從互聯(lián)網(wǎng)發(fā)展至今，除了越來越豐富的網(wǎng)絡(luò)資源以外，我們的上網(wǎng)設(shè)備也在不斷更新。現(xiàn)如今我們不論是用電腦還是手機(jī)，其中都有一個核心部件，那便是CPU，有了它才能保證我們的設(shè)備能夠正常運(yùn)作。

當(dāng)然這里并不是單純談?wù)揅PU，而是來關(guān)注一下目前芯片安全問題。早在2018年初，Intel就被曝出其芯片存在技術(shù)缺陷導(dǎo)致重要安全漏洞。

Intel芯片漏洞被曝 震驚業(yè)界

1月2日，Google公司旗下安全小組Google Project Zero的研究員Jann Horn在其組織網(wǎng)站上公布了兩組芯片漏洞Meltdown（熔斷）和Spectre（幽靈），分別對應(yīng)全球統(tǒng)一漏洞庫的CVE-2017-5754、CVE-2017-5753/CVE-2017-5715。發(fā)現(xiàn)Meltdown漏洞的三個獨(dú)立小組，Cyberus Technology小組、奧地利格拉茨技術(shù)大學(xué)研究小組均得出了相似結(jié)論。

一石激起千層浪，這兩個漏洞被曝光之后，立刻在全球信息行業(yè)引發(fā)廣泛關(guān)注，這樣的災(zāi)難也會波及到全球幾乎所有電腦與移動終端甚至云服務(wù)提供商。Meltdown和Spectre同時(shí)影響1995年之后除2013年之前安騰、凌動之外的全系英特爾處理器，Spectre還影響AMD、ARM、英偉達(dá)的芯片產(chǎn)品，幾乎波及整個計(jì)算機(jī)處理器世界。

盡管在公布這兩個漏洞之前，尚未發(fā)現(xiàn)有與之相關(guān)的直接攻擊行為，但是各家芯片廠商、操作系統(tǒng)廠商、瀏覽器廠商以及云服務(wù)廠商都在第一時(shí)間對外發(fā)布了安全公告，并采取了相應(yīng)措施進(jìn)行漏洞的修補(bǔ)。

事實(shí)上，Intel早在去年6月份就已經(jīng)從Google處獲知了該漏洞的存在，據(jù)消息稱，Jann Horn于2017年6月分別向三大芯片制造商報(bào)告了這一問題，但并沒有受到重視與及時(shí)處理。一般情況下，信息行業(yè)企業(yè)滯后公布安全漏洞符合慣例，目的是為了在漏洞信息披露前找到修復(fù)手段，以防止黑客快速利用漏洞信息發(fā)動攻擊。但此次英特爾在掌握漏洞后的近半年時(shí)間里都沒有公布，個中原因也引人猜測。

有趣的是，在Intel獲知這兩個漏洞之后，不僅沒有重視，并且還沒有將此漏洞提交給美國政府，也就是說，在公眾獲悉這些漏洞信息之前，美國政府也不知道這些漏洞的存在，在面對質(zhì)詢的時(shí)候，Intel表示，他們認(rèn)為沒有必要與美國政府分享這些漏洞信息，因?yàn)楹诳筒]有利用這些漏洞。

AMD芯片漏洞相繼曝光

無獨(dú)有偶，除了Intel被曝重大漏洞外，近日一家以色列安全公司CTS Labs也發(fā)布了一份安全白皮書，其中指出，計(jì)算機(jī)芯片制造上AMD在售的芯片存在13個安全漏洞。

此次CTS指出的漏洞都需要獲得管理員權(quán)限才能被發(fā)現(xiàn)，其中披露漏洞波及到AMD Ryzen桌面處理器、Ryzen Pro企業(yè)處理器、Ryzen移動處理器、和EPYC數(shù)據(jù)中心處理器。

