【环球时报特约记者 文简 环球时报记者 刘洋】中国网络空间安全协会微信公众号16日发文披露英特尔产品安全漏洞问题频发、可靠性差、监控用户、暗设后门等问题,“建议启动网络安全审查”。《华尔街日报》16日报道称,英特尔股价在美国盘前交易时段下跌1.8%。
资料图(视觉中国)
该协会表示,从2023年开始,英特尔CPU不断被爆存在各种漏洞,“表明其对客户极不负责任的态度”。“从2023年底开始,大量用户反映,使用英特尔第13、14代酷睿i9系列CPU玩特定游戏时,会出现崩溃问题。”文章写道,在出现问题近半年后,英特尔才给出解释。
中国网络空间安全协会表示,英特尔联合惠普等厂商,共同设计了IPMI(智能平台管理接口)技术规范,声称是为了监控服务器的物理健康特征,技术上通过BMC(基板管理控制器)模块对服务器进行管理和控制。BMC模块允许用户远程管理设备。该模块也曾被爆存在高危漏洞,导致全球大量服务器面临被攻击控制的极大安全风险。此外,英特尔公司开发的自主运行子系统ME(管理引擎),自2008年起被嵌入几乎所有的英特尔CPU中,允许系统管理员远程执行任务。只要该功能被激活,无论是否安装操作系统,都能远程访问计算机。硬件安全专家指出ME是一个后门。
中国网络空间安全协会指出,英特尔的全球年收入近1/4来自中国市场,但这家公司反而不断做出损害中国利益、威胁中国国家安全的事情。该协会建议对英特尔在华销售产品启动网络安全审查,切实维护中国国家安全和中国消费者的合法权益。
资深行业观察员刘丁丁16日对《环球时报》记者表示,网络安全是国家安全的重要组成部分,近年来,中国通过不断完善法律法规体系及相应的工作机制,已成功构筑起一个全方位、多层次的网络安全生态体系。“针对英特尔等产品多次出现的漏洞,可以积极应对。”
蚁警网络安全态势分析系统网络安全管理面临的问题
面对网络安全管理的挑战,蚁警网络安全态势分析系统在实施过程中遇到了一些问题。 首先,由于国内尚未制定统一的网络安全产品接口协议,导致各厂商的技术封闭,使得产品间的互操作性和兼容性成为瓶颈,影响了整个系统的效率和安全性。 其次,大部分网络安全产品缺乏应急处理预案和科学的分析手段,无法准确评估和应对安全事件,这在预警和防范方面显得力不从心。 此外,安全管理平台的技术复杂性使得用户在使用过程中遇到困难,而长期安全服务的需求与当前的提供情况不匹配,这是另一个挑战。 在集成部分开源产品的平台中,由于公开源代码存在安全漏洞,如果不及时升级,将对平台安全构成威胁。 同时,集成不同厂商的优秀产品虽然能优化安全防护,但技术核心难以获取,兼容性和成本问题也困扰着集成商。 平台集成厂商采用自有产品构建平台时,虽然能保证协同性,但厂商自身在所有安全产品上的技术优势有限,无法实现强强联合。 用户在产品选择上也受限,无法根据实际需求定制解决方案。 针对这些问题,蚁警网络安全态势分析系统正在寻求解决方案,如实现平台部件产品的联动互操作,提高应急处理能力和事件整合关联分析,以减少误报和提高攻击检测率。 同时,它正在开发网络安全态势多维实时计算和可视化功能,以满足用户对网络安全态势的个性化评估和决策支持。
2022网络安全漏洞态势报告:年度新增漏洞达历史新高
