Giới thiệu về Bảo mật sản phẩm của Lenovo
Lenovo: Thực hiện biện pháp bảo mật sản phẩm
Với nhịp độ phát triển sản phẩm nhanh và mối đe dọa liên tục từ các tin tặc, không có nhà sản xuất nào có thể đảm bảo sản phẩm của mình 100% không có lỗ hổng. Tuy nhiên, Lenovo hiểu rằng chúng tôi phải cung cấp các sản phẩm và giải pháp không chỉ có chức năng khách hàng muốn, mà còn cung cấp cả công nghệ cần thiết bảo vệ tính bí mật, nguyên vẹn và khả năng có sẵn của dữ liệu của khách hàng. Để đáp ứng được thách thức này, Lenovo liên tục cố gắng bảo vệ khách hàng của chúng tôi chống lại những mối đe dọa bảo mật không ngừng phát triển.
Theo đó, Lenovo đã xây dựng một đội ngũ chuyên gia bảo mật riêng chuyên về các lĩnh vực sau:
- Cấu trúc bảo mật - Tăng tuân thủ về kỹ thuật trên thiết kế và chiến lược sản phẩm
- Bảo mật BIOS/phần mềm điều khiển/ứng dụng - Kiểm tra chéo mã và xác thực
- Hack có đạo đức - Kiểm tra lỗ hổng "Mũ trắng"
- Chuỗi cung cấp - Đánh giá kỹ lưỡng vấn đề bảo mật của từng nhà cung cấp cấu phần, chi tiết lắp ráp, chương trình điều khiển, phần mềm và cấu hình khách hàng
- Hỗ trợ khách hàng - Giải quyết các vấn đề và câu hỏi của khách hàng
- Phản hồi khi có sự cố - Giảm thiểu rủi ro và khắc phục vấn đề
- Quản lý dự án - Giám sát các nhà cung cấp theo hợp đồng và quản lý việc triển khai các chương trình
- Nhận thức của khách hàng - Biện pháp truyền thông khi có vấn đề về bảo mật và chiến lược bảo mật
Chúng tôi sử dụng chuyên môn này để giải quyết các vấn đề về bảo mật trên các sản phẩm và dịch vụ cũng như liên tục tìm kiếm các nguy cơ bảo mật và cách giải quyết những nguy cơ này. Xem cấu trúc đội ngũ của chúng tôi tại đây:
Hệ thống quản lý bảo mật sản phẩm của Lenovo được thiết lập để thúc đẩy bảo mật trong suốt vòng đời sản phẩm, từ phát triển và sản xuất, đến hỗ trợ khách hàng - nỗ lực đảm bảo bảo mật được "tích hợp" vào các sản phẩm của chúng tôi, không phải được "gắn lên."
- Việc giám sát hay quản lý bảo mật sản phẩm được tích hợp vào quy trình này để giúp đảm bảo phát triển sản phẩm tuân theo các quy trình bảo mật thích hợp, đặc biệt là ở các lĩnh vực về tạo và phân phối chương trình điều khiển và BIOS.
- Từ việc lập kế hoạch sản phẩm ban đầu, chúng tôi cố gắng kết hợp các tính năng bảo mật quan trọng mà khách hàng của chúng tôi cần.
- Trong suốt quá trình phát triển và thử nghiệm, chương trình hack có đạo đức của Lenovo cung cấp thông tin chuyên sâu về các vấn đề tiềm năng mà khách hàng có thể gặp phải để có thể giải quyết trước khi giao sản phẩm.
- Các chương trình đào tạo liên tục giúp đảm bảo rằng đội ngũ nhân sự chính luôn cập nhật kiến thức về những vấn đề bảo mật nghiêm trọng và cách giải quyết những vấn đề này trên từng sản phẩm cụ thể.
