2022年6月16日，聯(lián)想GIC全球安全實(shí)驗(yàn)室舉辦了“創(chuàng)新科技守護(hù)美好生活”沙龍，聯(lián)想GIC全球安全實(shí)驗(yàn)室總監(jiān)耿晶鑫展開了對聯(lián)想在產(chǎn)品安全方面的技術(shù)創(chuàng)新的探討。

在未來的社會(huì)進(jìn)步當(dāng)中，智能生活、智能科技、智能家庭給生活帶來的各種便利性，然而安全問題卻也不容忽視，而聯(lián)想GIC全球安全實(shí)驗(yàn)室就是為了產(chǎn)品的安全在不斷努力。

據(jù)耿晶鑫介紹，在聯(lián)想的安全實(shí)驗(yàn)室中，聯(lián)想的安全部署有四大部分組成：

一、IT安全。負(fù)責(zé)整個(gè)公司IT運(yùn)營和基礎(chǔ)設(shè)施。

二、產(chǎn)品安全。在市場上發(fā)售的、聯(lián)想售賣的所有產(chǎn)品的安全性。

三、供應(yīng)鏈安全。聯(lián)想上下游有非常龐大的全球供應(yīng)鏈，它的安全性是非常重要的，有專門的組織去做。

四、物理安全。圍繞聯(lián)想集團(tuán)的3S戰(zhàn)略，結(jié)合“端、邊、云、網(wǎng)、智”整體技術(shù)架構(gòu)來看整個(gè)聯(lián)想產(chǎn)品的安全。

聯(lián)想對安全實(shí)驗(yàn)室產(chǎn)品的安全愿景是：為產(chǎn)品安全探索挑戰(zhàn)，為用戶安全保駕護(hù)航，這是聯(lián)想的職責(zé)。

目前，聯(lián)想全球化的產(chǎn)品安全專家團(tuán)隊(duì)大概分布在20多個(gè)國家，除了中國的專家團(tuán)隊(duì)，還有分布在各大州的安全專家。每年為新增超過1億設(shè)備提供保護(hù)，這些設(shè)備的存量是數(shù)億的，聯(lián)想每天都為其提供實(shí)時(shí)安全的防護(hù)。聯(lián)想通過全球化的產(chǎn)品運(yùn)營，結(jié)合很多世界比較領(lǐng)先、尖端、成熟的技術(shù)為產(chǎn)品提供安全的保障。

通過全生命周期的研發(fā)流程，聯(lián)想從概念之初一直到發(fā)布之后，整個(gè)全鏈條的產(chǎn)品安全都有著非常強(qiáng)大的技術(shù)支撐。比如說在早期設(shè)計(jì)階段，聯(lián)想整個(gè)的研發(fā)會(huì)進(jìn)行風(fēng)險(xiǎn)評估、架構(gòu)設(shè)計(jì)，也運(yùn)用了衛(wèi)星建模等比較成熟的安全技術(shù)來整體控制產(chǎn)品在早期的一些風(fēng)險(xiǎn)。

在中期，聯(lián)想從安全的編碼、安全的開發(fā)去控制安全代碼的安全性。

在上線的前期，因?yàn)榘踩┒创嬖谙鄬π?，?lián)想會(huì)通過不同的安全測試盡可能找到所有已知的安全漏洞。關(guān)于賣到市場上之后產(chǎn)品安全的保障，聯(lián)想有一套包括pieces流程在內(nèi)的完整上線后的應(yīng)急響應(yīng)來處理。

隨著整個(gè)研發(fā)體系安全的加持，聯(lián)想通過不同的平臺(tái)來滿足全球各個(gè)國家的法律法規(guī)要求和標(biāo)準(zhǔn)，在聯(lián)想也不例外。拆開來看，從架構(gòu)設(shè)計(jì)上，聯(lián)想結(jié)合非常強(qiáng)大的安全技術(shù)測試，從產(chǎn)品的心臟——源代碼上控制產(chǎn)品的安全，以符合安全標(biāo)準(zhǔn)。

從架構(gòu)到測試、運(yùn)營、研究，聯(lián)想通過不斷地攻防、測試、監(jiān)控分析整個(gè)架構(gòu)，整體把控安全的同時(shí)，還將技術(shù)轉(zhuǎn)化成面向研發(fā)人員和職能部門人員持續(xù)安全技能的賦能和培訓(xùn)。這是聯(lián)想安全文化建設(shè)所獨(dú)有的，它是非常好的一種文化建設(shè)。

