專題：網(wǎng)安協(xié)會點名英特爾：“端起碗吃飯，放下碗就砸鍋”

　　自中國網(wǎng)絡(luò)空間安全協(xié)會發(fā)布建議啟動針對英特爾網(wǎng)絡(luò)安全審查文章后，網(wǎng)絡(luò)安全的討論仍在持續(xù)。

　　10月17日，英特爾對于中國網(wǎng)絡(luò)空間安全協(xié)會發(fā)文進(jìn)行回應(yīng)，稱將“將與相關(guān)部門保持溝通，澄清相關(guān)疑問，并表明對產(chǎn)品安全和質(zhì)量的堅定承諾?！?/p>

　　網(wǎng)絡(luò)安全行業(yè)人士對記者表示，此次英特爾網(wǎng)絡(luò)安全事件更適合作為一則消息去觀察后續(xù)行業(yè)變化，文章披露的安全漏洞不是近期發(fā)生的，但暴露出更大的安全風(fēng)險——半導(dǎo)體行業(yè)，尤其是CPU等微處理器的網(wǎng)絡(luò)安全風(fēng)險與其他行業(yè)相比，影響廣泛、難以修補(bǔ)，具有隱蔽性和長期風(fēng)險，需要信創(chuàng)行業(yè)進(jìn)一步修補(bǔ)核心技術(shù)缺位，也給網(wǎng)絡(luò)安全行業(yè)帶來更大的挑戰(zhàn)。

　　及時應(yīng)對CPU漏洞風(fēng)險

　　中國網(wǎng)絡(luò)空間安全協(xié)會發(fā)文內(nèi)容顯示，英特爾產(chǎn)品漏洞頻發(fā)、故障率高。

　　安全漏洞問題方面，據(jù)文章披露，2023年8月，英特爾CPU被曝存在Downfall漏洞，該漏洞影響英特爾第6代至第11代酷睿、賽揚(yáng)、奔騰系列CPU，以及第1代至第4代至強(qiáng)處理器。

　　另在2023年11月，谷歌研究人員披露英特爾CPU存在高危漏洞Reptar。利用該漏洞，攻擊者不僅可以在多租戶虛擬化環(huán)境中獲取系統(tǒng)中的個人賬戶、卡號和密碼等敏感數(shù)據(jù)，還可以引發(fā)物理系統(tǒng)掛起或崩潰，導(dǎo)致其承載的其他系統(tǒng)和租戶出現(xiàn)拒絕服務(wù)現(xiàn)象。2024年以來，英特爾CPU又先后曝出GhostRace、NativeBHI、Indirector等漏洞。

　　可靠性問題方面，據(jù)文章披露，從2023年底開始，大量用戶反映，使用英特爾第13、14代酷睿i9系列CPU玩特定游戲時，會出現(xiàn)崩潰問題。

　　另外，中國網(wǎng)絡(luò)空間安全協(xié)會發(fā)文表示英特爾產(chǎn)品存在監(jiān)控與后門問題。英特爾聯(lián)合惠普等廠商，共同設(shè)計了IPMI（智能平臺管理接口）技術(shù)規(guī)范，聲稱是為了監(jiān)控服務(wù)器的物理健康特征，但模塊也曾被曝存在高危漏洞（如CVE-2019-11181），導(dǎo)致全球大量服務(wù)器面臨被攻擊控制的極大安全風(fēng)險。同時，英特爾還在產(chǎn)品中集成存在嚴(yán)重漏洞的第三方開源組件。

　　據(jù)此，中國網(wǎng)絡(luò)空間安全協(xié)會建議對英特爾在華銷售產(chǎn)品啟動網(wǎng)絡(luò)安全審查，切實維護(hù)中國國家安全和中國消費者的合法權(quán)益。公開資料顯示，中國網(wǎng)絡(luò)空間安全協(xié)會于2016年3月25日在北京成立的全國性、行業(yè)性、非營利性社會組織，接受業(yè)務(wù)主管單位中華人民共和國國家互聯(lián)網(wǎng)信息辦公室和社團(tuán)登記管理機(jī)關(guān)中華人民共和國民政部的業(yè)務(wù)指導(dǎo)和監(jiān)督管理。

