近日，英特尔处理器中隐藏的操作系统MINIX的消息在互联网上引起了轩然大波。谷歌团队研究发现，英特尔近年来推出的处理器大都运行着一个修改版的MINIX3操作系统，英特尔管理引擎（Intel ME）运行其上，该系统在处理器内部有自己的CPU内核和专属固件，完全独立于其他部分，运行权限达到了Ring-3，且具有完整的网络堆栈、文件系統、Web服务器，以及USB和网络等一系列驱动。据媒体分析，这一系统完全可以架设网络服务器，甚至成为用户无法抵抗的“后门”，存在巨大的安全隐患。我们应该如何看待和应对这一事件呢？

正确认识这一事件的本质

这一事件本身没有必要过度解读，实际上英特尔是在芯片组中为用户提供了一个免费的带外远程管理模式，包括英特尔近年来推出的主动管理技术（AMT）和博锐（vPro）等，类似于服务器中的基板管理控制器（BMC），具有专门的处理器，可脱离CPU独立运行，有自己的操作系统，使用独立管理通道。这实际上为用户提供了带外管理的途径，其他芯片厂商也都有类似的闭源固件，各厂商也在努力提升其安全水平。

这一事件应引起我们的警觉

虽然厂商本身可能并无恶意，但这一方式确实存在安全隐患。Intel ME是独立于CPU运行的，且可以访问网络和内存数据，可作为“后门”，也存在被利用实施网络攻击的可能性。任何操作系统都可能有缺陷和漏洞，MINIX3也无法避免，而作为开源软件更可能被黑客抓住其漏洞。同时，我们应该认识到，计算机中独立的固件有十几个，包括网卡、显卡、硬盘等都有自己的控制器，这些固件都有潜在的安全隐患。

自主创新可破解这一隐患

当前英特尔处理器拥有极高的市场占有率，自主厂商的产品仍存在较大差距，通过替代方式消除这一安全隐患仍不现实。我们应对厂商提出包括彻底关闭芯片中ME等存在安全隐患模块在内的一系列要求，实现重点领域芯片产品的安全可控。同时，应进一步加大自主创新力度，培育掌握核心技术的自主芯片厂商，从根本上解决核心技术受制于人的问题。

（赛迪智库）endprint