IT決策者在重新評估現有生態(tài)的安全性和準備更新產品時，需要將PC制造商處理安全問題的方式以及需購買何種產品納入考量。供應商評估和產品評估同樣關鍵，一家值得信賴、經驗豐富且了解威脅形勢的安全PC供應商將能夠運用這些知識，幫助IT決策者在形勢不斷變化的過程中保護組織的IT安全。有了這樣的合作伙伴，IT決策者就可以構建一個安全的生態(tài)，通過智能化手段緩解不可避免的攻擊，并提高長期網絡彈性。

安全問題應從源頭抓起

IT決策者和最終用戶通常會與銷售人員、設備和產品支持人員進行交流，但這些交流只能反映出安全問題的冰山一角。如同食品安全一樣，不能僅根據與餐廳服務人員的交流來判斷食品安全，因為食品安全始于廚房。同樣，確保設備安全的因素必須在產品生產之前就已落實到位，而這一點通常很難可見。

戴爾科技的設備安全實踐

在商用設備保護方面，戴爾科技注重的是安全結果，即設備如何為組織的整體安全健康產生積極作用，比如設備如何幫助預防攻擊、在受到攻擊時如何保證設備安全、設備如何在整個生命周期保持安全等。

事實上，戴爾科技在開發(fā)安全商用PC方面擁有數十種符合行業(yè)標準并支持零信任安全策略的實踐。今天，我們將重點介紹安全供應鏈、安全代碼和使用中的安全這三個核心領域的幾種實踐。

1.確保戴爾科技商用設備供應鏈的安全，即嚴格控制軟硬件供應鏈，也就是物理和數字供應鏈。這些控制措施有助于在產品制造、組裝、交付以及部署過程中保持產品的完整性，確?？蛻舴趾敛徊畹氐玫剿麄兯徺I的產品。此外，戴爾科技還向所有供應商傳達這些嚴格的要求，在流程的每一個環(huán)節(jié)以“假設違約”為前提，開展真正的零信任驗證檢查。

這些檢查使用多種先進的技術，如安全組件驗證*（SCV）用于識別組件調換、SafeBIOS 離機驗證用于識別系統中權限最高的固件是否遭受任何篡改并發(fā)出警報等。戴爾科技將這些功能以及許多其他功能添加到戴爾可信工作區(qū)（Dell Trusted Workspace）產品組合中的戴爾可信設備，同時在整個供應鏈中運用這些功能，以確保供應鏈中的所有環(huán)節(jié)都完好無損，在偏差進入供應鏈下一個環(huán)節(jié)之前就發(fā)現它們（如要進一步了解戴爾科技如何確保供應鏈安全，請參見供應鏈白皮書）。

2.設計并開發(fā)安全戴爾科技商用設備。戴爾科技在這個環(huán)節(jié)融合實踐與功能，開發(fā)出有效且創(chuàng)新的硬件和固件。

現在，安全功能已部署至戴爾科技商用產品中，但這只解決了一小部分問題。如果產品的設計、開發(fā)和測試不受規(guī)定的戴爾安全開發(fā)生命周期（SDL）的約束，那么產品就會變得不安全。任何一家技術提供商最核心的責任就是確保所銷售的產品不會在無意中產生給用戶帶來風險的漏洞。為了幫助防范攻擊并為安全軟件堆棧提供彈性，戴爾科技在軟件開發(fā)過程中執(zhí)行嚴格的威脅建模，針對非常復雜的對手假設識別風險，甚至將此方法應用于關鍵的硬件。

在整個開發(fā)過程中，戴爾科技與一些最優(yōu)秀的滲透測試顧問和第三方研究人員合作，聯合測試并驗證這些威脅模型假設，讓他們嘗試破解戴爾系統。戴爾科技還提出了一項公開的漏洞懸賞計劃來對戴爾科技商用PC的安全性進行壓力測試，最后將這些報告的結果反饋給工程部門，以便他們開發(fā)緩解方法，如此往復。這一舉措的目的是為了給客戶的環(huán)境提供加固和可信的設備，使客戶環(huán)境有效運行。

3.力求確保戴爾科技商用設備在使用中的安全。安全需要各方的共同努力才能實現。如今，要想實現真正的安全，不僅需要硬件和固件層面的保護，還需要軟件保護。因此戴爾科技不遺余力地打造一個由業(yè)界頂尖、經過全面審核的合作伙伴組成的生態(tài)，來提供針對高級威脅的保護。

當然，黑客的軟件入侵方法也在不斷更新。因此，戴爾科技設計安全開發(fā)生命周期（SDL）實踐的目標便是擴展產品下線后的保護，比如快速、輕松識別并修復漏洞的能力。戴爾科技還在主動報告即將發(fā)布的安全更新和明確的安全支持政策，使客戶更容易了解其購買的產品如何實現整個生命周期的安全性。為幫助客戶快速查找有關漏洞的信息和產品版本的適用性，戴爾科技已將所有安全公告和通知進行了集中整合。

戴爾科技提供綜合全面的安全保護

戴爾科技致力于建立一個可靠安全的互聯世界，通過堅持不懈的努力，將客戶及相關的所有數據、網絡、組織與安全時刻放在首位，并將安全性精心融入至戴爾科技的所有的解決方案。

xiesc