事项:
10月16日,中国网络空间安全协会发布名为《漏洞频发、故障率高应系统排查英特尔产品网络安全风险》的文章。文章指出英特尔公司产品存在安全漏洞问题频发、可靠性差、监控用户、暗设后门危害网络信息安全的情况,并提出对英特尔在华销售产品启动网络安全审查的建议。
评论:
英特尔CPU网络安全风险频发,质量及安全管理存在重大缺陷。文章指出,2023年8英特尔CPU被曝存在Downfall漏洞,该漏洞可获取特定矢量寄存器缓冲区之前存储的密钥、用户信息、关键参数等敏感数据。而早在2022年,英特尔就已经被研究者报告过该漏洞但未采取行动,后遭集体诉讼。2023年11月,谷歌研究人员又披露英特尔CPU存在另一高危漏洞Reptar,可致敏感数据泄露和系统崩溃问题。2024年以来,英特尔CPU又先后曝出GhostRace、NativeBHI、Indirector等漏洞。多次安全事件表明,英特尔在产品质量、安全管理方面存在重大缺陷。
英特尔或在暗中监控用户,并危害网络和信息安全。文章提到,英特尔联合惠普等厂商设计的IPMI技术规范,声称用于监控服务器物理健康,但实际上存在高危漏洞,导致全球大量服务器面临被攻击控制的极大安全风险。英特尔还在产品中集成了存在严重漏洞的第三方开源组件,如M10JNPSB服务器主板中的lighttpd,版本落后长达9年。与此同时,英特尔CPU中的管理引擎(ME)被指暗设后门,允许远程访问计算机,绕过操作系统防火墙,实现物理级接触用户计算机的效果。这意味着对于包括中国在内世界各国的关键信息基础设施,构成极大的安全威胁。
实体清单及海外CPU安全漏洞压力下,芯片国产化势在必行。2018年以来,部分中国企业和高校不断被美国商务部产业与安全局列入“实体清单”,落入该名单的实体均成为BIS限制出口的对象。伴随中美科技博弈的升级,安全可控、自主可控领域发展迅速,芯片、数据库、操作系统作为重要基础软件急需进行国产替代,信创产业提级发展。而CPU芯片作为ICT设备的运算和控制核心,负责指令读取、译码与执行,对研发技术和生态构建具有很高要求。目前,英特尔、AMD领跑通用CPU市场,国内下游厂商面临芯片“卡脖子”问题。然而,在美国实体清单压制及Intel CPU安全漏洞频发的背景下,国产芯片厂商需要快速进步和提升,芯片国产化势在必行。
投资建议及关注标的:建议关注科技安全自立,重点关注国产芯片、相关信创产业链及网络安全板块。
芯片:龙芯中科、海光信息、景嘉微;
服务器:紫光股份、中科曙光、浪潮信息、神州数码、中国长城、拓维信息;
BIOS/BMC:卓易信息;
操作系统:中国软件、诚迈科技;
数据库:达梦数据、太极股份、海量数据;
网络安全:深信服、奇安信、启明星辰、天融信、绿盟科技、信安世纪、格尔软件、电科网安。
风险提示:技术发展不及预期,政策推进不及预期,市场竞争加剧。