如何看待英特爾處理器中隱藏的MINIX系統(tǒng)

近日，英特爾處理器中隱藏的操作系統(tǒng)MINIX的消息在互聯(lián)網上引起了軒然大波。谷歌團隊研究發(fā)現，英特爾近年來推出的處理器大都運行著一個修改版的MINIX3操作系統(tǒng)，英特爾管理引擎（Intel ME）運行其上，該系統(tǒng)在處理器內部有自己的CPU內核和專屬固件，完全獨立于其他部分，運行權限達到了Ring-3，且具有完整的網絡堆棧、文件系統(tǒng)、Web服務器，以及USB和網絡等一系列驅動。據媒體分析，這一系統(tǒng)完全可以架設網絡服務器，甚至成為用戶無法抵抗的“后門”，存在巨大的安全隱患。我們應該如何看待和應對這一事件呢？

正確認識這一事件的本質

這一事件本身沒有必要過度解讀，實際上英特爾是在芯片組中為用戶提供了一個免費的帶外遠程管理模式，包括英特爾近年來推出的主動管理技術（AMT）和博銳（vPro）等，類似于服務器中的基板管理控制器（BMC），具有專門的處理器，可脫離CPU獨立運行，有自己的操作系統(tǒng)，使用獨立管理通道。這實際上為用戶提供了帶外管理的途徑，其他芯片廠商也都有類似的閉源固件，各廠商也在努力提升其安全水平。

這一事件應引起我們的警覺

雖然廠商本身可能并無惡意，但這一方式確實存在安全隱患。Intel ME是獨立于CPU運行的，且可以訪問網絡和內存數據，可作為“后門”，也存在被利用實施網絡攻擊的可能性。任何操作系統(tǒng)都可能有缺陷和漏洞，MINIX3也無法避免，而作為開源軟件更可能被黑客抓住其漏洞。同時，我們應該認識到，計算機中獨立的固件有十幾個，包括網卡、顯卡、硬盤等都有自己的控制器，這些固件都有潛在的安全隱患。

自主創(chuàng)新可破解這一隱患

當前英特爾處理器擁有極高的市場占有率，自主廠商的產品仍存在較大差距，通過替代方式消除這一安全隱患仍不現實。我們應對廠商提出包括徹底關閉芯片中ME等存在安全隱患模塊在內的一系列要求，實現重點領域芯片產品的安全可控。同時，應進一步加大自主創(chuàng)新力度，培育掌握核心技術的自主芯片廠商，從根本上解決核心技術受制于人的問題。

（賽迪智庫）endprint