據(jù)CTS聲稱，這些漏洞沒有任何緩解措施，并且不同的漏洞對應(yīng)的平臺不同，其中21種環(huán)境下已經(jīng)被成功利用，還有11個存在被利用的可能。

有意思的是，一般按照行業(yè)慣例而言，這些漏洞發(fā)現(xiàn)之后都會事先交給相關(guān)企業(yè)，讓其有一定時(shí)間進(jìn)行補(bǔ)救措施，避免被其他黑客利用。但是這次CTS沒有與AMD公司進(jìn)行溝通，便發(fā)布了相關(guān)漏洞，這有可能造成極大的安全隱患。

不過慶幸的是，不同于Intel可以通過遠(yuǎn)程破解的致命漏洞，被CTS公布出來的這些安全漏洞，基本上都是需要在主辦刷入特制BIOS、獲取管理員權(quán)限、安裝特定未簽名驅(qū)動的特殊條件才能觸發(fā)，這樣苛刻的條件幾乎無異于闖入別人家中搶走電腦主機(jī)。

并且在Intel漏洞事件才剛過不久，就發(fā)生了AMD芯片漏洞也遭到曝光的信息，且是沒有提前溝通的直接發(fā)布，其中緣由，耐人尋味。

網(wǎng)絡(luò)安全問題不容小視

當(dāng)然，不論怎么說，芯片漏洞不斷被曝光，也表明目前網(wǎng)絡(luò)安全狀況非常糟糕。從技術(shù)層面來說，網(wǎng)絡(luò)安全是一個永恒的話題，畢竟如今沒有任何從事網(wǎng)絡(luò)安全的公司可以保證自己無懈可擊。而且，在黑客查找漏洞時(shí)，網(wǎng)絡(luò)安全維護(hù)人員只能夠進(jìn)行被動的防御，這樣被動的防守總會被人找到破綻的。

既然無法從技術(shù)層面完全禁止，那么智能轉(zhuǎn)換思路，從法律層面來限制了。在今年的兩會上，關(guān)于網(wǎng)絡(luò)安全問題，也引起非常多人的關(guān)注，并且目前已經(jīng)有相關(guān)的政策法規(guī)來為網(wǎng)絡(luò)安全進(jìn)行護(hù)航。

在2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施，這部《網(wǎng)絡(luò)安全法》有三個基本原則，那便是網(wǎng)絡(luò)空間主權(quán)原則、網(wǎng)絡(luò)安全與信息化發(fā)展并重原則、共同治理原則。這三項(xiàng)原則也明確了網(wǎng)絡(luò)的邊界，劃定了政府職責(zé)，把網(wǎng)絡(luò)安全上升到國家層面。

建立健全網(wǎng)絡(luò)與信息安全法律法規(guī)制度，構(gòu)建新型網(wǎng)絡(luò)與信息安全治理體系也是國家網(wǎng)絡(luò)安全一直努力的方向，雖然不能說有了這些法規(guī)之后，網(wǎng)絡(luò)安全問題便會徹底解決，但是大幅減少還是可以預(yù)見的。

小結(jié)

從互聯(lián)網(wǎng)發(fā)明至今，網(wǎng)絡(luò)安全的攻與防也一直持續(xù)至今，雖然隨著時(shí)代的發(fā)展，針對普通人的黑客行為已經(jīng)大幅減少，但是這并不意味著他們的危害變?nèi)趿耍∏∠喾矗@些攻擊基本上集中在了各大企業(yè)與國家重要機(jī)構(gòu)上，網(wǎng)絡(luò)安全危如累卵。

相關(guān)的政策出臺可以有效的減少黑客無故的攻擊，但是對于那些直奔利益而去的行為卻如同虛設(shè)，網(wǎng)絡(luò)安全也不僅僅單靠律法能夠禁止，還需要網(wǎng)絡(luò)安全人員與政府的共同努力才行，這場戰(zhàn)役也注定是持久的，也必然是艱辛的。