《企業網D1Net》4月16日訊
4月8日,雖然已經過去很多天了,但是人們對這一天仍然記憶猶新,就在這天,一個代號“心臟出血”的重大互聯網安全漏洞被國外黑客曝光。這次發生漏洞的是國際著名安全協議OpenSSL,目前世界上大概有三分之二的網絡服務器正在使用,包括購物、網銀、社交、郵箱等。OpenSSL,是為網絡通信提供安全及數據完整性的一種安全協議,有人將其形容為“互聯網上銷量最大的鎖”。這把鎖出問題了,整個互聯網可能都會坍塌掉。
隨后,黑客們和網絡安全漏洞的檢測者們都度過了一個不眠之夜。而截止到4月10日,在全國3萬多個存在漏洞的網站中,依然有近30%沒有采取任何措施。
據統計,在4月7日~8日兩天時間,共計約2億網民訪問了存在漏洞的網站。也就是說,他們登錄服務器時顯示的用戶名、密碼和信用卡等信息,很有可能會被人盜取。奇虎360副總裁兼首席隱私官譚曉生說:“我們對120萬個網站進行掃描,這中間發現有一萬多個網站其實是會受到這件事情的影響。”9日上午,360網站衛士的OpenSSL漏洞檢測平臺發現,北京大學和清華大學某項網絡服務也存在OpenSSL安全協議漏洞,同時也監測到了有來自北京聯通的一個IP針對這些服務進行漏洞探測,360緊急通知清華大學和北京大學進行修復。
所幸的是,這次公布的漏洞對銀行U盾沒有影響,U盾完全可以放心使用。網民在這一重大網絡安全事件面前沒有太多處置的余地,唯一的有效措施就是及時修改登錄密碼,但前提是要確認所登錄的網站已經對此次漏洞進行了修復。但是,大大小小的網站,包括京東、淘寶這樣的大網站,自始至終都沒有在網站中提及任何與漏洞相關的風險信息。
4月10日晚,在針對這一漏洞的《新聞1+1》專題新聞節目中,央視主持人白巖松發出了這樣的疑問,互聯網快速走進我們的生活,帶來新的巨大便利的同時,也帶來新的巨大不安全感,從國家的戰略和技術的層面上來說,怎樣去防范這種非常新型的不安全?
網絡安全本身是一個動態調整的過程,沒有一招制敵的方案,也不是哪一方可以獨立解決的,最重要的是構建一個網絡安全防范體系,包括體制機制設計、政策法律設計、技術能力、人員水平,等等。中國計算機學會信息安全專業委員會主任嚴明認為,國家互聯網應急中心等機構有責任針對各種網絡安全漏洞及時發布信息,通知有關用戶來更新,同時提醒廣大民眾要注意這種威脅。
由于OpenSSL軟件本身就是一款著名的開源軟件,OpenSSL漏洞也給了信息產業一個重要的警示,基于Linux等開源項目開發的操作系統等國產軟件,一定不能單打獨斗,而是要加強協同,并盡量從機制上解決協同過程中的安全問題。正如ISC COO David Shearer所說,“開源軟件開發里協作性所帶來的安全問題是決定整個軟件生命周期的重要因素之一。”
這次漏洞事件之所以影響巨大,問題出在小長假剛過,很多網站的網管人員來不及做出升級系統的反應,這給了黑客以可乘之機。而令人震驚的是,如果數以萬計的網站都做不到及時的軟件升級,這意味著我國互聯網產業的整體安全現狀是極其脆弱的。
用戶在互聯網上享受著各種各樣的服務,而互聯網服務商由于技術、管理的不同,造成對漏洞響應和分享是有時間延遲的。比如2013年Adobe公司的用戶信息泄露,造成超過290萬的客戶信息被盜,這些信息的披露延遲了兩個多月,逐漸地波及到金融和其他行業。
如何能快速有效地應對身份信息的泄露風險?眾多專家認為還是要著眼于技術的創新與進步。徐海光指出,在不改變現有在線服務商(銀行、互聯網公司)的安全體系基礎上,附加第三方的雙通道安全認證方式是可行的,比如目前OpenSLL漏洞造成的用戶信息泄露,如果有了用戶手上的設備作為第二把鑰匙的保護,黑客即使獲取了用戶賬號及密碼,也無法冒名頂替通過身份認證。同時,第三方的服務方式,在技術反應時間上可以提供高效的安全保障,不存在時間延遲風險。在服務商系統快速完成升級后,用戶再對賬戶密碼進行修改,即可達到更高的安全水平。
D1Net評論:
雖然已經過去很多天了,但是OpenSSL漏洞陰霾依然籠罩著整個互聯網領域,這次事件也引起我們對網絡安全的思考:究竟網絡安全出路在何方?對于這個問題的回答,并不是某個人或者某個安全廠商就能做到的,需要政府牽頭,社會各界共同努力。
京公網安備 11010502049343號