　　英特爾方面回應(yīng)稱：始終將產(chǎn)品安全和質(zhì)量放在首位，一直積極與客戶和業(yè)界密切合作，確保產(chǎn)品的安全和質(zhì)量。將與相關(guān)部門保持溝通，澄清相關(guān)疑問，并表明英特爾對產(chǎn)品安全和質(zhì)量的堅定承諾。

　　“（自主運(yùn)行的子系統(tǒng)）可能是英特爾用來管理的小系統(tǒng)。設(shè)置小系統(tǒng)本身是正常的操作，其他芯片也有。但這個小系統(tǒng)用戶感知不到，芯片研發(fā)方可能做一些后門操作?！币幻酒O(shè)計人員告訴記者。

　　應(yīng)對此次英特爾被曝出的安全漏洞，亞信安全副總裁徐業(yè)禮對記者表示，從行業(yè)層面來講，當(dāng)行業(yè)企業(yè)使用的半導(dǎo)體芯片被檢測出風(fēng)險漏洞時，采取及時有效的應(yīng)對措施至關(guān)重要。關(guān)注芯片制造商和操作系統(tǒng)提供商發(fā)布的安全補(bǔ)丁，確保系統(tǒng)和應(yīng)用程序得到及時更新，以修復(fù)已知漏洞。

　　另外，進(jìn)行全面的風(fēng)險評估也是必要的，以確定漏洞可能帶來的影響，并根據(jù)風(fēng)險等級制定相應(yīng)的應(yīng)對策略。在確認(rèn)漏洞被修復(fù)之前，企業(yè)應(yīng)將受影響的系統(tǒng)從網(wǎng)絡(luò)中隔離，以防止?jié)撛诘墓魯U(kuò)散。同時，增強(qiáng)網(wǎng)絡(luò)安全監(jiān)控和日志記錄，可以幫助企業(yè)快速響應(yīng)異常行為，及時處理安全事件。定期備份關(guān)鍵數(shù)據(jù)也是一種有效的防護(hù)措施，以確保在發(fā)生安全事件時能夠迅速恢復(fù)業(yè)務(wù)。

　　對于普通個體用戶而言，徐業(yè)禮稱，保持系統(tǒng)更新是自我保護(hù)的基礎(chǔ)，定期更新操作系統(tǒng)、應(yīng)用程序和防病毒軟件，以確保擁有最新的安全修復(fù)。此外，使用強(qiáng)密碼、開啟防火墻、謹(jǐn)慎點擊鏈接、安裝可靠的安全軟件等措施，都能有效降低惡意軟件感染的風(fēng)險。定期備份個人數(shù)據(jù)、避免在公共設(shè)備上進(jìn)行敏感操作、了解最新的網(wǎng)絡(luò)釣魚手段，以及啟用多因素認(rèn)證，都是增強(qiáng)個人網(wǎng)絡(luò)安全防護(hù)能力的重要手段。通過這些綜合措施，個體用戶和企業(yè)都能有效減少由于CPU漏洞帶來的風(fēng)險，保護(hù)自身的網(wǎng)絡(luò)安全。

　　網(wǎng)絡(luò)安全視角轉(zhuǎn)變

　　實際上，除了英特爾，半導(dǎo)體行業(yè)領(lǐng)域多家企業(yè)近年來持續(xù)曝出漏洞問題。

　　就在今年10月，高通公司（Qualcomm）發(fā)布安全警告稱，其多達(dá)64款芯片組中的數(shù)字信號處理器（DSP）服務(wù)中存在一項潛在的嚴(yán)重的“零日漏洞”——CVE-2024-43047，且該漏洞已出現(xiàn)有限且有針對性的利用跡象。根據(jù)高通公告，CVE-2024-43047源于使用后釋放（use-after-free）錯誤，可能導(dǎo)致內(nèi)存損壞。