Chúng tôi có quy trình sát hạch các nhà cung cấp sản phẩm nghiêm ngặt, bao gồm các tiêu chuẩn về chất lượng và khả năng cung cấp. Lenovo cũng đánh giá quy trình phát triển và sản xuất đầy đủ của từng nhà cung cấp để giúp họ xác định và giảm thiểu các nguy cơ bảo mật. Theo hợp đồng, các nhà cung cấp có nghĩa vụ đáp ứng các yêu cầu bảo mật của Lenovo. Khi đã đủ điều kiện, các nhà cung cấp vẫn được đánh giá lại định kỳ, điều này đỏi hỏi nỗ lực cập nhật không ngừng các công nghệ và biện pháp về bảo mật.
Lenovo hướng đến bảo vệ các sản phẩm trong suốt chuỗi cung ứng. Các cấu phần chính đều được dán nhãn để giải quyết nguy cơ hàng giả. Các bộ phận quan trọng được các nhà cung cấp kiểm soát và được theo dõi trong suốt quá trình lắp ráp. Các quy trình của nhà cung cấp cho việc tải chương trình điều khiển và phần mềm được đánh giá kỹ lưỡng để giảm thiểu khả năng phần mềm độc hại được đưa vào sản phẩm. Cuối cùng, Lenovo sử dụng các kỹ thuật đóng gói bảo mật và theo dõi sản phẩm từ khâu vận chuyển cho đến khâu phân phối.
Những nỗ lực của Lenovo nhằm đảm bảo tính bảo mật của sản phẩm và chuỗi cung ứng đã được Chain Security, LLC, một trong những hãng bảo mật hàng đầu tại Hoa Kỳ, công nhận. Kết luận này được đưa ra sau khi gần ba năm nghiên cứu chi tiết về các quy trình bảo mật, chương trình quản lý công ty và chương trình nhà cung cấp của Lenovo Kết quả của quá trình phân tích này là một Chứng nhận thư dài 20 trang trong đó Chain Security nêu chi tiết về công việc của họ với Lenovo, những thay đổi và cải tiến mà Lenovo đã thực hiện trong hai năm qua và kết luận của Chain Security là Lenovo “có năng lực dẫn đầu ngành” về các quy trình bảo mật này.
Để đọc chứng thư đầy đủ, hãy nhấp vào đây.
Lenovo cung cấp hỗ trợ bảo mật hậu bán hàng bao gồm: 1) các bản cập nhật bảo mật cho phần mềm hoặc chương trình điều khiển và 2) Thay thế các bộ phận quy định. Các quy trình này được thiết kế để bảo vệ khách hàng và giúp đảm bảo tính bảo mật của sản phẩm.
Một bộ phận quan trọng của Văn phòng bảo mật sản phẩm của Lenovo là Nhóm ứng cứu giải quyết sự cố về bảo mật sản phẩm (PSIRT). Không một sản phẩm nào miễn nhiễm 100% với các môi đe dọa và lỗ hổng bảo mật, vì vậy Lenovo cam kết giảm thiểu mọi nguy cơ hoặc lỗ hổng ảnh hưởng đến sản phẩm của chúng tôi. Đội ngũ PSIRT của Lenovo hợp tác với những đội ngũ khác trong ngành để khám phá và hiểu những lỗ hổng hoặc mối đe dọa mới nhất có thể gây ra rủi ro với sản phẩm của Lenovo và đưa ra các bản sửa lỗi để giải quyết chúng. Bạn có thể xem những tư vấn về vấn đề bảo mật sản phẩm tại đây: https://support.lenovo.com/product. Bạn có thể báo cáo những lỗ hổng mới bằng cách liên hệ với Nhóm ứng cứu giải quyết sự cố về bảo mật sản phẩm tại psirt@lenovo.com.
Công nghệ trong sản phẩm của chúng tôi đã đưa Lenovo trở thành một hãng dẫn đầu ngành. Lenovo biết và hiểu rằng mình phải tiếp tục lấy được niềm tin và sự tin tưởng của khách hàng và những chuyên gia trong cộng đồng bảo mật. Chúng tôi nhận ra rằng chúng tôi luôn có thể làm tốt hơn và cam kết theo đuổi và thực hiện theo những phương pháp thông lệ tốt nhất trong ngành.