稍后在安全實(shí)驗(yàn)室里的互動(dòng)演示，會(huì)帶大家全景式體驗(yàn)如何破解一個(gè)設(shè)備。聯(lián)想每天會(huì)收集全球范圍內(nèi)海量的威脅情報(bào)，了解到聯(lián)想的威脅實(shí)時(shí)都在哪里出現(xiàn)，然后第一時(shí)間去修復(fù)它。

以上簡要介紹了從技術(shù)層面，聯(lián)想在整個(gè)產(chǎn)品安全上所做的努力，接下來簡單介紹當(dāng)然大家非常關(guān)注的設(shè)備、產(chǎn)品、數(shù)據(jù)安全和隱私保護(hù)。聯(lián)想的實(shí)驗(yàn)室將很多先進(jìn)技術(shù)運(yùn)用到了產(chǎn)品安全當(dāng)中，以確保產(chǎn)品從傳輸、存儲(chǔ)一直到加密整個(gè)周期的數(shù)據(jù)安全和隱私保護(hù)。

數(shù)據(jù)安全隱私保護(hù)是聯(lián)想ESG戰(zhàn)略中的重要組成部分，早在去年之初，聯(lián)想中國也成立了數(shù)據(jù)安全和隱私保護(hù)委員會(huì)，整個(gè)集團(tuán)都在圍繞這塊開展一系列工作，目的就是為產(chǎn)品提供安全的保障，為用戶提供高數(shù)據(jù)安全和隱私保護(hù)水平的產(chǎn)品服務(wù)以及解決方案。

聯(lián)想在比較早期的實(shí)驗(yàn)就研究差分隱私技術(shù)和聯(lián)邦學(xué)習(xí)技術(shù)等比較領(lǐng)先、創(chuàng)新的技術(shù)，并將其落實(shí)和運(yùn)用到產(chǎn)品安全防護(hù)當(dāng)中。

從研發(fā)體系到整個(gè)研發(fā)過程中做到數(shù)據(jù)安全和隱私保護(hù)，產(chǎn)品安全并沒有完全解決。是達(dá)到90分以上，甚至說95分、96分以上，聯(lián)想所不一樣的地方就是聯(lián)想有一支“藍(lán)軍”安全團(tuán)隊(duì)，所以聯(lián)想的產(chǎn)品在這步達(dá)到了99分，相當(dāng)?shù)陌踩?。?lián)想也會(huì)運(yùn)用零日攻擊等全球化攻擊對產(chǎn)品進(jìn)行安全性的驗(yàn)證。然而99分這不是聯(lián)想的目標(biāo)，聯(lián)想的目標(biāo)是追求對安全的完美。

聯(lián)想還有抽檢機(jī)制，這也是聯(lián)想所不一樣的地方。它是安全的抽檢而不是普通的抽檢，這種抽檢是全品類抽檢，聯(lián)想怎么做？什么熱聯(lián)想抽什么，什么用戶多、銷量高，聯(lián)想就抽什么。

此外，少的聯(lián)想也抽，就算市面上只有一臺(tái)聯(lián)想的設(shè)備，聯(lián)想也絕不放過它的安全性，全局為用戶提供安全的保障，以符合法律法規(guī)要求以及安全標(biāo)準(zhǔn)規(guī)范。

當(dāng)聯(lián)想抽檢過程中發(fā)現(xiàn)安全問題怎么辦？聯(lián)想對這塊是非常高標(biāo)準(zhǔn)的要求，除了一系列核心組織會(huì)對其進(jìn)行聯(lián)動(dòng)的問題處置之外，聯(lián)想會(huì)直通高層，每一個(gè)問題都會(huì)得到有效的處理和解決。從上到下、橫向縱向?qū)Π踩幸粋€(gè)全面保障。

在產(chǎn)品安全方面，確保產(chǎn)品從賣到用戶手里之前，再到賣到用戶手里之后的整個(gè)流程持續(xù)具有安全性，這是聯(lián)想GIC全球安全實(shí)驗(yàn)室的主要工作。

