ThinkShield所有组件在四个不同方向上系统化的基础。 在俄语中,它听起来像“数据”,“密码”,“网络”和“设备”。 下面我们将简要介绍它们。
装置
在Lenovo ThinkShield的此部分中,收集了与设备保护的大多数物理方面有关的所有开发信息。 例如,ThinkShutter窗帘,它允许您一动就打开和关闭网络摄像头。 此外,还集成了ePrivacy过滤器和智能USB端口保护机制。 当然,这还包括Think系列设备本身的直接可靠性,其中许多已通过MilSTD认证。 我们正在谈论防止冲击,跌落,放电,灰尘,高湿,低温和高温,液体溅出等的保护措施。 这只是冰山一角,以下是不完整的可用于在订购产品上安装的最有趣选项的列表:
- 离散TPM 2.0密码存储模块
- 英特尔BootGuard安全启动技术支持
- 没有后门超级用户密码/符合NIST的BIOS
- C-TPAT物流安全供应链合规
- 启用HVCI的设备驱动程序
- Kensington锁支持
- 在工厂下载公司软件映像
- 修改BIOS,添加用户数据
- 支持ITC首次启动服务首次启动技术
- Microsoft自动驾驶技术支持
密码
ThinkShield提供了多因素身份验证功能,其许多方法都基于Intel Authenticate技术。 这包括英特尔AMT定位技术,通过蓝牙的安全非接触式身份验证,安全指纹身份验证,面部识别和安全PIN。
此外,联想是业内第一家将FIDO认证的身份验证工具直接集成到Windows PC上的公司。 FIDO系统使用指纹读取器技术作为第二个验证因素来检查PayPal,Google和Dropbox等网站上的身份。 对于员工来说,这是一种非常安全和保密的方式,可以进入公司网络和Internet上的其他资源。 顺便说一下,对于所有Think系列计算机来说,这是一个完全免费的功能。
资料
网络犯罪分子越来越关注公司的供应链,并在生产阶段引入漏洞。 因此,企业产品的客户完全有理由为此担心。 我们的任务是消除这种怀疑,这就是我们正在为此做的。 首先,我们有自己值得信赖的供应商计划。 我们非常紧密地控制着所有面向未来笔记本电脑和台式机的智能组件制造商。 为了获得值得信赖的供应商的地位,您需要满足许多非常严格的要求,然后定期接受Lenovo专家的检查。 总的来说,与供应商的所有合作都经过组织,以使我们的所有流程变得尽可能透明。 如果突然出现潜在危险,那么我们将在危害任何人之前将其消除。
在供应链透明性方面,我们与英特尔特别紧密合作-英特尔拥有自己的透明供应链标准,我们严格遵守所有这些标准。 因此,任何用户或客户都可以直接在Intel网站上使用支持vPro技术的Intel Core处理器来验证其PC的真实性。 在此检查过程中,您将确切地看到出厂时已在PC中安装了哪些组件,以及现在在计算机内部的组件。
当然,Lenovo ThinkShield内实现的技术可在操作,维护期间甚至寿命终止后保护数据。 第一个的最简单示例是许多Think设备中内置的指纹扫描仪。 它实现了Synaptics片上匹配技术,因此,身份验证过程不会超出扫描仪本身及其电子“填充”的范围-操作系统根本无法使用它。 结果,凭证和标识变得非常可靠地受到保护,免受潜在攻击。
可以将BIOS级别的Think系列计算机上的USB端口配置为仅响应键盘和输入设备。 得益于对接口的这种智能保护,您公司的IT专家可以阻止将数据下载到不受保护的设备。 此外,我们不会忘记在计算机中安装智能卡读卡器的可能性,这将在使用个人徽章进行身份验证的办公室中提供更高级别的安全性。
另一个有趣的故事是ThinkPad Privacy Guard内置的屏幕过滤器。 使用相机,计算机可以从用户后面检测其他人的视野,不仅可以将其通知给他,而且还可以限制显示器的视角,以使外人不会不舒服地看不应看到的地方。
