Close-up shot of a business professional sitting outside and looking off to the left in thought with an open laptop on their lap. A modern office building with many windows looms in the background.

为什么硬件的安全对企业的未来至关重要

不断发展的安全形势需要基于硬件的安全功能来保护企业的重要资产、数据和基础设施。

硬件安全须知

  • 网络攻击正转而针对软件无法保护的操作系统下层的应用程序和设备。

  • 基于硬件的安全防护有助于保护数据安全、维护设备完整性并确保系统按预期启动和运行。

  • 基于硬件的安全与基于软件的安全相互补充,形成多维安全防护。

  • 英特尔® Hardware Shield 是英特尔® vPro® 平台的一项功能,可在硬件、BIOS/固件、管理程序、虚拟机、操作系统和应用程序等每个 PC 层提供安全防护

  • 基于第 8 代或更新的英特尔® 酷睿™ 处理器的 PC 支持 Windows 11 TPM 2.0 安全要求。

author-image

作者

当今的企业面临着整个系统堆栈中越来越复杂、越来越严重的网络攻击,且需要更新设备硬件以抵御攻击和降低安全漏洞风险的压力。具有基于硬件的安全功能的设备(例如基于英特尔® vPro® 平台构建的设备)可帮助 IT 部门通过计算堆栈每一层的安全性主动保护整个设备组。

什么是基于硬件的安全性?

物理上内置于硅级的安全功能被定义为基于硬件的安全功能。这与传统的基于软件的保护不同,在传统的软件保护中,安全措施安装在硬件之上,使得位于操作系统 (OS) 下面的层容易受到越来越多的攻击。
基于硬件的安全保护并不是要取代软件安全选项,而是对其进行补充。这创建了一种多维、全面的安全方法,可以在当今日益复杂和分散的工作环境中检测和预防更大范围的网络威胁。

为什么需要更多的安全保护?

企业传统意义上依赖于安全软件来保护其资产。但如今的攻击方式正在发生变化,转向了操作系统以下的应用程序和设备。这意味着基于软件的安全性可以被足够复杂或熟练的攻击者绕过,以发现和利用固件或硬件中的漏洞。

例如,设备固件在启动时会运行以准备启动操作系统的代码,这会是一个新的漏洞。黑客会想方设法将恶意软件注入到操作系统下面的代码中,默认情况下,操作系统不需要在其序列中设计安全性和完整性检查。因此,即使包含恶意软件负载,操作系统也会信任此代码。

芯片级内置、基于硬件的安全功能有助于创建一个可信的基础,从而更好地保护数据安全、维护设备完整性并确保系统按预期启动和运行。

设备篡改

设备篡改是操作系统下方的另一种恶意软件入侵,可以通过基于硬件的安全功能来解决。篡改可能发生在制造到交付过程中的任何地方。为了防止篡改,必须投资一种现代设备,通过处理器在装配线上集成硬件安全功能,并立即提供操作系统安全功能。

IT 部门还可以确保制造商认证设备组件的真实性,并在密封固件前、运输和交付之前对固件代码进行基线测量(也称为黄金测量)来确定新收到的设备是否已被篡改。

交付后,基于硬件的安全性有助于降低设备被篡改的风险,这种风险可能发生在资产生命周期的任何时候。例如,搭载英特尔® 处理器的设备在每次启动时,都会验证引导代码并执行固件和操作系统的引导序列的加载程序。这种增加的安全层有助于降低在操作系统下引入恶意代码的篡改风险。

商业环境中的硬件安全战略

在企业的整体综合安全计划中,硬件安全应发挥重要作用。请考虑以下策略,以帮助确保您的业务环境在各个方面都受到保护。

确保端点所有层的安全

安全威胁始于端点,您 PC 机群的端点是黑客的主要目标。随着远程办公的员工越来越多,保护端点安全变得更加困难。为了更好地保护端点设备的所有层并降低分散设备组的风险,请选择采用英特尔® vPro® 平台的设备,这些设备具有独特的基于硬件的安全功能,开箱即用,可主动监测攻击。了解部署硬件端点安全的优势

通过深度防御保护增强虚拟化安全性

企业正在实施的另一种安全方式是虚拟化安全,其中虚拟化容器可用于隔离和验证在这些容器环境中运行的应用程序、网络浏览器和数据的完整性。虚拟化能够通过隔离提供保护。它还能大限度地减少恶意软件在系统中的活动,因为虚拟化工作区对系统资源的访问有限,而且缺乏在系统中持续运行的能力。

然而,与基于软件的安全选项一样,虚拟化安全可以受益于基于硬件的安全功能提供的额外保护层。英特尔提供完整的技术和功能组合,可提供深度防御虚拟化安全性。例如,搭载英特尔® vPro® 平台的 Windows PC 拥有英特尔® Hardware Shield 所提供的基于管理程序的安全措施,有助于降低可能危及虚拟化容器的内存重定向攻击的可能性,以及通过优化的多密钥加密技术提供更好的 DRAM 保护。

提高操作系统下方的可见性,更好地防范恶意软件

基于操作系统下层硬件的安全功能还可以帮助提高对设备基础层(例如固件和 BIOS)的可见性,以便您的团队可以验证工作负载是否在值得信赖的平台上运行。

例如,借助英特尔® Hardware Shield 的另一项功能英特尔® Boot Guard,您的团队可以启用基于硬件的静态信任根,以便在启动操作系统前对启动完整性进行测量和验证。英特尔® 固件重启/恢复功能专注于固件和 BIOS 的更新以及固件故障恢复,利用该功能,您可以从第一天起就对设备进行弹性更新,从而使设备更加安全。