2022年,网络安全领域新增漏洞达到了2.5万个新高,增长趋势连续多年保持。 其中,超高危漏洞比例持续上升,且修复率显著提升,但仍面临严峻的威胁形势。 整体态势出现了新特点,包括高风险漏洞数量创下新高、零日漏洞争夺成为新的攻防焦点、单边漏洞管控导致国际秩序混乱以及网络霸权主义对网空权益的冲击。 漏洞风险关系到国家安全,治理漏洞风险成为维护国家和网络安全的必由之路。 应着力推动国际合作机制,促进漏洞治理,构建网络空间命运共同体。 同时,需推动国家层面机制顺畅运行,建立完善漏洞治理体系,包括基础研究、发现检测、风险评估和人才管理等关键环节。 营造良好的漏洞生态环境,鼓励技术攻关和应用创新,加强漏洞感知能力与手段建设,提升网络安全防御水平。 加快漏洞标准制定与体系建设,强化漏洞基础研究能力。 具体而言,2022年新增漏洞近2.5万个,较前一年增长19.28%,呈现加速增长态势。 其中,高危和超高危漏洞占比显著增加,修复率有所提高,但总体威胁依然严峻。 漏洞分布呈现出国外厂商主导,操作系统与应用产品漏洞数量居高,其中跨站脚本类漏洞占比最高。 漏洞类型以跨站脚本、缓冲区错误、SQL注入等为主,严重等级分布上,超危漏洞占比最大,同比增长3%。 漏洞修复情况显示,整体修复率为77.76%,但不同厂商间修复率存在较大差异,国外厂商如Microsoft、Oracle修复率接近100%,而国内厂商平均修复率仅为58.72%,无线设备厂商修复率偏低。 漏洞攻击向量中,远程攻击占比最高,达到72.3%,本地攻击占24.95%,邻接网络和物理攻击占比分别为1.78%和0.97%。 具体攻击案例中,涉及Google Chrome、Spring Framework、Zimbra Collaboration Suite、Microsoft Windows Support Diagnostic Tool、Atlassian Confluence Server、F5 BIG-IP、Zyxel(合勤科技)USG FLEX等产品。 漏洞趋势分析揭示,2018至2022年间,漏洞数量和超高危漏洞数量均呈逐年增长态势,2022年新增漏洞数量和超高危漏洞占比均达到历史新高。 零日漏洞争夺升级为新的攻防焦点,单边漏洞管控导致国际秩序混乱,网络霸权主义对网空权益构成冲击。 对于下步措施建议,应促进国际合作机制,推动国家机制顺畅运行,营造良好的漏洞生态环境,加强漏洞感知能力与手段建设,加快漏洞标准制定与体系建设。 通过这些举措,构建安全、稳定、协作的网络空间环境,有效应对和管理网络安全风险。
阿里又出事了!发现网络安全漏洞,不上报工信部,却通知外国机构
1. 近日,一则消息引发关注:阿里云在发现一个重要的网络安全漏洞后,并未首先向中国的工信部上报,而是通知了外国机构。 2. 该漏洞涉及Apache Log4j2组件,这是一个广泛使用的Java日志框架。 阿里云在11月24日发现了这个漏洞,但直到工信部从网络安全专业机构那里得知这一情况,才意识到问题的严重性。 3. 根据中国的《网络产品安全漏洞管理规定》,网络产品提供者在发现安全漏洞后应在两天内向工信部报告。 然而,阿里云在发现漏洞后15天才向工信部上报,这一延误引起了监管部门的关注。 4. 工信部在得知漏洞后,立即要求网络产品提供者检查并升级受影响的系统,以降低网络安全风险。 这个漏洞被认为是非常严重的,可能会导致设备远程被控制,敏感信息泄露,以及服务中断等问题。 5. 由于阿里云在发现漏洞后未能及时向工信部报告,工信部决定暂停与阿里云的信息共享平台合作。 这一决定反映了监管部门对网络安全的严格要求,以及对网络产品提供者责任的高度重视。 6. 阿里云在暂停合作期间将进行整改,整改完成后,工信部将重新评估是否恢复与阿里云的合作。 这一事件也提醒了所有网络产品提供者,及时、准确地上报安全漏洞信息是保护用户网络安全的重要一环。