“CPU漏洞门”事件爆发,作为全球最大的CPU公司英特尔率先中枪,处于事件的风口浪尖之上。不过,这个波及面堪比此前IT业界遭遇的“千年虫危机”的事件,影响绝不仅仅是英特尔一家。随着事件的发展,中国CPU厂商是否也会受到影响?在我国大力发展自主CPU产业,确保国家信息安全的当下,中国企业应从这一事件中借鉴哪些东西?这些均成为目前业界思考的焦点。
软件补丁无法根本修补硬件漏洞
日前,科技媒体The Register发表的一篇曝光CPU安全漏洞文章,引发业界一片哗然,也导致了英特尔市值在两日内蒸发超过110亿美元。
英特尔除为旗下大多数处理器产品发布更新补丁之外,也加紧进行了一系列的危机公关。在2018年国际消费电子展(CES)主题演讲中,英特尔公司CEO科再奇针对安全问题发言,表示正夜以继日地努力解决问题,以确保用户数据的安全。安全是英特尔关注的第一要务。
随着事件发酵,各路芯片厂商纷纷发声。1月4日,IBM公布这一漏洞对POWER系列处理器的潜在影响。1月5日ARM承认CPU存安全漏洞,安卓iOS设备都有影响。1月5日,AMD发布官方声明,承认部分处理器存在安全漏洞。1月5日,高通就CPU漏洞发声,表示正在修复,但未指明受影响芯片。
据了解,在“CPU漏洞门”中扮演重要角色的两个漏洞分别为“熔断”和“幽灵”,这两个设计缺陷能够引起两种网络黑客的攻击,黑客可以利用漏洞读取设备内存,进而获得用户安全密码等敏感信息。由于两个安全漏洞涉及现代的计算机处理器芯片通常使用“推测执行”和“分支预测”等技术,其波及面并不仅局限于英特尔一家。而且这种硬件架构层面的问题很难通过操作系统厂商打补丁来彻底修复。“实际上,操作系统厂商提供的软件补丁不过是部分解决了用户态软件利用该漏洞获取操作系统内存信息的问题,并未杜绝这两种漏洞被恶意利用的可能。”清华大学微电子研究所所长魏少军指出。这两个漏洞在现代主流的CPU里将长期存在。
中国CPU目前尚未受到影响
那么,中国CPU企业是否受到这两个安全漏洞的影响呢?记者致电国内部分CPU企业,目前并未受到“熔断”和“幽灵”两个安全漏洞的影响。
国产x86通用CPU企业兆芯表示,通过对“熔断”攻击原理和兆芯国产x86处理器对应结构的分析,兆芯处理器在设计上不允许低特权级的程序索引高特权级的内存,因此实现了对“熔断”攻击的免疫。“幽灵”对于攻击程序/攻击序列比较严格,不大容易进行攻击,目前还没有实用。另外,由于“幽灵”单独不能攻破处理器特权级保护,目前处于危害较低的状态。
由于“幽灵”攻击的条件比较敏感,尽管不能说兆芯开先ZX-C/KX-5000系列处理器平台在该漏洞下绝对安全,但这个漏洞对于兆芯平台的用户近乎零风险。简单地说,兆芯国产x86处理器在设计上对程序的权限要求很严格,不允许低权限的程序访问高权限程序的内存,无论是“熔断”还是“幽灵”皆是如此。
修补安全漏洞存在机遇
此次英特尔及ARM等CPU爆出高危漏洞,显现出发展自主可控芯片的重要意义。此前,中国半导体行业协会原执行副理事长、半导体专家徐小田在接受记者采访时即表示,国家对于集成电路产业的发展目标是自主安全可控,在明确了发展方向的同时,也就明确了企业责任。集成电路产业要担负起保障国家信息安全的重任。
特别是高端通用CPU,一方面,PC在桌面办公领域长期不可替代,大数据、云计算等技术的发展对数据中心的需求也在与日俱增,全球PC、服务器的出货量或将保持在高位;另一方面,高端通用CPU与集成电路制造工艺的发展紧密相关,是集成电路产业发展和影响我国经济结构转型升级的重要因素。
那么,我们可以从此次事件中获得哪些借鉴呢?对此,魏少军表示:“随着信息系统硬件设计的日趋复杂,现代芯片动辄上百亿颗晶体管,类似的芯片漏洞、前门、后门,甚至硬件木马(恶意硬件)等将会更大规模的影响信息系统的硬件安全,进而影响软件安全,影响系统安全。”我国在保障计算机信息安全上,总的来说还未摆脱被动应对的局面,对暴露出来问题也大多是后知后验。计算机信息安全工作主要停留在查毒杀毒等被动防御层面,很少去考虑主动防御。“这次‘CPU漏洞门’事件提醒我们:现在是时候扭转一下我们的思路了,要变‘被动防御’为‘主动防御’。”魏少军说。
“要想做到真正的安全可控,关键还是要掌握核心技术。没有核心技术的支撑,按照别人的思路和架构去发展,很难逃开与别人一样的结局。”魏少军进一步指出,“我们的CPU企业应该在基础技术上继续追赶的同时,在架构创新上有所作为。”
赛迪智库集成电路研究所副所长林雨也指出,英特尔的“CPU漏洞门”事件,是目前主流CPU架构中都会存在的一个普遍性问题,所以现有国产CPU并不能保证不受漏洞门问题影响,因此,此事对国产CPU发展的影响并不大。但从另一个侧面也警示我们,在发展自主CPU的同时,与国外企业在架构授权合作方面,一定要拿到对方的完全技术授权,因为只有这样,我们才能知道“漏洞”在哪里,并依靠自己实力来修补漏洞,并实现自主发展。
危机事件发生的同时也伴随着机遇,中国企业是否可以抓住这次事件转危为机?此次两个CPU漏洞属于硬件架构层面的问题,短期内或可以通过软件补丁在一段时间内缓解,但从长远看还是要通过更换硬件才能够解决。中国CPU企业如果抓住机遇,有可能实现一次大幅度的进步。对此,魏少军指出:“国内近年来在芯片领域已经有了不少的进步,特别是在‘可重构计算—软件定义芯片’技术上领先国际同行,引起全球的高度关注。利用这一技术所实现的CPU外部特性实时监控技术,可以检出和复现‘熔断’和‘幽灵’类似的非法操作,并与软件配合随时监控可能插入的、企图利用这些漏洞盗取数据的潜在行为。因此,我国CPU企业应该充分利用这次事件赢取发展先机,实现国产CPU的一次大踏步前进。”
1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。
3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。
12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。
3月22日,中国电子信息产业发展研究院发布了《2020年中国家电市场报告》(以下简称《报告》)。《报告》显示,2020年,我国家电市场零售额规模达到8333亿元,在疫情冲击之下显示出较强的韧性;电商渠道对家电零售的贡献率首次超过50%,网络零售对家电消费的促进作用进一步提升;高端产品、生活家电大幅增长,有效促进了消费升级和产业转型。
11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。
11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。
10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军,工业和信息化部副部长王志军,江西省委书记、省人大常委会主任刘奇先后致辞。开幕式由江西省委副书记、省长易炼红主持。
