>> 華創(chuàng)證券-計算機(jī)行業(yè)重大事項點評:英特爾CPU網(wǎng)絡(luò)安全風(fēng)險頻發(fā),芯片國產(chǎn)化勢在必行-241016
|
事項: 10月16日,中國網(wǎng)絡(luò)空間安全協(xié)會發(fā)布名為《漏洞頻發(fā)、故障率高應(yīng)系統(tǒng)排查英特爾產(chǎn)品網(wǎng)絡(luò)安全風(fēng)險》的文章。文章指出英特爾公司產(chǎn)品存在安全漏洞問題頻發(fā)、可靠性差、監(jiān)控用戶、暗設(shè)后門危害網(wǎng)絡(luò)信息安全的情況,并提出對英特爾在華銷售產(chǎn)品啟動網(wǎng)絡(luò)安全審查的建議。 評論: 英特爾CPU網(wǎng)絡(luò)安全風(fēng)險頻發(fā),質(zhì)量及安全管理存在重大缺陷。文章指出,2023年8英特爾CPU被曝存在Downfall漏洞,該漏洞可獲取特定矢量寄存器緩沖區(qū)之前存儲的密鑰、用戶信息、關(guān)鍵參數(shù)等敏感數(shù)據(jù)。而早在2022年,英特爾就已經(jīng)被研究者報告過該漏洞但未采取行動,后遭集體訴訟。2023年11月,谷歌研究人員又披露英特爾CPU存在另一高危漏洞Reptar,可致敏感數(shù)據(jù)泄露和系統(tǒng)崩潰問題。2024年以來,英特爾CPU又先后曝出GhostRace、NativeBHI、Indirector等漏洞。多次安全事件表明,英特爾在產(chǎn)品質(zhì)量、安全管理方面存在重大缺陷。 英特爾或在暗中監(jiān)控用戶,并危害網(wǎng)絡(luò)和信息安全。文章提到,英特爾聯(lián)合惠普等廠商設(shè)計的IPMI技術(shù)規(guī)范,聲稱用于監(jiān)控服務(wù)器物理健康,但實際上存在高危漏洞,導(dǎo)致全球大量服務(wù)器面臨被攻擊控制的極大安全風(fēng)險。英特爾還在產(chǎn)品中集成了存在嚴(yán)重漏洞的第三方開源組件,如M10JNPSB服務(wù)器主板中的lighttpd,版本落后長達(dá)9年。與此同時,英特爾CPU中的管理引擎(ME)被指暗設(shè)后門,允許遠(yuǎn)程訪問計算機(jī),繞過操作系統(tǒng)防火墻,實現(xiàn)物理級接觸用戶計算機(jī)的效果。這意味著對于包括中國在內(nèi)世界各國的關(guān)鍵信息基礎(chǔ)設(shè)施,構(gòu)成極大的安全威脅。 實體清單及海外CPU安全漏洞壓力下,芯片國產(chǎn)化勢在必行。2018年以來,部分中國企業(yè)和高校不斷被美國商務(wù)部產(chǎn)業(yè)與安全局列入“實體清單”,落入該名單的實體均成為BIS限制出口的對象。伴隨中美科技博弈的升級,安全可控、自主可控領(lǐng)域發(fā)展迅速,芯片、數(shù)據(jù)庫、操作系統(tǒng)作為重要基礎(chǔ)軟件急需進(jìn)行國產(chǎn)替代,信創(chuàng)產(chǎn)業(yè)提級發(fā)展。而CPU芯片作為ICT設(shè)備的運算和控制核心,負(fù)責(zé)指令讀取、譯碼與執(zhí)行,對研發(fā)技術(shù)和生態(tài)構(gòu)建具有很高要求。目前,英特爾、AMD領(lǐng)跑通用CPU市場,國內(nèi)下游廠商面臨芯片“卡脖子”問題。然而,在美國實體清單壓制及Intel CPU安全漏洞頻發(fā)的背景下,國產(chǎn)芯片廠商需要快速進(jìn)步和提升,芯片國產(chǎn)化勢在必行。 投資建議及關(guān)注標(biāo)的:建議關(guān)注科技安全自立,重點關(guān)注國產(chǎn)芯片、相關(guān)信創(chuàng)產(chǎn)業(yè)鏈及網(wǎng)絡(luò)安全板塊。 芯片:龍芯中科、海光信息、景嘉微; 服務(wù)器:紫光股份、中科曙光、浪潮信息、神州數(shù)碼、中國長城、拓維信息; BIOS/BMC:卓易信息; 操作系統(tǒng):中國軟件、誠邁科技; 數(shù)據(jù)庫:達(dá)夢數(shù)據(jù)、太極股份、海量數(shù)據(jù); 網(wǎng)絡(luò)安全:深信服、奇安信、啟明星辰、天融信、綠盟科技、信安世紀(jì)、格爾軟件、電科網(wǎng)安。 風(fēng)險提示:技術(shù)發(fā)展不及預(yù)期,政策推進(jìn)不及預(yù)期,市場競爭加劇。
|
|