盡管亞太地區(qū)設置的數(shù)據(jù)安全標準沒有歐盟的標準那么高，但總體趨勢是，與數(shù)據(jù)安全做法有關的規(guī)定愈發(fā)嚴格。

例如，韓國在 2014 年通過了《個人信息保護法修正案》，進 一步加強了本已相當嚴格的安全控制。根據(jù)修正案的規(guī)定， 公司如今必須向受影響的個人報告所有數(shù)據(jù)泄露情況，并且 當涉及人數(shù)達到 10,000 人時，必須向政府報告。違反者最高可被處以 1 億韓元的罰款，甚至可能面臨監(jiān)禁。受害方現(xiàn)允 許提出集體訴訟。

澳大利亞也在 2014 年修改了隱私法。目前，小范圍泄露的企業(yè)將被處以 110,000 澳元罰款，最高可達 110 萬澳元。

亞太地區(qū)的其他國家?guī)缀鹾翢o疑問會漸漸效仿，這至少是 為了在當今世界能夠開展業(yè)務，因為許多重要市場受到嚴 格的數(shù)據(jù)保護法規(guī)約束。長期以來，全球 IT 企業(yè)一直依賴 OpenSSL 加密作為數(shù)據(jù)安全的基礎，但如今這種依賴性開始 受到質(zhì)疑。

毫無疑問，開源運動是軟件行業(yè)最值得稱道的進步之一，它 由大公無私的程序員組成，他們在全球范圍內(nèi)合作開發(fā)有用 且免費的軟件。遺憾的是，開源模型在安全領域的表現(xiàn)不盡 如人意，尤其是 OpenSSL 提供的加密。

問題的根源在于 OpenSSL 面臨人員和經(jīng)費短缺的問題。事實 上，雖然它對于大批使用者而言十分重要，但是全身心致力 于這項工作的僅有一個人，分布在世界各地的十幾名程序員 偶爾提供幫助。

對于 OpenOffice 等其他開源工作，這不是問題。這些產(chǎn)品比 較穩(wěn)定，更重要的是，它們在修復漏洞的需要上并不迫切。 與此相反，毫不夸張的說，OpenSSL 遭受著不間斷的攻擊， 無情的黑客們夜以繼日地尋找著安全漏洞。此外，未修復的 漏洞可能帶來災難性后果。

OpenSSL 確實會檢測問題，并定期發(fā)布修補程序。例如， 2015 年的前五個月中就發(fā)布了十九條修補程序。然而，從發(fā) 現(xiàn)漏洞到修復通常需要好幾個月的時間，在這段時間內(nèi)存在 著危險的風險窗口。事實上，有跡象顯示，獨立貢獻者提交 的安全修補程序從未經(jīng)過評估或壓根沒有實施，這純粹是因 為缺乏資源。過去兩年中，這種情況導致了數(shù)目驚人的安全 漏洞。這些漏洞的具體工作方式令人不安，并表明人們需要更加警惕。

Heartbleed 的名字來源于它破壞的 OpenSSL 流量控制擴展程序Heartbeat，它是近期可能造成災難的最嚴重案例。

該漏洞不僅讓黑客有權(quán)攔截存在漏洞的客戶端和服務器之間的通信，并且為他們提供了獲取用戶名 / 密碼組合的權(quán)限， 而最糟糕的是，讓他們有權(quán)獲取有“皇冠上的寶石”之稱的任何加密系統(tǒng)：加密過程本身所使用的私鑰。

到人們發(fā)現(xiàn) Heartbleed 時，它已經(jīng)影響了互聯(lián)網(wǎng)66%的使用者。令人驚訝的是，它的起因是兩年前一名志愿者提交的一行代碼，這行代碼包含了一個錯誤，而沒有人在標準審核過程中發(fā)現(xiàn)它。一個編程小錯誤會嚴重危及互聯(lián)網(wǎng)上超過半數(shù)的使用者，這表明了OpenSSL有多脆弱。

FREAK（全稱為 Factoring Attack on RSA-EXPORT Key）利用 了上世紀九十年代美國政府一項禁止強加密產(chǎn)品出口的政策。該政策只允許出口較弱的 512 位產(chǎn)品，即所謂的出口級產(chǎn)品。 盡管對強加密產(chǎn)品出口的限制在大約二十年前就已被取消，但已用于無數(shù)應用中的弱加密技術通常仍是選擇之一，即便 已經(jīng)有更強大的加密產(chǎn)品可供選擇。

