网安存在软肋

国家级应急响应亟待优化

从2003年起，国家应急中心就试图建立漏洞触发的相关应急工作和能力，但这一领域的工作到现在也不够清晰

国家应急中心直到9日才开始联动。中心一名专家坦陈，2003年起，国家应急中心就试图建立漏洞触发的相关应急工作和能力，但是这一领域的工作到现在也不够清晰，需要新的能力架构设计。“纯事件触发有时太晚太被动，2001年至2004年有很多教训，技术上存在适当前移的可能。”

中科院相关专业人士指出，这是考验我国互联网系统应急能力的重要时刻。出于安全考虑，政府有关职能部门应在第一时间向全国发出警报。能否在此次突发事件中有所作为，是对相关部门的一块试金石。但从目前反应情况来看，我国重大安全事件的紧急处置及联动机制还不够健全。

“当前最为紧急的事情，是减少损失范围”，严明说，对于政府职能部门，目前公安或者其他相关部门应当立即启动应急措施，促进通报漏洞信息，并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后，再对那些出现了财产侵占的非法行为进行查处追责。对于企业而言，则要第一时间做出反应，修补自身漏洞，比如该漏洞8日被公布，一些企业到了9日才开始补救，一些甚至还无动于衷。

对于普通用户，安全领域专家建议，近日在相关网站升级修复前，建议暂且不要登录网购、网银账户，尤其是对那些没有明确采取补救措施的网站，更应该谨慎避免泄密风险。在网站完成修复升级后，及时修改密码，避免引发次生危害。

多个电商均称不受影响

安全专家提醒仍需小心

信息时报讯 (记者 潘敬文 李冰如) “OpenSSL”漏洞到底有多少网站受影响？据互联网安全公司360(下简称“360”)介绍，“心脏出血”漏洞将影响至少两亿中国网民。

据360介绍，全球开放443端口的主机共有40041126个，受OpenSSL“心脏出血”漏洞影响的主机有32335个，连北京大学和清华大学都存在“心脏出血”漏洞。360已经紧急通知清华大学和北京大学进行修复。

不过，电商企业纷纷表示未受到影响，或已修复处理完毕。其中，1号店方面表示，公司的技术人员4月8日已经充分评估过该漏洞对1号店系统的影响，目前1号店在线业务系统都是安全的，不受该漏洞的任何影响。阿里巴巴表示，旗下包括淘宝、天猫等电商平台并未受到事件波及。支付宝相关负责人向记者表示，并未受到安全漏洞影响。腾讯方面则称，目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕，“大家可以放心使用。”

不过金山毒霸安全专家李铁军认为，目前尚无法准确评估黑客利用漏洞获得了多少数据，因此普通用户仍然需要小心为上。李铁军表示，对重要服务，尽可能开通手机验证或动态密码，比如支付宝、邮箱等，登录重要服务，不仅需要验证用户名密码，最好绑定手机，加手机验证码登录。李铁军还建议用户修改重要服务的登录密码，“一个密码的使用时间不宜过长，超过3个月就该换掉了。”

通过这个漏洞可能泄露的内容：

1.

私钥，所有https站点的加密内容全能破解；

2.

网站用户密码，用户资产如网银隐私数据被盗取；

3.

服务器配置和源码，服务器可以被攻破；