此外，聯(lián)想GIC全球安全實(shí)驗(yàn)室還有個(gè)比較尖端的團(tuán)隊(duì)。這個(gè)團(tuán)隊(duì)是做一些技術(shù)研究和創(chuàng)新的，至少站在未來3-5年往上的視角看現(xiàn)在。他們主要研究未來的威脅和攻擊方式，研究未來的攻擊者如何對待聯(lián)想的設(shè)備。聯(lián)想通過持續(xù)沉淀自身的安全技術(shù)來往前推現(xiàn)在的產(chǎn)品，不斷優(yōu)化其架構(gòu)和設(shè)計(jì)，使其一直保持非常強(qiáng)的安全狀態(tài)。

所以現(xiàn)在聯(lián)想不只對漏洞進(jìn)行研究，還會(huì)通過軟件、硬件、固件、IoT等修復(fù)漏洞。聯(lián)想的安全團(tuán)隊(duì)每年會(huì)發(fā)現(xiàn)并修復(fù)非常多安全的漏洞，剛才大家看到的智能存儲(chǔ)、智能音響、智能電視，AR、VR眼鏡，都是聯(lián)想GIC全球安全實(shí)驗(yàn)室測過的，非常安全。

聯(lián)想會(huì)運(yùn)用關(guān)鍵技術(shù)去解決痛點(diǎn)問題，比如現(xiàn)在大家關(guān)注的生物識(shí)別問題。在座的和線上的小伙伴手機(jī)基本上是人臉去解鎖的，有一部分是指紋解鎖的，那它一定安全嗎？不一定。

在側(cè)信道的安全方面，聯(lián)想率先突破了一些技術(shù)的瓶頸和障礙研究出關(guān)鍵成果。聯(lián)想可以通過比較尖端的技術(shù)，以不同的思維和模式控制某些設(shè)備，主要目的不是為了攻而是為了防。聯(lián)想會(huì)研究如何在產(chǎn)品研發(fā)之初就設(shè)計(jì)它的安全架構(gòu)，對整個(gè)產(chǎn)品進(jìn)行安全的設(shè)計(jì)，使它具備比較好的基礎(chǔ)。

3-5年后智能化的產(chǎn)品會(huì)越來越智能化，而攻擊的技術(shù)、手段和方式未來可能也都是智能化的，而不再是手動(dòng)進(jìn)行攻擊。不同的產(chǎn)品和場景在面對不同的攻擊方式時(shí)，聯(lián)想應(yīng)該怎么防？

回顧下聯(lián)想產(chǎn)品安全的全景，聯(lián)想從端到端保護(hù)產(chǎn)品的安全，從硬件、軟件、固件、移動(dòng)應(yīng)用到業(yè)務(wù)、云端，因?yàn)楝F(xiàn)在都是端到端的，都是網(wǎng)聯(lián)的一端是終端一端是云端，云端整個(gè)的安全是聯(lián)想非常重視的一塊，也是高安全水平保障的組成部分。

今天聯(lián)想圍繞智能家居的場景，很多智能設(shè)備聯(lián)想有非常強(qiáng)大的技術(shù)對其進(jìn)行保障。所以，聯(lián)想不僅通過這幾個(gè)模塊，從架構(gòu)審核到源碼控制，從開源到攻防級的滲透，從數(shù)據(jù)安全的審核等層層審核，層層篩選，層層的驗(yàn)證，最終確保產(chǎn)品賣到市場上，賣到用戶手里時(shí)實(shí)際上是具備安全基因的產(chǎn)品。

所以聯(lián)想為每一款產(chǎn)品提供保障，為每一位用戶提供安全負(fù)責(zé)，這就是安全實(shí)驗(yàn)室在這塊要做的努力和方向。今年公司集團(tuán)的安全戰(zhàn)略也非常明確、持續(xù)的在安全設(shè)計(jì)上面，要加力，叫Scrape by design。聯(lián)想要在產(chǎn)品設(shè)計(jì)之初，就讓產(chǎn)品具備安全級，在產(chǎn)品上市后通過不斷的驗(yàn)證，不斷的藍(lán)軍去確保它的安全。

剛才講的是技術(shù)層面，聯(lián)想怎么去控制產(chǎn)品安全，比較龐大的體系，今天時(shí)間有限，所以最后一塊我想介紹一下聯(lián)想的安全文化。

