2018年伊始，google旗下的project zero安全團隊曝光的intel cpu漏洞安全問題引發了公眾對硬件安全問題的擔憂。漏洞是由intel cpu 硬件底層設計缺陷引起的，所有搭配英特爾處理器的計算機、服務器、云平臺和智能設備均受到影響。

硬件級別內存漏洞 泄露敏感信息

據國家信息安全漏洞共享平臺（cnvd）分析，當前通用的計算機處理器芯片運算過程是“推測執行”和“分支預測”的計算模式，在技術上存在一定的安全缺陷，使得攻擊者可以繞過內存訪問隔離的安全邊界，在內核中讀取操作系統和其他程序的內存數據，造成敏感信息泄露。

本次漏洞的兩位“元兇”分別是“meltdown”（熔斷）和“spectre”（幽靈），屬于硬件級別的漏洞，可導致內存崩潰。黑客可利用漏洞繞過操作系統及其他安全軟件，使用惡意程序來獲取操作系統和其他程序的被保護數據，造成內存敏感信息泄露，竊取電腦、手機和云服務器上的用戶密碼或加密密鑰。

1.meltdown漏洞（cve-2017-5754）利用破壞了用戶程序和操作系統之間的基本隔離，允許攻擊者未授權訪問其他程序和操作系統的內存，獲取其他程序和操作系統的敏感信息。

2.spectre漏洞（cve-2017-5715和cve-2017-5753）利用破壞了不同應用程序之間的安全隔離，允許攻擊者借助于無錯程序（error-free）來獲取敏感信息。cnvd對該漏洞的綜合評級為“高危”。

處理器、os、云平臺無一幸免

此次，由硬件設計漏洞造成的安全風險覆蓋范圍廣，搭配intel、amd、arm處理器的電腦、智能手機及服務器都可能在風險范圍內。盡管各大處理器廠商在第一時間發布了安全補丁，但微軟表示，新的補丁將導致部分pc和服務器的運行速度變慢，基于老款英特爾處理器運行性能明顯下降。

meltdown的具體影響型號和范圍：

intel ：1995年之后的所有的cpu型號，除了安騰和atom外；

amd ：不受meltdown漏洞影響；

arm ：包括cortex-a75在內的少數arm核心cpu受影響；

操作系統：windows、linux、mac os、android；

云計算平臺：aws、 google、阿里云、騰訊云等。

spectre的具體影響型號和范圍：

intel：所有型號；

amd ：所有型號；

arm ：包括cortex-a8， cortex-a9等在內的約十種arm核心cpu；

硬件設計存在缺陷，徹底修復難度大

根據專業的硬件安全風險機構評估，兩種漏洞徹底被修復的難度極大，直到現在，微軟提供的系統補丁也僅是針對meltdown的，而spectre暫時還沒有修復方法。

究其原因，一是它們屬于硬件底層級別的設計漏洞。硬件芯片固件升級迭代慢，覆蓋全系列產品，一旦出現問題，將涉及整個產品線，再加上固件升級存在一定操作難度，所以造成的危害持續的影響遠遠大于系統和軟件。二是修復這些漏洞需要操作系統廠商、虛擬化廠商、軟硬件分銷商、瀏覽器廠商、cpu廠商一起協作并進行復雜且極其深入的修改，才能徹底解決問題，對于這些影響如此廣泛的漏洞來說要完美做到修復更是困難。

arm首席執行官simon segars在近日采訪中表示，arm尚未決定如何改變其芯片架構或軟件來避免未來類似的安全風險，但公司將花更多時間研究類似的潛在漏洞。這同時也印證了徹底解決cpu芯片級的安全問題仍然需要等待很長時間。

cpu漏洞敲響硬件安全的警鐘

此次cpu漏洞事件給全球帶來巨大的安全隱患，同時從智能硬件設計缺陷方面敲響安全風險的警鐘。硬件設備具有智能功能就意味著配置了處理器、存儲和控制部分，極有可能被黑客入侵。在前年的3.15晚會上，智能硬件以及智能家居的安全問題首次被曝光，據調查顯示，部分的智能家庭攝像頭存在繞過身份驗證控制設備的問題，這將直接導致用戶攝像頭的隱私被泄露；還有部分汽車在聯網的過程中也會存在一些漏洞，黑客以在幾公里外實現對車輛的開鎖、啟動、轉向、急剎等動操作；甚至部分智能門鎖廠商未做加密認證，導致黑客利用軟件都可以調試功能、打開門鎖。對工廠車間而言，如果視頻監控系統權限被控制，將會對企業的正常生產活動帶來影響。

結 語

筆者認為，制造企業在推進工業轉型與升級過程中應該更加重視硬件帶來的安全風險。傳統制造業車間里的生產設備落后，聯網程度和智能化水平偏低，反而“相對安全”。但隨著it與ot不斷深入融合以及工廠設備智能化普及程度越來越高，例如生產線上的智能機器人，高檔數控機床上的智能傳感器或現代倉庫里的智能agv等，未來將借助工業云平臺、大數據等在智慧工廠、智能產線上發揮巨大作用，這些設備的安全問題將成為制造企業關注的焦點。

盡管信息安全問題一直長期存在，絕非一朝一夕可以解決的，這需要國家、安全公司，硬件廠商的多方努力，并建立行業的信息安全標準和規范。目前，企業應盡可能做好安全防御工作，首先，從技術層面上對現有的系統設備進行安全檢測排查，及時修補漏洞補丁和定期升級維護，關注相關安全信息以及防范措施；在采購智能設備時，將硬件安全風險放在評估的首位，在交付使用前進行專業的安全檢測。其次，從管理層面上健全完善信息安全工作組織體系，注重信息安全的風險分析、估體和控制，配備專業安全維護人員是有必要的。

事實上，在互聯網的時代里，從來沒有絕對的安全。唯有企業根據自身情況整體規劃，建立科學、完善的安全防御體系，才能保證利益不受損失。

以上是網絡信息轉載，信息真實性自行斟酌。