2022年6月16日，聯(lián)想GIC全球安全實驗室舉辦了“創(chuàng)新科技守護美好生活”沙龍，聯(lián)想GIC全球安全實驗室總監(jiān)耿晶鑫展開了對聯(lián)想在產(chǎn)品安全方面的技術(shù)創(chuàng)新的探討。

在未來的社會進步當(dāng)中，智能生活、智能科技、智能家庭給生活帶來的各種便利性，然而安全問題卻也不容忽視，而聯(lián)想GIC全球安全實驗室就是為了產(chǎn)品的安全在不斷努力。

據(jù)耿晶鑫介紹，在聯(lián)想的安全實驗室中，聯(lián)想的安全部署有四大部分組成：

一、IT安全。負責(zé)整個公司IT運營和基礎(chǔ)設(shè)施。

二、產(chǎn)品安全。在市場上發(fā)售的、聯(lián)想售賣的所有產(chǎn)品的安全性。

三、供應(yīng)鏈安全。聯(lián)想上下游有非常龐大的全球供應(yīng)鏈，它的安全性是非常重要的，有專門的組織去做。

四、物理安全。圍繞聯(lián)想集團的3S戰(zhàn)略，結(jié)合“端、邊、云、網(wǎng)、智”整體技術(shù)架構(gòu)來看整個聯(lián)想產(chǎn)品的安全。

聯(lián)想對安全實驗室產(chǎn)品的安全愿景是：為產(chǎn)品安全探索挑戰(zhàn)，為用戶安全保駕護航，這是聯(lián)想的職責(zé)。

目前，聯(lián)想全球化的產(chǎn)品安全專家團隊大概分布在20多個國家，除了中國的專家團隊，還有分布在各大州的安全專家。每年為新增超過1億設(shè)備提供保護，這些設(shè)備的存量是數(shù)億的，聯(lián)想每天都為其提供實時安全的防護。聯(lián)想通過全球化的產(chǎn)品運營，結(jié)合很多世界比較領(lǐng)先、尖端、成熟的技術(shù)為產(chǎn)品提供安全的保障。

通過全生命周期的研發(fā)流程，聯(lián)想從概念之初一直到發(fā)布之后，整個全鏈條的產(chǎn)品安全都有著非常強大的技術(shù)支撐。比如說在早期設(shè)計階段，聯(lián)想整個的研發(fā)會進行風(fēng)險評估、架構(gòu)設(shè)計，也運用了衛(wèi)星建模等比較成熟的安全技術(shù)來整體控制產(chǎn)品在早期的一些風(fēng)險。

在中期，聯(lián)想從安全的編碼、安全的開發(fā)去控制安全代碼的安全性。

在上線的前期，因為安全漏洞存在相對性，聯(lián)想會通過不同的安全測試盡可能找到所有已知的安全漏洞。關(guān)于賣到市場上之后產(chǎn)品安全的保障，聯(lián)想有一套包括pieces流程在內(nèi)的完整上線后的應(yīng)急響應(yīng)來處理。

隨著整個研發(fā)體系安全的加持，聯(lián)想通過不同的平臺來滿足全球各個國家的法律法規(guī)要求和標(biāo)準(zhǔn)，在聯(lián)想也不例外。拆開來看，從架構(gòu)設(shè)計上，聯(lián)想結(jié)合非常強大的安全技術(shù)測試，從產(chǎn)品的心臟——源代碼上控制產(chǎn)品的安全，以符合安全標(biāo)準(zhǔn)。

從架構(gòu)到測試、運營、研究，聯(lián)想通過不斷地攻防、測試、監(jiān)控分析整個架構(gòu)，整體把控安全的同時，還將技術(shù)轉(zhuǎn)化成面向研發(fā)人員和職能部門人員持續(xù)安全技能的賦能和培訓(xùn)。這是聯(lián)想安全文化建設(shè)所獨有的，它是非常好的一種文化建設(shè)。

稍后在安全實驗室里的互動演示，會帶大家全景式體驗如何破解一個設(shè)備。聯(lián)想每天會收集全球范圍內(nèi)海量的威脅情報，了解到聯(lián)想的威脅實時都在哪里出現(xiàn)，然后第一時間去修復(fù)它。

以上簡要介紹了從技術(shù)層面，聯(lián)想在整個產(chǎn)品安全上所做的努力，接下來簡單介紹當(dāng)然大家非常關(guān)注的設(shè)備、產(chǎn)品、數(shù)據(jù)安全和隱私保護。聯(lián)想的實驗室將很多先進技術(shù)運用到了產(chǎn)品安全當(dāng)中，以確保產(chǎn)品從傳輸、存儲一直到加密整個周期的數(shù)據(jù)安全和隱私保護。

