芯片漏洞頻頻曝光 網(wǎng)絡(luò)安全危如累卵

　　從互聯(lián)網(wǎng)發(fā)展至今，除了越來越豐富的網(wǎng)絡(luò)資源以外，我們的上網(wǎng)設(shè)備也在不斷更新?，F(xiàn)如今我們不論是用電腦還是手機(jī)，其中都有一個(gè)核心部件，那便是CPU，有了它才能保證我們的設(shè)備能夠正常運(yùn)作。

　　當(dāng)然這里并不是單純談?wù)揅PU，而是來關(guān)注一下目前芯片安全問題。早在2018年初，Intel就被曝出其芯片存在技術(shù)缺陷導(dǎo)致重要安全漏洞。

　　Intel芯片漏洞被曝 震驚業(yè)界

　　1月2日，Google公司旗下安全小組Google Project Zero的研究員Jann Horn在其組織網(wǎng)站上公布了兩組芯片漏洞Meltdown(熔斷)和Spectre(幽靈)，分別對(duì)應(yīng)全球統(tǒng)一漏洞庫的CVE-2017-5754、CVE-2017-5753/CVE-2017-5715。發(fā)現(xiàn)Meltdown漏洞的三個(gè)獨(dú)立小組，Cyberus Technology小組、奧地利格拉茨技術(shù)大學(xué)研究小組均得出了相似結(jié)論。

　　一石激起千層浪，這兩個(gè)漏洞被曝光之后，立刻在全球信息行業(yè)引發(fā)廣泛關(guān)注，這樣的災(zāi)難也會(huì)波及到全球幾乎所有電腦與移動(dòng)終端甚至云服務(wù)提供商。Meltdown和Spectre同時(shí)影響1995年之后除2013年之前安騰、凌動(dòng)之外的全系英特爾處理器，Spectre還影響AMD、ARM、英偉達(dá)的芯片產(chǎn)品，幾乎波及整個(gè)計(jì)算機(jī)處理器世界。

　　盡管在公布這兩個(gè)漏洞之前，尚未發(fā)現(xiàn)有與之相關(guān)的直接攻擊行為，但是各家芯片廠商、操作系統(tǒng)廠商、瀏覽器廠商以及云服務(wù)廠商都在第一時(shí)間對(duì)外發(fā)布了安全公告，并采取了相應(yīng)措施進(jìn)行漏洞的修補(bǔ)。

　　事實(shí)上，Intel早在去年6月份就已經(jīng)從Google處獲知了該漏洞的存在，據(jù)消息稱，Jann Horn于2017年6月分別向三大芯片制造商報(bào)告了這一問題，但并沒有受到重視與及時(shí)處理。一般情況下，信息行業(yè)企業(yè)滯后公布安全漏洞符合慣例，目的是為了在漏洞信息披露前找到修復(fù)手段，以防止黑客快速利用漏洞信息發(fā)動(dòng)攻擊。但此次英特爾在掌握漏洞后的近半年時(shí)間里都沒有公布，個(gè)中原因也引人猜測(cè)。

　　有趣的是，在Intel獲知這兩個(gè)漏洞之后，不僅沒有重視，并且還沒有將此漏洞提交給美國(guó)政府，也就是說，在公眾獲悉這些漏洞信息之前，美國(guó)政府也不知道這些漏洞的存在，在面對(duì)質(zhì)詢的時(shí)候，Intel表示，他們認(rèn)為沒有必要與美國(guó)政府分享這些漏洞信息，因?yàn)楹诳筒]有利用這些漏洞。

　　AMD芯片漏洞相繼曝光

　　無獨(dú)有偶，除了Intel被曝重大漏洞外，近日一家以色列安全公司CTS Labs也發(fā)布了一份安全白皮書，其中指出，計(jì)算機(jī)芯片制造上AMD在售的芯片存在13個(gè)安全漏洞。

　　此次CTS指出的漏洞都需要獲得管理員權(quán)限才能被發(fā)現(xiàn)，其中披露漏洞波及到AMD Ryzen桌面處理器、Ryzen Pro企業(yè)處理器、Ryzen移動(dòng)處理器、和EPYC數(shù)據(jù)中心處理器。