　　該漏洞影響范圍廣泛，涉及高通FastConnect、Snapdragon（驍龍）等多個系列共計64款芯片組，涵蓋了智能手機(jī)、汽車、物聯(lián)網(wǎng)設(shè)備等多個領(lǐng)域，將影響非常多的品牌廠商，如小米、vivo、OPPO、榮耀等手機(jī)品牌廠商都有采用高通驍龍4G/5G移動平臺及相關(guān)5G調(diào)制解調(diào)器-射頻系統(tǒng)，蘋果iPhone 12系列也有采用驍龍 X55 5G 調(diào)制解調(diào)器-射頻系統(tǒng)。

　　AMD在2023年被曝出Inception（CVE-2023-20569）漏洞，該漏洞是一種新的瞬態(tài)執(zhí)行攻擊，影響所有AMD Zen架構(gòu)的處理器。結(jié)合了“Phantom speculation”和“Training in Transient Execution”（TTE）技術(shù)，允許攻擊者從非特權(quán)進(jìn)程中泄露任意數(shù)據(jù)，影響包括從Zen 1到Zen 4的所有Ryzen和EPYC處理器。

　　AMD Sinkclose（CVE-2023-31315）漏洞允許攻擊者在系統(tǒng)管理模式（SMM）中運(yùn)行惡意代碼，可能導(dǎo)致系統(tǒng)管理中斷（SMI）處理程序被利用，影響包括Ryzen 3000及第一代EPYC及更新的CPU。AMD Zen 2處理器寄存器漏洞（CVE-2023-20593）影響所有Zen 2處理器，攻擊者可以在虛擬機(jī)內(nèi)監(jiān)聽宿主機(jī)數(shù)據(jù)。

　　2022年，NVIDIAGPU被曝出CVE-2022-28181漏洞，NVIDIA GPU Display Driver內(nèi)核模式層中的越界寫入漏洞，允許非特權(quán)普通用戶通過crafted shader導(dǎo)致越界寫入。2021年，NVIDIA被曝出CVE-2021-1056漏洞，系NVIDIA GPU驅(qū)動程序中的設(shè)備隔離漏洞，允許攻擊者在容器中創(chuàng)建特殊的字符設(shè)備文件，從而獲取宿主機(jī)上所有GPU設(shè)備的訪問權(quán)限。

　　2019年，清華大學(xué)計算機(jī)系研究團(tuán)隊發(fā)現(xiàn)電壓管理機(jī)制漏洞騎士漏洞（VolJokey），影響ARM TrustZone和Intel SGX等可信執(zhí)行環(huán)境。攻擊者可以通過該漏洞突破安全區(qū)限制，獲取核心密鑰并運(yùn)行非法程序，廣泛存在于彼時主流處理器芯片中。

　　對于半導(dǎo)體領(lǐng)域安全漏洞的密集發(fā)生，知道創(chuàng)宇404實驗室總監(jiān)隋剛對記者表示，說明當(dāng)下行業(yè)包括制造工藝在內(nèi)的技術(shù)進(jìn)入一個瓶頸期，安全行業(yè)的視角也發(fā)生了變化。過去網(wǎng)絡(luò)安全的聚焦主要在應(yīng)用系統(tǒng)層面，如今已經(jīng)開始涉及車聯(lián)網(wǎng)、5G、衛(wèi)星、星鏈等領(lǐng)域。

　　半導(dǎo)體業(yè)內(nèi)資深人士李國強(qiáng)告訴記者，除去是否故意設(shè)置漏洞的因素，一些芯片上市時未被發(fā)現(xiàn)存在漏洞，后期才發(fā)現(xiàn)存在漏洞，有以往技術(shù)認(rèn)知不足的因素。這些漏洞存在一定歷史淵源，英特爾早期設(shè)計了80系列芯片，而產(chǎn)品向前兼容，即新一代產(chǎn)品兼容前一代或前幾代產(chǎn)品。英特爾的問題可能是其設(shè)計基于幾十年前的一個經(jīng)典架構(gòu)，這個架構(gòu)存在一些當(dāng)時無法預(yù)見、后續(xù)才能被發(fā)現(xiàn)的漏洞和隱患。