數(shù)據(jù)安全隱私保護是聯(lián)想ESG戰(zhàn)略中的重要組成部分，早在去年之初，聯(lián)想中國也成立了數(shù)據(jù)安全和隱私保護委員會，整個集團都在圍繞這塊開展一系列工作，目的就是為產(chǎn)品提供安全的保障，為用戶提供高數(shù)據(jù)安全和隱私保護水平的產(chǎn)品服務(wù)以及解決方案。

聯(lián)想在比較早期的實驗就研究差分隱私技術(shù)和聯(lián)邦學(xué)習(xí)技術(shù)等比較領(lǐng)先、創(chuàng)新的技術(shù)，并將其落實和運用到產(chǎn)品安全防護當(dāng)中。

從研發(fā)體系到整個研發(fā)過程中做到數(shù)據(jù)安全和隱私保護，產(chǎn)品安全并沒有完全解決。是達到90分以上，甚至說95分、96分以上，聯(lián)想所不一樣的地方就是聯(lián)想有一支“藍軍”安全團隊，所以聯(lián)想的產(chǎn)品在這步達到了99分，相當(dāng)?shù)陌踩?。?lián)想也會運用零日攻擊等全球化攻擊對產(chǎn)品進行安全性的驗證。然而99分這不是聯(lián)想的目標(biāo)，聯(lián)想的目標(biāo)是追求對安全的完美。

聯(lián)想還有抽檢機制，這也是聯(lián)想所不一樣的地方。它是安全的抽檢而不是普通的抽檢，這種抽檢是全品類抽檢，聯(lián)想怎么做？什么熱聯(lián)想抽什么，什么用戶多、銷量高，聯(lián)想就抽什么。

此外，少的聯(lián)想也抽，就算市面上只有一臺聯(lián)想的設(shè)備，聯(lián)想也絕不放過它的安全性，全局為用戶提供安全的保障，以符合法律法規(guī)要求以及安全標(biāo)準(zhǔn)規(guī)范。

當(dāng)聯(lián)想抽檢過程中發(fā)現(xiàn)安全問題怎么辦？聯(lián)想對這塊是非常高標(biāo)準(zhǔn)的要求，除了一系列核心組織會對其進行聯(lián)動的問題處置之外，聯(lián)想會直通高層，每一個問題都會得到有效的處理和解決。從上到下、橫向縱向?qū)Π踩幸粋€全面保障。

在產(chǎn)品安全方面，確保產(chǎn)品從賣到用戶手里之前，再到賣到用戶手里之后的整個流程持續(xù)具有安全性，這是聯(lián)想GIC全球安全實驗室的主要工作。

此外，聯(lián)想GIC全球安全實驗室還有個比較尖端的團隊。這個團隊是做一些技術(shù)研究和創(chuàng)新的，至少站在未來3-5年往上的視角看現(xiàn)在。他們主要研究未來的威脅和攻擊方式，研究未來的攻擊者如何對待聯(lián)想的設(shè)備。聯(lián)想通過持續(xù)沉淀自身的安全技術(shù)來往前推現(xiàn)在的產(chǎn)品，不斷優(yōu)化其架構(gòu)和設(shè)計，使其一直保持非常強的安全狀態(tài)。

所以現(xiàn)在聯(lián)想不只對漏洞進行研究，還會通過軟件、硬件、固件、IoT等修復(fù)漏洞。聯(lián)想的安全團隊每年會發(fā)現(xiàn)并修復(fù)非常多安全的漏洞，剛才大家看到的智能存儲、智能音響、智能電視，AR、VR眼鏡，都是聯(lián)想GIC全球安全實驗室測過的，非常安全。

聯(lián)想會運用關(guān)鍵技術(shù)去解決痛點問題，比如現(xiàn)在大家關(guān)注的生物識別問題。在座的和線上的小伙伴手機基本上是人臉去解鎖的，有一部分是指紋解鎖的，那它一定安全嗎？不一定。

在側(cè)信道的安全方面，聯(lián)想率先突破了一些技術(shù)的瓶頸和障礙研究出關(guān)鍵成果。聯(lián)想可以通過比較尖端的技術(shù)，以不同的思維和模式控制某些設(shè)備，主要目的不是為了攻而是為了防。聯(lián)想會研究如何在產(chǎn)品研發(fā)之初就設(shè)計它的安全架構(gòu)，對整個產(chǎn)品進行安全的設(shè)計，使它具備比較好的基礎(chǔ)。

3-5年后智能化的產(chǎn)品會越來越智能化，而攻擊的技術(shù)、手段和方式未來可能也都是智能化的，而不再是手動進行攻擊。不同的產(chǎn)品和場景在面對不同的攻擊方式時，聯(lián)想應(yīng)該怎么防？

回顧下聯(lián)想產(chǎn)品安全的全景，聯(lián)想從端到端保護產(chǎn)品的安全，從硬件、軟件、固件、移動應(yīng)用到業(yè)務(wù)、云端，因為現(xiàn)在都是端到端的，都是網(wǎng)聯(lián)的一端是終端一端是云端，云端整個的安全是聯(lián)想非常重視的一塊，也是高安全水平保障的組成部分。