聯(lián)想安全文化從里到外、從上到下，從左到右的安全。一定程度上賣到用戶手里的產(chǎn)品，實(shí)驗(yàn)室過關(guān)之后可能部分的產(chǎn)品老板要親自體驗(yàn)，試一試是不是真的安全，才能真的到各位用戶手里。層層審核、層層關(guān)口，負(fù)責(zé)人最后還有一個(gè)關(guān)口，去確保聯(lián)想的產(chǎn)品真的是安全、可靠的。通過聯(lián)想不斷去研發(fā)的新安全技術(shù)，不斷應(yīng)用在產(chǎn)品上新安全防護(hù)的方法，對聯(lián)想的產(chǎn)品進(jìn)行安全防護(hù)。

聯(lián)想GIC全球安全實(shí)驗(yàn)室在整個(gè)聯(lián)想安全戰(zhàn)略里扮演者什么樣的角色，是什么樣的定位。耿晶鑫回答稱，安全現(xiàn)在是聯(lián)想整個(gè)業(yè)務(wù)發(fā)展當(dāng)中的重要組成部分，也是中國的戰(zhàn)略。大家也能看到元慶總在相關(guān)講話中提到，聯(lián)想要為用戶提供符合相關(guān)國家標(biāo)準(zhǔn)或高于相關(guān)國家要求標(biāo)準(zhǔn)的產(chǎn)品。所以從一定層面上講，安全戰(zhàn)略是聯(lián)想整個(gè)公司業(yè)務(wù)發(fā)展當(dāng)中的重要組成部分。

實(shí)驗(yàn)室的定位，是負(fù)責(zé)聯(lián)想在賣到用戶手里之前產(chǎn)品、安全、質(zhì)量的控制工作，如何去控制它的安全，需要一個(gè)龐大的安全技術(shù)體系去支撐。

聯(lián)想的使命就是讓產(chǎn)品賣到大家手里是安全的，這就是實(shí)驗(yàn)室本質(zhì)的地位。除了確保它的安全之外，聯(lián)想還投入了非常大的資源，公司給予了非常大的支持去對安全技術(shù)進(jìn)行前沿的研究和突破，驅(qū)動(dòng)聯(lián)想的產(chǎn)品是一個(gè)持續(xù)高水平安全的狀態(tài)。

對于聯(lián)想GIC全球安全實(shí)驗(yàn)室的創(chuàng)新研究有何成果，耿晶鑫稱，智能門鎖、智能攝像頭，整個(gè)智能設(shè)備包括聯(lián)想平時(shí)用的智能電源上，其實(shí)它都具有非常多安全隱患的可能性。

那聯(lián)想怎么去解決？聯(lián)想得去研究和創(chuàng)新一些技術(shù)去解決安全問題，比如說門鎖上，他們里面最核心的肯定是核心部件。一是聯(lián)想如何去研究核心部件抗電磁防護(hù)的材料。另外整個(gè)電磁防護(hù)對核心部件的沖擊導(dǎo)致的重啟，重啟意味著很多東西重置，那聯(lián)想如何有一套安全的機(jī)制防止這種情況發(fā)生。

當(dāng)這種電磁波的攻擊發(fā)生后，它能馬上去激活它的防護(hù)機(jī)制，讓攻擊沒法發(fā)生。另外整個(gè)固件安全的算法是不是輕易的被破解、被人篡改，這都是有很多考慮的，在整個(gè)安全防護(hù)技術(shù)里加入了很多基因，整體確保聯(lián)想產(chǎn)品的安全性，比如說這個(gè)門鎖。

當(dāng)然包括聯(lián)想的手機(jī)平板、指紋、人臉識(shí)別，我現(xiàn)在進(jìn)到你們的手機(jī)里，或者你能不能進(jìn)到聯(lián)想的手機(jī)里，實(shí)際上是能的。但是聯(lián)想通過比較領(lǐng)先的技術(shù)，加入進(jìn)去一些算法，包括AI技術(shù)的應(yīng)用，來確保這種攻擊無法在聯(lián)想的設(shè)備上攻擊成功，這就是這塊的投入和技術(shù)應(yīng)用來確保產(chǎn)品的安全性。