　　徐業(yè)禮對記者表示，在AI時代，類似英特爾安全漏洞的問題，可能基于AI系統(tǒng)的高價值目標(biāo)屬性被以更快和更具破壞性的方式利用。如AI系統(tǒng)因其處理和存儲大量敏感數(shù)據(jù)而成為攻擊者的理想目標(biāo)。AI算法，特別是機(jī)器學(xué)習(xí)模型，對處理器的特定功能（如SIMD指令集）有很高的依賴性，這可能被漏洞利用。云服務(wù)提供商廣泛使用，使得攻擊者可以通過遠(yuǎn)程漏洞利用影響大量用戶和數(shù)據(jù)。另外，攻擊者可以利用AI技術(shù)自動化漏洞掃描和利用過程，提高攻擊的速度和規(guī)模。

　　推動產(chǎn)業(yè)鏈發(fā)展完善

　　網(wǎng)絡(luò)安全漏洞包括多種類型，如攻擊者注入惡意腳本代碼的跨站腳本攻擊（XSS），通過在應(yīng)用程序的用戶輸入中插入惡意SQL語句欺騙數(shù)據(jù)庫執(zhí)行非法操作的SQL注入攻擊，攻擊者通過偽裝成合法用戶向應(yīng)用程序發(fā)送惡意請求，利用用戶在應(yīng)用程序中的身份執(zhí)行未經(jīng)授權(quán)操作的跨站請求偽造（CSRF），應(yīng)用程序意外或故意將敏感數(shù)據(jù)（如密碼、信用卡信息等）泄露給未經(jīng)授權(quán)的用戶，導(dǎo)致用戶隱私受到侵犯或經(jīng)濟(jì)損失的敏感數(shù)據(jù)泄露等形式。

　　CPU安全漏洞類型的安全風(fēng)險并不會非常頻繁地發(fā)生，但一旦發(fā)生，將影響范圍非常廣泛，且修復(fù)難度較大。例如，2018年曝光的“熔斷”（Meltdown）和“幽靈”（Spectre）漏洞影響了全球大多數(shù)處理器芯片，幾乎涵蓋了所有主流的智能終端設(shè)備。這些漏洞允許攻擊者繞過內(nèi)存訪問的安全隔離機(jī)制，通過惡意程序獲取操作系統(tǒng)和其他程序的被保護(hù)數(shù)據(jù)，造成內(nèi)存敏感信息泄露。

　　徐業(yè)禮對記者表示，CPU等微處理器的網(wǎng)絡(luò)安全風(fēng)險與其他行業(yè)相比，具有隱蔽性和長期風(fēng)險的特點，硬件漏洞隱蔽性強(qiáng)，可能長期存在，難以檢測和防御。同時硬件漏洞難以通過軟件補(bǔ)丁修復(fù)，可能需要硬件更換或復(fù)雜的固件更新。同時在軟件層面，由于軟件和應(yīng)用程序依賴CPU特性，硬件漏洞可能波及整個技術(shù)生態(tài)系統(tǒng)的穩(wěn)定性和安全性。

　　隋剛對記者表示，安全行業(yè)依附于技術(shù)發(fā)展。類似于“知識無邊界”，技術(shù)作為知識的另一種層次體現(xiàn)也是同理。但當(dāng)下的國際環(huán)境中，知識與技術(shù)呈現(xiàn)有邊界的特點，也會出現(xiàn)分流的趨勢。目前國內(nèi)市場中，伴隨信創(chuàng)趨勢的確定，較為核心的技術(shù)——包括軟件層面的操作系統(tǒng)，硬件層面的CPU等芯片制造等，都需要時間去沉淀，需要技術(shù)去打磨，同時需要時間去等待軟硬件互相適配，這些都將影響信息產(chǎn)業(yè)的建設(shè)與推進(jìn)進(jìn)展。