今天聯(lián)想圍繞智能家居的場景，很多智能設(shè)備聯(lián)想有非常強大的技術(shù)對其進行保障。所以，聯(lián)想不僅通過這幾個模塊，從架構(gòu)審核到源碼控制，從開源到攻防級的滲透，從數(shù)據(jù)安全的審核等層層審核，層層篩選，層層的驗證，最終確保產(chǎn)品賣到市場上，賣到用戶手里時實際上是具備安全基因的產(chǎn)品。

所以聯(lián)想為每一款產(chǎn)品提供保障，為每一位用戶提供安全負責(zé)，這就是安全實驗室在這塊要做的努力和方向。今年公司集團的安全戰(zhàn)略也非常明確、持續(xù)的在安全設(shè)計上面，要加力，叫Scrape by design。聯(lián)想要在產(chǎn)品設(shè)計之初，就讓產(chǎn)品具備安全級，在產(chǎn)品上市后通過不斷的驗證，不斷的藍軍去確保它的安全。

剛才講的是技術(shù)層面，聯(lián)想怎么去控制產(chǎn)品安全，比較龐大的體系，今天時間有限，所以最后一塊我想介紹一下聯(lián)想的安全文化。

聯(lián)想安全文化從里到外、從上到下，從左到右的安全。一定程度上賣到用戶手里的產(chǎn)品，實驗室過關(guān)之后可能部分的產(chǎn)品老板要親自體驗，試一試是不是真的安全，才能真的到各位用戶手里。層層審核、層層關(guān)口，負責(zé)人最后還有一個關(guān)口，去確保聯(lián)想的產(chǎn)品真的是安全、可靠的。通過聯(lián)想不斷去研發(fā)的新安全技術(shù)，不斷應(yīng)用在產(chǎn)品上新安全防護的方法，對聯(lián)想的產(chǎn)品進行安全防護。

聯(lián)想GIC全球安全實驗室在整個聯(lián)想安全戰(zhàn)略里扮演者什么樣的角色，是什么樣的定位。耿晶鑫回答稱，安全現(xiàn)在是聯(lián)想整個業(yè)務(wù)發(fā)展當(dāng)中的重要組成部分，也是中國的戰(zhàn)略。大家也能看到元慶總在相關(guān)講話中提到，聯(lián)想要為用戶提供符合相關(guān)國家標(biāo)準(zhǔn)或高于相關(guān)國家要求標(biāo)準(zhǔn)的產(chǎn)品。所以從一定層面上講，安全戰(zhàn)略是聯(lián)想整個公司業(yè)務(wù)發(fā)展當(dāng)中的重要組成部分。

實驗室的定位，是負責(zé)聯(lián)想在賣到用戶手里之前產(chǎn)品、安全、質(zhì)量的控制工作，如何去控制它的安全，需要一個龐大的安全技術(shù)體系去支撐。

聯(lián)想的使命就是讓產(chǎn)品賣到大家手里是安全的，這就是實驗室本質(zhì)的地位。除了確保它的安全之外，聯(lián)想還投入了非常大的資源，公司給予了非常大的支持去對安全技術(shù)進行前沿的研究和突破，驅(qū)動聯(lián)想的產(chǎn)品是一個持續(xù)高水平安全的狀態(tài)。

對于聯(lián)想GIC全球安全實驗室的創(chuàng)新研究有何成果，耿晶鑫稱，智能門鎖、智能攝像頭，整個智能設(shè)備包括聯(lián)想平時用的智能電源上，其實它都具有非常多安全隱患的可能性。

那聯(lián)想怎么去解決？聯(lián)想得去研究和創(chuàng)新一些技術(shù)去解決安全問題，比如說門鎖上，他們里面最核心的肯定是核心部件。一是聯(lián)想如何去研究核心部件抗電磁防護的材料。另外整個電磁防護對核心部件的沖擊導(dǎo)致的重啟，重啟意味著很多東西重置，那聯(lián)想如何有一套安全的機制防止這種情況發(fā)生。

當(dāng)這種電磁波的攻擊發(fā)生后，它能馬上去激活它的防護機制，讓攻擊沒法發(fā)生。另外整個固件安全的算法是不是輕易的被破解、被人篡改，這都是有很多考慮的，在整個安全防護技術(shù)里加入了很多基因，整體確保聯(lián)想產(chǎn)品的安全性，比如說這個門鎖。

當(dāng)然包括聯(lián)想的手機平板、指紋、人臉識別，我現(xiàn)在進到你們的手機里，或者你能不能進到聯(lián)想的手機里，實際上是能的。但是聯(lián)想通過比較領(lǐng)先的技術(shù)，加入進去一些算法，包括AI技術(shù)的應(yīng)用，來確保這種攻擊無法在聯(lián)想的設(shè)備上攻擊成功，這就是這塊的投入和技術(shù)應(yīng)用來確保產(chǎn)品的安全性。