查看所有英特尔® 安全技术,这些技术相互配合,以更好地防御不断发展的现代网络安全威胁

了解戴尔如何利用英特尔® 硬件的安全功能来增强和扩展自己的硬件和固件安全解决方案

加强托管 IT 环境的安全性

凭借增强的可管理性功能,IT 管理员可以远程启动系统以部署安全补丁或修复威胁,然后在不使用时关闭系统以帮助节省能源。他们可以使用带外键盘视频鼠标 (KVM) 功能来接管场外端点(甚至无人值守系统)的键盘、显示器和鼠标,以部署安全补丁。此外,远程管理的 IT 环境 还提高了从错误或攻击中恢复并防止拒绝服务的能力。

通过更新硬件实现基于硬件的安全性的优势

升级您的 PC 机群可能是一项艰巨且令人沮丧的工作,但停止升级可能会付出高昂的代价——增加安全风险、降低工作效率、引发员工不满。

过去几年在安全方面取得的重大进步,以及 Windows 11 用户对硬件安全的要求,现在则是更新 PC 的最佳时机。

Windows 11 安全可信的平台模块

为了保证 PC 安全,使黑客更难实施网络犯罪,Windows 11 现在要求所有 PC 使用可信平台模块 (TPM) 2.0 运行。TPM 是一种安全芯片,是计算机主板的一部分,通过提供针对恶意软件和复杂网络攻击的硬件级保护来帮助确保计算机的安全。TPM 使用加密技术将重要且关键的信息安全地存储在 PC 上,以实现平台身份验证。确保您的设备配备 TPM 2.0 对于集群的使用寿命至关重要,因为它将成为未来升级的标准,而没有 TPM 2.0 的设备将面临安全保护过时的风险。

了解有关 Windows 11 功能和优势的更多信息,以确定是否应该升级

英特尔® 处理器支持 TPM 2.0

基于第 8 代或更新英特尔® 酷睿™ 处理器系列的计算机通过英特尔® Platform Trust Technology(英特尔® PTT)支持 TPM 2.0。英特尔® PTT 具有与分立式 TPM 相同的功能,且位于系统固件中,因此无需占用处理或内存资源。

即使您的电脑支持 TPM 2.0,现在仍然需要考虑更新换代,因为老式电脑会让您更容易遭受网络攻击。了解更新 PC 如何帮助您够降低安全风险

面向 Windows 的英特尔® vPro® Enterprise 平台

面向 Windows 的英特尔® vPro® Enterprise 平台为您的企业提供开箱即用的全面安全防护,保护您的员工、资源和数据未来免受网络威胁。1 凭借内置于芯片深处的高级安全功能,面向 Windows 的英特尔® vPro® 平台与四年前的 PC 相比, 可以:

  • 将攻击面减少 70%。2
  • 重大安全漏洞减少 26%3
  • 将产生一定影响的安全事件减少 21%4

面向 Windows 的英特尔® vPro® Enterprise 平台还采用了一系列安全技术,有助于在硬件、BIOS/固件、管理程序、虚拟机、操作系统和应用程序等各个系统层抵御现代威胁。

英特尔® Hardware Shield

英特尔® Hardware Shield 是面向 Windows 的英特尔® vPro® 平台 PC 独有的功能,通过高级威胁保护、应用程序和数据保护以及操作系统下层安全防护来提升整体安全。它可以在软件运行时锁定 BIOS 中的内存,防止植入的恶意软件入侵操作系统,从而大限度地降低恶意软件注入的风险。此外,英特尔® Hardware Shield 还允许您运行虚拟机,在同一台 PC 上运行不同操作系统,实现基于安全的隔离和应用程序兼容性,从而提高虚拟环境的安全性。了解更多有关英特尔® Hardware Shield 的安全防护功能

英特尔® 威胁检测技术

英特尔® vPro® 平台的另一个关键组件是英特尔® 威胁检测技术(英特尔® TDT)。英特尔® TDT 能够将扫描性能提高 7 倍,在硬件层面实现了网络攻击监控和更高的安全性能。5英特尔® TDT 还可以通过以下方式帮助您优化任何基于软件的安全解决方案:

  • 发现隐藏在虚拟机或混淆二进制文件中的恶意代码。
  • 加强对隐藏在内存中运行的无文件恶意软件的检测。
  • 支持实时发现零日攻击、新变种或间歇性加密。

了解英特尔® TDT 的更多信息,包括它拦截加密劫持和勒索软件的工作原理

应对未来攻击和威胁的硬件安全防护

威胁安全的因素短期内不会消失,它们会继续试图入侵、加密和窃取您的业务。幸好英特尔可以帮助您创建一个全栈战略,将基于硬件的安全防护功能与软件安全相结合,更好地保护您的企业免受当前和未来最严重的威胁。

了解如何利用英特尔® vPro® 平台在操作系统之上和之下确保 PC 安全,并了解英特尔® vPro® 平台的实际投资回报率

常见问题

在芯片级物理内置的安全功能被定义为硬件安全。硬件安全有助于抵御 PC 操作系统以下各层的威胁,同时增强和强化软件提供的安全保护。软件安全包括安装在 PC 硬件之上的安全措施。

硬件安全包括安装在设备操作系统下层的技术和功能,用于执行各种与安全防护相关的任务。英特尔® 基于硬件的安全技术包括:

  • 启用基于硬件的静态信任根,在操作系统启动前测量和验证启动完整性。
  • 存储密钥、密码和数字证书。
  • 根据自定义的启动所需配置来验证平台环境。

TPM 也是一种基于硬件的安全技术。TPM 是物理或嵌入式安全技术(微控制器),位于计算机的主板或处理器中,可以安全地存储 PC 上的基本和关键信息,供平台验证。