为了防止类似的情况出现,一些安全类软件公司显然存在商业机会,尤其是针对企业的安全服务商,因为在这种情况下大家会更倾向于使用付费软件。
在此次OpenSSL漏洞给互联网企业带来系统性风险的同时,该事件也起到了警示作用。虽然在各大网站完成修复后,事情会逐渐恢复平静,但由于OpenSSL应用非常广泛,所以相对网站等表面上的应用,它在各种客户端、VPN、WAF等其他领域,也将带来更加隐蔽的风险,并将持续一段时间。
有专家指出,出于安全考虑,政府有关职能部门应在第一时间向全国发出警报。但从目前反应出的情况来看,我国重大安全事件的紧急处置及联动机制还不够健全。而国家应急中心一位负责人也指出,我国从2003年起,就开始试图建立漏洞触发机制,但这一块工作的细化和操作在实践层面还缺乏清晰的路径。
中国计算机学会信息安全专业委员会主任严明认为,对于政府职能部门,目前公安或者其他相关部门应当立即启动应急措施,促进通报漏洞信息,并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后,再对那些出现了财产侵占的非法行为进行查处追责。
而对于企业而言,则要意识到问题的重要性,北京知道创宇信息技术有限公司持续监测发现,一些机构升级了OpenSSL,如金山、百度、360等;一些选择暂停SSL服务,但仍继续使用其主要功能,如微信;有的为规避风险,干脆暂停网站全部服务;更有一部分根本没有采取任何措施。
另一方面,为了防止类似的情况出现,一些安全类软件公司显然存在商业机会。比如,360迅速推出OpenSSL漏洞在线检查工具,输入网址就能够检测网站是否存在该漏洞,帮助用户避免相应风险,同时还开通了热线电话,网站用户在升级和维护网站过程中,可以随时拨打该热线电话,获得免费全程技术支持。
不过在张毅看来,“像360这种企业以提供免费服务为主。而对于付费的安全软件服务商,尤其是针对企业的安全服务商也是不错的机会,包括卡巴斯基等,因为在这种情况下大家会更倾向于使用付费软件。”
就目前的情况而言,有业内专家建议,对重要服务,网民应尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到账户密码,登录还有另一道门槛。如果随着事件进展,可能受波及的网络服务在增加或更明确,建议用户修改重要服务的登录密码。一个密码的使用时间不宜过长,超过3个月就该换掉了。