FREAK 是一種中間人漏洞利用方法，于數(shù)據(jù)交換時在發(fā)送者和接受者之間插入一個隱藏的第三方。它的運行原理是迫使有漏洞的服務器在數(shù)據(jù)交換時降級為使用 512 位加密方式，

使得數(shù)據(jù)變得相對容易解密。在大約十年里都沒有人發(fā)現(xiàn)這一漏洞。具有諷刺意味的是，美國的政策令FREAK漏洞利用成為可能，而一些遭受 FREAK 漏洞利用的網(wǎng)站正是美國的標志性網(wǎng)站，包括 Whitehouse.gov 和 NSA.gov。

新加坡 Black Hat Asia 的研究人員近期發(fā)現(xiàn)的 Bar Mitzvah Attack 是源自另一項弱加密算法 RC4 的漏洞利用。盡管在很大程度上被更強大的 AES 算法替代，但 RC4 仍被用于約 30% 的 SSL/TSL 加密會話。它的名字源自它利用的漏洞已經(jīng)存在了13年。

Bar Mitzvah Attack 利用 RC4 脆弱的加密方式，在數(shù)據(jù)交換中 恢復純文本，其中包括信用卡號等敏感信息。這項漏洞利用 值得注意的地方在于，它不需要中間人。它通過竊聽就可以 工作，而隨著移動設備的普及，竊聽變得越來越容易。

這四種漏洞利用情況是 OpenSSL 存在著長期通病的受到高度 關注的例子，但它們只是冰ft一角。其它備受矚目的例子包 括 POODLE、LOGJAM 和 SHELLSHOCK。2012 和 2013 年總計報告了近一千個漏洞，2014 年的數(shù)字僅小幅走低。

首先是使用 SSL/TLS 證書在服務器上進行漏洞評估。這樣，企業(yè)可以確 定任何使用 SSL/TLS 證書的服務器中是否存在已知的漏洞。

可以解決已知的漏洞，但首先要發(fā)現(xiàn)它。

其次是采用網(wǎng)頁應用程序防火墻 (WAF)。WAF 專為保護網(wǎng)絡 服務器而設計，能夠阻止 SSL/TLS 加密的攻擊，并提供其他 技術無法實現(xiàn)的粒度防護水平。WAF 結(jié)合使用黑名單（如阻止 已知攻擊）和合法通信的白名單。它甚至能夠長期監(jiān)測 HTTP 流量，并提供白名單建議或自動添加。

公司需要 WAF 提供的定制保護，原因之一是如今許多網(wǎng)站上 嵌入了大量應用程序接口。創(chuàng)建這些應用程序使用的語言十 分復雜，有時自定義代碼會造成名為“自我傷害”的漏洞， 為攻擊者提供誘人的目標。應指出的是，WAF 是確保 PCI 合 規(guī)的理想方式。

第三條策略是更加重視持續(xù)監(jiān)測安全公告、網(wǎng)站以及其他發(fā) 布漏洞和修補程序信息的渠道，并采取行動。沒有資源做到 這點的公司應認真考慮尋找合作伙伴。

IT 企業(yè)可采取的最后一步措施是評估它們的證書頒發(fā)機構(gòu) (CA)。 并非所有證書頒發(fā)機構(gòu)都是一樣的，因此 SSL/TLS 提供商也 不盡相同。在這方面，賽門鐵克的表現(xiàn)尤為引人注目。

在過去的超過十一年內(nèi)，賽門鐵克的驗證服務平均每天處 理超過四十五億次點擊，而停機時間為 0。

全世界前 100 大金融機構(gòu)中的 94 家以及財富五百強中的91% 均選擇賽門鐵克的 SSL/TLS 證書。

賽門鐵克功能強大的 PKI 基礎架構(gòu)包括軍隊級別的數(shù)據(jù)中 心和災難恢復網(wǎng)站，提供無可匹敵的客戶數(shù)據(jù)保護和可用 性，讓客戶高枕無憂。

客戶端和服務器之間的通信（通常在商業(yè)環(huán)境中）面臨的風 險遠高于以往，而一些最嚴重的風險與 OpenSSL 有關。幸運 的是，通過采取最佳做法和選用確保可靠加密的產(chǎn)品及服務， 企業(yè)能夠降低這些風險。