【深度观察】英特尔被中国网络空间安全协会点名;阿里云等众多企业接连否认非法测绘,网络信息安全需要我们共同努力

引言

英特尔中国在10月17日通过官方微博回应了此前中国网络空间安全协会的点名批评。这一回应表明,作为一家在中国经营近40年的跨国公司,英特尔始终严格遵守业务所在地适用的法律和法规,并将产品安全和质量放在首位

英特尔中国强调,公司一直积极与客户和业界密切合作,确保产品的安全和质量。同时,英特尔还表示将与相关部门保持沟通,澄清相关疑问,并表明其对产品安全和质量的坚定承诺。

此次回应的背景是中国网络空间安全协会在16日发文称,漏洞频发、故障率高,应系统排查英特尔产品网络安全风险。文章指出,英特尔公司安全漏洞问题频发;可靠性差,漠视用户投诉;假借远程管理之名,行监控用户之实;暗设后门,危害网络和信息安全。此外,该协会建议对英特尔在华销售产品启动网络安全审查。

英特尔被中国网络空间安全协会点名

2024年10月16日中国网络安全协会发布了《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》的文章,共指出了英特尔的四项问题:安全漏洞问题频发;可靠性差,漠视用户投诉;假借远程管理之名,行监控用户之实;暗设后门,危害网络和信息安全。

文章具体指出,2023年8月,英特尔CPU被曝存在Downfall漏洞,该漏洞利用相关指令,获取特定矢量寄存器缓冲区之前存储的密钥、用户信息、关键参数等敏感数据。该漏洞影响英特尔第6代至第11代酷睿、赛扬、奔腾系列CPU,以及第1代至第4代至强处理器。

文章称,早在2022年,就有研究者向英特尔报告过该漏洞,但英特尔在明知漏洞存在的情况下,既不予承认,也未采取有效行动,还持续销售有漏洞的产品,直至漏洞被公开报道,英特尔才被迫采取漏洞修复措施。

2024年以来,英特尔CPU又先后曝出GhostRace、NativeBHI、Indirector等漏洞,英特尔在产品质量、安全管理方面存在的重大缺陷,表明其对客户极不负责任的态度。

此外,该协会认为,英特尔在产品中集成存在严重漏洞的第三方开源组件,以英特尔M10JNPSB服务器主板为例,该产品支持IPMI管理,目前停止售后,2022年12月13日发布了最后一次固件更新包,通过分析可知其web服务器为lighttpd,版本号为1.4.35,是2014年3月12日的版本,而当时lighttpd的最新版本已升级至1.4.66,两者相差9年,“这种不负责任的行为,将广大服务器用户的网络和数据安全,置于巨大的风险之中。”

文章还指英特尔暗设后门,危害网络和信息安全问题。因此,协会建议对英特尔在华销售的产品启动网络安全审查。

阿里云注销测绘资质的原因,根本不是非法测绘

10月16日,一则新闻让人大跌眼镜:话说国安部发现某境外企业A公司通过与我国具有测绘资质的B公司合作,以开展汽车智能驾驶研究为掩护,非法开展地理信息测绘活动。

无巧不成书,10月15日,在浙江省自然资源厅新闻公告显示,阿里云注销测绘资质。

这事就在各大社交平台传播开来,很多人认为是阿里云帮助某外企非法测绘,而且事件随着谣言发酵的愈发俞烈。

事情的演变使阿里云不得不辟谣了,官方指出“我们是今年4月主动申请的注销,只是前天公告才出来,跟昨晚这事毫无关系呀。

此事件在网络上引发了网友们的激烈讨论,众说纷纭!为自证清白特斯拉、四维图新、极氪等企业也作出纷纷回应

特斯拉全球副总裁、中国区对外事务负责人陶琳转发相关动态,并评论:“合规是企业经营的底线!特斯拉始终相信,合规的智能化才是可持续发展的智能化。我们的目标是为消费者提供安全可靠的产品和优秀稳定的服务。”

目前除Mobileye、特斯拉外,国内自动驾驶产业链公司四维图新、极氪都已经在微博公开回应,力证公司与威胁国家安全的非法测绘事件无关。

网络信息安全需要我们共同努力

完善法律法规:《网络数据安全管理条例》和《中华人民共和国网络安全法》等法律为网络信息安全提供了基本的法律框架。这些法律明确了网络运营者的安全保护义务,规定了网络数据处理活动的法律责任,为打击网络犯罪活动提供了法律依据。

加强技术研发:随着技术的发展,新型的网络攻击手段不断涌现。因此,需要不断地研发新技术来应对这些威胁。例如,利用人工智能技术进行异常行为检测,或者使用区块链技术来提高数据的不可篡改性。

提升公众意识:通过教育和宣传活动提高公众的网络安全意识是至关重要的。只有当每个人都意识到网络安全的重要性,并采取相应的保护措施时,整个社会的网络安全防护能力才会得到实质性的提升。

强化国际合作:网络信息安全是一个全球性的问题,没有任何一个国家能够独立解决所有问题。因此,加强国际间的合作,共同打击跨国网络犯罪,分享防护经验,对于提升全球网络安全防护水平至关重要。

建立应急机制:面对日益复杂的网络安全形势,建立和完善网络安全应急响应机制是非常必要的。这包括制定详细的应急预案,建立快速反应团队,以及定期进行应急演练等。

实施分类管理:根据网络数据的重要性和敏感性,实施分类管理策略。对于关键信息基础设施和重要数据,应采取更为严格的保护措施,确保其安全不受威胁。

促进产业发展:支持网络安全产业的发展,鼓励创新和技术升级。通过政策扶持和资金投入,促进网络安全技术的研发和应用,提高整个行业的竞争力和防护能力。(文/宋雨涵)