　　據(jù)CTS聲稱，這些漏洞沒有任何緩解措施，并且不同的漏洞對(duì)應(yīng)的平臺(tái)不同，其中21種環(huán)境下已經(jīng)被成功利用，還有11個(gè)存在被利用的可能。

　　有意思的是，一般按照行業(yè)慣例而言，這些漏洞發(fā)現(xiàn)之后都會(huì)事先交給相關(guān)企業(yè)，讓其有一定時(shí)間進(jìn)行補(bǔ)救措施，避免被其他黑客利用。但是這次CTS沒有與AMD公司進(jìn)行溝通，便發(fā)布了相關(guān)漏洞，這有可能造成極大的安全隱患。

　　不過慶幸的是，不同于Intel可以通過遠(yuǎn)程破解的致命漏洞，被CTS公布出來的這些安全漏洞，基本上都是需要在主辦刷入特制BIOS、獲取管理員權(quán)限、安裝特定未簽名驅(qū)動(dòng)的特殊條件才能觸發(fā)，這樣苛刻的條件幾乎無異于闖入別人家中搶走電腦主機(jī)。

　　并且在Intel漏洞事件才剛過不久，就發(fā)生了AMD芯片漏洞也遭到曝光的信息，且是沒有提前溝通的直接發(fā)布，其中緣由，耐人尋味。

　　網(wǎng)絡(luò)安全問題不容小視

　　當(dāng)然，不論怎么說，芯片漏洞不斷被曝光，也表明目前網(wǎng)絡(luò)安全狀況非常糟糕。從技術(shù)層面來說，網(wǎng)絡(luò)安全是一個(gè)永恒的話題，畢竟如今沒有任何從事網(wǎng)絡(luò)安全的公司可以保證自己無懈可擊。而且，在黑客查找漏洞時(shí)，網(wǎng)絡(luò)安全維護(hù)人員只能夠進(jìn)行被動(dòng)的防御，這樣被動(dòng)的防守總會(huì)被人找到破綻的。

　　既然無法從技術(shù)層面完全禁止，那么智能轉(zhuǎn)換思路，從法律層面來限制了。在今年的兩會(huì)上，關(guān)于網(wǎng)絡(luò)安全問題，也引起非常多人的關(guān)注，并且目前已經(jīng)有相關(guān)的政策法規(guī)來為網(wǎng)絡(luò)安全進(jìn)行護(hù)航。

　　在2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，這部《網(wǎng)絡(luò)安全法》有三個(gè)基本原則，那便是網(wǎng)絡(luò)空間主權(quán)原則、網(wǎng)絡(luò)安全與信息化發(fā)展并重原則、共同治理原則。這三項(xiàng)原則也明確了網(wǎng)絡(luò)的邊界，劃定了政府職責(zé)，把網(wǎng)絡(luò)安全上升到國(guó)家層面。

　　建立健全網(wǎng)絡(luò)與信息安全法律法規(guī)制度，構(gòu)建新型網(wǎng)絡(luò)與信息安全治理體系也是國(guó)家網(wǎng)絡(luò)安全一直努力的方向，雖然不能說有了這些法規(guī)之后，網(wǎng)絡(luò)安全問題便會(huì)徹底解決，但是大幅減少還是可以預(yù)見的。

　　小結(jié)

　　從互聯(lián)網(wǎng)發(fā)明至今，網(wǎng)絡(luò)安全的攻與防也一直持續(xù)至今，雖然隨著時(shí)代的發(fā)展，針對(duì)普通人的黑客行為已經(jīng)大幅減少，但是這并不意味著他們的危害變?nèi)趿耍∏∠喾?，這些攻擊基本上集中在了各大企業(yè)與國(guó)家重要機(jī)構(gòu)上，網(wǎng)絡(luò)安全危如累卵。

　　相關(guān)的政策出臺(tái)可以有效的減少黑客無故的攻擊，但是對(duì)于那些直奔利益而去的行為卻如同虛設(shè)，網(wǎng)絡(luò)安全也不僅僅單靠律法能夠禁止，還需要網(wǎng)絡(luò)安全人員與政府的共同努力才行，這場(chǎng)戰(zhàn)役也注定是持久的，也必然是艱辛的。