近日，英特爾處理器中隱藏的操作系統(tǒng)MINIX的消息在互聯(lián)網(wǎng)上引起了軒然大波。谷歌團隊研究發(fā)現(xiàn)，英特爾近年來推出的處理器大都運行著一個修改版的MINIX3操作系統(tǒng)，英特爾管理引擎（Intel ME）運行其上，該系統(tǒng)在處理器內(nèi)部有自己的CPU內(nèi)核和專屬固件，完全獨立于其他部分，運行權(quán)限達到了Ring-3，且具有完整的網(wǎng)絡(luò)堆棧、文件系統(tǒng)、Web服務(wù)器，以及USB和網(wǎng)絡(luò)等一系列驅(qū)動。據(jù)媒體分析，這一系統(tǒng)完全可以架設(shè)網(wǎng)絡(luò)服務(wù)器，甚至成為用戶無法抵抗的“后門”，存在巨大的安全隱患。我們應(yīng)該如何看待和應(yīng)對這一事件呢？

正確認識這一事件的本質(zhì)

這一事件本身沒有必要過度解讀，實際上英特爾是在芯片組中為用戶提供了一個免費的帶外遠程管理模式，包括英特爾近年來推出的主動管理技術(shù)（AMT）和博銳（vPro）等，類似于服務(wù)器中的基板管理控制器（BMC），具有專門的處理器，可脫離CPU獨立運行，有自己的操作系統(tǒng)，使用獨立管理通道。這實際上為用戶提供了帶外管理的途徑，其他芯片廠商也都有類似的閉源固件，各廠商也在努力提升其安全水平。

這一事件應(yīng)引起我們的警覺

雖然廠商本身可能并無惡意，但這一方式確實存在安全隱患。Intel ME是獨立于CPU運行的，且可以訪問網(wǎng)絡(luò)和內(nèi)存數(shù)據(jù)，可作為“后門”，也存在被利用實施網(wǎng)絡(luò)攻擊的可能性。任何操作系統(tǒng)都可能有缺陷和漏洞，MINIX3也無法避免，而作為開源軟件更可能被黑客抓住其漏洞。同時，我們應(yīng)該認識到，計算機中獨立的固件有十幾個，包括網(wǎng)卡、顯卡、硬盤等都有自己的控制器，這些固件都有潛在的安全隱患。

自主創(chuàng)新可破解這一隱患

當前英特爾處理器擁有極高的市場占有率，自主廠商的產(chǎn)品仍存在較大差距，通過替代方式消除這一安全隱患仍不現(xiàn)實。我們應(yīng)對廠商提出包括徹底關(guān)閉芯片中ME等存在安全隱患模塊在內(nèi)的一系列要求，實現(xiàn)重點領(lǐng)域芯片產(chǎn)品的安全可控。同時，應(yīng)進一步加大自主創(chuàng)新力度，培育掌握核心技術(shù)的自主芯片廠商，從根本上解決核心技術(shù)受制于人的問題。

（賽迪智庫）endprint