至于维护期间和设备处置时的数据保护,这里我们还有两个特殊选择。 当公司的PC需要去Lenovo的官方服务进行维修时,可以使用“保留驱动器”选项:具有重要数据的驱动器仍保留在公司内部,并且计算机不带磁盘即可使用该服务,这成为我们维修专家的问题,而不是客户的问题。 返回IT服务后,您只需将驱动器退回。 好吧,在发送小工具以进行回收之前,该工具的生命周期已经结束,我们始终会销毁所有驱动器中的数据。
网路
在无处不在的Wi-Fi时代,不要忘记连接到许多这样的网络是巨大的风险。 即使在连接之前,Lenovo Wi-Fi安全功能也会检测到潜在威胁并通知用户。 我们已经在所有Think系列PC的基本集成安全工具列表中实现了此必要的操作。
我们还有一个基于MobileIron技术构建的Lenovo Endpoint Management端点管理系统。 通过在单个生态系统中结合云安全性和设备本身的安全性,这是一种保护大量不同小工具的简单且相当可靠的方法。 人人都赢了:公司安全地交换数据,用户可以在任何方便的地方和方便的时间毫无问题地工作。 端点管理通过在Lenovo云和设备周围建立信任区来维护个人数据的机密性,并启用个人设备使用程序(BYOD),因为IT专业人员可以删除业务数据,同时保持个人信息的安全。
关于我们的Lenovo ThinkShield独家产品-特殊的虚拟机房BIOS Reading Room的几句话。 输入后,任何客户都可以在看到BIOS源代码时确保其计算机上没有书签。 我们故意将自己置于这样的条件下:我们无法绕过BIOS中的管理密码,而其他供应商仍然保留这种可能性。 我们认为,某些情况下的便利性无法弥补严重损害用户数据的危险。
如果您想算一下Lenovo ThinkShield内实现的所有服务和选件,那么您的手指上肯定没有足够的手指:目前有70多个手指,根本不可能在一种材料的框架内详细讲述所有内容。 但是,这的本质没有改变:我们尽一切努力确保我们的PC在市场上最安全。 顺便说一下,默认情况下,Think产品系列中包括70多个选件和服务中的20个。 在配置器的订购阶段,以及在某些情况下,在购买设备之后,都可以提高安全性。
当然,我们不打算在那里停下来。 现有的服务和选件将得到改善,并且ThinkShield软件包将进一步扩展。 目前,我们的开发人员正在创建缓冲区,这是在危险环境中进行安全工作的特殊环境:通过这样的沙箱,外部威胁无法穿透计算机。 ThinkPad Privacy Guard技术也在不断发展,从中期来看,用户将
能够使用
WinMagic ,
Intel Remote Secure Erase ,
Lenovo Asset Recovery Service和
Lenovo IMAC等 服务 。
我们单独列出了Lenovo ThinkShield复合体的组件,即使在最基本的配置中,这些组件也可供我们的产品客户使用。 我们试图使其尽可能广泛。
基本的Lenovo ThinkShield
•磁盘擦除工具
•值得信赖的服务
•BitLocker
•自加密驱动器
•智能USB保护
•硬盘密码
•FIDO
•GEO围栏安全
•片上匹配指纹
•扫视状态和注视检测
•Windows Hello
•英特尔在线连接
•联想Wi-Fi安全
•英特尔Software Guard扩展
•英特尔认证多因素
•可信供应商计划
•PSIRT和第一
•包装安全
•备件处理
•安全补丁/驱动程序/固件更新
•没有后门超级用户密码/符合NIST的BIOS
•LVFS和Windows更新固件更新
•BIOS资产信息区
•一键式Device Guard
•兼容HVCI的驱动程序
•英特尔Boot Guard
•ThinkShutter
•TPM 1.2 / 2.0
因此,将来将重点放在安全性上将继续是联想的首要任务。 同时,我们的目标不仅是提供最全面的威胁防护,还应确保其每个组件尽可能舒适和方便。 因此,我们欢迎您在评论和私人留言中发表意见。
如果您对ThinkShield存有疑问,请随时询问。 顺便说一下,包括在订购设备的阶段:我们的销售代表将就您选择的特定技术实质性地讨论所有事情。 感谢您的关注!