　　李國強(qiáng)表示，一家芯片公司在某個領(lǐng)域幾近一家獨大帶來一定隱患，但對于半導(dǎo)體行業(yè)，這種情況難以避免。當(dāng)規(guī)模越大、成本越低、效益越好的邏輯成立時，行業(yè)天然會形成接近壟斷的局面。而要找到更安全的路徑，國內(nèi)還是要發(fā)展自己的PC和服務(wù)器芯片。目前國產(chǎn)CPU在一些對信息安全要求高的領(lǐng)域已經(jīng)在應(yīng)用，但基于性能要求，可能仍無法完全替代最先進(jìn)的英特爾芯片或者要靠數(shù)量來獲得足夠的性能。

　　英特爾漏洞一事對國內(nèi)服務(wù)器市場影響仍需觀察，國內(nèi)一家業(yè)務(wù)包含服務(wù)器租售的知名云計算平臺相關(guān)商務(wù)人員告訴記者，該事件還未影響客戶使用CPU芯片的意愿，英特爾在x86領(lǐng)域的地位仍難以撼動，該公司的AI領(lǐng)域客戶用的還是搭載英特爾芯片的服務(wù)器。

　　作為技術(shù)發(fā)展的重要依附方，安全行業(yè)也會發(fā)生分流，比如聚焦海外核心技術(shù)產(chǎn)品與國內(nèi)信創(chuàng)產(chǎn)業(yè)。近年來，國務(wù)院、網(wǎng)信辦、工信部發(fā)布一系列網(wǎng)絡(luò)安全相關(guān)政策，旨在加強(qiáng)網(wǎng)絡(luò)安全體系保障與能力建設(shè)，推進(jìn)傳統(tǒng)安全產(chǎn)品升級，筑牢可信可控的數(shù)字安全屏障。在這一背景下，網(wǎng)絡(luò)安全硬件設(shè)備成為行業(yè)關(guān)注焦點，它是定制化集成上游元器件后，針對客戶特定網(wǎng)安需求場景，提供一系列專業(yè)化解決方案的安全設(shè)備。

　　艾瑞咨詢在研報中分析稱，相關(guān)國產(chǎn)化軟硬件成熟度提升，從“可用”進(jìn)入到“好用”階段，在政策的大力支持下國產(chǎn)化網(wǎng)絡(luò)安全硬件設(shè)備將會成為未來行業(yè)增長的主要動力；在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境下，需求方對于網(wǎng)絡(luò)安全產(chǎn)品的要求將繼續(xù)提升，專用網(wǎng)絡(luò)安全硬件平臺將逐步替代通用網(wǎng)絡(luò)安全硬件設(shè)備。

　　徐業(yè)禮表示，在國家安全的層面上，中國網(wǎng)絡(luò)空間安全協(xié)會對英特爾產(chǎn)品的網(wǎng)絡(luò)安全風(fēng)險提出審查建議，反映了對關(guān)鍵信息基礎(chǔ)設(shè)施安全的深切關(guān)注。這一舉措可能會促使國內(nèi)各行業(yè)加強(qiáng)對所使用的硬件產(chǎn)品的安全評估，確保它們不會成為國家網(wǎng)絡(luò)安全的潛在威脅。同時，這也可能會推動國內(nèi)半導(dǎo)體行業(yè)的自主創(chuàng)新，減少對外部供應(yīng)商的依賴，從而增強(qiáng)國家供應(yīng)鏈的安全性和自主可控能力。此外，這一事件也可能加強(qiáng)國際網(wǎng)絡(luò)安全合作，共同應(yīng)對全球性的網(wǎng)絡(luò)安全挑戰(zhàn)，為維護(hù)網(wǎng)絡(luò)空間的和平與穩(wěn)定貢獻(xiàn)力量。

　?。ū疚膩碜缘谝回斀?jīng)）